Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
5.12.2. IP セットのカスタムサービスの設定
カスタムサービスが、firewalld が起動する前に IP セット構造を作成して読み込むように設定するには、次のコマンドを実行します。
rootで実行中のエディターを使用して、以下のようにファイルを作成します。~]# vi /etc/systemd/system/ipset_name.service [Unit] Description=ipset_name Before=firewalld.service [Service] Type=oneshot RemainAfterExit=yes ExecStart=/usr/local/bin/ipset_name.sh start ExecStop=/usr/local/bin/ipset_name.sh stop [Install] WantedBy=basic.target- firewalld で IP セットを永続的に使用します。
~]# vi /etc/firewalld/direct.xml <?xml version="1.0" encoding="utf-8"?> <direct> <rule ipv="ipv4" table="filter" chain="INPUT" priority="0">-m set --match-set <replaceable>ipset_name</replaceable> src -j DROP</rule> </direct> 変更を有効にするには、firewalldの再読み込みが必要です。~]# firewall-cmd --reloadこれにより、状態情報を失うことなくファイアウォールが再読み込みされます(TCP セッションは終了しません)。再読み込み中はサービスの中断が可能です。
警告
Red Hat
は、firewalld を介して管理していない IP セットを使用することは推奨しません。このような IP セットを使用すると、そのセットを参照する永続的なダイレクトルールが必要で、IP セットを作成するカスタムサービスを追加する必要があります。このサービスは、firewalld を起動する前に起動する必要があります。先に起動しておかないと、firewalld が、このセットを使用してダイレクトルールを追加できません。/etc/firewalld/direct.xml ファイルを使用して、永続的なダイレクトルールを追加できます。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。