23.5. firewalld の使用および設定

手順

1. 利用可能なファイアウォールゾーンをリスト表示します。

   # firewall-cmd --get-zones

   Copy to Clipboard Toggle word wrap

   firewall-cmd --get-zones コマンドは、システムで利用可能なすべてのゾーンを表示し、特定のゾーンの詳細は表示しません。すべてのゾーンの詳細情報を表示するには、firewall-cmd --list-all-zones コマンドを使用します。

2. この設定に使用するゾーンを選択します。

3. 選択したゾーンのファイアウォール設定を変更します。たとえば、SSH サービスを許可し、ftp サービスを削除するには、次のようにします。

   # firewall-cmd --add-service=ssh --zone=<your_chosen_zone>
   # firewall-cmd --remove-service=ftp --zone=<same_chosen_zone>

   Copy to Clipboard Toggle word wrap

4. ネットワークインターフェイスをファイアウォールゾーンに割り当てます。

   1. 使用可能なネットワークインターフェイスをリスト表示します。

      # firewall-cmd --get-active-zones

      Copy to Clipboard Toggle word wrap

      ゾーンがアクティブかどうかは、その設定と一致するネットワークインターフェイスまたはソースアドレス範囲の存在によって決定します。デフォルトゾーンは、未分類のトラフィックに対してアクティブですが、ルールに一致するトラフィックがない場合は常にアクティブになるわけではありません。

   2. 選択したゾーンにネットワークインターフェイスを割り当てます。

      # firewall-cmd --zone=<your_chosen_zone> --change-interface=<interface_name> --permanent

      Copy to Clipboard Toggle word wrap

      ネットワークインターフェイスをゾーンに割り当てることは、特定のインターフェイス (物理または仮想) 上のすべてのトラフィックに一貫したファイアウォール設定を適用する場合に適しています。

      firewall-cmd コマンドを --permanent オプションとともに使用すると、多くの場合、NetworkManager 接続プロファイルが更新され、ファイアウォール設定に対する変更が永続化します。この firewalld と NetworkManager の統合により、ネットワークとファイアウォールの設定に一貫性が確保されます。

検証

1. 選択したゾーンの更新後の設定を表示します。

   # firewall-cmd --zone=<your_chosen_zone> --list-all

   Copy to Clipboard Toggle word wrap

   コマンド出力には、割り当てられたサービス、ネットワークインターフェイス、ネットワーク接続 (ソース) を含むすべてのゾーン設定が表示されます。

1. 現在のデフォルトゾーンを表示します。

   # firewall-cmd --get-default-zone

   Copy to Clipboard Toggle word wrap

2. 新しいデフォルトゾーンを設定します。

   # firewall-cmd --set-default-zone <zone_name>

   Copy to Clipboard Toggle word wrap
   注記

   この手順では、--permanent オプションを使用しなくても、設定は永続化します。

1. アクティブゾーン、およびそのゾーンに割り当てられているインターフェイスをリスト表示します。

   # firewall-cmd --get-active-zones

   Copy to Clipboard Toggle word wrap

2. 別のゾーンにインターフェイスを割り当てます。

   # firewall-cmd --zone=zone_name --change-interface=interface_name --permanent

   Copy to Clipboard Toggle word wrap

手順

1. 利用可能なすべてのゾーンをリストします。

   # firewall-cmd --get-zones

   Copy to Clipboard Toggle word wrap

2. 永続化モードで、信頼ゾーンにソース IP を追加します。

   # firewall-cmd --zone=trusted --add-source=192.168.2.15

   Copy to Clipboard Toggle word wrap

3. 新しい設定を永続化します。

   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard Toggle word wrap

手順

1. 必要なゾーンに対して許可されているソースのリストを表示します。

   # firewall-cmd --zone=zone-name --list-sources

   Copy to Clipboard Toggle word wrap

2. ゾーンからソースを永続的に削除します。

   # firewall-cmd --zone=zone-name --remove-source=<source>

   Copy to Clipboard Toggle word wrap

3. 新しい設定を永続化します。

   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard Toggle word wrap

手順

1. ゾーンを NetworkManager 接続プロファイルに割り当てます。

   # nmcli connection modify profile connection.zone zone_name

   Copy to Clipboard Toggle word wrap

2. 接続をアクティベートします。

   # nmcli connection up profile

   Copy to Clipboard Toggle word wrap

手順

1. 新しいゾーンを作成します。

   # firewall-cmd --permanent --new-zone=zone-name

   Copy to Clipboard Toggle word wrap

2. 新しいゾーンを使用可能にします。

   # firewall-cmd --reload

   Copy to Clipboard Toggle word wrap

   このコマンドは、すでに実行中のネットワークサービスを中断することなく、最近の変更をファイアウォール設定に適用します。

手順

1. RHEL 8 Web コンソールにログインします。

   詳細は、Web コンソールへのログイン を参照してください。

2. Networking をクリックします。

3. ルールとゾーンの編集 ボタンをクリックします。

   

   ルールとゾーンの編集 ボタンが表示されない場合は、管理者権限で Web コンソールにログインしてください。

4. Firewall セクションの Add new zone をクリックします。

5. ゾーンの追加 ダイアログボックスで、信頼レベル オプションからゾーンを選択します。

   Web コンソールには、firewalld サービスで事前定義されたすべてのゾーンが表示されます。

6. インターフェイス で、選択したゾーンが適用されるインターフェイスを選択します。

7. 許可されたサービス で、ゾーンを適用するかどうかを選択できます。

   • サブネット全体

   • または、以下の形式の IP アドレスの範囲

     • 192.168.1.0
     • 192.168.1.0/24
     • 192.168.1.0/24, 192.168.1.0

8. Add zone ボタンをクリックします。

   

手順

1. RHEL 8 Web コンソールにログインします。

   詳細は、Web コンソールへのログイン を参照してください。

2. Networking をクリックします。

3. ルールとゾーンの編集 ボタンをクリックします。

   

   ルールとゾーンの編集 ボタンが表示されない場合は、管理者権限で Web コンソールにログインしてください。

4. 削除するゾーンの オプションアイコン をクリックします。

   

5. Delete をクリックします。

1. 特定ゾーンに対する情報をリスト表示して、デフォルトゾーンを確認します。

   # firewall-cmd --zone=zone-name --list-all

   Copy to Clipboard Toggle word wrap

2. ゾーンに新しいターゲットを設定します。

   # firewall-cmd --permanent --zone=zone-name --set-target=<default|ACCEPT|REJECT|DROP>

   Copy to Clipboard Toggle word wrap

手順

1. 分かりやすい名前で IP セットを作成します。

   # firewall-cmd --permanent --new-ipset=allowlist --type=hash:ip

   Copy to Clipboard Toggle word wrap

   この allowlist という新しい IP セットには、ファイアウォールで許可する IP アドレスが含まれています。

2. IP セットに動的更新を追加します。

   # firewall-cmd --permanent --ipset=allowlist --add-entry=198.51.100.10

   Copy to Clipboard Toggle word wrap

   この設定により、新しく追加した、ネットワークトラフィックを渡すことがファイアウォールにより許可される IP アドレスで、allowlist の IP セットが更新されます。

3. 先に作成した IP セットを参照するファイアウォールのルールを作成します。

   # firewall-cmd --permanent --zone=public --add-source=ipset:allowlist

   Copy to Clipboard Toggle word wrap

   このルールがない場合、IP セットはネットワークトラフィックに影響を与えません。デフォルトのファイアウォールポリシーが優先されます。

4. ファイアウォール設定をリロードして、変更を適用します。

   # firewall-cmd --reload

   Copy to Clipboard Toggle word wrap

検証

1. すべての IP セットをリスト表示します。

   # firewall-cmd --get-ipsets
   allowlist

   Copy to Clipboard Toggle word wrap

2. アクティブなルールをリスト表示します。

   # firewall-cmd --list-all
   public (active)
     target: default
     icmp-block-inversion: no
     interfaces: enp0s1
     sources: ipset:allowlist
     services: cockpit dhcpv6-client ssh
     ports:
     protocols:
     ...

   Copy to Clipboard Toggle word wrap

   コマンドライン出力の sources セクションでは、どのトラフィックの発信元 (ホスト名、インターフェイス、IP セット、サブネットなど) が、特定のファイアウォールゾーンへのアクセスを許可または拒否されているかについて洞察が得られます。上記の場合、allowlist IP セットに含まれる IP アドレスが、public ゾーンのファイアウォールを通してトラフィックを渡すことが許可されています。

3. IP セットの内容を調べます。

   # cat /etc/firewalld/ipsets/allowlist.xml
   <?xml version="1.0" encoding="utf-8"?>
   <ipset type="hash:ip">
     <entry>198.51.100.10</entry>
   </ipset>

   Copy to Clipboard Toggle word wrap

手順

1. firewalld のサービスがまだ許可されていないことを確認します。

   # firewall-cmd --list-services
   ssh dhcpv6-client

   Copy to Clipboard Toggle word wrap

   このコマンドは、デフォルトゾーンで有効になっているサービスをリスト表示します。

2. firewalld のすべての事前定義サービスをリスト表示します。

   # firewall-cmd --get-services
   RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry ...

   Copy to Clipboard Toggle word wrap

   このコマンドは、デフォルトゾーンで利用可能なサービスのリストを表示します。

3. firewalld が許可するサービスのリストにサービスを追加します。

   # firewall-cmd --add-service=<service_name>

   Copy to Clipboard Toggle word wrap

   このコマンドは、指定したサービスをデフォルトゾーンに追加します。

4. 新しい設定を永続化します。

   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard Toggle word wrap

   このコマンドは、これらのランタイムの変更をファイアウォールの永続的な設定に適用します。デフォルトでは、これらの変更はデフォルトゾーンの設定に適用されます。

検証

1. すべての永続的なファイアウォールのルールをリスト表示します。

   # firewall-cmd --list-all --permanent
   public
     target: default
     icmp-block-inversion: no
     interfaces:
     sources:
     services: cockpit dhcpv6-client ssh
     ports:
     protocols:
     forward: no
     masquerade: no
     forward-ports:
     source-ports:
     icmp-blocks:
     rich rules:

   Copy to Clipboard Toggle word wrap

   このコマンドは、デフォルトのファイアウォールゾーン (public) の永続的なファイアウォールのルールを含む完全な設定を表示します。

2. firewalld サービスの永続的な設定の有効性を確認します。

   # firewall-cmd --check-config
   success

   Copy to Clipboard Toggle word wrap

   永続的な設定が無効な場合、コマンドは詳細を含むエラーを返します。

   # firewall-cmd --check-config
   Error: INVALID_PROTOCOL: 'public.xml': 'tcpx' not from {'tcp'|'udp'|'sctp'|'dccp'}

   Copy to Clipboard Toggle word wrap

   永続的な設定ファイルを手動で検査して設定を確認することもできます。メインの設定ファイルは /etc/firewalld/firewalld.conf です。ゾーン固有の設定ファイルは /etc/firewalld/zones/ ディレクトリーにあり、ポリシーは /etc/firewalld/policies/ ディレクトリーにあります。

手順

1. RHEL 8 Web コンソールにログインします。

   詳細は、Web コンソールへのログイン を参照してください。

2. Networking をクリックします。

3. ルールとゾーンの編集 ボタンをクリックします。

   

   ルールとゾーンの編集 ボタンが表示されない場合は、管理者権限で Web コンソールにログインしてください。

4. Firewall セクションで、サービスを追加するゾーンを選択し、Add Services をクリックします。

   

5. サービスの追加 ダイアログボックスで、ファイアウォールで有効にするサービスを見つけます。

6. シナリオに応じてサービスを有効にします。

   

7. Add Services をクリックします。

手順

1. RHEL 8 Web コンソールにログインします。

   詳細は、Web コンソールへのログイン を参照してください。

2. Networking をクリックします。

3. ルールとゾーンの編集 ボタンをクリックします。

   

   ルールとゾーンの編集 ボタンが表示されない場合は、Web コンソールに管理者権限でログインしてください。

4. ファイアウォール セクションで、カスタムポートを設定するゾーンを選択し、サービスの追加 をクリックします。

   

5. サービスの追加 ダイアログボックスで、カスタムポート ラジオボタンをクリックします。

6. TCP フィールドおよび UDP フィールドに、例に従ってポートを追加します。以下の形式でポートを追加できます。

   • ポート番号 (22 など)
   • ポート番号の範囲 (5900-5910 など)
   • エイリアス (nfs、rsync など)
   注記

   各フィールドには、複数の値を追加できます。値はコンマで区切り、スペースは使用しないでください。8080,8081,http

7. TCP filed、UDP filed、またはその両方にポート番号を追加した後、Name フィールドでサービス名を確認します。

   名前 フィールドには、このポートを予約しているサービスの名前が表示されます。このポートが無料で、サーバーがこのポートで通信する必要がない場合は、名前を書き換えることができます。

8. 名前 フィールドに、定義されたポートを含むサービスの名前を追加します。

9. Add Ports ボタンをクリックします。

   

手順

1. 新しいファイアウォールポリシーを作成します。

   # firewall-cmd --permanent --new-policy podmanToAny

   Copy to Clipboard Toggle word wrap

2. Podman から他のゾーンへのすべてのトラフィックをブロックし、Podman で必要なサービスのみを許可します。

   # firewall-cmd --permanent --policy podmanToAny --set-target REJECT
   # firewall-cmd --permanent --policy podmanToAny --add-service dhcp
   # firewall-cmd --permanent --policy podmanToAny --add-service dns
   # firewall-cmd --permanent --policy podmanToAny --add-service https

   Copy to Clipboard Toggle word wrap

3. 新しい Podman ゾーンを作成します。

   # firewall-cmd --permanent --new-zone=podman

   Copy to Clipboard Toggle word wrap

4. ポリシーのイングレスゾーンを定義します。

   # firewall-cmd --permanent --policy podmanToHost --add-ingress-zone podman

   Copy to Clipboard Toggle word wrap

5. 他のすべてのゾーンのエグレスゾーンを定義します。

   # firewall-cmd --permanent --policy podmanToHost --add-egress-zone ANY

   Copy to Clipboard Toggle word wrap

   エグレスゾーンを ANY に設定すると、Podman と他のゾーンの間でフィルタリングすることになります。ホストに対してフィルタリングする場合は、エグレスゾーンを HOST に設定します。

6. firewalld サービスを再起動します。

   # systemctl restart firewalld

   Copy to Clipboard Toggle word wrap

手順

1. external ゾーンなどで IP マスカレーディングが有効かどうかを確認するには、root で次のコマンドを実行します。

   # firewall-cmd --zone=external --query-masquerade

   Copy to Clipboard Toggle word wrap

   このコマンドでは、有効な場合は yes と出力され、終了ステータスは 0 になります。無効の場合は no と出力され、終了ステータスは 1 になります。zone を省略すると、デフォルトのゾーンが使用されます。

2. IP マスカレードを有効にするには、root で次のコマンドを実行します。

   # firewall-cmd --zone=external --add-masquerade

   Copy to Clipboard Toggle word wrap
3. この設定を永続化するには、--permanent オプションをコマンドに渡します。

4. IP マスカレードを無効にするには、root で次のコマンドを実行します。

   # firewall-cmd --zone=external --remove-masquerade

   Copy to Clipboard Toggle word wrap

   この設定を永続化するには、--permanent をコマンドラインに渡します。

手順

1. 着信 HTTP トラフィックを転送します。

   # firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toaddr=198.51.100.10:toport=8080 --permanent

   Copy to Clipboard Toggle word wrap

   上記のコマンドは、次の設定で DNAT ルールを定義します。

   • --zone=public - DNAT ルールを設定するファイアウォールゾーン。必要なゾーンに合わせて調整できます。
   • --add-forward-port - ポート転送ルールを追加することを示すオプション。
   • port=80 - 外部宛先ポート。
   • proto=tcp - TCP トラフィックを転送することを示すプロトコル。
   • toaddr=198.51.100.10 - 宛先 IP アドレス。
   • toport=8080 - 内部サーバーの宛先ポート。
   • --permanent - 再起動後も DNAT ルールを永続化するオプション。

2. ファイアウォール設定をリロードして、変更を適用します。

   # firewall-cmd --reload

   Copy to Clipboard Toggle word wrap

手順

1. NAT リダイレクトルールを作成します。

   # firewall-cmd --zone=public --add-forward-port=port=<standard_port>:proto=tcp:toport=<non_standard_port> --permanent

   Copy to Clipboard Toggle word wrap

   上記のコマンドは、次の設定で NAT リダイレクトルールを定義します。

   • --zone=public - ルールを設定するファイアウォールゾーン。必要なゾーンに合わせて調整できます。
   • --add-forward-port=port=<non_standard_port> - 着信トラフィックを最初に受信するソースポートを使用したポート転送 (リダイレクト) ルールを追加することを示すオプション。
   • proto=tcp - TCP トラフィックをリダイレクトすることを示すプロトコル。
   • toport=<standard_port> - 着信トラフィックがソースポートで受信された後にリダイレクトされる宛先ポート。
   • --permanent - 再起動後もルールを永続化するオプション。

2. ファイアウォール設定をリロードして、変更を適用します。

   # firewall-cmd --reload

   Copy to Clipboard Toggle word wrap

手順

1. カーネルでパケット転送を有効にします。

   # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
   # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf

   Copy to Clipboard Toggle word wrap

2. ゾーン内転送を有効にするインターフェイスが internal ゾーンにのみ割り当てられていることを確認します。

   # firewall-cmd --get-active-zones

   Copy to Clipboard Toggle word wrap

3. 現在、インターフェイスが internal 以外のゾーンに割り当てられている場合は、以下のように再割り当てします。

   # firewall-cmd --zone=internal --change-interface=interface_name --permanent

   Copy to Clipboard Toggle word wrap

4. enp1s0 および wlp0s20 インターフェイスを internal ゾーンに追加します。

   # firewall-cmd --zone=internal --add-interface=enp1s0 --add-interface=wlp0s20

   Copy to Clipboard Toggle word wrap

5. ゾーン内転送を有効にします。

   # firewall-cmd --zone=internal --add-forward

   Copy to Clipboard Toggle word wrap

1. ゾーン転送を有効にしたホストの enp1s0 インターフェイスと同じネットワーク上にあるホストにログインします。

2. ncat で echo サービスを起動し、接続をテストします。

   # ncat -e /usr/bin/cat -l 12345

   Copy to Clipboard Toggle word wrap
3. wlp0s20 インターフェイスと同じネットワークにあるホストにログインします。

4. enp1s0 と同じネットワークにあるホスト上で実行している echo サーバーに接続します。

   # ncat <other_host> 12345

   Copy to Clipboard Toggle word wrap
5. 何かを入力して Enter を押します。テキストが返送されることを確認します。

手順

1. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。

   ---
   - name: Reset firewalld example
     hosts: managed-node-01.example.com
     tasks:
       - name: Reset firewalld
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.firewall
         vars:
           firewall:
             - previous: replaced

   Copy to Clipboard Toggle word wrap

   サンプル Playbook で指定されている設定は次のとおりです。

   previous: replaced

   既存のユーザー定義設定をすべて削除し、firewalld 設定をデフォルトにリセットします。previous:replaced パラメーターを他の設定と組み合わせると、firewall ロールは新しい設定を適用する前に既存の設定をすべて削除します。

   Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.firewall/README.md ファイルを参照してください。

2. Playbook の構文を検証します。

   $ ansible-playbook --syntax-check ~/playbook.yml

   Copy to Clipboard Toggle word wrap

   このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

3. Playbook を実行します。

   $ ansible-playbook ~/playbook.yml

   Copy to Clipboard Toggle word wrap

手順

1. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。

   ---
   - name: Configure firewalld
     hosts: managed-node-01.example.com
     tasks:
       - name: Forward incoming traffic on port 8080 to 443
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.firewall
         vars:
           firewall:
             - forward_port: 8080/tcp;443;
               state: enabled
               runtime: true
               permanent: true

   Copy to Clipboard Toggle word wrap

   サンプル Playbook で指定されている設定は次のとおりです。

   forward_port:8080/tcp;443

   TCP プロトコルを使用してローカルポート 8080 に送信されるトラフィックが、ポート 443 に転送されます。

   runtime: true

   ランタイム設定の変更を有効にします。デフォルトは true に設定されています。

   Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.firewall/README.md ファイルを参照してください。

2. Playbook の構文を検証します。

   $ ansible-playbook --syntax-check ~/playbook.yml

   Copy to Clipboard Toggle word wrap

   このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

3. Playbook を実行します。

   $ ansible-playbook ~/playbook.yml

   Copy to Clipboard Toggle word wrap

手順

1. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。

   ---
   - name: Configure firewalld
     hosts: managed-node-01.example.com
     tasks:
       - name: Creating a DMZ with access to HTTPS port and masquerading for hosts in DMZ
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.firewall
         vars:
           firewall:
             - zone: dmz
               interface: enp1s0
               service: https
               state: enabled
               runtime: true
               permanent: true

   Copy to Clipboard Toggle word wrap

   Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.firewall/README.md ファイルを参照してください。

2. Playbook の構文を検証します。

   $ ansible-playbook --syntax-check ~/playbook.yml

   Copy to Clipboard Toggle word wrap

   このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

3. Playbook を実行します。

   $ ansible-playbook ~/playbook.yml

   Copy to Clipboard Toggle word wrap