1:firewalldって何？

VPSを契約した直後はファイアウォールの設定をしていない状態なので、全ての通信をオープンに受け取ることが出来る状態となっているので、悪意のある攻撃のような通信も受け取れるような状態です。そのため特定の通信だけをできるようにファイアウォールの設定をする必要があります。

ConoHa教室で紹介しているCentOS7系ですと、firewalldというサービスでファイアウォールの設定をすることが出来ます。

firewalldでは特定の通信を指定して利用可能な通信を設定することができます。

例えばSSHであったりHTTP、SMTPなど様々あり、サービスの名前で指定することも出来ますし、それぞれのポート番号を指定して設定をすることができます。

主な通信のサービス名とポート番号は以下のようになります。

ConoHaのテンプレートイメージのfirewalldではデフォルト起動するようになっており、設定としては[SSH]のみ開放されており、その他の通信はブロックするような状態となっています。

[services]の項目で[ssh]の記載がありますね。ここに記載があることで通信を許可している状態となります。

2:firewalldを操作してみる

[1] それでは早速firewalldを操作してみようと思います。まずは簡単なところからfirewalldの起動や停止をしてみましょう。CentOS7系でのサービスの起動や停止は[systemctl]コマンドを使います。

・firewalldの起動

・firewalldの停止(停止をするとすべての通信を開放するのでご注意ください。)

・firewalldの再起動

デフォルトの状態のままだとSSH接続しかできない状態となっているので運用するサービスに合わせて設定をする必要があります。

[2] 次はサービス名を指定して通信を許可しようと思います。「WordPress公開への道」ではWeb公開を行っているので[http]と[https]の開放が必要になりますので、こちらを指定してみます。

firewalldの操作は[firewall-cmd]で行います。[–permanent]オプションを指定することでVPSを再起動等行っても設定が継続する状態となります。[–zone=public]は設定を追加するゾーンを指定しています。デフォルトではpublicを使用するようになっていますので、ここではpublicを指定します。[–add-service=]で追加するサービスを指定します。

[3] 設定を追加した後は、設定を反映させるため以下のコマンドを実行します。

[4] ここまでで設定が完了したので、再度設定内容を確認してみたいと思います。設定を確認するときは以下のコマンドを実行します。

[http][https]が追加されてますね！これでサーバーへのWebアクセスが可能な状態となります。

[5] 逆に設定されているサービスを削除する場合は以下のコマンドで行うことが出来ます。

[6] 削除後も追加したときと同じように[firewall-cmd –reload]を実行します。

firewalldではサービス名を指定しての開放だけではなくポート番号を指定して設定することも可能です。「Minecraft Modサーバーを遊び尽くす」ではポート番号[25565]を開放する必要があるので、そちらを開放してみようと思います。

[7] ポート番号を指定して開放する場合は以下のコマンドを実行します。

[8] サービス名の指定のときと同じように以下のコマンドを実行します。

[9] では、先ほどと同じように確認をしてみましょう。

[10] ちゃんと追加されていますね！削除するときは以下のコマンドになります。

これで簡単なサービス、ポート番号の開放は完了しますが、firewalldの設定はまだまだ多くありますので、コマンドを色々試してみてVPSのセキュリティを強化するようにしてみましょう！