Chapter 07

Linux基礎コマンド(セキュリティ管理)

おでん
おでん
2021.07.20に更新

firewall-cmd (オプション)

ファイアウォールの設定の管理を行う。
標準では、受信の通信が制御される。(リクエストを受ける側であるため)
主なオプションは以下。

オプション名 機能
--list-all 現在有効設定情報を出力する
--add-service=サービス名 通信制御サービスを追加する
--remove-service=サービス名 通信制御サービスを削除する
--add-port=ポート番号 通信制御ポートを追加する
--remove-port=ポート番号 通信制御ポートを削除する
--permanent 設定を永続化する
--reload 設定を再読み込みする

「--permanent」の指定ありなしで反映タイミングや、持続期間が以下のように異なる。

--permanent 反映タイミング 持続期間
指定あり 即時 リロードするまで
指定なし リロード時 永続的

理想的(安全)なファイアウォールの設定手順は以下。

  1. --permanent指定せず、即時反映結果からファイアウォールの動作を確認する
  2. 正しくなければ、リロードし設定を消滅する
  3. 正しければ、--permanentを指定して設定する

firewall-cmd --list-allの出力

$ firewall-cmd --list-all

firewall-cmd --list-allの出力で、主な項目は以下の通り。

項目名 説明
trusted(active) 全ての通信を許可する
target 通信の許可・拒否・破棄を指定する
services targetの対象サービス(例:http)
ports targetの対象ポート(例:443/tcp)
項目名 説明
ACCEPT 通信を許可する
REJECT 通信を拒否する(レスポンス返す)
DROP 通信を破棄する(レスポンス返さない)

netstat (オプション)

通信状況を確認する。主にポートの使用状況を確認する。
主なオプションは以下。

オプション名 機能
-a 全通信を表示する
-n IPアドレスとポート番号など数値を表示する
-t tcp接続のみ表示する