Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ザックリFirewalld
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Kutsuhimo Gochou
June 17, 2017
Technology
290
0
Share
ザックリFirewalld
2017/06/17 に東海道らぐ横浜の集い 2017初夏の巻で発表したときの資料です。タイトルの出落ち感半端ない〜〜/(^o^)\このスライドよりザックリTV見て…!
Kutsuhimo Gochou
June 17, 2017
More Decks by Kutsuhimo Gochou
See All by Kutsuhimo Gochou
CentOS8 キタ━━━━(゚∀゚)━━━━!!
misato8310
0
360
あなたと ErgoDox EZ、今すぐ購入
misato8310
0
460
東海道らぐ横浜の集い 2019春の巻
misato8310
0
230
アニソンからはじめるヒトカラ入門
misato8310
0
500
Porgでソースからインストールしたソフトウェアを管理
misato8310
0
190
はじめてさわるOSSでNextCloudサーバを構築
misato8310
0
1.5k
ファイル内容の通知にFluentdを導入した話
misato8310
0
680
EC2+S3で無制限ストレージバックアップサーバを作る
misato8310
0
490
クラウドの障害でディスクがToLOVEった話
misato8310
0
230
Other Decks in Technology
See All in Technology
Harnessing the Power of Mocks and Stubs in PHPUnit / #laravellivejp
asumikam
0
600
まだ道半ば、AI-DLCを歩み始めている話
news_it_enj
2
190
コーディングエージェントはTypeScriptの 型エラーをどう自己修正しているのか
melonps
4
500
類似画像検索モデルの開発ノウハウ
lycorptech_jp
PRO
4
880
TSKaigi 2026 - enumよ、さようなら
teamlab
PRO
3
560
『家族アルバム みてね』における インシデント対応との向き合い方 / Approach incident response in Family Album
kohbis
2
200
【ハノーバーメッセ振り返りイベントat名古屋】データは集約からAI起点の収集に ~組織内・組織間でのデータ連携~
tanakaseiya
0
130
「使われるデータ基盤」を目指してデータアナリストとワークショップをやった話
jackojacko_
2
870
LLM時代のリファクタリング戦略_AIエージェントによる段階的・安全なTS移行方法
play_inc
0
190
TypeScriptとAngular Signal で実現する保守性の高いアプリケーション設計 - 3層アーキテクチャによる責務分離の実践(たつかわ) https://2026.tskaigi.org/talks/10
nealle
1
350
layerx-fde-practices
cipepser
6
2.7k
ビジュアルプログラミングIoTLT vol.23
1ftseabass
PRO
0
130
Featured
See All Featured
It's Worth the Effort
3n
188
29k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
65
54k
Docker and Python
trallard
47
3.8k
The SEO Collaboration Effect
kristinabergwall1
1
460
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
150
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.2k
Measuring Dark Social's Impact On Conversion and Attribution
stephenakadiri
2
200
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
55k
How STYLIGHT went responsive
nonsquared
100
6.1k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
2k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
710
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.4k
Transcript
東海道らぐ横浜の集い 2017初夏の巻 靴ひも伍長 @_EOF_83_EOF_
$ whois • 靴ひも伍長(くつひもごちょう)です - I’m イン腐ラエンジニアーッ! - I love
CentOS and Vim - アニメ・漫画・ゲームのために生きている • 生まれも育ちも横浜のはまっ子 - 仕事の関係で札幌暮らし経験あり • 管理対象サーバがメンテナンスの連続でマジヤバい - これは悪い意味でのヤバいです ボスケテ… 普段はこんなアイコンで 過ごしてる
$ 近況 • GWに初京都決めた! - 3日で8万歩歩いた(ドヤ顔) - 清水の舞台工事中だった(白目)
$ 今日のお題 • ザックリFirewalld - firewalld…ダリナンダアンタイッタイ - 個人的firewalldのいいところ - firewalldのゾーンについて
- とりあえずfirewalld使ってみよう - 独自で定義したいときは? • まとめ
$ firewalld…ダリナンダアンタイッタイ • 標準で装備されるパケットフィルタリングの一種 - サーバを守るために有効にするべき機能のひとつ - RHEL7/CentOS7から正式導入 (CentOS6からの変更点多すぎるんですけど) -
iptablesからの切替が進んでいる - iptablesのラッパーだYo! firewalld起動したら iptables -L -n してみてね • ゾーンという概念が存在する • 慣れるとiptablesより設定しやすい - iptablesの方が設定楽だと思っていたけど そんなことはなかったぜ!
$ 個人的firewalldのいいところ • iptablesのような呪文を覚えなくていい - コピペして再利用とかやらなくていい…! - 後継者を混乱させにくい 他人の作成したiptablesは解読したくない〜! -
フィルタリング設定の見通しがいい • firewall-cmd コマンドが使いやすい - オプションがわかりやすい ただオプションの文字列が長い
$ firewalldのゾーンについて • 信頼レベルに基いてサービスの制御を行う仕組み - ゾーンは9つある • よく使うゾーンについて - Publicゾーン
(デフォルトで有効のゾーン) NW上にあるマシンは信頼できない前提のゾーン 内部に入るパケットは許す。 私はeth0を割り当ててHTTP/HTTPSを許可してる - Workゾーン NW上にあるマシンは信頼するゾーン 内部に入るパケットは許す。 SSHの許可に適している気がする • 用途によってどのように設定するのかが大事!
$ とりあえずfirewalld使ってみよう • firewalldの起動 - systemctl start firewalld • firewalldの自動起動を有効化
- systemctl enable firewalld • firewalldの設定内容を一覧表示 - firewall-cmd —list-all-zones • PublicゾーンでHTTPを永続的に許可 - firewall-cmd --zone=public —add-service=http —permanent • Workゾーンで **.**.**.** を許可 - firewall-cmd —zone=work —add-source=**.**.**.** • 設定の再読込 - firewall-cmd —reload permanentがないと再起動時 に設定がきえてしまう…
$ 独自で定義したいときは? • 例) zabbix-agent のポートあけたいなぁ - 既存の定義ファイルを基に定義ファイルを作成しよう - /usr/lib/firewalld
には追加しないこと! • /etc/firewalld/services/zabbix-agent.xml に 以下のような設定を書いてreloadすると —add-service=zabbix-agent と指定できる <service> <short>zabbix-agent</short> <description>Zabbix Agent</description> <port protocol="tcp" port="10050"/> </service>
$ おすすめサイトと書籍 • そもそもCentOS7わかんねぇ!という人には CentOS7 実践ガイド (インプレス/古賀政純著)! 私はこちらの書籍でCentOS7を勉強しました • firewalldについては以下2サイトがおすすめ!
firewalldの全てを閲覧した気持ちになれる! - https://access.redhat.com/documentation/ja- JP/Red_Hat_Enterprise_Linux/7/html/ Security_Guide/sec-Using_Firewalls.html - https://fedoraproject.org/wiki/FirewallD/jp
$ まとめ • firewalldは慣れるとiptablesより簡単 - コピペでの定義にさよならバイバイ • firewall-cmdが便利すぎてヤバい - これはいい意味でのヤバいです
• firewalldにはゾーンという概念がある • 独自設定は /etc/firewalld/services に保存 - 移行するときは定義ファイル持っていくだけでOK • 設定がわからなくなったらドキュメント読もう - ドキュメントは全ての悩みを解決する
$ おしまい ご清聴ありがとウサギ
misato8310
asumikam
news_it_enj
melonps
lycorptech_jp
teamlab
kohbis
tanakaseiya
jackojacko_
play_inc
nealle
cipepser
1ftseabass
3n
soudai
trallard
kristinabergwall1
kimpetersen
charlesmeaden
stephenakadiri
aki_iinuma
nonsquared
reverentgeek
kevinliebholz
