質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

firewalld

firewalldは、CentOS7からデフォルトになったパケットフィルタリングです。一時的なルールと永続的なルールが設定でき、通信の許可・拒否をコントロール。バージョン6まで利用されてきた「iptables」における課題をカバーしています。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Q&A

解決済

1回答

2762閲覧

特定セグメントかつ特定ポート以外拒否し、その他を許可するfirewalldにルールについて

coccom

総合スコア3

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

firewalld

firewalldは、CentOS7からデフォルトになったパケットフィルタリングです。一時的なルールと永続的なルールが設定でき、通信の許可・拒否をコントロール。バージョン6まで利用されてきた「iptables」における課題をカバーしています。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

0グッド

0クリップ

投稿2020/05/15 02:52

編集2020/05/15 04:51

環境:CentOS Linux release 8.1.1911 (Core) (ウェブサーバ)

ウェブサーバのfirewalldにて下記を実現したい場合どのようなルールを書けば良いのか困っています。
172.17.10.56/28のセグメントにいるクライアントはウェブサーバのtcp/53、tcp/80をアクセス許可する
172.17.10.56/28のセグメントにいるクライアントはウェブサーバの上記以外のポートはアクセス拒否する
他のセグメントにいるクライアントはウェブサーバの全ポートにアクセス許可する

試したこと

firewall-cmd --permanent --zone=trusted --add-rich-rule='rule family="ipv4" source address="172.17.10.56/28" port protocol="tcp" port="8080" reject'
上記のようにインターフェースをtrustedゾーンに設定し、特定セグメントかつ特定ポート以外を
rejectするルールを試そうとしておりましたが、ポートをレンジで書く方法が分からず、
一つ一つ書いていくのも非現実的と思い、何か他に実現する方法を探しております。

上記ルールを実現するfirewalldのルールについてご回答頂けますと幸いです。
よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yukky1201

2020/05/15 03:15

いまのままですとほぼ丸投げです。 自分で考えて、設定して、テストして、何度もリトライして、それでもNGなら再度質問するようにしてください。
CHERRY

2020/05/15 03:36

まずは、ご自身で調べてテストしたルールを質問に追記していただけないでしょうか?
yukky1201

2020/05/15 07:26

ポート番号を指定しなければ、全ポート扱いになるのでは?
guest

回答1

0

ベストアンサー

trusted ゾーンのターゲットが ACCEPT なので、難しくなるのだと思います。
trusted ゾーンのターゲットを DROP (または default) にするか、
別のゾーンに変更して、rich rule で 許可ルールだけ 設定します。

(rich rule) rule family="ipv4" source address="172.17.10.56/29" port port="80" protocol="tcp" accept rule family="ipv4" source address="172.17.10.56/29" port port="53" protocol="udp" accept rule family="ipv4" source address="172.17.10.56/29" port port="53" protocol="tcp" accept rule family="ipv4" source NOT address="172.17.10.56/29" accept
(trusted ゾーンのターゲット変更) # firewall-cmd --permanent --zone=trusted --set-target=DROP

ちなみに、ネットワークアドレスは 172.17.10.56/29 または 172.17.10.48/28 ではないでしょうか。

投稿2020/05/15 14:06

TaichiYanagiya

総合スコア12141

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

coccom

2020/05/18 03:03

NOTという書き方があることを知りませんでした 勉強になりました ありがとうございました
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問