CentOS7.2 minimalのファイアーウォール機能について

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 4,140

kurokoSin

score 100

VirtualBox 上にCentOS7.2 minimalをインストールして、
ファイアーウォールの設定をしようとしています。
が、いろいろと、ネット上の情報と違っていて気持ちがすっきりしないので
質問させて頂いてます。

 事象

巷ではCentOS7にはfirewalldに置き換わったと出ておりますが、
コマンドが見つかりません。
iptablesなら動いているようでしたので、気持ちを切り替えて設定しようとしましたが、
設定ファイルが見つかりません。ファイルではなくてコマンドからやってしまえば出来なくもないですが、
なんだが気持ちがすっきりしません。

またその過程で、サービスのステータスを拾おうとしましたが、目的のサービスを見つけれませんでした。

 質問内容

  • firewalldを使用したい場合、別途yumを使ってインストールする必要があるのでしょうか。
  • 標準で動いているように見えるiptablesの設定ファイルはどこに保存されているのでしょうか。
  • firewalld、iptablesのサービスの確認方法としてはどうやってできるのでしょうか?
     (元々firewalldが入っていないのでであれば、確認できないのは当たり前ですが、、、)

 やったこと

パッケージの確認

# rpm -q firewalld
パッケージ firewalld はインストールされていません。
#
# yum provides /sbin/iptables
読み込んだプラグイン:fastestmirror
Determining fastest mirrors
 * base: www.ftp.ne.jp
 * extras: www.ftp.ne.jp
 * updates: www.ftp.ne.jp
iptables-1.4.21-16.el7.x86_64 : Tools for managing Linux kernel packet filtering capabilities
リポジトリー        : @anaconda
一致          :
ファイル名    : /sbin/iptables
#
# rpm -q iptables
iptables-1.4.21-16.el7.x86_64
#
# yum provides /etc/sysconfig/iptables
読み込んだプラグイン:fastestmirror
Loading mirror speeds from cached hostfile
 * base: www.ftp.ne.jp
 * extras: www.ftp.ne.jp
 * updates: www.ftp.ne.jp
iptables-services-1.4.21-16.el7.x86_64 : iptables and ip6tables services for iptables
リポジトリー        : base
一致          :
ファイル名    : /etc/sysconfig/iptables
#
# rpm -q iptables-services
パッケージ iptables-services はインストールされていません。
#

サービスの検索

# systemctl | grep fire
#
# systemctl status firewalld
● firewalld.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)
#
# systemctl | grep ipta
#

/sbin 配下の確認

# ls -R /sbin | grep fire
#
# ls -R /sbin | grep iptab
iptables
iptables-restore
iptables-save
#


/usr/lib配下の確認

# ls /usr/lib | grep ire
#
# ls /etc | grep ire
#

iptablesの設定ファイルの検索

# find / -type f -name "iptable*"
/etc/sysconfig/iptables-config
/etc/selinux/targeted/modules/active/modules/iptables.pp
/etc/selinux/targeted/modules/tmp/modules/iptables.pp
/usr/lib/modules/3.10.0-327.el7.x86_64/kernel/net/ipv4/netfilter/iptable_filter.ko
/usr/lib/modules/3.10.0-327.el7.x86_64/kernel/net/ipv4/netfilter/iptable_mangle.ko
/usr/lib/modules/3.10.0-327.el7.x86_64/kernel/net/ipv4/netfilter/iptable_nat.ko
/usr/lib/modules/3.10.0-327.el7.x86_64/kernel/net/ipv4/netfilter/iptable_raw.ko
/usr/lib/modules/3.10.0-327.el7.x86_64/kernel/net/ipv4/netfilter/iptable_security.ko
/usr/share/man/man1/iptables-xml.1.gz
/usr/share/man/man8/iptables-extensions.8.gz
/usr/share/man/man8/iptables-restore.8.gz
/usr/share/man/man8/iptables-save.8.gz
/usr/share/man/man8/iptables.8.gz
#

パッケージのインストール内容の確認

# head -50 anaconda-ks.cfg
#version=DEVEL
# System authorization information
auth --enableshadow --passalgo=sha512
# Use CDROM installation media
cdrom
# Use graphical install
graphical
# Run the Setup Agent on first boot
firstboot --enable
# Keyboard layouts
keyboard --vckeymap=jp --xlayouts='jp'
# System language
lang ja_JP.UTF-8

# Network information
network  --bootproto=dhcp --device=enp0s3 --onboot=off --ipv6=auto
network  --hostname=localhost.localdomain

# Root password
rootpw --iscrypted $6$vz1MgIngTE.aEkF6$0TU1ilFovj3cA22S2BLkzUx.b7vsn5nkJmIylAJArKX4y33Ge5qmYx3iAV1rME3CKOgjg3uY7mDXlLLCRAkcN/
# System timezone
timezone Asia/Tokyo --isUtc
# System bootloader configuration
bootloader --append=" crashkernel=auto" --location=mbr --boot-drive=sda
autopart --type=lvm
# Partition clearing information
clearpart --none --initlabel

%packages
@^minimal
@core
kexec-tools

%end

%addon com_redhat_kdump --enable --reserve-mb='auto'

%end
#

補足情報(言語/FW/ツール等のバージョンなど)

項目  情報 
ゲストOS  CentOS7.2.1511 minimal 64bit 
isoイメージ  CentOS-7-x86_64-Minimal-1511.iso 
ホストOS  MacOSX 
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

0

firewalldを使用したい場合、別途yumを使ってインストールする必要があるのでしょうか。

最小構成でも firewalld はインストールされると思います。
rpm -q firewalld で確認できると思います。
firewalld サービス(デーモン)が動いているか、有効に(自動起動に)なっているか確認ください。

# systemctl status firewalld
# systemctl is-enabled firewalld

標準で動いているように見えるiptablesの設定ファイルはどこに保存されているのでしょうか。

firewalld ならば、デフォルトの設定が /usr/lib/firewalld/services/, /usr/lib/firewalld/zones/ などにあり、(--permanent オプションを付けて)変更した分が /etc/firewalld/ 以下に保存されます。

firewalld、iptablesのサービスの確認方法としてはどうやってできるのでしょうか? 
(元々firewalldが入っていないのでであれば、確認できないのは当たり前ですが、、、)

サービス(デーモン)については上記のとおり。
ルールの表示/変更は firewall-cmd コマンドで確認します。

(例)
# firewall-cmd --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:


参考: CentOS ファイアウォールの設定について

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/03/05 10:52

    すいません。投稿遅れました。
    回答ありがとうございます。
    anaconda-ks.cfgでそんな事がわかるとは知りませんでした。勉強になります。

    で、結果を上記質問に追記しましたが、@core は入っておりました。。。
    不思議ですね。。

    キャンセル

  • 2016/03/15 16:59

    CentOS-7-x86_64-Minimal-1511.iso の中の repodata/3eda*-c7-x86_64-comps.xml と
    repodata/c30d*-c7-minimal-x86_64-comps.xml を比べると、前者には Core グループに firewalld が含まれますが、後者は含まれていませんでした。
    CentOS-7-x86_64-Minimal-1511.iso は、他の ISO イメージで最小構成でインストールするよりもさらにパッケージを絞り込んだ構成となるように作られているようです。

    キャンセル

  • 2016/03/25 21:08

    さらに調査いただきありがとうございました。
    私のインストール手順が悪いわけではないことがわかってようやくすっきり致しました。
    本当にありがとうございました。

    キャンセル

0

質問した後も、色々と調べていましたが、iptables1-serviceもインストールされていない事がわかりました。
VirtualBoxもアップデート → CentOS7.2(1511)再インストールしてみましたが、
結果変わらず。
CentOS7.1(1503)を新規インストールすると想定通りfirewalldが入りましたので、
そちらを使ってインフラ構築を進めていくことにしました。
原因は不明ですが、これで解決とします。

TaichiYanagiyaさんへ
回答くださってありがとうございました。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.22%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る