firewall xmlファイルを直接編集して任意の場所だけ全許可する

Linux
スポンサーリンク

CentOS7のOSにデフォルトで入ってる「firewalld」っていうファイアウォールの設定方法を記載する。

コマンドで設定できるが、今回は、直接ファイル編集しちゃうやり方。

変更前確認

以下のコマンドで、今のfirewalldの設定内容を確認しておく。

$ firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client http https
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="許可されてるIPアドレス/32" port port="1-65534" protocol="tcp" accept
rule family="ipv4" source address="許可されてるIPアドレス/32" port port="1-65534" protocol="tcp" accept

変更

ファイル「/etc/firewalld/zones/public.xml」を編集する。

設定ファイルのバックアップ残しておく

cd /etc/firewalld/zones/
cp public.xml public.xml.20210531

 

設定ファイルの編集

 

vi public.xml

<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="http"/>
<service name="https"/>
<rule family="ipv4">
<source address="許可したいIPアドレス/32"/>
<port protocol="tcp" port="1-65534"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="許可したいIPアドレス/32"/>
<port protocol="tcp" port="1-65534"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="許可したいIPアドレス/32"/>
<port protocol="tcp" port="1-65534"/>
<accept/>
</rule>
</zone>

↑「許可したいIPアドレス」を3つ追加する(全ポートのアクセス許可)

変更内容の差分確認

 

diff public.xml.20210531 public.xml

変更内容の反映

firewalldサービスを再起動して反映させる場合。

再起動前確認

systemctl status firewalld.service

再起動

systemctl restart firewalld.service

 

再起動後確認

systemctl status firewalld.service

変更後確認

 

$ firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client http https
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="許可されてるIPアドレス/32" port port="1-65534" protocol="tcp" accept
rule family="ipv4" source address="許可されてるIPアドレス/32" port port="1-65534" protocol="tcp" accept
rule family="ipv4" source address="許可されてるIPアドレス/32" port port="1-65534" protocol="tcp" accept

設定が反映されてるか確認。

 

オワリ

 

コマンドで設定追加する場合

RHEL ftpサーバーの例

コメント