勉強前イメージ
CentOS7からのfirewallって感じ
調査
firewalld とは
linux用のfirewall管理ツールになり、パケットの送受信で指定したルールに基づいて通信の許可・拒否を制御するものになります。
iptables同様、linuxカーネルのnetfilterと呼ばれるサブシステムの管理インターフェースとして稼働します。
firewall d にはUNIXの命名慣習のシステムデーモンにはdを末尾につけることに従ってつけられています。
firewalldとiptablesは共存できないようになっています。
また、CentOS6でのiptablesにはいくつか課題がありそれがfirewalldでは解決されています。
iptablesの課題は簡単に以下のようです。
- 設定反映にサービスの再起動が必要なので、ネットワークの瞬断が発生
- 設定は仕組みを深く理解しないと難しい書き方である
- 一時的なルールの設定はできず、その都度書き換え
上記の課題がfirewalldになり、以下のように解決されました。
- 設定反映にサービスの再起動が必要なので、ネットワークの瞬断が発生
- 停止せずに反映できる
- 設定は仕組みを深く理解しないと難しい書き方である
- 簡単に設定を変更できる
- 一時的なルールの設定はできず、その都度書き換え
- 一時的と永続的な設定方法を管理できる
firewalldの設定について
firewalldはiptablesより簡単に変更できると↑で書いています。
その理由としては、iptablesではフィルタリングルールは一つ一つ書く必要がありました。
しかし、firewalldではフィルタリングルールをまとめてグループ化したゾーンというものが用意されていて
それを使うこともできるし、オリジナルで作ることもできます。
そのゾーンは以下になります。
- public : サーバとして最低限必要な受信の許可するルール
- work : 業務PCの利用を想定したルール
- home : 家庭用PCの利用を想定したルール
- internal : linuxを使ってfirewallを構築するのに使うルールで、内部ネットワークのインタフェースに設定
- external : linuxを使ってfirewallを構築するのに使うルールで、外部ネットワークのインタフェースに設定
- dmz : linuxを使ってfirewallを構築するのに使うルールで、DMZのインタフェースに設定
- block : 受信パケットを拒否するルール
- drop : 受信パケットを破棄するルール
- trusted : すべてを許可するルール
上記のゾーンをNICなどに関連付けを行って制御を行います。
勉強後イメージ
あまりちゃんと勉強したことなかったから、iptablesも知らなかったけどfirewalldも理解できてなかったな。。。