7.8. firewalld でネットワークトラフィックの制御

手順

1. firewalld のサービスがまだ許可されていないことを確認します。

   # firewall-cmd --list-services
   ssh dhcpv6-client

   Copy to Clipboard

   このコマンドは、デフォルトゾーンで有効になっているサービスをリスト表示します。

2. firewalld のすべての事前定義サービスをリスト表示します。

   # firewall-cmd --get-services
   RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry ...

   Copy to Clipboard

   このコマンドは、デフォルトゾーンで利用可能なサービスのリストを表示します。

3. firewalld が許可するサービスのリストにサービスを追加します。

   # firewall-cmd --add-service=<service_name>

   Copy to Clipboard

   このコマンドは、指定したサービスをデフォルトゾーンに追加します。

4. 新しい設定を永続化します。

   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard

   このコマンドは、これらのランタイムの変更をファイアウォールの永続的な設定に適用します。デフォルトでは、これらの変更はデフォルトゾーンの設定に適用されます。

検証

1. すべての永続的なファイアウォールのルールをリスト表示します。

   # firewall-cmd --list-all --permanent
   public
     target: default
     icmp-block-inversion: no
     interfaces:
     sources:
     services: cockpit dhcpv6-client ssh
     ports:
     protocols:
     forward: no
     masquerade: no
     forward-ports:
     source-ports:
     icmp-blocks:
     rich rules:

   Copy to Clipboard

   このコマンドは、デフォルトのファイアウォールゾーン (public) の永続的なファイアウォールのルールを含む完全な設定を表示します。

2. firewalld サービスの永続的な設定の有効性を確認します。

   # firewall-cmd --check-config
   success

   Copy to Clipboard

   永続的な設定が無効な場合、コマンドは詳細を含むエラーを返します。

   # firewall-cmd --check-config
   Error: INVALID_PROTOCOL: 'public.xml': 'tcpx' not from {'tcp'|'udp'|'sctp'|'dccp'}

   Copy to Clipboard

   永続的な設定ファイルを手動で検査して設定を確認することもできます。メインの設定ファイルは /etc/firewalld/firewalld.conf です。ゾーン固有の設定ファイルは /etc/firewalld/zones/ ディレクトリーにあり、ポリシーは /etc/firewalld/policies/ ディレクトリーにあります。

手順

1. RHEL 8 Web コンソールにログインします。

   詳細は、Web コンソールへのログイン を参照してください。

2. Networking をクリックします。

3. ルールとゾーンの編集 ボタンをクリックします。

   

   ルールとゾーンの編集 ボタンが表示されない場合は、管理者権限で Web コンソールにログインしてください。

4. Firewall セクションで、サービスを追加するゾーンを選択し、Add Services をクリックします。

   

5. サービスの追加 ダイアログボックスで、ファイアウォールで有効にするサービスを見つけます。

6. シナリオに応じてサービスを有効にします。

   

7. Add Services をクリックします。

手順

1. RHEL 8 Web コンソールにログインします。

   詳細は、Web コンソールへのログイン を参照してください。

2. Networking をクリックします。

3. ルールとゾーンの編集 ボタンをクリックします。

   

   ルールとゾーンの編集 ボタンが表示されない場合は、Web コンソールに管理者権限でログインしてください。

4. ファイアウォール セクションで、カスタムポートを設定するゾーンを選択し、サービスの追加 をクリックします。

   

5. サービスの追加 ダイアログボックスで、カスタムポート ラジオボタンをクリックします。

6. TCP フィールドおよび UDP フィールドに、例に従ってポートを追加します。以下の形式でポートを追加できます。

   • ポート番号 (22 など)
   • ポート番号の範囲 (5900-5910 など)
   • エイリアス (nfs、rsync など)
   注記

   各フィールドには、複数の値を追加できます。値はコンマで区切り、スペースは使用しないでください (例:8080,8081,http)。

7. TCP filed、UDP filed、またはその両方にポート番号を追加した後、Name フィールドでサービス名を確認します。

   名前 フィールドには、このポートを予約しているサービスの名前が表示されます。このポートが無料で、サーバーがこのポートで通信する必要がない場合は、名前を書き換えることができます。

8. 名前 フィールドに、定義されたポートを含むサービスの名前を追加します。

9. Add Ports ボタンをクリックします。