現在CentOS7のFIrewalldの検証を行っており、
以下の疑問を持っています。
◆疑問
Firewalldはステートフルインスペクション機能が無いのか?
(戻り通信も許可設定を行わないといけないのか?)
FW機能を持ったNW機器でも、機能がないものがあるため、Firewalldは
どちらかを調査したく以下の検証を行いました。
◆検証内容
Window端末にOracleVMで仮想マシンを立て、
CentOS7を導入しました。
そのCentOS7のfirewalldにて以下の設定を行いました。
(ダイレクトルールを使用しています。また、設定後は毎回firewall-cmd --reloadを実施しています。)
①
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp -s <windows端末IP> -m state --state NEW,ESTABLISHED,RELATED -d <CentOS7IP> --dport 22 -j ACCEPT
②
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 200 -j DROP
ステートフルインスペクション機能があれば、
①+②の設定でもSSH通信できると考えていましたが、不可でした。
(①のみの時はSSH通信可能であることは確認済です。)
また、①+②の設定に以下を追加してみました。
③
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -p tcp -s <windows端末IP> --sport 22 -j ACCEPT
④
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -p tcp -s <windows端末IP> --sport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
①+②+③はSSH通信成功し、①+②+④は失敗しました。
◆考察
検証結果より、現時点ステートフルインスペクション機能は無いのでは?と考えていますが、以下の疑問が残っています。
別サイト記事でfirewalldは「ステートフルパケットインスペクション」が可能という記事を見つけましたが、「ステートフルインスペクション」とは別物であると考えたほうがいいのでは?と考えております。
また、firewall-cmdコマンド内のstateモジュールが適切に使用できているかが少し自信がないため、有識者にアドバイス頂きたいと考えています。
◆対象の別サイト記事
http://itpro.nikkeibp.co.jp/atcl/column/14/072400026/072400001/
以上になります。
お手数ですが、アドバイスをお願いいたします。
回答2件
あなたの回答
tips
プレビュー