-
Firewalld入門
CentOS7からは、デフォルトではiptablesのではない、とファイアウォールファイアウォールの使用は、FirewallDはサポートネットワーク/ダイナミックファイアウォール管理ツール(ゾーン)ネットワークリンクとファイアウォールゾーンインターフェースのセキュリティレベルの定義を提供します。
ダイナミックファイアウォールリコールファイアウォールルールiptablesのサービス管理モード:?ユーザーは、新しいファイアウォールルールの中で、/ etc / sysconfig / iptables内の設定ファイルに追加し、コマンドサービスiptablesのルールの変更が有効になりリロード実行することは何ですか。
このプロセス全体の背景に、最初のサービスをiptablesの、古いファイアウォールルールは空だった、その後、完全にすべての新しいファイアウォールルールをロードし直して、コンフィギュレーションは、カーネルモジュールをリロードする必要がある場合は、そのプロセスの背後にも、アンロードと再ロードカーネルモジュールが含まれますアクションは、残念ながら、このアクションは非常に忙しいシステムで、特にネットワークでは、システムの動作に追加の悪影響を発生する可能性があります。
モードのすべてのルールを再ロードするように変更する必要がある唯一のルールは、静的なファイアウォールと呼ばれていても、その後、firewalld提供モードはダイナミックファイアウォールと呼ばれることができ、この問題を解決するために、任意のルールを変更していないことが表示されますファイアウォールルールのリスト全体をリロードする必要があり、単純に実行するためのiptablesを保存して更新するセクションを変更してください。
そしてfirewalld iptablesの関係、firewalld・サービス・デーモン、ならびにコマンドラインとグラフィカルインターフェイスコンフィギュレーションツールを提供し、それは部分的にのみiptablesの-サービス、置換されて下にある又は入口ファイアウォールルール管理のiptablesとして用います。firewalld Python言語の発達を使用して、新しいバージョンでは、C ++書き換えデーモンセクションを使用することを計画してきました。 - 地域(ゾーン)とは何ですか?
Firewalldカードは、ブロックは、外部の家の内部国民がドロップDMZ別の領域(ゾーン)、9のゾーンのデフォルトの合計に相当することになる仕事を信頼できる。
パケットのデフォルトの動作との契約の異なる領域間の違いは、我々は名前を付けることができます地域によって異なります直感的なCentOS7システムでは、デフォルトの領域は、パブリックに設定され、地域の自然を知っている。
Fedoraの最新バージョンの間で(fedora21)のバージョンとサーバワークステーションバージョン分化に二つの異なるカスタムゾーンFedoraServerを追加それぞれとFedoraWorkstation二つのバージョン。
一覧表示するには、次のコマンドを使用して、サポートされているすべてのゾーン
のファイアウォール-CMD --get-ゾーン
ブロックホーム求人信頼DMZ外部内部の公共ドロップ
現在のデフォルトのゾーン表示
ファイアウォール-CMD --get-デフォルトゾーン
のパブリック
次のようにエリア(ゾーン) :
サービスがで、/ etc / sysconfig / iptables内にある設定保存されているiptablesの
様々なXML設定ファイルfirewalld / firewalld /には/ usr / libに/ firewalld /と/ etcに格納されます
の/ etc / firewalld /地域の設定はシリーズでありますこれは、プリセットのネットワーク・インタフェースに迅速に行うことができます。次のようにリストと簡単に説明:
ドロップ(廃棄)
任意の受信したネットワークデータパケットが廃棄される、任意の応答なし。そこだけ、ネットワーク接続に送信されます。
ブロック(制限付き)
任意の受信ネットワーク接続がIPv4との情報ホスト禁止ICMP拒否されたIPv6に関する情報をICMP6-ADMを禁止。
パブリック(公共)
公共エリアでの使用、ネットワーク上の他のコンピュータがコンピュータに害原因、唯一の選択接続を介して受信することができないであろうことを信じることはできません。
(外)外部
、特にルータのは、エクストラネット迷彩機能を有効に。あなたはネットワークから他のコンピューティングを信頼することはできません、彼らはあなたのコンピュータに害は発生しません信じることができない、唯一の選択接続を介して受信することができます。
DMZ(非武装地帯)
お使いのコンピュータ用には、ゾーンを非武装、この領域内のパブリックにアクセスし、内部ネットワークへのアクセスを制限するために、唯一選ばれたコネクションを受け取ります。
仕事(作業)
作業領域のために。あなたは、ネットワークの基本的な信頼関係の他のコンピュータは、コンピュータに害を与えないことができます。のみ選択した接続を受け取った後。
自宅(ホーム)
ホームネットワーキングのため。あなたは、基本的には、コンピュータに害を与えないネットワーク内の他のコンピュータを信頼することができます。のみ選択した接続を受け取った後。
(内側)の内部には、
ネットワークで使用されます。あなたは基本的にコンピュータを脅かすません、ネットワーク内の他のコンピュータを信頼することができます。ただ、選択した接続を受け入れます。
信頼できる(信頼できる)
ネットワーク接続のすべてを受け入れます。
デフォルトゾーンの指定1領域が実現可能です。インターフェイスにNetworkManagerに追加すると、それらはデフォルトゾーンに割り当てられます。インストールするときに地域のfirewalldは既定のパブリックエリアとして設定されています。
- サービスとは何ですか?
-
/ usr / libに/ firewalld /サービスに / ディレクトリには、構成ファイルの別の種類を格納し、各々が特定のネットワークサービスに対応する、などのサービスSSH等
サービスに記録された対応する設定ファイル私たちは中にfirewalldの最新バージョンを使用するためのサービスの種類70+デフォルトで使用TCP / UDPポートが定義されています。
サービスはデフォルトで提供またはサービスのためのカスタムポートによって必要とされていない場合、我々は、サービス構成ファイルに必要の/ etc / firewalld /サービス/ディレクトリに置か。
:設定サービスのメリットは明白です
ルールを管理するために、サービス名によって、最初よりユーザーフレンドリー、
秒、より効率的でポートパケットモードサービスを整理するために、サービスは、ネットワークポートの数を使用している場合は、サービス設定ファイルはかなりあります管理ポートの規則への一括操作のショートカットを提供します。
各ロードサービス構成は、サポートされているすべてのサービスを一覧表示するには、次のコマンドを使用し、対応するポートへのアクセスを開くことを意味します
ファイアウォール-CMD --get-サービス
RH-衛星-6アマンダ・クライアントBaculaの複数形-クライアントDHCPのDHCPv6のDHCPv6クライアントのDNSは、高可用性をFTP、HTTP、HTTPS IMAPS IPP IPPクライアントのIPSecのKerberos kpasswdをLDAP、LDAPSのlibvirtのlibvirt-TLSのmDNS mountdのMS- WBT mysqlのNFS NTPオープン*** PMCD pmproxy pmwebapi pmwebapis POP3SのpostgresqlプロキシDHCP半径RPCバインドサンバサンバ、クライアントSMTPのsshのtelnet TFTP TFTPクライアント伝送クライアントVNCサーバWBEM-HTTPS
查看当前ゾーン种加载的サービス
firewall- CMD --list-サービス
のDHCPv6クライアントのssh
次のように動的ファイアウォールルールを追加:
新しいファイアウォールルールポートを追加するには、定義されているようにsshのポート番号12222から次のコマンドを仮定します。
ファイアウォール-CMD --add-ポート= 12222 / TCP --permanent
ルールのニーズはに保存する場合ゾーンの設定ファイル、パラメータを追加する必要があります-permanent