22.3.3. ファイアウォール (firewall)

必須オプション

• --enabled または --enable - DNS 応答や DHCP 要求など、発信要求に対する応答ではない着信接続を拒否します。このマシンで実行中のサービスへのアクセスが必要な場合は、特定サービスに対してファイアウォールの通過許可を選択できます。
• --disabled または --disable - iptable ルールを一切設定しません。

任意のオプション

• --trust - em1 などのデバイスを指定することで、ファイアウォールを通過するこのデバイスへの着信トラフィックおよびこのデバイスからの発信トラフィックをすべて許可します。複数のデバイスをリスト表示するには、--trust em1 --trust em2 などのオプションをさらに使用します。--trust em1, em2 などのようなコンマ区切りは使用しないでください。
• --remove-service - サービスがファイアウォールを通過するのを許可しません。

• incoming - 指定したサービスがファイアウォールを通過できるように、以下のいずれかに置き換えます (複数のサービスを指定できます)。

  • --ssh
  • --smtp
  • --http
  • --ftp
• --port= - port:protocol の形式で指定したポートのファイアウォール通過を許可できます。たとえば、IMAP アクセスがファイアウォールを通過できるようにする場合は、imap:tcp と指定します。ポート番号を明示的に指定することもできます。ポート 1234 の UDP パケットを許可する場合は 1234:udp と指定します。複数のポートを指定する場合は、コンマで区切って指定します。

• --service= - このオプションは、高レベルでサービスのファイアウォール通過を許可する方法です。サービスの中には複数のポートを開く必要があったり (cups、avahi など)、サービスが正常に動作するように特殊な設定を必要とするものがあります。このような場合は、--port オプションでポート単位での指定を行ったり、--service= を使用して必要なポートをすべて一度に開くことが可能です。

  firewalld パッケージ内の firewall-offline-cmd プログラムで認識できるオプションは、すべて使用できます。firewalld サービスを実行している場合は、firewall-cmd --get-services を実行すると、認識できるサービス名のリストが表示されます。

• --use-system-defaults - ファイアウォールを設定しません。このオプションにより、anaconda では何も実行せず、システムが、パッケージまたは ostree で提供されるデフォルトに依存するようになります。このオプションを他のオプションと共に使用すると、他のすべてのオプションは無視されます。