###前提・実現したいこと
現在、サーバ更改に伴い、CentOS6から7への更改を検討しております。
NW機器のFWがない環境のため、現在iptablesで行っている
フィルタリングをfirewalldで行いたいと考え、
調査を進めていました。
iptablesも使用しようと思えばつかえますが、
CentOS7からfirewalldがデフォルトになったので、
今後n運用を考え、firewalldを使用したいと思っています。
そこで調べたのですが、腑に落ちない点がありました。
認識が正しくない点がありましたらご指摘をお願いいたします。
###よくわからない点
・ZONE毎のフィルタリング設定と、ダイレクトルールを用いての設定の違い
・ダイレクトルール(--direct)を使用した場合のZONEへの設定反映
###現在の自分の理解
・ZONE毎に設定を行う方法は、INPUTとFORWARDチェインへの設定だけ扱っている
(OUTPUTには対応していない)
・OUTPUTに対応するためにダイレクトルールが用意されている。
・ダイレクトルールはINPUT、OUTPUT、FORWARDに対応している。
上記より、ダイレクトルールで全て設定すれば、現行のCentOS6
で使用していたiptablesの設定が流用できる気がしました。
ZONE毎の設定を行うより移行しやすそうと感じています。
(運用時にどのゾーンにどのフィルタ設定を行ったかが管理しやすそうなのは
ZONE毎の設定ですが。)
#質問
・OUTPUT(外部への通信)も制御したい場合は、INPUTも含め、
全てダイレクトルールを使用したほうがよいでしょうか?
・ダイレクトルールのみ使用して設定した場合は、ZONEの概念は考慮が不要になりますか?
(ダイレクトルールを設定する場合、ZONEの指定がないので、
其々のZONE設定にダイレクトルールが含まれるということか?と予測しています。)
其々の設定の利点と使いどころが曖昧となっている為、
その点もご教授いただければと考えております。
お手数ですが、よろしくお願いします。
回答2件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/12/05 02:14