ゾーン作成
自宅や勤務先のIPアドレス等adminとしてサーバー操作する時に使用している場所を指定する
自身のグローバルIPアドレスの確認には下記サイトに接続すると一瞬で分かって便利
https://www.ugtop.com/spill.shtml
vi ip.txt xxx.xxx.xxx.xxx ←IPアドレス
firewall-cmd --new-zone=admin --permanent success
firewall-cmd --permanent --new-ipset=admin --type=hash:net success
firewall-cmd --permanent --ipset=admin --add-entries-from-file=ip.txt success
firewall-cmd --permanent --zone=admin --add-source=ipset:admin success
設定変更
sshやweb管理コンソールの接続(cockpit)はadmin以外からは接続できないよう設定する
なお、sshは事前にポート番号を変えておいたので下の設定作業ではserviceがssh-2222になっている
★adminゾーン
firewall-cmd --permanent --add-service=ssh-2222 --zone=admin success
firewall-cmd --permanent --add-service=cockpit --zone=admin success
★publicゾーン
firewall-cmd --permanent --remove-service=ssh-2222 --zone=public ↑admin以外からはsshできないようにする success
firewall-cmd --permanent --remove-service=cockpit --zone=public ↑admin以外からはWeb 管理コンソールを利用できないようにする success
firewall-cmd --permanent --remove-service=dhcpv6-client --zone=public ↑IPv6を使用しないため success
★反映と確認
firewall-cmd --reload success
firewall-cmd --list-all-zones ↑設定が正しく反映されていることを確認
rm ip.txt
その他サービスの追加
メール、web、FTP周りの設定を追加する
★adminゾーン
firewall-cmd --permanent --add-service=ftp --zone=admin success
firewall-cmd --permanent --add-service=imap --zone=admin success
firewall-cmd --permanent --add-service=imaps --zone=admin success
firewall-cmd --permanent --add-service=smtps --zone=admin success
★publicゾーン
firewall-cmd --permanent --add-service=http --zone=public success
firewall-cmd --permanent --add-service=https --zone=public success
firewall-cmd --permanent --add-service=smtp --zone=public success
★反映と確認
firewall-cmd --reload success
firewall-cmd --list-all-zones admin services: cockpit ftp imap imaps smtps ssh-2222 public services: http https smtp
参考
https://psychoco.net/linux/centos8-conoha-part1
https://www.rem-system.com/centos8-cockpit/
コメント