リッチルール(rich rule)を利用してfirewalldのセキュリティを強化する方法

こんにちは、ynakaです。

今回はセキュリティサービス「firewalld」の機能である
リッチルール(rich rule)について紹介しようと思います。

通常だと特定のIPアドレスのみ許可、または特定のポートはアクセスを許可、
などで設定をされていると思いますが、
この2つの条件を組み合わせて、設定する事ができる事をご存じでしょうか。

こういった複雑な定義を行いたい場合に利用するオプションになります。

リッチルール(rich rule)

特定の接続元IPアドレス + 特定のポートのみ通信を許可するなど、
よりセキュアなルールを定義する事ができます。

それでは実際に設定していきます。

■リッチルール追加

特定の接続元IPアドレス + 特定のポートのみ通信を許可

 # firewall-cmd --add-rich-rule='rule family=ipv4 source address="xx.xxx.xxx.xxx" port port=xx protocol=xx accept' --zone=public --permanent
success

・下記は任意で指定
source address=[許可対象IPアドレス]
port port=[ポート番号]
protocol=[プロトコル]

・設定反映
# firewall-cmd --reload
success

■リッチルール確認

# firewall-cmd --zone=public --list-rich-rules
rule family="ipv4" source address="xx.xxx.xxx.xxx" port port="xx" protocol="xx" accept

上記のように出力されていれば正常追加されています。

これで対象のIPアドレス + 対象のポートからしかアクセスできないはずです。

■削除する場合

# firewall-cmd --remove-rich-rule='rule family=ipv4 source address="xx.xxx.xxx.xxx" port port=xx protocol=xx accept' --zone=public --permanent
success

・設定反映
# firewall-cmd --reload
success

削除後も設定をリロードして反映を忘れずにしましょう。

最近ではテレワークの拡大によりが不正なアクセスが増加しているため、
よりセキュアな環境を構築していきましょう。

firewalldでは他にもさまざまなルールの定義が可能ですので、
また機会があれば紹介していきます。それではまたお会いしましょう。