ServersMan@VPSの初期設定その3　CentOS7 iptables（ファイアウォール）設定方法

DTI ServersMan@VPSのEntryプラン/CentOS7/シンプルセットにて実施しました。

ServersMan@VPSのCentOS7のファイアウォールについて

CentOS7の標準ファイアウォールはiptablesではなくfirewalldですが
ServersMan@VPSのCentOS7ではfirewalldは無く、iptablesで設定します。

※firewalldについては以下のページに記載しました。

CentOS7の標準ファイアウォール「firewalld」について

ServersMan@VPSのCentOS7のファイアウォールの
サービスの状態は以下です。

・iptablesは起動

・ip6tablesは停止

・firewalldは無し

systemctl -aを「fire」でgrepするとip6tablesが無効、
iptablesは有効、firewalldはありませんでした。

[root@dti-vps-srv94]# systemctl -a | grep fire

ip6tables.service loaded inactive dead IPv6 firewall with ip6tables
iptables.service loaded active exited IPv4 firewall with iptables

firewalldはnot-foundとなりました。

[root@dti-vps-srv94]# systemctl status firewalld

firewalld.service
Loaded: not-found (Reason: No such file or directory)
Active: inactive (dead)

ServersMan@VPSのCentOS7の/etc/sysconfig/iptablesについて

/etc/sysconfig/iptablesの確認

iptables-saveで作られたファイルで
パケットバイトカウンタが載っていました。

cat /etc/sysconfig/iptables

# Generated by iptables-save v1.4.21 on Fri Sep 19 10:51:23 2014
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [3:177]
:OUTPUT ACCEPT [3:177]
COMMIT
# Completed on Fri Sep 19 10:51:23 2014
# Generated by iptables-save v1.4.21 on Fri Sep 19 10:51:23 2014
*mangle
:PREROUTING ACCEPT [2:268]
:INPUT ACCEPT [2:268]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3:177]
:POSTROUTING ACCEPT [3:177]
COMMIT
# Completed on Fri Sep 19 10:51:23 2014
# Generated by iptables-save v1.4.21 on Fri Sep 19 10:51:23 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Fri Sep 19 10:51:23 2014
"/etc/sysconfig/iptables" 23L, 618C

/etc/sysconfig/iptablesファイルの記載を全て削除し、ServersMan@VPSでは無い
CentOS7の/etc/sysconfig/iptablesファイルのものを記載しました。

ServersMan@VPSでは無いCentOS7の/etc/sysconfig/iptablesファイル

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

SSHのポートはtcp/22では無い（初期のポート番号は3843）ため変更しておきましょう。

-A INPUT -p tcp -m state --state NEW -m tcp --dport ポート番号 -j ACCEPT

iptablesを再起動します。

service iptables restart

または

systemctl restart iptables

AirDisplay@VPSへHTTPSアクセスしアクセス不可を確認するなど、
SSH以外のポートへアクセス出来ないことを確認します。

またWEBサーバはtcp/80、メールサーバはtcp/25、DNSサーバはudp/53(tcp/53)を
使用するためそれらを稼働する際はポートを開けましょう。

また、送信元の指定は「-s 192.168.1.1」との表記です。

※AirDisplay@VPSへアクセスする場合（WEBサーバでHTTPSで待ち受ける場合）
tcp/443も開けます。AirDisplay@VPS（サービス名はajaxterm）自体は
127.0.0.1:8022です。サービスを停止するには以下のコマンドです。

service ajaxterm stop

または

systemctl stop ajaxterm

またchkconfig、systemctl list-unit-filesには載ってきません。

≪前のページへ　　次のページへ≫

ServersMan@VPSの初期設定その3 CentOS7 iptables（ファイアウォール）設定方法