DTI ServersMan@VPSのEntryプラン/CentOS7/シンプルセットにて実施しました。
CentOS7の標準ファイアウォールはiptablesではなくfirewalldですが
ServersMan@VPSのCentOS7ではfirewalldは無く、iptablesで設定します。
※firewalldについては以下のページに記載しました。
ServersMan@VPSのCentOS7のファイアウォールの
サービスの状態は以下です。
systemctl -aを「fire」でgrepするとip6tablesが無効、
iptablesは有効、firewalldはありませんでした。
[root@dti-vps-srv94]# systemctl -a | grep fire
ip6tables.service loaded inactive dead IPv6 firewall with ip6tables
iptables.service loaded active exited IPv4 firewall with iptables
firewalldはnot-foundとなりました。
[root@dti-vps-srv94]# systemctl status firewalld
firewalld.service
Loaded: not-found (Reason: No such file or directory)
Active: inactive (dead)
/etc/sysconfig/iptablesの確認
iptables-saveで作られたファイルで
パケットバイトカウンタが載っていました。
cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.21 on Fri Sep 19 10:51:23 2014
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [3:177]
:OUTPUT ACCEPT [3:177]
COMMIT
# Completed on Fri Sep 19 10:51:23 2014
# Generated by iptables-save v1.4.21 on Fri Sep 19 10:51:23 2014
*mangle
:PREROUTING ACCEPT [2:268]
:INPUT ACCEPT [2:268]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3:177]
:POSTROUTING ACCEPT [3:177]
COMMIT
# Completed on Fri Sep 19 10:51:23 2014
# Generated by iptables-save v1.4.21 on Fri Sep 19 10:51:23 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Fri Sep 19 10:51:23 2014
"/etc/sysconfig/iptables" 23L, 618C
/etc/sysconfig/iptablesファイルの記載を全て削除し、ServersMan@VPSでは無い
CentOS7の/etc/sysconfig/iptablesファイルのものを記載しました。
ServersMan@VPSでは無いCentOS7の/etc/sysconfig/iptablesファイル
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
SSHのポートはtcp/22では無い(初期のポート番号は3843)ため変更しておきましょう。
-A INPUT -p tcp -m state --state NEW -m tcp --dport ポート番号 -j ACCEPT
iptablesを再起動します。
または
AirDisplay@VPSへHTTPSアクセスしアクセス不可を確認するなど、
SSH以外のポートへアクセス出来ないことを確認します。
またWEBサーバはtcp/80、メールサーバはtcp/25、DNSサーバはudp/53(tcp/53)を
使用するためそれらを稼働する際はポートを開けましょう。
また、送信元の指定は「-s 192.168.1.1」との表記です。
※AirDisplay@VPSへアクセスする場合(WEBサーバでHTTPSで待ち受ける場合)
tcp/443も開けます。AirDisplay@VPS(サービス名はajaxterm)自体は
127.0.0.1:8022です。サービスを停止するには以下のコマンドです。
または
またchkconfig、systemctl list-unit-filesには載ってきません。