firewall設定

firewall設定

ゾーン作成

自宅や勤務先のIPアドレス等adminとしてサーバー操作する時に使用している場所を指定する
自身のグローバルIPアドレスの確認には下記サイトに接続すると一瞬で分かって便利
https://www.ugtop.com/spill.shtml

vi ip.txt
xxx.xxx.xxx.xxx ←IPアドレス
firewall-cmd --new-zone=admin --permanent
success
firewall-cmd --permanent --new-ipset=admin --type=hash:net
success
firewall-cmd --permanent --ipset=admin --add-entries-from-file=ip.txt
success
firewall-cmd --permanent --zone=admin --add-source=ipset:admin
success


設定変更

sshやweb管理コンソールの接続(cockpit)はadmin以外からは接続できないよう設定する

なお、sshは事前にポート番号を変えておいたので下の設定作業ではserviceがssh-2222になっている


★adminゾーン

firewall-cmd --permanent --add-service=ssh-2222 --zone=admin
success
firewall-cmd --permanent --add-service=cockpit --zone=admin
success


★publicゾーン

firewall-cmd --permanent --remove-service=ssh-2222 --zone=public
↑admin以外からはsshできないようにする
success
firewall-cmd --permanent --remove-service=cockpit --zone=public
↑admin以外からはWeb 管理コンソールを利用できないようにする
success
firewall-cmd --permanent --remove-service=dhcpv6-client --zone=public
↑IPv6を使用しないため
success


★反映と確認

firewall-cmd --reload
success
firewall-cmd --list-all-zones
↑設定が正しく反映されていることを確認
rm ip.txt


その他サービスの追加

メール、web、FTP周りの設定を追加する

★adminゾーン

firewall-cmd --permanent --add-service=ftp --zone=admin
success
firewall-cmd --permanent --add-service=imap --zone=admin
success
firewall-cmd --permanent --add-service=imaps --zone=admin
success
firewall-cmd --permanent --add-service=smtps --zone=admin
success


★publicゾーン

firewall-cmd --permanent --add-service=http --zone=public
success
firewall-cmd --permanent --add-service=https --zone=public
success
firewall-cmd --permanent --add-service=smtp --zone=public
success


★反映と確認

firewall-cmd --reload
success
firewall-cmd --list-all-zones
admin
services: cockpit ftp imap imaps smtps ssh-2222

public
services: http https smtp

参考

https://psychoco.net/linux/centos8-conoha-part1
https://www.rem-system.com/centos8-cockpit/