Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.12.2. IP セットのカスタムサービスの設定

カスタムサービスが、firewalld が起動する前に IP セット構造を作成して読み込むように設定するには、次のコマンドを実行します。
  1. root で実行中のエディターを使用して、以下のようにファイルを作成します。
    ~]# vi /etc/systemd/system/ipset_name.service
    [Unit]
    Description=ipset_name
    Before=firewalld.service
    
    [Service]
    Type=oneshot
    RemainAfterExit=yes
    ExecStart=/usr/local/bin/ipset_name.sh start
    ExecStop=/usr/local/bin/ipset_name.sh stop
    
    [Install]
    WantedBy=basic.target
  2. firewalld で IP セットを永続的に使用します。
    ~]# vi /etc/firewalld/direct.xml
    <?xml version="1.0" encoding="utf-8"?>
    <direct>
    	<rule ipv="ipv4" table="filter" chain="INPUT" priority="0">-m set --match-set <replaceable>ipset_name</replaceable> src -j DROP</rule>
    </direct>
  3. 変更を有効にするには、firewalld の再読み込みが必要です。
    ~]# firewall-cmd --reload
    これにより、状態情報を失うことなくファイアウォールが再読み込みされます(TCP セッションは終了しません)。再読み込み中はサービスの中断が可能です。
警告
Red Hat は、firewalld を介して管理していない IP セットを使用することは推奨しません。このような IP セットを使用すると、そのセットを参照する永続的なダイレクトルールが必要で、IP セットを作成するカスタムサービスを追加する必要があります。このサービスは、firewalld を起動する前に起動する必要があります。先に起動しておかないと、firewalld が、このセットを使用してダイレクトルールを追加できません。/etc/firewalld/direct.xml ファイルを使用して、永続的なダイレクトルールを追加できます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。