Q&A
前回の質問と言い今回の質問と言いなぜダイレクトルールに拘るんですか?
ダイレクトルールしか使わないなら直接iptables使ったらどうです?
(CentOS7)firewalldのOUTPUT側のダイレクトルール設定でDNSサーバー、メールサーバー、プロキシサーバー、インターネットの通信を許可する場合、以下の設定で合っているでしょうか?よろしくお願いします。
(DNSサーバー)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p udp
-s ソースアドレス--sport 53 -j ACCEPT
(メールサーバー・SMTP・POP3・IMAP)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 25 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 110 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 143 -j ACCEPT
(プロキシサーバー)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 3128 -j ACCEPT
(インターネット)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 80 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 443 -j ACCEPT
(DROP)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p all -j DROP
OUTPUT チェインで --sport がサービスポートということは、CentOS 7 が DNS/メール/プロキシ/Webサーバーで、応答パケットを制御したいということでしょうか?
はい、仮想マシンをサーバーにしています。
回答1件
0
ベストアンサー
質問文のルールについて:
- DNSサーバーは UDP 53 番ポートの他、TCP 53 番ポートも必要
- 応答ではなく、CentOS 7 から発信する DNS 問い合わせがあるはず。DROP の前に許可ルールが必要
その他、懸念点:
- SMTP, POP3, IMAP は平文のポートのみのようですが、暗号化のポートは不要?
- 他、SSH などはない?
ss -tulnpで LISTEN ポートとサービスを確認
応答パケットについては個別に許可するよりも、-m conntrack --ctstate ESTABLISHED,RELATED でまとめて許可すると楽だと思います。
投稿2021/02/13 15:12
総合スコア12173
回答いただきありがとうございます。これでどうでしょうか?
(ループバック)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -o lo -j ACCEPT
(ICMP)firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p icmp -j ACCEPT
(DNSサーバー)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p udp
-s ソースアドレス--sport 53 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 53 -j ACCEPT
(SSH)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
(メールサーバー・SMTP・POP3・IMAP)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 25 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 110 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 143 -j ACCEPT
(プロキシサーバー)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 3128 -j ACCEPT
(インターネット)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 80 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 443 -j ACCEPT
(DROP)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p all -j DROP
"--dport 53" (CentOS 7 から発信する DNS 問い合わせ) の許可ルールは?
こういう事ですか?詳しく教えていただき、ありがとうございました。
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p udp
-s ソースアドレス--dport 53 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--dport 53 -j ACCEPT
はい、そうです。
あと、漏れていたのですが、Webプロキシから発信する通信があると思います。
TCP の "--dport 80", "--dport 443" も必要になると思います。
ありがとうございました。
あなたの回答
tips
プレビュー
