システム管理に関する部分が前バージョンから大きく変更された「CentOS 7」は、Linuxに慣れていても「ハマる落とし穴」が幾つかあります。今回は、CentOS 7で採用されたパケットフィルタリングのための新たな仕組みである「Firewalld」の基礎と運用方法を解説します。
2014年7月にリリースされた「CentOS 7」では、以前のバージョンからシステム管理に関する部分が大幅に変更され、使い勝手も変わっています。本連載では、「Linuxコマンドの基礎知識はあるが、CentOS 7で変わった機能をおさらいし、深く理解して自身の業務へ取り入れたい」というインフラエンジニアを対象に、CentOS 7のシステム管理に関する部分を中心に新機能を解説していきます。
第3回「CentOS 7のネットワーク管理“NetworkManager”を極める」では、これまで使われてきた「eth0」「eth1」などから変更された、CentOS 7の新たなNIC(ネットワークインタフェースカード)命名規則とその設定作法を中心に、ネットワークを管理するための「NetworkManager」の基礎を解説しました。
今回は、サーバセキュリティの初歩対策である、「パケットフィルタリング」のためのCentOS 7の新たな仕組み「Firewalld」の基礎と運用方法を解説します。
Firewalldは、CentOS 7から採用された「パケットフィルタリング」の仕組みです。パケットフィルタリングは、パケットの送受信において、あらかじめ指定したルールに基づいて通信の許可/拒否を制御する、セキュリティ対策の基礎手段です。
前バージョンのCentOS 6までは、これを「iptables」で行っていました。CentOS 7の「Firewalld」では、何が変わったのでしょうか。まずはその比較を交えて解説します。
(関連記事)習うより慣れろ! iptablesテンプレート集
Linuxにおけるパケットフィルタリングは、Linuxカーネル内のNetfilterと呼ぶサブシステムで行われます。Firewalldも、iptablesも、その役割は、
ための、「Netfilterの管理インタフェース」です。ただし、これまでのiptablesは、運用において幾つかの課題を抱えていました。
例えば、本来のiptablesは設定を保持する機能がないこと。システムを再起動すると設定がクリアされてしまうので、/etc/sysconfig/iptablesというファイルにルールを書き込むことで、設定を保持できるようにしていました。また、コマンドオプションがかなり複雑で、TCP/IPの仕組みを深く理解していないと設定が難しいものでした。
Firewalldは、そんな課題を解決するために設計されたといえます。Firewalldには、以下の特徴があります。
Firewalld | iptables | |
---|---|---|
設定変更 | 通信を停止させることなく、変更した設定を反映できる | 設定を反映させるために、サービスの再起動が必要(ネットワークの瞬断が発生する) |
設定の難易度 | TCP/IPの仕組みを深く理解していなくても比較的簡単に設定できる | TCP/IPの仕組みを深く理解していないと、設定そのものが難しい。コマンドオプションがかなり複雑 |
運用の柔軟性 | 一時的なルールと永続的なルールをそれぞれ管理できる。一定時間のみ有効にするといったルールの設定も可能 | 一時的なルールの設定は困難 |
Copyright © ITmedia, Inc. All Rights Reserved.