ザックリFirewalld

東海道らぐ横浜の集い 2017初夏の巻  靴ひも伍長 @_EOF_83_EOF_

$ whois • 靴ひも伍長(くつひもごちょう)です  - I’m イン腐ラエンジニアーッ！  - I love
CentOS and Vim   - アニメ・漫画・ゲームのために生きている • 生まれも育ちも横浜のはまっ子  - 仕事の関係で札幌暮らし経験あり • 管理対象サーバがメンテナンスの連続でマジヤバい  - これは悪い意味でのヤバいですボスケテ… 普段はこんなアイコンで  過ごしてる

$ 近況 • GWに初京都決めた！  - 3日で8万歩歩いた(ドヤ顔)  - 清水の舞台工事中だった(白目)

$ 今日のお題 • ザックリFirewalld  - firewalld…ﾀﾞﾘﾅﾝﾀﾞｱﾝﾀｲｯﾀｲ  - 個人的firewalldのいいところ  - firewalldのゾーンについて 
- とりあえずfirewalld使ってみよう  - 独自で定義したいときは？ • まとめ

$ firewalld…ﾀﾞﾘﾅﾝﾀﾞｱﾝﾀｲｯﾀｲ • 標準で装備されるパケットフィルタリングの一種  - サーバを守るために有効にするべき機能のひとつ  - RHEL7/CentOS7から正式導入  (CentOS6からの変更点多すぎるんですけど)  -
iptablesからの切替が進んでいる  - iptablesのラッパーだYo!  firewalld起動したら iptables -L -n してみてね • ゾーンという概念が存在する • 慣れるとiptablesより設定しやすい  - iptablesの方が設定楽だと思っていたけど  そんなことはなかったぜ！

$ 個人的firewalldのいいところ • iptablesのような呪文を覚えなくていい  - コピペして再利用とかやらなくていい…！  - 後継者を混乱させにくい  他人の作成したiptablesは解読したくない〜！  -
フィルタリング設定の見通しがいい • firewall-cmd コマンドが使いやすい  - オプションがわかりやすい  ただオプションの文字列が長い

$ firewalldのゾーンについて • 信頼レベルに基いてサービスの制御を行う仕組み  - ゾーンは9つある • よく使うゾーンについて  - Publicゾーン
(デフォルトで有効のゾーン)  NW上にあるマシンは信頼できない前提のゾーン  内部に入るパケットは許す。  私はeth0を割り当ててHTTP/HTTPSを許可してる  - Workゾーン  NW上にあるマシンは信頼するゾーン  内部に入るパケットは許す。  SSHの許可に適している気がする • 用途によってどのように設定するのかが大事！

$ とりあえずfirewalld使ってみよう • firewalldの起動  - systemctl start firewalld • firewalldの自動起動を有効化 
- systemctl enable firewalld • firewalldの設定内容を一覧表示  - firewall-cmd —list-all-zones • PublicゾーンでHTTPを永続的に許可  - firewall-cmd --zone=public —add-service=http —permanent • Workゾーンで **.**.**.** を許可  - firewall-cmd —zone=work —add-source=**.**.**.** • 設定の再読込  - firewall-cmd —reload  permanentがないと再起動時に設定がきえてしまう…

$ 独自で定義したいときは？ • 例) zabbix-agent のポートあけたいなぁ  - 既存の定義ファイルを基に定義ファイルを作成しよう  - /usr/lib/firewalld
には追加しないこと！ • /etc/firewalld/services/zabbix-agent.xml に  以下のような設定を書いてreloadすると  —add-service=zabbix-agent と指定できる <service> <short>zabbix-agent</short> <description>Zabbix Agent</description> <port protocol="tcp" port="10050"/> </service>

$ おすすめサイトと書籍 • そもそもCentOS7わかんねぇ！という人には  CentOS7 実践ガイド (インプレス/古賀政純著)！  私はこちらの書籍でCentOS7を勉強しました • firewalldについては以下2サイトがおすすめ！ 
firewalldの全てを閲覧した気持ちになれる！  - https://access.redhat.com/documentation/ja- JP/Red_Hat_Enterprise_Linux/7/html/ Security_Guide/sec-Using_Firewalls.html  - https://fedoraproject.org/wiki/FirewallD/jp

$ まとめ • firewalldは慣れるとiptablesより簡単  - コピペでの定義にさよならバイバイ • firewall-cmdが便利すぎてヤバい  - これはいい意味でのヤバいです
• firewalldにはゾーンという概念がある • 独自設定は /etc/firewalld/services に保存  - 移行するときは定義ファイル持っていくだけでOK • 設定がわからなくなったらドキュメント読もう  - ドキュメントは全ての悩みを解決する

$ おしまい  ご清聴ありがとウサギ

ザックリFirewalld

ザックリFirewalld

Kutsuhimo Gochou

More Decks by Kutsuhimo Gochou

Other Decks in Technology

Featured

Transcript

東海道らぐ横浜の集い 2017初夏の巻  靴ひも伍長 @_EOF_83_EOF_

$ whois • 靴ひも伍長(くつひもごちょう)です  - I’m イン腐ラエンジニアーッ！  - I love

$ 近況 • GWに初京都決めた！  - 3日で8万歩歩いた(ドヤ顔)  - 清水の舞台工事中だった(白目)

$ 今日のお題 • ザックリFirewalld  - firewalld…ﾀﾞﾘﾅﾝﾀﾞｱﾝﾀｲｯﾀｲ  - 個人的firewalldのいいところ  - firewalldのゾーンについて

$ firewalld…ﾀﾞﾘﾅﾝﾀﾞｱﾝﾀｲｯﾀｲ • 標準で装備されるパケットフィルタリングの一種  - サーバを守るために有効にするべき機能のひとつ  - RHEL7/CentOS7から正式導入  (CentOS6からの変更点多すぎるんですけど)  -

$ 個人的firewalldのいいところ • iptablesのような呪文を覚えなくていい  - コピペして再利用とかやらなくていい…！  - 後継者を混乱させにくい  他人の作成したiptablesは解読したくない〜！  -

$ firewalldのゾーンについて • 信頼レベルに基いてサービスの制御を行う仕組み  - ゾーンは9つある • よく使うゾーンについて  - Publicゾーン

$ とりあえずfirewalld使ってみよう • firewalldの起動  - systemctl start firewalld • firewalldの自動起動を有効化

$ 独自で定義したいときは？ • 例) zabbix-agent のポートあけたいなぁ  - 既存の定義ファイルを基に定義ファイルを作成しよう  - /usr/lib/firewalld

$ おすすめサイトと書籍 • そもそもCentOS7わかんねぇ！という人には  CentOS7 実践ガイド (インプレス/古賀政純著)！  私はこちらの書籍でCentOS7を勉強しました • firewalldについては以下2サイトがおすすめ！

$ まとめ • firewalldは慣れるとiptablesより簡単  - コピペでの定義にさよならバイバイ • firewall-cmdが便利すぎてヤバい  - これはいい意味でのヤバいです

$ おしまい  ご清聴ありがとウサギ