はじめに
このチャレンジでは、Red Hat Enterprise Linux システムにおけるネットワークアクセス制御の管理を実践します。firewalld サービスのコマンドラインインターフェースである firewall-cmd ユーティリティを使用して、ネットワークトラフィックを許可または拒否するルールを構成します。これは、サーバーのセキュリティを保護する責任を担うシステム管理者にとって不可欠なスキルです。
SSH アクセスを許可するファイアウォールルールの構成
最初のタスクは、SSH によるリモート管理がシステムのファイアウォールを通過できるように設定することです。SSH サービスに対して永続的なルールを追加してください。
開始する前に、ファイアウォールのステータスを確認することをお勧めします。sudo firewall-cmd --state を実行して確認できます。ファイアウォールが動作していない場合は、sudo systemctl start firewalld を実行して起動してください。
タスク
- 受信 SSH トラフィックを許可する永続的なファイアウォールルールを作成する。
- アクティブなファイアウォール構成に変更を適用する。
- ルールが正常に追加されたことを確認する。
要件
- すべてのファイアウォール操作は
firewall-cmdコマンドを使用して行うこと。 - ルールは明示的に
sshサービスを有効にするものであること。 - システムの再起動後も有効であるよう、ルールを永続的(permanent)にすること。
例
永続的なルールを正しく追加してファイアウォールをリロードした後、永続的なサービスの一覧を表示すると ssh が含まれているはずです。
$ sudo firewall-cmd --list-services --permanent
cockpit dhcpv6-client ssh
特定の IP アドレスをブロックするファイアウォールルールの構成
次に、特定の IP アドレスからのすべてのトラフィックをブロックすることでセキュリティを強化します。このタスクでは、より複雑で詳細なファイアウォール構成を可能にする「リッチルール(rich rule)」を使用します。
タスク
- IP アドレス
192.168.1.100からのすべての受信トラフィックをブロックする永続的なリッチルールを作成する。 - 変更を適用してルールを有効にする。
- リッチルールが正しく構成されていることを確認する。
要件
- ルールは
firewall-cmdコマンドを使用して作成すること。 - 送信元 IP アドレス
192.168.1.100からのトラフィックを拒否(reject)する「リッチルール」であること。 - ルールを永続的にすること。
例
ルールを追加してファイアウォールをリロードした後、永続的なリッチルールの一覧を表示すると、作成したルールが表示されるはずです。
$ sudo firewall-cmd --list-rich-rules --permanent
rule family="ipv4" source address="192.168.1.100" reject
まとめ
このチャレンジでは、Red Hat Enterprise Linux システムで firewall-cmd を使用した主要なファイアウォール管理タスクを学びました。特定のサービス(SSH)の許可や、リッチルールを用いた特定送信元 IP アドレスのブロック設定を正常に行いました。また、これらの変更を永続化し、実行中のファイアウォール構成に適用する手順も実践しました。これらのスキルは、Linux システムのセキュリティ保護とネットワークアクセス制御において非常に重要です。
