ファイアーウォール機能を利用して、必要な通信だけを許可する場合の設定を行います。
手順
-
firewalldサービスを使用する場合
-
iptablesサービスの無効化と停止を行います。
# /usr/bin/systemctl disable iptables.service
# /usr/bin/systemctl stop iptables.service
-
firewalldサービスの有効化と起動を行います。
# /usr/bin/systemctl enable firewalld.service
# /usr/bin/systemctl start firewalld.service
-
ネットワークインターフェースを追加します。
例) publicゾーンに対して追加する場合
# /usr/bin/firewall-cmd --permanent --zone=public --add-interface=eth0
-
ゾーンに対して、ポート/プロトコルを有効にします。設定が必要なポート番号は、「A.1 ポート番号一覧」を参照してください。
例) publicゾーンに対して18301/tcpの通信を許可する場合
# /usr/bin/firewall-cmd --permanent --zone=public --add-port=18301/tcp
-
設定の反映を行います。
# /usr/bin/firewall-cmd --reload
-
iptablesサービスを使用する場合
-
firewalldサービスの無効化と停止を行います。
# /usr/bin/systemctl disable firewalld.service
# /usr/bin/systemctl stop firewalld.service
-
iptablesサービスの有効化と起動を行います。
# /usr/bin/systemctl enable iptables.service
# /usr/bin/systemctl start iptables.service
-
自サーバ内で使用する通信を許可します。
# /sbin/iptables -I INPUT -i lo -j ACCEPT
# /sbin/iptables -I OUTPUT -o lo -j ACCEPT
-
接続済みの通信を許可する場合は、サーバに接続してきたコンピュータに対して、同じ経路を使用して応答できるように設定します。
# /sbin/iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
# /sbin/iptables -I OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-
特定の通信を許可する場合は、必要な通信を許可します。送信、受信ともにすべて、"--sport"オプションではなく、"--dport"オプションを指定して設定します。設定が必要なポート番号は、「A.1 ポート番号一覧」を参照してください。
-
設定の保存と反映を行います。
設定はすぐにシステムに反映され、システム再起動後も有効になります。
# /sbin/service iptables save
# /sbin/service iptables restart
-
設定が反映されていることを確認します。