報告書 #1094
CentOS7でiptablesではなくfirewalldを使った方法
| ステータス: | 新規 | 開始日: | 2017/08/18 |
|---|---|---|---|
| 優先度: | 通常 | 期日: | |
| 担当者: | - | 作業時間の記録: | - |
| カテゴリ: | - |
説明
セキュリティ対策をiptablesでやろうとしてもCentOS7では上手く出来ませんでした。
そこでfirewalldを使った方法です。
「参考サイト」
https://www.imd-net.com/column/13339/
(firewalldの状態を確認、起動。unmaskはmaskしてた場合の解除)
$ systemctl status firewalld
$ systemctl unmask firewalld
$ systemctl enable firewalld
$ systemctl start firewalld
(http,https通信を許可)
$ firewall-cmd --add-service=http --zone=public --permanent
$ firewall-cmd --add-service=https --zone=public --permanent
$ systemctl restart firewalld
(SSH通信を特定のIPだけ許可する)
・SSHサーバーのポートを永続的に閉じる。
$ firewall-cmd --permanent --remove-service=ssh
・sshd_configで指定したポート22番、特定のIPを永続的に許可する。
(上はアイハーツのグローバルIP、下はnagiosのチェックのため)
$ firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="153.156.40.213" port protocol="tcp" port="22" accept"
$ firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="49.212.24.211" port protocol="tcp" port="22" accept"
・再起動
$ firewall-cmd --reload