差分

このページの2つのバージョン間の差分を表示します。

--- linux:commands:network:firewall-cmd [2022/09/14 01:54] – [定義済みゾーンの確認] ともやん
+++ linux:commands:network:firewall-cmd [2025/02/21 12:16] (現在) – [サービスで許可されるポートを調べる] ともやん
@@ 行 1: / 行 1: @@
-====== firewalld(Fedora) ======
+====== firewalld (Linux) ======
 firewall-cmd は firewalld パッケージに含まれている。
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo dnf install firewalld
+<font color="#0087FF"><b>$</b></font> <font color="#26A269"><u style="text-decoration-style:solid">sudo</u></font> <font color="#26A269">dnf</font> install firewalld
 </pre></html></WRAP>
 </WRAP>
 ===== 定義済みゾーンの確認 [--get-zones, --list-all-zones] =====
+Fedora 36\\
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ firewall-cmd --get-zones
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--get-zones</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 19: / 行 20: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ firewall-cmd --list-all-zones
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--list-all-zones</font>
 </pre></html></WRAP>
 <WRAP color_result_long><html><pre>
@@ 行 222: / 行 223: @@
 </WRAP>
-===== デフォルトゾーンの確認 =====
+Ubuntu 22.04.1 LTS\\
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ firewall-cmd --get-default-zone
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--get-zones</font>
+</pre></html></WRAP>
+<WRAP color_result><html><pre>
+block dmz drop external home internal nm-shared public trusted work
+</pre></html></WRAP>
+</WRAP>
+<WRAP color_term>
+<WRAP color_command><html><pre>
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--list-all-zones</font>
+</pre></html></WRAP>
+<WRAP color_result_long><html><pre>
+block
+  target: %%REJECT%%
+  icmp-block-inversion: no
+  interfaces:
+  sources:
+  services:
+  ports:
+  protocols:
+  forward: yes
+  masquerade: no
+  forward-ports:
+  source-ports:
+  icmp-blocks:
+  rich rules:
+dmz
+  target: default
+  icmp-block-inversion: no
+  interfaces:
+  sources:
+  services: ssh
+  ports:
+  protocols:
+  forward: yes
+  masquerade: no
+  forward-ports:
+  source-ports:
+  icmp-blocks:
+  rich rules:
+drop
+  target: DROP
+  icmp-block-inversion: no
+  interfaces:
+  sources:
+  services:
+  ports:
+  protocols:
+  forward: yes
+  masquerade: no
+  forward-ports:
+  source-ports:
+  icmp-blocks:
+  rich rules:
+external
+  target: default
+  icmp-block-inversion: no
+  interfaces:
+  sources:
+  services: ssh
+  ports:
+  protocols:
+  forward: yes
+  masquerade: yes
+  forward-ports:
+  source-ports:
+  icmp-blocks:
+  rich rules:
+home
+  target: default
+  icmp-block-inversion: no
+  interfaces:
+  sources:
+  services: dhcpv6-client mdns samba-client ssh
+  ports:
+  protocols:
+  forward: yes
+  masquerade: no
+  forward-ports:
+  source-ports:
+  icmp-blocks:
+  rich rules:
+internal
+  target: default
+  icmp-block-inversion: no
+  interfaces:
+  sources:
+  services: dhcpv6-client mdns samba-client ssh
+  ports:
+  protocols:
+  forward: yes
+  masquerade: no
+  forward-ports:
+  source-ports:
+  icmp-blocks:
+  rich rules:
+nm-shared
+  target: ACCEPT
+  icmp-block-inversion: no
+  interfaces:
+  sources:
+  services: dhcp dns ssh
+  ports:
+  protocols: icmp ipv6-icmp
+  forward: no
+  masquerade: no
+  forward-ports:
+  source-ports:
+  icmp-blocks:
+  rich rules:
+	rule priority="32767" reject
+public (active)
+  target: default
+  icmp-block-inversion: no
+  interfaces: enp1s0
+  sources:
+  services: dhcpv6-client ssh
+  ports:
+  protocols:
+  forward: yes
+  masquerade: no
+  forward-ports:
+  source-ports:
+  icmp-blocks:
+  rich rules:
+trusted
+  target: ACCEPT
+  icmp-block-inversion: no
+  interfaces:
+  sources:
+  services:
+  ports:
+  protocols:
+  forward: yes
+  masquerade: no
+  forward-ports:
+  source-ports:
+  icmp-blocks:
+  rich rules:
+work
+  target: default
+  icmp-block-inversion: no
+  interfaces:
+  sources:
+  services: dhcpv6-client ssh
+  ports:
+  protocols:
+  forward: yes
+  masquerade: no
+  forward-ports:
+  source-ports:
+  icmp-blocks:
+  rich rules:
+</pre></html></WRAP>
+</WRAP>
+===== デフォルトゾーンとアクティブゾーンの確認 =====
+<WRAP color_term>
+<WRAP color_command><html><pre>
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--get-default-zone</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 232: / 行 402: @@
 </WRAP>
-<WRAP left round tip 95%>
+<WRAP color_term>
+<WRAP color_command><html><pre>
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--get-active-zones</font>
+</pre></html></WRAP>
+<WRAP color_result><html><pre>
+FedoraWorkstation
+  interfaces: wlp2s0
+</pre></html></WRAP>
+</WRAP>
+<WRAP left round tip 95% minfont_12>
 はじめに__デフォルトゾーンの確認を行っておくことは重要__です。\\
 <html><code>firewall-cmd</code></html> コマンドを <html><code>--zone</code></html> オプションを省略して実行すると、すべての操作はデフォルトゾーンに対して行われます。\\
@@ 行 240: / 行 420: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ firewall-cmd --get-default-zone
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--get-default-zone</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 246: / 行 426: @@
 </pre></html></WRAP>
 <WRAP color_command><html><pre>
-$ firewall-cmd --list-services
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--list-services</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 252: / 行 432: @@
 </pre></html></WRAP>
 <WRAP color_command><html><pre>
-$ firewall-cmd --zone=FedoraWorkstation --list-services
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--zone=FedoraWorkstation --list-services</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 258: / 行 438: @@
 </pre></html></WRAP>
 <WRAP color_command><html><pre>
-$ firewall-cmd --zone=FedoraServer --list-services
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--zone=FedoraServer --list-services</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 268: / 行 448: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ firewall-cmd --get-default-zone
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--get-default-zone</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 274: / 行 454: @@
 </pre></html></WRAP>
 <WRAP color_command><html><pre>
-$ firewall-cmd --get-active-zones
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--get-active-zones</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 283: / 行 463: @@
 </pre></html></WRAP>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --zone=FedoraServer --change-interface=enp8s0
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA">--zone=FedoraServer --change-interface=enp8s0</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 289: / 行 469: @@
 </pre></html></WRAP>
 <WRAP color_command><html><pre>
-$ firewall-cmd --get-active-zones
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--get-active-zones</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 299: / 行 479: @@
 </pre></html></WRAP>
 <WRAP color_command><html><pre>
-$ firewall-cmd --list-services
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--list-services</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 319: / 行 499: @@
 </WRAP>
-===== デフォルトゾーンの変更 =====
+===== デフォルトゾーンとアクティブゾーンの変更 =====
-workゾーンへ変更
+デフォルトゾーンを FedoraServer へ変更\\
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --set-default-zone=work
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA">--set-default-zone=FedoraServer</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
+success
 </pre></html></WRAP>
-</WRAP>
-すべてのアクセスを許可するtrustedゾーンへ変更
-<WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --set-default-zone=trusted
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--get-default-zone</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
+FedoraServer
 </pre></html></WRAP>
-</WRAP>
-※これらの変更はすぐに反映される。
-===== アクティブゾーンの確認 =====
-<WRAP color_term>
 <WRAP color_command><html><pre>
-$ firewall-cmd --get-active-zones
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--get-active-zones</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
-FedoraServer
+FedoraWorkstation
-  interfaces: br0 ens33
+  interfaces: wlp2s0
 </pre></html></WRAP>
 </WRAP>
+※デフォルトゾーンを変更してもアクティブゾーンが変更される訳ではない🤔\\
-===== アクティブゾーンの変更 =====
+　これらの変更はすぐに反映される🤔\\
+\\
+アクティブゾーンを FedoraServer へ変更\\
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --zone=work --change-interface=ens33
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd </font> <font color="#A347BA">--zone=FedoraServer --change-interface=wlp2s0</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
+success
+</pre></html></WRAP>
+<WRAP color_command><html><pre>
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd </font> <font color="#A347BA">--get-active-zones</font>
+</pre></html></WRAP>
+<WRAP color_result><html><pre>
+FedoraServer
+  interfaces: wlp2s0
 </pre></html></WRAP>
 </WRAP>
@@ 行 362: / 行 545: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --list-services
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--list-services</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 372: / 行 555: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --list-ports
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd </font> <font color="#A347BA">--list-ports</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 382: / 行 565: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ firewall-cmd --get-services
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd </font> <font color="#A347BA">--get-services</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 392: / 行 575: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --permanent --add-service=ssh
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA">--permanent --add-service=ssh</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
+success
 </pre></html></WRAP>
 </WRAP>
@@ 行 401: / 行 585: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --permanent --remove-service=ssh
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA">--permanent --remove-service=ssh</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
+success
+</pre></html></WRAP>
+</WRAP>
+複数サービスの許可を一括で永続的に削除🤤\\
+<WRAP color_term>
+<WRAP color_command><html><pre>
+<font color="#0087FF"><b>$</b></font> <font color="#26A269"><u style="text-decoration-style:solid">sudo</u></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--permanent</font> <font color="#A347BA">--remove-service=</font><font color="#12488B"><b>{</b></font><font color="#A347BA">ssh,cockpit</font><font color="#12488B"><b>}</b></font>
+</pre></html></WRAP>
+<WRAP color_result><html><pre>
+success
 </pre></html></WRAP>
 </WRAP>
@@ 行 410: / 行 605: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --permanent --add-port=22022/tcp
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA">--permanent --add-port=22022/tcp</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
+success
 </pre></html></WRAP>
 </WRAP>
@@ 行 419: / 行 615: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --permanent --remove-port=22022/tcp
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA">--permanent --remove-port=22022/tcp</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
+success
 </pre></html></WRAP>
 </WRAP>
@@ 行 428: / 行 625: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --permanent --add-source=192.168.1.0/24
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA"> --permanent --add-source=192.168.1.0/24</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
+success
 </pre></html></WRAP>
 </WRAP>
@@ 行 438: / 行 636: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --permanent --add-source=192.168.1.0/24 --zone=drop
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA">--permanent --add-source=192.168.1.0/24 --zone=drop</font>
-$ sudo firewall-cmd --permanent --add-source=192.168.1.1 --zone=drop
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
+success
+</pre></html></WRAP>
+<WRAP color_command><html><pre>
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA">--permanent --add-source=192.168.1.1 --zone=drop</font>
+</pre></html></WRAP>
+<WRAP color_result><html><pre>
+success
 </pre></html></WRAP>
 </WRAP>
@@ 行 448: / 行 652: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --list-sources --zone=drop
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA">--list-sources --zone=drop</font>
 .168.1.0/24 192.168.1.1
 </pre></html></WRAP>
@@ 行 458: / 行 662: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --permanent --remove-source=192.168.1.0/24 --zone=drop
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA">--permanent --remove-source=192.168.1.0/24 --zone=drop</font>
-$ sudo firewall-cmd --permanent --remove-source=192.168.1.1 --zone=drop
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">sudo firewall-cmd</font> <font color="#A347BA">--permanent --remove-source=192.168.1.1 --zone=drop</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
@@ 行 468: / 行 672: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ sudo firewall-cmd --reload
+<font color="#0087FF"><b>$</b></font> <font color="#26A269"><u style="text-decoration-style:solid">sudo</u></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--reload</font>
 </pre></html></WRAP>
 <WRAP color_result><html><pre>
+success
 </pre></html></WRAP>
 </WRAP>
@@ 行 478: / 行 683: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ cat /usr/lib/firewalld/services/ldap.xml
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">bat</font> <u style="text-decoration-style:solid">/usr/lib/firewalld/services/ldap.xml</u>
+</pre></html></WRAP>
+<WRAP color_result><html><pre>
+<font color="#444444">   1</font> <font color="#FFFFFF">&lt;?</font><font color="#F92672">xml</font><font color="#F8F8F2"> </font><font color="#A6E22E">version</font><font color="#F8F8F2">=</font><font color="#E6DB74">&quot;1.0&quot;</font><font color="#F8F8F2"> </font><font color="#A6E22E">encoding</font><font color="#F8F8F2">=</font><font color="#E6DB74">&quot;utf-8&quot;</font><font color="#FFFFFF">?&gt;</font>
+<font color="#444444">   2</font> <font color="#FFFFFF">&lt;</font><font color="#F92672">service</font><font color="#FFFFFF">&gt;</font>
+<font color="#444444">   3</font> <font color="#F8F8F2">  </font><font color="#FFFFFF">&lt;</font><font color="#F92672">short</font><font color="#FFFFFF">&gt;</font><font color="#F8F8F2">LDAP</font><font color="#FFFFFF">&lt;/</font><font color="#F92672">short</font><font color="#FFFFFF">&gt;</font>
+<font color="#444444">   4</font> <font color="#F8F8F2">  </font><font color="#FFFFFF">&lt;</font><font color="#F92672">description</font><font color="#FFFFFF">&gt;</font><font color="#F8F8F2">Lightweight Directory Access Protocol (LDAP) server</font><font color="#FFFFFF">&lt;/</font><font color="#F92672">description</font><font color="#FFFFFF">&gt;</font>
+<font color="#444444">   5</font> <font color="#F8F8F2">  </font><font color="#FFFFFF">&lt;</font><font color="#F92672">port</font><font color="#F8F8F2"> </font><font color="#A6E22E">protocol</font><font color="#F8F8F2">=</font><font color="#E6DB74">&quot;tcp&quot;</font><font color="#F8F8F2"> </font><font color="#A6E22E">port</font><font color="#F8F8F2">=</font><font color="#E6DB74">&quot;389&quot;</font><font color="#FFFFFF">/&gt;</font>
+<font color="#444444">   6</font> <font color="#FFFFFF">&lt;/</font><font color="#F92672">service</font><font color="#FFFFFF">&gt;</font>
 </pre></html></WRAP>
-<WRAP color_result>
-<code xml>
-<?xml version="1.0" encoding="utf-8"?>
-<service>
-  <short>LDAP</short>
-  <description>Lightweight Directory Access Protocol (LDAP) server</description>
-  <port protocol="tcp" port="389"/>
-</service>
-</code></WRAP>
 </WRAP>
@@ 行 494: / 行 698: @@
 <WRAP color_term>
 <WRAP color_command><html><pre>
-$ firewall-cmd --help
+<font color="#0087FF"><b>$</b></font> <font color="#26A269">firewall-cmd</font> <font color="#A347BA">--help</font>
 </pre></html></WRAP>
 <WRAP color_result_long><html><pre>