Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.14. ダイレクトインターフェイスの使用

firewall-cmd ツールで --direct オプションを使用すると、ランタイム時にチェーンを追加および削除できます。ここではいくつかの例を紹介します。詳細は、firewall-cmd (1) man ページを参照してください。
iptables に精通していない場合は、ファイアウォールで誤って違反している可能性があるため、直接インターフェイスを使用することは危険です。
ダイレクトインターフェイスモードは、サービスやアプリケーションが実行時に特定のファイアウォールルールを追加することを目的としています。ルールは、firewall-cmd --permanent --direct コマンドを使用して --permanent オプションを追加するか、/etc/firewalld/direct.xml を変更することで、永続的にすることができます。/etc/ firewalld/direct.xml ファイルの詳細は、firewalld.direct (5) の man を参照してください。

5.14.1. ダイレクトインターフェイスを使用するルールの追加

IN_public_allow チェーンにルールを追加するには、root で以下のコマンドを入力します。
~]# firewall-cmd --direct --add-rule ipv4 filter IN_public_allow \
        0 -m tcp -p tcp --dport 666 -j ACCEPT
設定を永続的にするために --permanent オプションを追加します。

5.14.2. ダイレクトインターフェイスを使用したルールの削除

IN_public_allow チェーンからルールを削除するには、root で以下のコマンドを実行します。
~]# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow \
        0 -m tcp -p tcp --dport 666 -j ACCEPT
設定を永続的にするために --permanent オプションを追加します。

5.14.3. ダイレクトインターフェイスを使用したルールの一覧表示

IN_public_allow チェーンのルールを一覧表示するには、root で以下のコマンドを入力します。
~]# firewall-cmd --direct --get-rules ipv4 filter IN_public_allow
このコマンド (--get-rules オプション) は、--add-rule オプションを使用して以前に追加されたルールのみを一覧表示することに注意してください。他の手段で追加された既存の iptables ルールは一覧表示されません。