Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ザックリFirewalld
Search
Kutsuhimo Gochou
June 17, 2017
Technology
0
270
ザックリFirewalld
2017/06/17 に東海道らぐ横浜の集い 2017初夏の巻で発表したときの資料です。タイトルの出落ち感半端ない〜〜/(^o^)\このスライドよりザックリTV見て…!
Kutsuhimo Gochou
June 17, 2017
Tweet
Share
More Decks by Kutsuhimo Gochou
See All by Kutsuhimo Gochou
CentOS8 キタ━━━━(゚∀゚)━━━━!!
misato8310
0
320
あなたと ErgoDox EZ、今すぐ購入
misato8310
0
440
東海道らぐ横浜の集い 2019春の巻
misato8310
0
210
アニソンからはじめるヒトカラ入門
misato8310
0
470
Porgでソースからインストールしたソフトウェアを管理
misato8310
0
170
はじめてさわるOSSでNextCloudサーバを構築
misato8310
0
1.5k
ファイル内容の通知にFluentdを導入した話
misato8310
0
640
EC2+S3で無制限ストレージバックアップサーバを作る
misato8310
0
470
クラウドの障害でディスクがToLOVEった話
misato8310
0
210
Other Decks in Technology
See All in Technology
5分でカオスエンジニアリングを分かった気になろう
pandayumi
0
260
Modern Linux
oracle4engineer
PRO
0
160
「何となくテストする」を卒業するためにプロダクトが動く仕組みを理解しよう
kawabeaver
0
430
プラットフォーム転換期におけるGitHub Copilot活用〜Coding agentがそれを加速するか〜 / Leveraging GitHub Copilot During Platform Transition Periods
aeonpeople
1
230
バイブスに「型」を!Kent Beckに学ぶ、AI時代のテスト駆動開発
amixedcolor
2
580
LLMを搭載したプロダクトの品質保証の模索と学び
qa
0
1.1k
共有と分離 - Compose Multiplatform "本番導入" の設計指針
error96num
2
1.1k
品質視点から考える組織デザイン/Organizational Design from Quality
mii3king
0
210
スマートファクトリーの第一歩 〜AWSマネージドサービスで 実現する予知保全と生成AI活用まで
ganota
2
310
KotlinConf 2025_イベントレポート
sony
1
140
開発者を支える Internal Developer Portal のイマとコレカラ / To-day and To-morrow of Internal Developer Portals: Supporting Developers
aoto
PRO
1
480
Snowflake×dbtを用いたテレシーのデータ基盤のこれまでとこれから
sagara
0
120
Featured
See All Featured
4 Signs Your Business is Dying
shpigford
184
22k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Testing 201, or: Great Expectations
jmmastey
45
7.7k
Into the Great Unknown - MozCon
thekraken
40
2k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
113
20k
GraphQLの誤解/rethinking-graphql
sonatard
72
11k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
285
14k
It's Worth the Effort
3n
187
28k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Unsuck your backbone
ammeep
671
58k
Building Flexible Design Systems
yeseniaperezcruz
329
39k
Transcript
東海道らぐ横浜の集い 2017初夏の巻 靴ひも伍長 @_EOF_83_EOF_
$ whois • 靴ひも伍長(くつひもごちょう)です - I’m イン腐ラエンジニアーッ! - I love
CentOS and Vim - アニメ・漫画・ゲームのために生きている • 生まれも育ちも横浜のはまっ子 - 仕事の関係で札幌暮らし経験あり • 管理対象サーバがメンテナンスの連続でマジヤバい - これは悪い意味でのヤバいです ボスケテ… 普段はこんなアイコンで 過ごしてる
$ 近況 • GWに初京都決めた! - 3日で8万歩歩いた(ドヤ顔) - 清水の舞台工事中だった(白目)
$ 今日のお題 • ザックリFirewalld - firewalld…ダリナンダアンタイッタイ - 個人的firewalldのいいところ - firewalldのゾーンについて
- とりあえずfirewalld使ってみよう - 独自で定義したいときは? • まとめ
$ firewalld…ダリナンダアンタイッタイ • 標準で装備されるパケットフィルタリングの一種 - サーバを守るために有効にするべき機能のひとつ - RHEL7/CentOS7から正式導入 (CentOS6からの変更点多すぎるんですけど) -
iptablesからの切替が進んでいる - iptablesのラッパーだYo! firewalld起動したら iptables -L -n してみてね • ゾーンという概念が存在する • 慣れるとiptablesより設定しやすい - iptablesの方が設定楽だと思っていたけど そんなことはなかったぜ!
$ 個人的firewalldのいいところ • iptablesのような呪文を覚えなくていい - コピペして再利用とかやらなくていい…! - 後継者を混乱させにくい 他人の作成したiptablesは解読したくない〜! -
フィルタリング設定の見通しがいい • firewall-cmd コマンドが使いやすい - オプションがわかりやすい ただオプションの文字列が長い
$ firewalldのゾーンについて • 信頼レベルに基いてサービスの制御を行う仕組み - ゾーンは9つある • よく使うゾーンについて - Publicゾーン
(デフォルトで有効のゾーン) NW上にあるマシンは信頼できない前提のゾーン 内部に入るパケットは許す。 私はeth0を割り当ててHTTP/HTTPSを許可してる - Workゾーン NW上にあるマシンは信頼するゾーン 内部に入るパケットは許す。 SSHの許可に適している気がする • 用途によってどのように設定するのかが大事!
$ とりあえずfirewalld使ってみよう • firewalldの起動 - systemctl start firewalld • firewalldの自動起動を有効化
- systemctl enable firewalld • firewalldの設定内容を一覧表示 - firewall-cmd —list-all-zones • PublicゾーンでHTTPを永続的に許可 - firewall-cmd --zone=public —add-service=http —permanent • Workゾーンで **.**.**.** を許可 - firewall-cmd —zone=work —add-source=**.**.**.** • 設定の再読込 - firewall-cmd —reload permanentがないと再起動時 に設定がきえてしまう…
$ 独自で定義したいときは? • 例) zabbix-agent のポートあけたいなぁ - 既存の定義ファイルを基に定義ファイルを作成しよう - /usr/lib/firewalld
には追加しないこと! • /etc/firewalld/services/zabbix-agent.xml に 以下のような設定を書いてreloadすると —add-service=zabbix-agent と指定できる <service> <short>zabbix-agent</short> <description>Zabbix Agent</description> <port protocol="tcp" port="10050"/> </service>
$ おすすめサイトと書籍 • そもそもCentOS7わかんねぇ!という人には CentOS7 実践ガイド (インプレス/古賀政純著)! 私はこちらの書籍でCentOS7を勉強しました • firewalldについては以下2サイトがおすすめ!
firewalldの全てを閲覧した気持ちになれる! - https://access.redhat.com/documentation/ja- JP/Red_Hat_Enterprise_Linux/7/html/ Security_Guide/sec-Using_Firewalls.html - https://fedoraproject.org/wiki/FirewallD/jp
$ まとめ • firewalldは慣れるとiptablesより簡単 - コピペでの定義にさよならバイバイ • firewall-cmdが便利すぎてヤバい - これはいい意味でのヤバいです
• firewalldにはゾーンという概念がある • 独自設定は /etc/firewalld/services に保存 - 移行するときは定義ファイル持っていくだけでOK • 設定がわからなくなったらドキュメント読もう - ドキュメントは全ての悩みを解決する
$ おしまい ご清聴ありがとウサギ