vps　ファイアウォール - まぬねこの足跡。。。

環境
手順

環境

windows１０
CentOS7

ちょこっとメモ

必要な通信プロトコルのみを通過許可する。

ちょこっとメモ

通信(トランスポート)プロトコル

TCP	信頼性が高い
	ストリームデータ(切れ目のないデータ)
	コネクション型(常に相手と通信確認する)
	ウインドウ制御(確認応答を待たずに連続して一定量のデータを送信する制御)
	再送制御，輻輳（ふくそう）制御(通信渋滞防止の為の通信量調整)
	1対1の通信　低速　ステートレス(現状データなどを保持せず、入力情報のみで出力決定)

UDP	内容１
	信頼性が低い
	グラムデータ(塊データ)
	一対多の通信　高速性　リアルタイム性　ステートフル(現状データなどを保持し出力決定)
	音声や動画のストリーミングサービスに利用
	少量データを頻繁に転送

ちょこっとメモ

ポート番号

著名なサービスやプロトコルが利用するために予約
IANA：Internet Assigned Numbers Authorityにより管理

代表ウェルノウンポート番号

FTP (データ)：TCP/20　FTP (制御)：TCP/21　SSH：TCP/22　Telnet：TCP/23　SMTP：TCP/25　DNS：UDP/53
DHCP(サーバ)：UDP/67　DHCP(クライアント)：UDP/68　HTTP：TCP/80　POP3：TCP/110　NNTP：TCP/119 　
NTP：UDP/123 　NetBIOS：TCP/139＋UDP/137～138　IMAP：TCP/143　HTTPS：TCP/443
ダイレクトホスティングSMBサービス：TCP/445　Submission(メール送信)：TCP/587

登録ポート番号　1024～49151番：REGISTERED PORT NUMBERS

特定のアプリケーションなどが使用
IANA：Internet Assigned Numbers Authorityにより登録受付公開

ダイナミック/プライベートポート番号　49152～65535番：DYNAMIC AND/OR PRIVATE PORTS

ユーザが自由にとりあつかえる

手順

１．ファイアウォール起動確認

[root@localhost ~]# firewall-cmd --state

・runningなら　起動中　not running 停止中

２．設定確認

[root@localhost ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: dhcpv6-client http https ssh　←　「services行」：有効サービス名
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:

ちょこっとメモ

dhcpv6-client

DHCPv6サーバーからIPv6アドレスやIPv6の設定情報を動的に取得し、IPv6設定を自動的に行う機能

３．サービス追加　※再起動後も有効

A．設定変更

例）パブリックゾーンとしてpop3サービス追加し、再起動後も有効

追加

サービス名で設定

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=pop3

ちょこっとメモ

パラメータ

--permanent	再起動後も有効
--zone=ゾーン	有効範囲
--add-service=サービス名	サービス追加

プロトコルとポート番号で設定

[root@localhost ~]# firewall-cmd --add-port=10000/tcp --zone=public --permanent

削除

サービス名で設定

[root@localhost ~]# firewall-cmd --zone=public --remove-service=pop3

プロトコルとポート番号で設定

[root@localhost ~]# firewall-cmd --remove-port=10000/tcp --zone=public --permanent

B．設定を反映

[root@localhost ~]# firewall-cmd --reload

C．設定確認

[root@localhost ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: dhcpv6-client http https pop3 ssh　←　「services行」：pop3があればOK！
  　　　：

D．起動

起動

[root@localhost ~]# systemctl start firewalld

再起動

[root@localhost ~]# systemctl restart firewalld

停止

[root@localhost ~]# systemctl stop firewalld

４．指定できるサービス名称　一覧表示

[root@localhost ~]# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6
　　　　：

・入力後、次行にずらりと表示される。

５．サービス　プロトコルとポート番号　確認

例）pop3

コマンドで確認

[root@localhost ~]# firewall-cmd --info-service=pop3
pop3
  ports: 110/tcp　　←ここに表示される
  protocols:
  source-ports:
  modules:
  destination:

・入力後、次行にずらりと表示される。

xmlファイルをvimエディタで確認

[root@localhost ~]# vim /usr/lib/firewalld/services/xml

環境

手順

１．ファイアウォール起動確認

２．設定確認

３．サービス追加 ※再起動後も有効

A．設定変更

追加

削除

B．設定を反映

C．設定確認

D．起動

起動

再起動

停止

４．指定できるサービス名称 一覧表示

５．サービス プロトコルとポート番号 確認

コマンドで確認

xmlファイルをvimエディタで確認

３．サービス追加　※再起動後も有効

４．指定できるサービス名称　一覧表示

５．サービス　プロトコルとポート番号　確認