CentOS7.2のfirewallの設定方法について

###前提・実現したいこと
ApacheをインストールしたCentOS7.2の環境で、以下のような設定を行いたいです。

・sshはアドレスA、Bから可能
・HTTP接続はアドレスA、B、Cから可能（検証時）もしくはすべてに公開
※HTTP接続は検証中は接続元を制限し、検証がおわったら外部に公開するようにしたいです。

###発生している問題・エラーメッセージ
https://everyday-growth.com/?p=1952
http://qiita.com/T_Shinaji/items/b3ba400feb3c6adebd27

上記のサイトを参考に、companyというゾーンに以下のコマンドで接続元を絞ろうとしたのですが、add-rich-ruleのコマンドは失敗してしまいます。
無効なゾーンとはどういうことなのでしょうか。

# firewall-cmd --permanent --add-source=x.x.x.x --zone=company
これは成功する。

# firewall-cmd --zone=company --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" port port="22" protocol="tcp" accept'

エラーメッセージ：
Error: INVALID_ZONE: company

###該当のソースコード
ゾーンのファイルの内容は以下になります。
これだと、アドレスCもSSHできてしまう認識です。
/etc/firewalld/zones/company.xml

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Company</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <source address="a.a.a.a"/>
  <source address="b.b.b.b"/>
  <source address="c.c.c.c"/>
  <service name="dhcpv6-client"/>
  <service name="http"/>
  <service name="ssh"/>
  <service name="https"/>
</zone>

行動規範の内容に同意します

回答2件

ベストアンサー

firewall-cmd --permanent --new-zone=company で company ゾーンを作成した状態だと、firewall-cmd --permanent --list-all-zones には company ゾーンが存在するものの、firewall-cmd --list-all-zones には company ゾーンが存在しない状態となります。
この状態で、--permanent なしでルールを追加しようとして、Error: INVALID_ZONE: company となっているのだと思います。

company.xml が作成されているのでしたら、coba-coba さんの回答のとおり、reload するといいと思います。

なお、(rich-rule ではない) --add-service=, --add-source= はすべて OR 条件となるので、現在の company.xml は、「a.a.a.a, b.b.b.b, c.c.c.c からの接続は(全ポート)許可、すべての接続元から http, https, ssh を許可」というルールになります。

投稿2017/04/15 08:14

TaichiYanagiya

総合スコア12146

teketeke

2017/04/15 08:56

回答いただきありがとうございます。 company.xmlは既存のものからコピーしたものでしたので、coba-coba さんの回答通りreloadでコマンド実行できました。また、rich-ruleでない部分のご指摘ありがとうございます。もう少しCentOSのfirewall設定について調べてみます。

行動規範の内容に同意します

firewall-cmd --reloadは実行していますか？

投稿2017/04/15 07:51

coba-coba

総合スコア1409

teketeke

2017/04/15 08:52

回答いただきありがとうございます。 company.xmlファイルを作成後、リロードしておりませんでした。その後、以下のコマンドで設定を追加することができました。 firewall-cmd --permanent --zone=company --add-rich-rule='rule family=ipv4 source address="a.a.a.a" service name=http accept' 以下の設定をすると、アドレスA、Bからはhttp接続可能、アドレスCはhttpd接続不可であることを確認しました。 <?xml version="1.0" encoding="utf-8"?> <zone> <short>Company</short> <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description> <service name="dhcpv6-client"/> <service name="ssh"/> <rule family="ipv4"> <source address="a.a.a.a"/> <service name="http"/> <accept/> </rule> <rule family="ipv4"> <source address="b.b.b.b"/> <service name="http"/> <accept/> </rule> </zone> ```

行動規範の内容に同意します

あなたの回答