5.8. ゾーンを使用し、ソースに従って着信トラフィックの管理

ゾーンを使用して、そのソースに基づいて着信トラフィックを管理するゾーンを使用できます。これにより、着信トラフィックを仕分けし、複数のゾーンに向け、トラフィックにより到達できるサービスを許可または拒否できます。
ソースをゾーンに追加する場合は、ゾーンがアクティブになり、そのソースからの着信トラフィックは、それを介して行われます。各ゾーンに異なる設定を指定できますが、それは指定したソースから順次トラフィックに適用されます。ネットワークインターフェースが 1 つしかない場合でも、複数のゾーンを使用できます。

5.8.1. ソースの追加

着信トラフィックを特定のソースにルートするには、そのゾーンにソースを追加します。ソースは、CIDR (Classless Inter-domain Routing) 表記法の IP アドレスまたは IP マスクにできます。
  1. 現在のゾーンにソースを設定するには、以下のコマンドを実行します。
    ~]# firewall-cmd --add-source=<source>
  2. 特定ゾーンのソース IP アドレスを設定するには、以下のコマンドを実行します。
    ~]# firewall-cmd --zone=zone-name --add-source=<source>
以下の手順は、信頼される ゾーンで 192.168.2.15 からのすべての着信トラフィックを許可します。
  1. 利用可能なゾーンの一覧を表示します。
    ~]# firewall-cmd --get-zones
  2. 永続化モードでの信頼ゾーンへのソース IP の追加
    ~]# firewall-cmd --zone=trusted --add-source=192.168.2.15
  3. 新しい設定を永続化します。
    ~]# firewall-cmd --runtime-to-permanent

5.8.2. ソースの削除

ゾーンからソースを削除すると、そのゾーンからのトラフィックを遮断します。
  1. 必要なゾーンに対して許可されているソースを一覧表示します。
    ~]# firewall-cmd --zone=zone-name --list-sources
  2. ソースをゾーンから永続的に削除します。
    ~]# firewall-cmd --zone=zone-name --remove-source=<source>
  3. 新しい設定を永続化します。
    ~]# firewall-cmd --runtime-to-permanent

5.8.3. ソースポートの追加

発信源となるポートに基づいてトラフィックの仕分けを有効にするには、--add-source-port オプションを使用してソースポートを指定します。--add-source オプションと組み合わせて、トラフィックを特定の IP アドレスまたは IP 範囲に制限できます。
ソースポートを追加するには、以下のコマンドを実行します。
~]# firewall-cmd --zone=zone-name --add-source-port=<port-name>/<tcp|udp|sctp|dccp>

5.8.4. ソースポートの削除

ソースポートを削除して、送信元ポートに基づいてトラフィックの仕分けを無効にします。
ソースポートを削除するには、以下のコマンドを実行します。
~]# firewall-cmd --zone=zone-name --remove-source-port=<port-name>/<tcp|udp|sctp|dccp>

5.8.5. ゾーンおよびソースを使用して特定ドメインのみに対してサービスの許可

特定ネットワークからのトラフィックを許可してマシンにサービスを使用するには、ゾーンおよびソースを使用します。
たとえば、192.168.1.0/24 からトラフィックを許可して、その他のトラフィックがブロックされている間に HTTP サービスに到達できます。
  1. 利用可能なゾーンの一覧を表示します。
    ~]# firewall-cmd --get-zones
    block dmz drop external home internal public trusted work
  2. ソースを信頼されるゾーンに追加して、ゾーンを経由してソースから発信するトラフィックに転送します。
    ~]# firewall-cmd --zone=trusted --add-source=192.168.1.0/24
  3. 信頼されるゾーン http サービスを追加します。
    ~]# firewall-cmd --zone=trusted -add-service=http 
  4. 新しい設定を永続化します。
    ~]# firewall-cmd --runtime-to-permanent
  5. 信頼されるゾーンがアクティブで、サービスが許可されているのを確認します。
    ~]# firewall-cmd --zone=trusted --list-all
    trusted (active)
    target: ACCEPT
    sources: 192.168.1.0/24
    services: http

5.8.6. プロトコルに基づいてゾーンが許可したトラフィックの設定

プロトコルに基づいて、ゾーンが着信トラフィックを許可することができます。指定したプロトコルを使用したすべてのトラフィックがゾーンにより許可されていますが、そこにさらにルールおよびフィルタリングを適用できます。

ゾーンへのプロトコルの追加

特定ゾーンへプロトコルを追加すると、このゾーンが許可するこのプロトコルを使用するすべてのトラフィックを許可します。
プロトコルをゾーンに追加するには、以下のコマンドを実行します。
~]# firewall-cmd --zone=zone-name --add-protocol=port-name/tcp|udp|sctp|dccp|igmp

注記

マルチキャストトラフィックを受けるには、--add-protocol オプションで igmp 値を使用します。

ゾーンからプロトコルの削除

特定ゾーンからプロトコルを削除するには、ゾーンにより、このプロトコルに基づいたすべてのトラフィックの許可を停止します。
ゾーンからプロトコルを削除するには、以下のコマンドを削除します。
~]# firewall-cmd --zone=zone-name --remove-protocol=port-name/tcp|udp|sctp|dccp|igmp