(1)firewalldは何ですか?
firewalldは、ネットワークリンクとセキュリティレベルのインターフェイス動的ファイアウォール管理ツールの定義は、ネットワーク/ファイアウォールゾーン(ゾーン)のサポートを提供しています。
(2).firewalldとiptablesの関係を
firewalld・サービスと同様に、コマンドラインとグラフィカルインターフェイスコンフィギュレーションツールをデーモンを提供し、それは部分的にのみ、iptablesの-サービス交換根底またはファイアウォールルール管理iptablesの入口として使用されます。ファイアウォール機能を持っていますが、iptablesのようカーネルのnetfilterによって実装される必要があり、iptablesの、それはfirewalldではありません実際の作業は、カーネルのルールを使用している間、彼らは、ルールの役割を維持するために使用されている自分自身をfirewalld netfilterの、しかしfirewalldとiptables構造とどのように異なるのベールを使用します。
(3)地域(ゾーン)とは何ですか?
firewalldコールでは、ゾーンにフィルタリングルールを設定します。ゾーンは、フィルタリングルールの集合であり、パケットが通過する必要がありますインバウンドまたはアウトバウンドのゾーン。異なる領域(ゾーン)、9、それぞれ、ブロック、DMZのゾーンデフォルトの合計に相当するfirewalldカードは、外部の、家庭ドロップ 、内部、公共の、信頼できる、作業。デフォルトの動作の異なる領域間の違いは、領域名に基づいて、それらの異なるデータパケットを処理することで、我々は直感的に地域の特性を知ることができ、CentOS7システムでは、デフォルトの領域は、パブリックとして設定されています。
(4)領域(ゾーン)説明
(破棄)ドロップ:任意には、ネットワークパケットが破棄される応答を受信しませんでした。そこだけ、ネットワーク接続に送信されます。
ブロック(制限事項):任意の受信ネットワーク接続がICMPホスト禁止のIPv4の情報とICMP6-ADM-禁止のIPv6に関する情報を拒否しています。
パブリック(公共):、公共エリアでの使用、ネットワーク内の他のコンピュータがいることを信じることができないだけを通して受け取ることができる接続を選択し、コンピュータに害を引き起こすことはありません。
外部(外部):特にルータ対応のエクストラネット迷彩機能のために。あなたがネットワークから他のコンピュータを信頼することはできません、彼らは唯一の選択接続を介して受信することができ、お使いのコンピュータに害を与えないと考えていることはできません。
DMZ(非武装地帯):このエリア内でパブリックにアクセス非武装地帯のためのあなたのコンピュータは、唯一選ばれた接続を受け取り、内部ネットワークへのアクセスが制限されことができます。
仕事(作業):作業領域。あなたは、ネットワークの基本的な信頼関係の他のコンピュータは、コンピュータに害を与えないことができます。のみ選択した接続を受け取った後。
自宅(ホーム):ホームネットワーク用。あなたは、基本的には、コンピュータに害を与えないネットワーク内の他のコンピュータを信頼することができます。のみ選択した接続を受け取った後。
内部(内部):内部ネットワークのために。あなたは基本的にコンピュータを脅かすません、ネットワーク内の他のコンピュータを信頼することができます。選択した後にのみ接続を受け付けます。
信頼できる(信頼):すべてのネットワーク接続許容。
9つの以上の領域指定された領域は、デフォルトの領域です。インターフェイスにNetworkManagerに追加すると、それらはデフォルトゾーンに割り当てられます。インストールするときは、公共のデフォルトゾーンにfirewalld。
(5)予め設定されたサービスプロファイル
/ usr / libに/ firewalld /サービス/ディレクトリには、このようなssh.xmlなどの.xml設定ファイル、サービスに対応する各、で終わる番号が含まれています。これらのプロファイルは、短い説明、長い説明、ポート番号、およびプロトコルポートのサービスに格納されています。
[ルート@ youxi1〜]#猫/usr/lib/firewalld/services/ssh.xml の<?xml version = "1.0"エンコード= "UTF-8"?> <サービス> <短期> SSH </ショート> <説明>セキュアシェル(SSH)にログインし、リモートマシン上でコマンドを実行するためのプロトコルです。これは、安全な暗号化通信を提供します。あなたがファイアウォールインターフェイスを介してSSH経由でリモートでマシンにアクセスする予定の場合は、このオプションを有効にします。あなたは有用であることが、このオプションのインストールのopenssh-serverパッケージが必要になります。</記述> <ポートプロトコル= "TCP"ポート= "22" /> </サービス>
デフォルトで提供されるサービスが十分ではないか、サービス用のカスタムポートを必要とするとき、私たちは、/ etc / firewalld /サービス/ディレクトリにある設定ファイルにサービスを提供する必要があります。
の/ etc / firewalld /ストア修飾構成(第一の検索、デフォルトの設定を見つけることができない見つけます。)
/ usr / libに/ firewalld /デフォルトの設定
例えば:sshのポートサービスは23591に変更された、あなたは、/ etc / firewalld /サービス/ディレクトリに/usr/libfirewalld/ssh.xmlファイルをコピーし、ファイル内のポート番号に関連してする必要があります。
より効率的な管理ポートにおけるサービスプロファイルは、各サービスプロファイルは、(ネットワークがネットワーク外であってもよい)のネットワークアプリケーションに対応します。
(6)は、2回の再起動を.firewalld
ファイアウォール-cmdはせずに切断さ--reload
ファイアウォール-cmdのサービスを再起動するために類似し、切断する必要がある--complete、リロード