Firewalld

CentOS7でのパケットフィルタリングはiptablesから
Firewalldになり、グループ化したゾーンという単位で
管理されます。

実際にパケットフィルタリング行うのはNetfilterという
カーネルのサブシステムであり、iptablesやFirewalldは
そのフロントエンドとなります。

iptables自体は設定しても保存されずに再起動で
クリアされてしまうために、/etc/sysconfig/iptables
に設定を書き込み、起動時に読み込むというという
仕組みでした。
/etc/sysconfig/iptablesにフィルタリングのルールを
書き込むにはiptablesというコマンドでしたが、
ちょっとヤンチャに直書きしてしまい、それを反映させるのが
拙生の常套手段だったので、上記のことが特に欠点であるとは
思っていませんでしたが。。。（笑

FirewalldはGUIで設定できますが最初はちょっと
まごつきました。
サーバーの場合は通常上部の設定値を【永続】
左ペインにある9つ並んだゾーンから【public】を選択します。
右ペインでサービス名を選択しますがポート指定もできます。
そのほかマスカやレーディングポートフォア-ディングも
タブの切り替えで設定可能です。

しかしやはり細やかな設定を行うにはコマンドラインでの
設定には適いません。
firewall-cmdコマンドで設定を行いますが、

firewall-cmd –permanent –add-service=http
　　　　　　　　　 (HTTPのパケット受信許可)

のように簡単なものもありますが、

firewall-cmd –permanent –add-rich-rule=’rule family=ipv4
servicename=vnc-server source address=”192.168.*.*” accept’

なんて事細かな設定も可能です。

VNCをインターネットに晒さないでLAN内の特定ホストだけ
アクセス可能にした例です。

Firewalldはiptablesではコマンドオプションが複雑であり
さらにTCP/IPの仕組みをちゃんと理解していないと
設定が難しいことを解消するために登場したらしいのですが
それにしてはコマンド面倒くさすぎじゃありません？　ｗ