firewalld の履歴(No.12)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• firewalld へ行く。
  • 1 (2021-11-14 (日) 12:02:54)
  • 2 (2022-03-15 (火) 13:55:25)
  • 3 (2025-03-06 (木) 18:57:30)
  • 4 (2025-03-06 (木) 22:36:19)
  • 5 (2025-03-06 (木) 23:12:49)
  • 6 (2025-03-07 (金) 08:59:34)
  • 7 (2025-03-07 (金) 12:08:51)
  • 8 (2025-05-10 (土) 16:31:47)
  • 9 (2025-10-11 (土) 21:47:36)
  • 10 (2025-10-12 (日) 10:28:41)
  • 11 (2025-10-12 (日) 20:27:46)
  • 12 (2025-10-12 (日) 21:28:21)

---

firewalld†

• Dynamic Firewall Manager

概要†

• RHEL、CentOS ※CentOS7以降
• ファイアウォール
• 裏側ではiptablesを利用している
• https://firewalld.org/

firewalldの特徴†

• 設定の変更がサービスを再起動せずに反映される
• NICごとにセキュリティポリシーを設定できる

firewalldの機能†

ゾーン†

• Zone
• ゾーンの単位でセキュリティポリシーを設定する
• ゾーンにNICを割り当てることで、NICごとに異なるをセキュリティポリシーを適用できる

アクティブゾーン†

• Active Zone
• NICが割り当てられているゾーンのこと

デフォルトゾーン†

• Default Zone
• 新しく接続されたNICに対して自動的に適用されるゾーン
• 明示的にゾーンを設定していないNICには、デフォルトゾーンが自動的に適用される

ゾーンの種類（デフォルト）†

コマンド†

サービスの操作（systemctl）†

systemctl status firewalld
systemctl start firewalld
systemctl stop firewalld
systemctl reload firewalld

firewalld†

firewall-cmd†

• サービスの起動状態を確認

  firewall-cmd --state

• ゾーンの確認
  • アクティブゾーン

    firewall-cmd --get-active-zones

  • デフォルトゾーン

    firewall-cmd --get-default-zone

  • ゾーンの一覧を確認（利用可能なゾーンが表示される）

    firewall-cmd --get-zones

• ゾーンの設定を確認
  • アクティブなゾーン

    firewall-cmd --list-all
    firewall-cmd --list-all --permanent

  • 指定したゾーン

    firewall-cmd --list-all --zone=<zone-name>

  • 全てのゾーン

    firewall-cmd --list-all-zones

  • アクティブなゾーンの公開されているサービス

    firewall-cmd --list-services
    firewall-cmd --list-services --permanent

  • アクティブなゾーンの公開されているポート

    firewall-cmd --list-ports
    firewall-cmd --list-ports --permanent

  • 登録されているリッチルール

    firewall-cmd --list-rich-rules

• NICをゾーンに設定
  • NICのゾーンを変更する

    firewall-cmd --change-interface=<NIC_name> --zone=<zone-name> --permanent

  • NICのゾーンを削除する

    firewall-cmd --remove-interface=<NIC_name> --zone=<zone-name> --permanent

• ゾーンの設定を変更　※zoneを指定しなかった場合、defaultゾーンに設定される
  • サービス

    firewall-cmd --add-service=<service-name> --zone=<zone-name> --permanent　※追加（公開）
    firewall-cmd --remove-service=<service-name> --zone=<zone-name> --permanent　※削除（非公開）
    firewall-cmd --query-service=<service-name> --zone=<zone-name>　※現在の設定を確認

• ポート

  firewall-cmd --add-port=<port-no> --zone=<zone-name> --permanent　※追加（公開）
  firewall-cmd --remove-port=<port-no> --zone=<zone-name> --permanent　※削除（非公開）

• 接続元IPv4アドレス

  firewall-cmd --add-source=<ipv4-address>/<cidr> --zone=<zone-name> --permanent　※追加（許可）
  firewall-cmd --remove-source=<ipv4-address>/<cidr> --zone=<zone-name> --permanent　※削除（不許可）

• ICMP
  • icmp-block-inversion

    firewall-cmd --add-icmp-block-inversion --zone=<zone-name>　※有効(yes)
    firewall-cmd --remove-icmp-block-inversion --zone=<zone-name>　※無効(no)
    firewall-cmd --query-icmp-block-inversion --zone=<zone-name>　※現在の設定を表示

  • icmp-blocks

    firewall-cmd --add-icmp-block=<icmp-type> --zone=<zone-name>　※追加（許可）
    firewall-cmd --remove-icmp-block=<icmp-type> --zone=<zone-name>　※削除（不許可）
    firewall-cmd --query-icmp-block=<icmp-type> --zone=<zone-name>　※現在の設定を確認

• IPマスカレード

  firewall-cmd --add-masquerade --zone=<zone-name>　※有効(yes)
  firewall-cmd --remove-masquerade --zone=<zone-name>　※無効(no)
  firewall-cmd --query-masquerade --zone=<zone-name>　※現在の設定を確認

• IPv4フォワードポート（DNAT）

  firewall-cmd --add-forward-port=<変換ルール> --zone=<zone-name>　※追加
  firewall-cmd --remove-forward-port=<変換ルール> --zone=<zone-name>　※削除
  firewall-cmd --query-forward-port=<変換ルール> --zone=<zone-name>　※現在の設定を確認
  firewall-cmd --list-forward-ports --zone=<zone-name>　※現在の設定を確認
  ※変換ルールの例：
  port=443:proto=tcp:toaddr=192.168.1.1

• リッチルール

  firewall-cmd --add-rich-rule='rule family="ipv4" source address="<ipv4-address>" service name="<service-name>" accept' --zone=<zone-name>　※追加
  firewall-cmd --add-rich-rule='rule family="ipv4" source address="<ipv4-address>" protocol="<tcp/udp>" port="<port-no>" accept' --zone=<zone-name>　※追加
  firewall-cmd --remove-rich-rule='rule family="ipv4" source address="<ipv4-address>" service name="<service-name>" accept' --zone=<zone-name>　※削除

• 永続設定を反映する ※永続的に設定する場合、--parmanentオプションを指定して実行後、--reloadする必要があります

  firewall-cmd --reload

• デフォルトゾーンを変更

  firewall-cmd --set-default-zone=<zone-name>

• サービスの情報を確認
  • サービスの一覧（利用可能なサービス）

    firewall-cmd --get-services
    firewall-cmd --get-services | tr ' ' '¥n'

  • サービスの詳細情報（対象ポート番号など）

    firewall-cmd --info-service=<service-name>

• ICMP TYPEの情報を確認
  • ICMP TYPEの一覧（利用可能なICMP TYPE）

    firewall-cmd --get-icmptypes

設定ファイル†

• /etc/firewalld/firewalld.conf

• ゾーンの定義ファイル
  • /usr/lib/firewalld/zones/<zone-name>.xml　※デフォルト
  • /etc/firewalld/zones/<zone-name>.xml

• サービスの定義ファイル
  • /usr/lib/ rewalld/services/<service-name>.xml　※デフォルト

• インターフェイスの設定ファイル（明示的に指定したゾーンが設定される）
  • /etc/NetworkManager/system-connections/<interface-name>.nmconnection

    [connection]
    zone=<zone-name>

関連サイト†

• CentOS 7 firewalld よく使うコマンド(2019.10.2)
  https://qiita.com/kenjjiijjii/items/1057af2dddc34022b09e

• CentOS7徹底入門 -firewalld (2015.10.13) - Nedia Blog
  https://www.nedia.ne.jp/blog/tech/2015/10/13/6031

• Predefined Zones - firewalld公式
  https://firewalld.org/documentation/zone/predefined-zones.html

関連用語†

• ufw
• Linuxのネットワーク
• D-BUS
• ファイアウォール