Red Hat でファイアウォールを構成する
チャンバー VM は、オペレーティング システムとして Red Hat Enterprise Linux を実行します。 既定では、ファイアウォールは、マネージド サービスを除くすべての受信接続を拒否するように構成されています。 受信通信を許可するには、トラフィックの通過を許可する規則をファイアウォールに追加する必要があります。 同様に、ルールが不要になった場合は、削除する必要があります。
この記事では、最も一般的なファイアウォール構成コマンドについて説明します。 完全なドキュメントまたはより複雑なシナリオについては、Red Hat Enterprise Linux 8 ドキュメントの第 40 章の firewalld の使用と構成を参照してください。
ここで参照されるすべての操作には sudo 特権が必要であるため、チャンバー管理者の役割が必要です。
重要
VM は、同じチャンバー内の他の VM のみと通信できます。 チャンバー間のトラフィックは許可されません。ファイアウォール規則を変更しても、チャンバー間トラフィックは有効になりません。
前提条件
- チャンバー管理者ロールを持つユーザー アカウント。
開いているすべてのポートを一覧表示する
現在開いているすべてのポートと関連付けられているプロトコルを一覧表示します。
$ sudo firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: cockpit dhcpv6-client ssh
ports: 6817-6819/tcp 60001-63000/tcp
protocols:
forward: no
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
トラフィックのポートを開く
ネットワーク トラフィック用に、1 つまたは連続するポート範囲を開くことができます。 firewall-d に対する変更は一時的なもので、コミットされない限り、サービスが再起動または再読み込みされた場合に保持されません。
単一のポートを開く
--add-port=portnumber/porttype オプションを使用して、特定のプロトコルの firewalld を持つ単一のポートを開きます。 この例では、ポート 5510/TCP を開きます。
$ sudo firewall-cmd --add-port=33500/tcp
success
永続的なセットにルールをコミットします。
$ sudo firewall-cmd --runtime-to-permanent
success
ポートの範囲を開く
--add-port=startport-endport/porttype オプションを使用して、指定したプロトコルの firewalld を使用してポートの範囲を開きます。 このコマンドは、ワーカーが多数のノードにディスパッチされ、複数のワーカーが同じ物理ノード上に存在する可能性がある分散コンピューティング シナリオで役立ちます。 この例では、UDP プロトコルを使用して、ポート 5000 から連続する 100 個のポートを開きます。
$ sudo firewall-cmd --add-port=5000-5099/udp
success
永続的なセットにルールをコミットします。
$ sudo firewall-cmd --runtime-to-permanent
success
ポート規則を削除する
ルールが不要になった場合は、追加と使用と同じ記法 --remove-port=portnumber/porttype で削除できます。 この例では、単一のポートを削除します。
$ sudo firewall-cmd --remove-port=33500/tcp
success
永続的なセットにルールをコミットします。
$ sudo firewall-cmd --runtime-to-permanent
success