質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

firewalld

firewalldは、CentOS7からデフォルトになったパケットフィルタリングです。一時的なルールと永続的なルールが設定でき、通信の許可・拒否をコントロール。バージョン6まで利用されてきた「iptables」における課題をカバーしています。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Q&A

解決済

1回答

1909閲覧

firewalldのダイレクトルール

asagaya

総合スコア42

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

firewalld

firewalldは、CentOS7からデフォルトになったパケットフィルタリングです。一時的なルールと永続的なルールが設定でき、通信の許可・拒否をコントロール。バージョン6まで利用されてきた「iptables」における課題をカバーしています。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

0グッド

0クリップ

投稿2021/02/13 10:03

(CentOS7)firewalldのOUTPUT側のダイレクトルール設定でDNSサーバー、メールサーバー、プロキシサーバー、インターネットの通信を許可する場合、以下の設定で合っているでしょうか?よろしくお願いします。

(DNSサーバー)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p udp
-s ソースアドレス--sport 53 -j ACCEPT

(メールサーバー・SMTP・POP3・IMAP)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 25 -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 110 -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 143 -j ACCEPT

(プロキシサーバー)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 3128 -j ACCEPT

(インターネット)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 80 -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp
-s ソースアドレス--sport 443 -j ACCEPT

(DROP)
firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p all -j DROP

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hentaiman

2021/02/13 10:13

前回の質問と言い今回の質問と言いなぜダイレクトルールに拘るんですか? ダイレクトルールしか使わないなら直接iptables使ったらどうです?
TaichiYanagiya

2021/02/13 11:46

OUTPUT チェインで --sport がサービスポートということは、CentOS 7 が DNS/メール/プロキシ/Webサーバーで、応答パケットを制御したいということでしょうか?
asagaya

2021/02/13 13:38

はい、仮想マシンをサーバーにしています。
guest

回答1

0

ベストアンサー

質問文のルールについて:

  • DNSサーバーは UDP 53 番ポートの他、TCP 53 番ポートも必要
  • 応答ではなく、CentOS 7 から発信する DNS 問い合わせがあるはず。DROP の前に許可ルールが必要

その他、懸念点:

  • SMTP, POP3, IMAP は平文のポートのみのようですが、暗号化のポートは不要?
  • 他、SSH などはない? ss -tulnp で LISTEN ポートとサービスを確認

応答パケットについては個別に許可するよりも、-m conntrack --ctstate ESTABLISHED,RELATED でまとめて許可すると楽だと思います。

投稿2021/02/13 15:12

TaichiYanagiya

総合スコア12173

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

asagaya

2021/02/13 15:48

回答いただきありがとうございます。これでどうでしょうか? (ループバック) firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -o lo -j ACCEPT (ICMP)firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p icmp -j ACCEPT (DNSサーバー) firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p udp -s ソースアドレス--sport 53 -j ACCEPT firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス--sport 53 -j ACCEPT (SSH) firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス--sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT (メールサーバー・SMTP・POP3・IMAP) firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス--sport 25 -j ACCEPT firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス--sport 110 -j ACCEPT firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス--sport 143 -j ACCEPT (プロキシサーバー) firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス--sport 3128 -j ACCEPT (インターネット) firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス--sport 80 -j ACCEPT firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス--sport 443 -j ACCEPT (DROP) firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p all -j DROP
TaichiYanagiya

2021/02/14 05:15

"--dport 53" (CentOS 7 から発信する DNS 問い合わせ) の許可ルールは?
asagaya

2021/02/14 09:50

こういう事ですか?詳しく教えていただき、ありがとうございました。 firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p udp -s ソースアドレス--dport 53 -j ACCEPT firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス--dport 53 -j ACCEPT
TaichiYanagiya

2021/02/14 13:15

はい、そうです。 あと、漏れていたのですが、Webプロキシから発信する通信があると思います。 TCP の "--dport 80", "--dport 443" も必要になると思います。
asagaya

2021/02/14 13:35

ありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問