Show Table of Contents
5.14. ダイレクトインターフェースの使用
firewall-cmd ツールで
--direct オプションを使用すると、ランタイム時にチェーンの追加、削除が可能になります。ここではいくつかの例を紹介していますが、詳細は man ページの firewall-cmd(1) を参照してください。
ダイレクトインターフェースの使用は意図せずにファイアウォール侵害を引き起こす可能性があるので、iptables に精通していない場合には危険です。
ダイレクトインターフェースモードは、サービスもしくはアプリケーションが実行時に特定のファイアウォールルールを追加するためのものです。
--permanent オプションを追加して firewall-cmd --permanent --direct コマンドを使用するか、/etc/firewalld/direct.xml を修正することで、ルールを永続的なものにできます。/etc/firewalld/direct.xml ファイルの詳細は、man ページ firewalld.direct(5) を参照してください。
5.14.1. ダイレクトインターフェースを使用するルールの追加
ルールを 「IN_public_allow」 チェーンに追加するには、
root で以下のコマンドを実行します。
~]#firewall-cmd --direct --add-rule ipv4 filter IN_public_allow \0 -m tcp -p tcp --dport 666 -j ACCEPT
--permanent オプションを追加して設定を永続化します。
5.14.2. ダイレクトインターフェースを使用したルールの削除
「IN_public_allow」 チェーンからルールを削除するには、
root で以下のコマンドを実行します。
~]#firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow \0 -m tcp -p tcp --dport 666 -j ACCEPT
--permanent オプションを追加して設定を永続化します。
5.14.3. ダイレクトインターフェースを使用したルールの一覧表示
「IN_public_allow」 チェーンにルールの一覧を表示するには、
root で以下のコマンドを実行します。
~]# firewall-cmd --direct --get-rules ipv4 filter IN_public_allow
このコマンド (
--get-rules オプション) は、--add-rule オプションを使用して追加したルールのみを表示します。他の手段で追加した iptables ルールは表示されません。