質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.52%

  • CentOS

    2699questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

CentOS7.2のfirewallの設定方法について

解決済

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 789

teketeke

score 41

前提・実現したいこと

ApacheをインストールしたCentOS7.2の環境で、以下のような設定を行いたいです。

・sshはアドレスA、Bから可能
・HTTP接続はアドレスA、B、Cから可能(検証時)もしくはすべてに公開
※HTTP接続は検証中は接続元を制限し、検証がおわったら外部に公開するようにしたいです。

発生している問題・エラーメッセージ

https://everyday-growth.com/?p=1952
http://qiita.com/T_Shinaji/items/b3ba400feb3c6adebd27

上記のサイトを参考に、companyというゾーンに以下のコマンドで接続元を絞ろうとしたのですが、add-rich-ruleのコマンドは失敗してしまいます。
無効なゾーンとはどういうことなのでしょうか。

# firewall-cmd --permanent --add-source=x.x.x.x --zone=company
これは成功する。
# firewall-cmd --zone=company --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" port port="22" protocol="tcp" accept'

エラーメッセージ:
Error: INVALID_ZONE: company

該当のソースコード

ゾーンのファイルの内容は以下になります。
これだと、アドレスCもSSHできてしまう認識です。
/etc/firewalld/zones/company.xml

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Company</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <source address="a.a.a.a"/>
  <source address="b.b.b.b"/>
  <source address="c.c.c.c"/>
  <service name="dhcpv6-client"/>
  <service name="http"/>
  <service name="ssh"/>
  <service name="https"/>
</zone>
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+1

firewall-cmd --permanent --new-zone=company で company ゾーンを作成した状態だと、firewall-cmd --permanent --list-all-zones には company ゾーンが存在するものの、firewall-cmd --list-all-zones には company ゾーンが存在しない状態となります。
この状態で、--permanent なしでルールを追加しようとして、Error: INVALID_ZONE: company となっているのだと思います。

company.xml が作成されているのでしたら、coba-coba さんの回答のとおり、reload するといいと思います。

なお、(rich-rule ではない) --add-service=--add-source= はすべて OR 条件となるので、現在の company.xml は、「a.a.a.a, b.b.b.b, c.c.c.c からの接続は(全ポート)許可、すべての接続元から http, https, ssh を許可」というルールになります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/04/15 17:56

    回答いただきありがとうございます。
    company.xmlは既存のものからコピーしたものでしたので、coba-coba さんの回答通りreloadでコマンド実行できました。

    また、rich-ruleでない部分のご指摘ありがとうございます。
    もう少しCentOSのfirewall設定について調べてみます。

    キャンセル

+1

firewall-cmd --reloadは実行していますか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/04/15 17:52

    回答いただきありがとうございます。
    company.xmlファイルを作成後、リロードしておりませんでした。
    その後、以下のコマンドで設定を追加することができました。

    firewall-cmd --permanent --zone=company --add-rich-rule='rule family=ipv4 source address="a.a.a.a" service name=http accept'

    以下の設定をすると、アドレスA、Bからはhttp接続可能、アドレスCはhttpd接続不可であることを確認しました。
    <?xml version="1.0" encoding="utf-8"?>
    <zone>
    <short>Company</short>
    <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
    <service name="dhcpv6-client"/>
    <service name="ssh"/>
    <rule family="ipv4">
    <source address="a.a.a.a"/>
    <service name="http"/>
    <accept/>
    </rule>
    <rule family="ipv4">
    <source address="b.b.b.b"/>
    <service name="http"/>
    <accept/>
    </rule>
    </zone>
    ```

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.52%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • CentOS

    2699questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。