firewalldの設定 CentOS 7

Pocket

firewalldサービスの操作

サービス 有効化

systemctl enable firewalld

Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.

サービス 起動

systemctl start firewalld

サービスが起動していない状態でfirewall-cmdコマンドを使用するとFirewallD is not runningというエラーが発生します。サービスを起動してからコマンドを使用して下さい。

サービス 停止

systemctl stop firewalld

サービス リロード

systemctl reload firewalld.service

サービス 再起動

systemctl restart firewalld

サービス ステータス確認

systemctl status firewalld

● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
   Active: active (running) since Wed 20XX-12-26 10:52:08 UTC; 2s ago
     Docs: man:firewalld(1)
 Main PID: 8141 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─8141 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Dec 26 10:52:08 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
Dec 26 10:52:08 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.

設定状況の確認

firewall-cmd --list-allコマンドで現在有効になっているfirewalldの設定を表示します。通常デフォルトのゾーンがpublicゾーンのため、特に何も指定しない場合は、publicゾーンの設定が表示されます。--zone=dmzのように特定のゾーンを指定することもできます。

firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources:
  services: ssh dhcpv6-client http https
  ports: 24224/tcp 24224/udp 50000-50030/tcp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

特定サービスを公開する (publicゾーン)

Apache(httpd)などのWebサーバをインストールしたと想定して、 http(80番ポート)、https(443番ポート)を公開する(publicゾーンに永続的にpermanentに登録する)。firewalldをreloadして設定を反映します。

firewall-cmd --add-service=http --zone=public --permanent
firewall-cmd --add-service=https --zone=public --permanent
systemctl reload firewalld.service

firewall-cmd --list-services
ssh dhcpv6-client http https

iptablesで実際に設定が反映されているか確認することもできます。

iptables -L
(抜粋表示)
Chain IN_public_allow (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https ctstate NEW

firewall-cmdによる設定変更

firewall-cmdコマンドを使用した具体的なfirewalldの設定について説明します。

ここでは、基本的に一時的な設定ではなく、--permanentを指定した永続的な設定について説明します。一時的な設定では、サーバを再起動、firewalldを再起動・リロードすると設定が消えてしまいますが、永続的な設定ではそれらの操作をした後も設定が残ります。

また、永続的設定を変更した後にはfirewalldサービスのリロードが必要となります。

特定サービスを公開停止する (publicゾーン)

http、httpsサービスを公開停止にする(publicゾーンから永続的permanentに削除する)。firewalldをreloadして設定を反映します。

firewall-cmd --remove-service=http --zone=public --permanent
firewall-cmd --remove-service=https --zone=public --permanent
systemctl reload firewalld.service

firewall-cmd --list-services
ssh dhcpv6-client

firewall-cmdで指定できるサービス名の確認

firewall-cmdコマンドの--add-service--remove-serviceオプションで指定できるサービス名の一覧を表示します。

firewall-cmd --get-services

RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nfs3 nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

代表的なサービスを以下に挙げておきます。

  • ログイン: ssh, ftp
  • Web: http, https
  • メール: smtp, smtps, pop3 pop3s, imap, imaps
  • DNS: dns

特定ポートを公開する (publicゾーン)

サービス名ではなく直接ポート番号を指定して公開する場合はプロトコル(tcpもしくはudp)も指定してfirewall-cmd --add-portを実行します。

ポート番号24224のtcpとudpの両方を公開します。

firewall-cmd --add-port=24224/tcp --zone=public --permanent
success
firewall-cmd --add-port=24224/udp --zone=public --permanent
success
systemctl reload firewalld.service

firewall-cmd --list-ports
24224/tcp 24224/udp

ポート番号の範囲を指定する場合はハイフンを使って50000-50030/tcpのように記述します。

firewall-cmd --zone=public --add-port=50000-50030/tcp --permanent
systemctl reload firewalld.service

firewall-cmd --list-ports
24224/tcp 24224/udp 50000-50030/tcp

特定ポートを公開停止する (publicゾーン)

ポート番号を指定して公開停止する場合はプロトコル(tcpもしくはudp)も指定してfirewall-cmd --remove-portを実行します。

firewall-cmd --remove-port=24224/tcp --zone=public --permanent
success
firewall-cmd --remove-port=24224/udp --zone=public --permanent
success
systemctl reload firewalld.service

firewall-cmd --list-ports
50000-50030/tcp

ポート番号の範囲を指定する場合は同様に次のとおりです。

firewall-cmd --zone=public --remove-port=50000-50030/tcp --permanentsuccess
systemctl reload firewalld.service

firewall-cmd --list-ports
(何も表示されない)

一時的に特定IPアドレス・ネットワークをブロック

公開されているサーバを運用しているとよく分かりますが、ログをみると各種サービスに対して攻撃を受けることが思ったよりも頻繁にあります。

特定のIPアドレスから攻撃を受けていることがわかり、とりあえずの処置として一時的にブロックしたいという状況があります。

blockゾーンに--add-sourceオプションでIPアドレスを追加することで、該当IPアドレスからのアクセスをブロックすることができます。

一時的な設定の場合はすぐに設定が反映されるため、firewalldサービスのリロードは必要ありません。逆にサーバの再起動、firewalldサービスの再起動・リロード後には設定が消えますのでご注意下さい。

firewall-cmd --zone=block --add-source=192.168.7.100
success

firewall-cmd --list-sources --zone=block
192.168.7.100

--add-sourceオプションにはネットワークを指定することもできます。

firewall-cmd --zone=block --add-source=192.168.11.0/24
success

firewall-cmd --list-sources --zone=block
192.168.7.100 192.168.11.0/24

設定を削除したい場合は--add-sourceオプションを使います。

特定IPアドレス・ネットワークからのアクセスを許可

自分が管理しているサーバやネットワークからのアクセスを許可したい場合は、trustedゾーンにIPアドレスやネットワークを追加します。

監視サーバは様々なポートへのアクセスが必要なため、個人的には監視サーバのIPアドレスをtrustedゾーンに追加しています。

IPアドレスではなくネットワークを追加するには192.168.246.0/24のように設定します。

trustedゾーンはpublicゾーンよりも優先度が高いため、trustedゾーンに追加されたIPアドレス・ネットワークからはpublicゾーンに許可されていないポートへのアクセスも可能です。

firewall-cmd --zone=trusted --permanent --add-source=192.168.246.1
systemctl reload firewalld

firewall-cmd --list-sources --zone=trusted
192.168.246.1

設定を削除したい場合は--add-sourceオプションを使います。

Pocket