Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.15.3. Rich ルールコマンドオプションについて

family
ルールファミリー (ipv4 または ipv 6 のいずれか)が指定されている場合には、ルールを IPv4 または IPv6 のいずれかに制限します。ルールファミリーが指定されていない場合は、IPv4 と IPv 6 の両方に対してルールが追加されます。ソースまたは宛先アドレスがルールで使用される場合は、ルールファミリーを指定する必要があります。これは、ポート転送の場合でも当てはまります。

ソースと宛先アドレス

source
ソースアドレスを指定すると、接続試行元をソースアドレスに制限することができます。ソースアドレスまたはアドレス範囲は、IPv4 または IPv 6 のマスクを持つ IP アドレスまたはネットワーク IP アドレスです。IPv4 の場合、マスクはネットワークマスクまたはプレーン番号になります。IPv6 の場合、マスクはプレーン番号です。ホスト名の使用はサポートされていません。NOT キーワードを追加することで、ソースアドレスコマンドの意味を反転させることができますが、すべてのアドレスが一致します。
ルールにファミリーが指定されていない場合、MAC アドレスおよび type hash:mac を持つ IP セットは、IPv4 および IPv6 に追加できます。他の IP セットはルールのファミリー設定と一致する必要があります
destination
宛先アドレスを指定すると、ターゲットは宛先アドレスに制限することができます。宛先アドレスは、IP アドレスまたはアドレス範囲のソースアドレスと同じ構文を使用します。ソースアドレスおよび宛先アドレスの使用は任意で、すべての要素で宛先アドレスを使用することはできません。これは、サービスエントリーなどで宛先アドレスの使用によって異なります。宛先とアクション を組み合わせることができます

要素

要素は、service 、port、 protocol 、masquerade、icmp-block、forward-port、および source-port の要素タイプのいずれかになります。
サービス
service 要素は、firewalld が提供するサービスのいずれかになります。事前定義したサービスの一覧を取得するには、以下のコマンドを入力します。
~]$ firewall-cmd --get-services
サービスに宛先アドレスを提供すると、ルールの宛先アドレスと競合し、エラーが発生します。宛先アドレスを使用するサービスは、ほとんどの場合、マルチキャストを使用するサービスです。コマンドは以下の形式になります。
service name=service_name
ポート
port 要素は、単一のポート番号またはポート範囲(例: 5060-5062)、その後にプロトコルを tcp または udp のいずれかになります。コマンドは以下の形式になります。
port port=number_or_range protocol=protocol
プロトコル
protocol 値は、プロトコル ID 番号またはプロトコル名のいずれかになります。許可されたプロトコルエントリーについては 、/etc/protocols を参照してください。コマンドは以下の形式になります。
protocol value=protocol_name_or_ID
icmp-block
このコマンドを使用して、ICMP タイプを 1 つまたは複数ブロックします。ICMP タイプは、firewalld が対応する ICMP タイプの 1 つです。サポートされる ICMP タイプの一覧を表示するには、以下のコマンドを入力します。
~]$ firewall-cmd --get-icmptypes
アクションの指定はここでは許可されません。ICMP-block は、内部的に action reject を使用します。コマンドは以下の形式になります。
icmp-block name=icmptype_name
masquerade
ルールで IP マスカレードをオンにします。ソースアドレスは、マスカレードをこの領域に制限するために指定できますが、宛先アドレスではありません。アクションの指定はここでは許可されません。
forward-port
tcp または udp で指定されたローカルポートから、別のポートまたは別のマシンにパケットを転送します。ポートおよび ポートには、単一ポート番号またはポート番号のいずれかを指定できます。宛先アドレスは単純な IP アドレスです。アクションの指定はここでは許可されません。forward-port コマンドは、内部で実行するアクションを使用します。コマンドは以下の形式になります。
forward-port port=number_or_range protocol=protocol /
            to-port=number_or_range to-addr=address
source-port
パケットのソースポートと一致します。これは、接続試行の元で使用されるポートです。現在のマシンのポートと一致するには、port 要素を使用します。source-port 要素は、単一ポート番号またはポート範囲(例: 5060-5062)、その後にプロトコルを tcp または udp のいずれかになります。コマンドは以下の形式になります。
source-port port=number_or_range protocol=protocol

Logging

log
新しい接続では、syslog などのカーネルロギングでルールが試行されます。接頭辞としてログメッセージに追加されるプレフィックステキストを定義できます。ログレベルは、emerg、alert、 crit error、warning、notice、info、または debug のいずれかにすることができます。ログの使用はオプションです。ロギングを以下のように制限することができます。
log [prefix=prefix text] [level=log level] limit value=rate/duration
レートは、s、m、h、d の期間は、自然な正の数 [1、..]です。 s は秒、m は分、h は時間、d 日を意味します。最大制限値は 1/d で、1 日あたり最大のログエントリーになります。
audit
Audit は、サービス auditd に送信された監査レコードを使用してロギングの代替方法を提供します。監査タイプは ACCEPT、REJECT、または DROP のいずれかにすることができますが、audit タイプは自動的にルールアクションから収集されるため、コマンド監査の後に指定されません。監査には独自のパラメーターはありませんが、オプションで制限を追加できます。監査の使用はオプションです。

アクション

accept|reject|drop|mark
アクションには、accept、reject、drop、または mark のいずれかになります。ルールには、要素またはソースのみを含めることができます。ルールに要素が含まれる場合、要素に一致する新しい接続はアクションで処理されます。ルールにソースが含まれている場合は、ソースアドレスからのすべてが指定されたアクションで処理されます。
accept | reject [type=reject type] | drop | mark set="mark[/mask]"
accept を使用すると、新しい接続試行がすべて許可されます。reject を使用すると拒否され、それらのソースは reject メッセージを取得します。reject タイプを別の値を使用するように設定できます。ドロップを使用すると、すべてのパケットはすぐにドロップされ、情報がソースに送信されることはありません。mark が指定されたマークとオプションのマスクで、すべてのパケットにマーク が付けられます

このページには機械翻訳が使用されている場合があります (詳細はこちら)。