iptableルールをファイアウォールに変換

iptableルールをファイアウォールに変換

これをファイアウォールコマンドに変換するのに役立ちます。私はこれを正しい方法で行うかどうかはわかりません。はい:)

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 6110 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 6111 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8401 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8411 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

答え1

これは単純な変換ではないため、この変換とファイアウォールがどのように機能するかを理解する必要があります。

ここにあるほとんどの初期および後期のルールはファイアウォールの基本的なルールなので、おそらくあなたが望むのはポートを開くだけです。

最初の(22)はsshで、通常はデフォルトでオンになっているファイアウォールにありますが、そうでない場合は次のコマンドで追加できます。

firewall-cmd --zone public --add-service ssh --permanent

あとはあらかじめ定義されたサービスがないので、上記のようにサービスを作成して追加したり、ポートを直接追加すればいいと思います。

firewall-cmd --zone public --add-port=6110/tcp --permanent

パブリックゾーンはデフォルトゾーンであるため、ポートまたはサービスを特定のサブネットに制限したい場合は、そのサブネットをゾーン(職場や自宅など)に割り当ててから、そのゾーンにポートまたはサービスを追加できます。

--permanent適用または永続的な変更を適用するには、Firewall-cmdを再実行する必要がありますfirewall-cmd --reload

firewall-cmd --list-all-zonesまた、予期しない他の(デフォルト)サービスがオンになっていないことを確認することもできます。活動領域とパブリック領域に焦点を当てます。

関連情報