teratail
回答率
85.37%
teratail 10th-anniversary
teratail 10th-anniversary
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.37%
トップfirewalldに関する質問
firewalld

firewalldは、CentOS7からデフォルトになったパケットフィルタリングです。一時的なルールと永続的なルールが設定でき、通信の許可・拒否をコントロール。バージョン6まで利用されてきた「iptables」における課題をカバーしています。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Q&A

解決済

2回答

33634閲覧

hosts.allow hosts.denyの反映方法について

haskins2341
haskins2341

総合スコア14

firewalld

firewalldは、CentOS7からデフォルトになったパケットフィルタリングです。一時的なルールと永続的なルールが設定でき、通信の許可・拒否をコントロール。バージョン6まで利用されてきた「iptables」における課題をカバーしています。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

0グッド

0クリップ

投稿2017/11/08 09:09

0

0

centOS 6.9で接続できるIPを制限したいです、調べた結果以下のように設定ファイルに追記いたしました。

hosts.allowのファイルに以下を追記
ALL: ALL
hosts.denyのファイルに以下を追記
ALL: 220.158.10.62

知識不足で恐縮でございますが以下お分かりになる方がいらっしゃいましたら、ご回答よろしくお願いいたします。

・接続するIPを制限をする場合上記で設定で制限可能でしょうか?
・何かの再起動は必要でしょうか→この場合どうしたら設定が反映されるでしょうか?
・その他設定方法がありましたらご教授お願いいたします。(GUIでの方法もしくわ参考URLなど)

すいませんが、よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ockeghem
ockeghem

2017/11/08 09:27

これだと、ブラックリストとして 220.158.10.62 を禁止したいように見受けますが、意図は逆ではないでしょうか? allowとdenyの優先度から、現実にはブラックリストとしても働かないでしょうが…
haskins2341
haskins2341

2017/11/10 04:10

ockeghem様 ご回答ありがとうございました。ご指摘の通り記載を間違えておりました、ありがとうございます。
guest

回答2

0

ベストアンサー

優先順については、他の回答のとおりです。
1つ注意点をコメントします。

hosts.allow, hosts.deny で制御できるのは libwrap.so.* をリンクしているプログラムだけです。

[centos7]$ ldd /usr/sbin/sshd | grep libwrap
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fdcdd530000)

    CentOS 7 の sshd は libwrap.so.0 をリンクしている。
    hosts.allow, hosts.deny で制御できる。

[centos7]$ ldd /usr/sbin/httpd | grep libwrap

    CentOS 7 の httpd は libwrap.so.0 をリンクしていない。(static リンクの可能性もあるけど)
    hosts.allow, hosts.deny で制御できない。

投稿2017/11/08 14:50

TaichiYanagiya
TaichiYanagiya

総合スコア12173

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

haskins2341
haskins2341

2017/11/10 06:48

TaichiYAnagiya様、ご回答まことにありがとうございます、自分の知識不足で申し訳ないです。 ・sshdのリンクが確認できたのですがhttpdのリンクは確認できませんでした、sataticの設定とはどこに記載されていいますでしょうか。 ldd /usr/sbin/sshd | grep libwrap libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f641cdd1000) ・疎通確認をするためにPCまた自分のスマホでpingを打ったのですが、hosts.denyにALL:ALLを書き込んだにのですが、全ての端末から疎通ができてしまいました、何か他(iptables)などの設定が邪魔をしている可能性などありますでしょうか? 度々申し訳ありませんが、わかれば教えていただきたいです。
TaichiYanagiya
TaichiYanagiya

2017/11/10 08:24

> sataticの設定とはどこに記載されていいますでしょうか。 ソースコード(libwrap を使うかどうか)およびコンパイルオプション(libwrap をリンクするかどうか)を調べないとわからないと思います。 ping(ICMP)は kernel レベルで扱われるので、hosts.allow, hosts.deny では制御できません。
haskins2341
haskins2341

2017/11/14 07:41

Taichiさんありがとうございます!!!! よくわかりました!!!!!!!!
haskins2341
haskins2341

2017/11/14 08:21

Taichiさんお世話になっております!! TCP wrapperのwikiのページに以下のようなことが書いてあったのですが TCPとICMPではレイヤーが異なるので制御できないのでしょうか、それともプロトコルが違うからでしょうか? >>元々は、TCPおよびUDPのサービスを対象としていたが、例えば特定のICMPパケット(例えば、pingd を使う ping 要求)をフィルタリングすることもできる。
guest

0

同じアクセスがhosts.allowhosts.denyの両方にヒットする場合、allowが優先なので、hosts.allowALL: ALLがある状況では、hosts.denyに何を設定しても全く効果がありません。

両方にヒットしなければ通すようになっているので、hosts.denyだけの設定にしましょう。これらは特に反映の操作をしなくても、ファイル保存直後から反映されます。

投稿2017/11/08 09:14

maisumakun
maisumakun

総合スコア145932

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.37%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップfirewalldに関する質問

hosts.allow hosts.denyの反映方法について