RHEL7・CentOS 7で各サービスへの接続を許可する方法【firewalld】

Red Hat Enterprise Linux 7（RHEL 7）やCentOS 7では、標準で「firewalld」というファイアウォール管理ツールが動作しており、「firewall-cmd」を使って任意のサービスへの接続を許可できます。

以下のコマンドは、「ssh」「http」「https」への接続許可を設定する例です。

sudo firewall-cmd --add-service=ssh --add-service=http --add-service=https --permanent
sudo firewall-cmd --reload

以下のコマンドで、サービスが追加されたことを確認できます。

# sudo firewall-cmd --list-service
ssh http https

追加したサービスを削除するには、以下のように実行します。

sudo firewall-cmd --remove-service=ssh --remove-service=http --remove-service=https --permanent
sudo firewall-cmd --reload

設定可能なサービスの一覧は、以下のコマンドで確認できます。

# sudo firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry docker-swarm dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls managesieve mdns minidlna mongodb mosh mountd ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh syncthing syncthing-gui synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

なお、各サービスのプロトコルやポート番号は、「/usr/lib/firewalld/services/」以下のXMLファイルで定義されています。「/etc/firewalld/services」に独自の定義を追加することも可能です。

また、任意のプロトコルやポートをfirewall-cmdに直接指定して許可することもできます。詳しくは、以下の記事を参照してください。