firewalldの設定 Rocky Linux

firewalldサービスの操作

サービスを有効化する (ホスト起動時にfirewalldサービスを起動する)

# systemctl enable firewalld
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.

サービスを起動する

# systemctl start firewalld

サービスが起動していない状態でfirewall-cmdコマンドを使用するとFirewallD is not runningというエラーが発生します。サービスを起動してからコマンドを使用して下さい。

サービスを停止する

# systemctl stop firewalld

サービスをリロードする

--permanentオプションを利用して追加した永続的な設定を有効にするには、firewalldのリロードが必要となります。

一方、--permanentを付与せずに設定した一時的(runtime)な設定は、リロードを行うと設定が無効になることに留意が必要です。

# systemctl reload firewalld

firewall-cmdコマンドの--reloadオプションでもリロードできます。

# firewall-cmd --reload

サービスを再起動する

# systemctl restart firewalld

サービスのステータスを確認する

# systemctl status firewalld

● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
Active: active (running) since Wed 20XX-12-26 10:52:08 UTC; 2s ago
Docs: man:firewalld(1)
Main PID: 8141 (firewalld)
CGroup: /system.slice/firewalld.service
└─8141 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Dec 26 10:52:08 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
Dec 26 10:52:08 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.

設定状況を確認確認

firewall-cmd --list-allコマンドで現在有効になっているfirewalldの設定を表示します。通常デフォルトのゾーンがpublicゾーンのため、特に何も指定しない場合は、publicゾーンの設定が表示されます。--zone=dmzのように特定のゾーンを指定することもできます。

# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client http https
ports: 24224/tcp 24224/udp 50000-50030/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

特定サービスを公開する (publicゾーン)

Apache(httpd)などのWebサーバをインストールしたと想定して、 http(80番ポート)、https(443番ポート)を公開する(publicゾーンに永続的にpermanentに登録する)。firewalldをreloadして設定を反映します。

# firewall-cmd --add-service=http --zone=public --permanent
# firewall-cmd --add-service=https --zone=public --permanent
# systemctl reload firewalld

# firewall-cmd --list-services
ssh dhcpv6-client http https

firewall-cmdで設定を変更する

firewall-cmdコマンドを使用した具体的なfirewalldの設定について説明します。

ここでは、基本的に一時的な設定ではなく、--permanentを指定した永続的な設定について説明します。一時的な設定では、サーバを再起動、firewalldを再起動・リロードすると設定が消えてしまいますが、永続的な設定ではそれらの操作をした後も設定が残ります。

また、永続的設定を変更した後に、その設定を有効にするためにはfirewalldサービスのリロードが必要となります。

These changes are not effective immediately, only after service restart/reload or system reboot.

firewall-cmd(1) Permanent Options –permanent

特定サービスを永続的に公開停止する (publicゾーン)

http、httpsサービスを公開停止にする(publicゾーンから永続的permanentに削除する)。firewalldをreloadして設定を反映します。

# firewall-cmd --remove-service=http --zone=public --permanent
# firewall-cmd --remove-service=https --zone=public --permanent
# systemctl reload firewalld

# firewall-cmd --list-services
ssh dhcpv6-client

firewall-cmdで指定できるサービス名を確認する

firewall-cmdコマンドの--add-service--remove-serviceオプションで指定できるサービス名の一覧を表示します。

# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nfs3 nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

代表的なサービスを以下に挙げておきます。

  • ログイン: ssh, ftp
  • Web: http, https
  • メール: smtp, smtps, pop3 pop3s, imap, imaps
  • DNS: dns

サービスの情報を確認する

サービス名からポート番号やプロトコルなどを確認する場合は、--info-serviceオプションを使います。

# firewall-cmd --info-service=dns
dns
  ports: 53/tcp 53/udp
  protocols:
  source-ports:
  modules:
  destination:
  includes:
  helpers:

firewall-cmdコマンドでdnsサービスを追加・削除すると、ポート番号53、プロトコルtcpとudpのルールが追加・削除されることが分かります。

特定ポートを永続的に公開する (publicゾーン)

サービス名ではなく直接ポート番号を指定して公開する場合はプロトコル(tcpもしくはudp)も指定してfirewall-cmd --add-portを実行します。

ポート番号24224のtcpとudpの両方を公開します。

# firewall-cmd --add-port=24224/tcp --zone=public --permanent
# firewall-cmd --add-port=24224/udp --zone=public --permanent
# systemctl reload firewalld

# firewall-cmd --list-ports
24224/tcp 24224/udp

ポート番号の範囲を指定する場合はハイフンを使って50000-50030/tcpのように記述します。

# firewall-cmd --zone=public --add-port=50000-50030/tcp --permanent
# systemctl reload firewalld

# firewall-cmd --list-ports
24224/tcp 24224/udp 50000-50030/tcp

特定ポートを永続的に公開停止する (publicゾーン)

ポート番号を指定して公開停止する場合はプロトコル(tcpもしくはudp)も指定してfirewall-cmd --remove-portを実行します。

# firewall-cmd --remove-port=24224/tcp --zone=public --permanent
# firewall-cmd --remove-port=24224/udp --zone=public --permanent
# systemctl reload firewalld

# firewall-cmd --list-ports
50000-50030/tcp

ポート番号の範囲を指定する場合は同様に次のとおりです。

# firewall-cmd --zone=public --remove-port=50000-50030/tcp --permanent
# systemctl reload firewalld

# firewall-cmd --list-ports
(何も表示されない)

一時的に特定IPアドレス・ネットワークをブロックする (runtime configurations)

公開されているサーバを運用しているとよく分かりますが、ログをみると各種サービスに対して攻撃を受けることが思ったよりも頻繁にあります。

特定のIPアドレスから攻撃を受けていることがわかり、とりあえずの処置として一時的(runtime)にブロックしたいという状況があります。

blockゾーンに--add-sourceオプションでIPアドレスを追加することで、該当IPアドレスからのアクセスをブロックすることができます。

一時的な設定(runtime configurations)の場合はすぐに設定が反映されるため、firewalldサービスのリロードは必要ありません。逆にサーバの再起動、firewalldサービスの再起動・リロード後には設定が消えますのでご注意下さい。

# firewall-cmd --zone=block --add-source=198.51.100.177
success

# firewall-cmd --list-sources --zone=block
198.51.100.177

--add-sourceオプションにはネットワークを指定することもできます。

# firewall-cmd --zone=block --add-source=198.51.100.0/24
success

# firewall-cmd --list-sources --zone=block
198.51.100.177 198.51.100.0/24

設定を削除したい場合は--add-sourceオプションを使います。

特定IPアドレス・ネットワークからのアクセスを永続的に許可する

自分が管理しているサーバやネットワークからのアクセスを許可したい場合は、trustedゾーンにIPアドレスやネットワークを追加します。

監視サーバは様々なポートへのアクセスが必要なため、個人的には監視サーバのIPアドレスをtrustedゾーンに追加しています。

IPアドレスではなくネットワークを追加するには203.0.113.0/24のように設定します。

trustedゾーンはpublicゾーンよりも優先度が高いため、trustedゾーンに追加されたIPアドレス・ネットワークからはpublicゾーンに許可されていないポートへのアクセスも可能です。

# firewall-cmd --zone=trusted --permanent --add-source=203.0.113.1
# systemctl reload firewalld

# firewall-cmd --list-sources --zone=trusted
203.0.113.1

設定を削除したい場合は--remove-sourceオプションを使います。