firewall-cmd＠今更？

CentOS8のパケットフィルタリングツールとして
iptablesの他にnftablesという新しい
フィルタリングが使えるようになっています。
CentOS７でフィルタリングを行うコマンドは
表題のfirewall-cmdですが、デフォルトで
iptablesがバックエンドで動いているのです。。
nftablesが出たのに今更？。。。ってことですね。
しかし、サポート期限が2024まであるCentOS7は
まだまだ多くの現役サーバーとして稼働しています。
ですからしばらくはFirewall-cmdから逃れられません。

さて、CentOS7サーバーのヘルプ信号が発せられました。
自宅から会社のサーバーをnmapで調べると、覚えのない
サービスがいくつかあるけど大丈夫か？ということで
伺ってみました。
まずはサービスポートTCP/445。
これはWindows系でNetBIOSを使用せずに監視を行う
行うためのMicrsoft-dsというプロトコルですね。
他にもLAN内だけでしか必要のないファイル共有の
135,137,138,139などが外からオープンなのが見えています。
これはフィルタリングで外から遮断しておきました。

firewall-cmd –get-active-zones

で調べるとexternalとinternalになっています。
サーバーの多くはpublicとしていますが、複数の
NICでPCルータを構築してあるケースですね。
下の方の項目には
external
interfaces: enp1s0
internal
interfaces: enp3s0
というのがあり、 enp1s0がWAN側・ enp3s0がLAN側
であることが分かります。

この場合外から遮断するにはexternalでフィルタリングし
LAN内はenp3s0のフィルタリングに穴を開ければ良いだけです。

firewall-cmd –list-all –zone=external

の結果は
services: dns ftp http https imap imaps pop3 pop3s smtp smtps ssh micrsoft-ds・・
ports: 135 137 138 139 587
masquerade: yes
となりました。

135をフィルタリング
firewall-cmd –remove-port=135/tcp –zone=external –permanent
firewall-cmd –reload
のように外界から遮断します。

次にmicrosoft-dsは
firewall-cmd —remove-service=micrsoft-ds –zone=external –permanent
firewall-cmd –reload
で遮断。

これらのコマンドは
firewall-cmd –reload
で反映されます。
また恒久的にするためには–permanentオプションが必要です。

これらのサービスポートやサービス名が内向け（internal)に対し
オープンでも、外向けは遮断したのでnmapで見えなくなりました。

firewall-cmdをGUIでやると時々手違いや抜けが起きるので
拙生は全部コマンド叩いてます。

ちなみに新しいnftablesのお勉強はポチポチです。
どこかでまとまった時間を取って一気に覚えなきゃ
いつまでも使えないですね。。

昼食

本日の昼食は久方ぶりに【空のかおり】で、豪勢に？
合盛りセットをいただきました。
近年さすがにワンコインでは昼食にありつけませんが
貧乏人には仕事時の昼食が1K円を超えると豪勢なのですよ。ｗ
でもすっかりお気に入りなので、きっと間を空けずに
行くことになるのでしょう。。。

リクエスト

とんでもなく美味な食パンのお店情報を
リクエストされたので描いておきます。

どんぐり森林工房

旧どんぐり森林公園店が、石窯食パン専門店
としてリニューアル？
営業時間
月〜金　10:00~16:00（祝日・振替含む）
定休日 土日祝
住所　札幌市厚別区厚別北4条5丁目1-5
TEL : 011-887-8005