コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
目次
FirewalldまたはIptablesを使用してLinuxでファイアウォールをセットアップする
FirewalldとIptablesの重要な違い
特定のポートまたはサービスを許可/拒否する特定のファイアウォールルールの構成
Linuxシステムをファイアウォールで固定するためのベストプラクティス
ホームページ 運用・保守 Linuxの運用と保守 FirewalldまたはIptablesを使用してLinuxでファイアウォールをセットアップするにはどうすればよいですか?

FirewalldまたはIptablesを使用してLinuxでファイアウォールをセットアップするにはどうすればよいですか?

Emily Anne Brown
Emily Anne Brown
Mar 12, 2025 pm 06:58 PM

FirewalldまたはIptablesを使用してLinuxでファイアウォールをセットアップする

firewalldまたはiptablesいずれかを使用してLinuxでファイアウォールをセットアップするには、アーキテクチャの違いによりさまざまなアプローチが含まれます。 firewalld 、ファイアウォールルールを管理するためのユーザーフレンドリーなインターフェイスを提供するダイナミックファイアウォールデーモンです。IPTABLES iptables 、カーネルのNetFilterフレームワークを直接操作するコマンドラインユーティリティです。

Firewalldの使用:

  1. インストール: firewalldがインストールされていることを確認してください。ほとんどの分布では、これはパッケージマネージャーを使用して行われます(たとえば、Debian/ubuntuにapt install firewallddnf install firewalld )。
  2. firewalldを起動して有効にする: systemctl start firewalldsystemctl enable firewalldを使用してブートを開始できるようにします。
  3. 基本構成: firewalld 「ゾーン」を使用して、さまざまなネットワークコンテキスト(「パブリック」、「内部」、「DMZ」)を定義します。各ゾーンには、デフォルトのルールセットがあります。 firewall-cmd --get-active-zonesでゾーンをリストできます。 SSH(ポート22)のようなサービスをデフォルトゾーン(通常は「パブリック」)に追加するには、 firewall-cmd --permanent --add-service=sshを使用します。変更を永続的にするには、 --permanentフラグを使用します。ファイアウォールをfirewall-cmd --reload変更を適用します。
  4. 高度な構成:より詳細な制御のために、 firewall-cmd --permanent --add-port=80/tcp (HTTPの場合)を使用して特定のポートを追加できます。またはfirewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept' (epent for a a epransect") "192.168.1.0/24"(

iptablesの使用:

  1. インストール: iptablesは通常、ほとんどのLinux分布にデフォルトで含まれます。
  2. 基本的な構成: iptables 、チェーン(例、 INPUTOUTPUTFORWARD )を使用してルールを管理します。各ルールは、ソース/宛先IPアドレス、ポート、プロトコル、およびアクション(受け入れ、ドロップ、拒否)を指定します。たとえば、ssh接続を許可するには: iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  3. ルールの保存: iptablesルールは、再起動全体で永続的ではありません。スクリプトまたはiptables-saveなどのユーティリティを使用してそれらを保存し、起動時のスクリプトを使用して起動時にロードする必要があります。正確な方法は、分布によって異なります。
  4. 高度な構成: iptables非常に微調整された制御を提供し、さまざまな一致する基準とカスタムチェーンを備えた複雑なルールセットを可能にします。ただし、これには、ネットワーキングとiptables構文を深く理解する必要があります。

FirewalldとIptablesの重要な違い

主な違いは、ファイアウォール管理へのアプローチにあります。 firewalldiptablesの上に構築された、高レベルのユーザーフレンドリーなインターフェイスを提供します。一般的なファイアウォールタスクを簡素化し、ゾーン、サービス、ポートの管理を容易にします。一方、 iptables 、NetFilterフレームワークを直接的な低レベルの制御を提供し、より柔軟性を提供しますが、より技術的な専門知識が必要です。

これが重要な違いを要約するテーブルです。

特徴 ファイアウォール iptables
インタフェース ユーザーフレンドリーなオプションを備えたコマンドラインツール コマンドラインのみ、複雑な構文
構成 ゾーン、サービス、ポート、豊富なルール チェーン、特定のマッチング基準を持つルール
持続性 組み込みの持続メカニズム ブートで手動で保存して読み込む必要があります
複雑 学習と使用が簡単です より急な学習曲線、より複雑
柔軟性 iPtablesよりも柔軟性が低い 非常に柔軟で、複雑なルールが可能です
動的更新 動的更新をサポートします 手動の更新が必要です

特定のポートまたはサービスを許可/拒否する特定のファイアウォールルールの構成

Firewalldの使用:

特定のポートを許可するには(ポート80のHTTPなど)。

 <code class="bash">firewall-cmd --permanent --add-port=80/tcp firewall-cmd --reload</code>
ログイン後にコピー

特定のポートを拒否するには(ポート21のFTPなど)。

これは、 firewalldではそれほど簡単ではありません。これを正確に達成するには、カスタムゾーンを作成するか、リッチルールを使用する必要がある可能性があります。一般に、 firewalldデフォルトで許可し、明示的に拒否するように設計されています。

特定のサービスを許可する(例:SSH):

 <code class="bash">firewall-cmd --permanent --add-service=ssh firewall-cmd --reload</code>
ログイン後にコピー

iptablesの使用:

特定のポートを許可するには(ポート80のHTTPなど)。

 <code class="bash">iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT # If you want to allow outgoing traffic on port 80 as well. service iptables save # Save the rules (method varies by distribution)</code>
ログイン後にコピー

特定のポートを拒否するには(ポート21のFTPなど)。

 <code class="bash">iptables -A INPUT -p tcp --dport 21 -j DROP service iptables save # Save the rules (method varies by distribution)</code>
ログイン後にコピー

Linuxシステムをファイアウォールで固定するためのベストプラクティス

firewalldまたはiptablesを使用するかどうかに関係なく、次のベストプラクティスに従ってください。

  • 最小特権の原則:必要なトラフィックのみを許可します。すべてをデフォルトで拒否し、特定のポートとサービスを明示的に許可します。
  • 定期的な更新:最新のセキュリティパッチでファイアウォールとオペレーティングシステムを更新してください。
  • ログ分析:定期的にファイアウォールログを確認して、疑わしいアクティビティを特定します。
  • 入力チェーンフォーカス: INPUTチェーンに細心の注意を払ってください。これにより、着信接続が制御されます。
  • Statefull Firewalls:接続を追跡し、返品トラフィックを許可するために、ステートフル検査( firewalldiptables両方がこれをサポートする)を利用します。
  • 必要でない限り、オープンポートを避けます。インターネットにさらされたオープンポートの数を最小限に抑えます。
  • 強力なパスワードポリシーを使用:強力なパスワードを使用して定期的に更新してシステムを保護します。
  • 定期的にルールを確認する:ファイアウォールルールが定期的にレビューして、それらがまだ適切かつ効果的であることを確認してください。
  • 別のDMZを使用する:サービスをインターネットに公開する必要がある場合は、個別のDMZ(非武装ゾーン)を使用して内部ネットワークからそれらのサービスを分離することを検討してください。
  • 侵入検知/予防システム(IDS/IPS)を検討してください。ファイアウォールをIDS/IPSと組み合わせて、セキュリティ層を追加します。

制御システムに展開する前に、常に制御された環境でファイアウォールルールをテストすることを忘れないでください。誤って構成されたファイアウォールルールは、システムをアクセスできない場合があります。

以上がFirewalldまたはIptablesを使用してLinuxでファイアウォールをセットアップするにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

KB5055612を修正する方法Windows 10にインストールできませんか?
4週間前 By DDD
<🎜>:バブルガムシミュレーターインフィニティ - ロイヤルキーの取得と使用方法
4週間前 By 尊渡假赌尊渡假赌尊渡假赌
<🎜>:庭を育てる - 完全な突然変異ガイド
3週間前 By DDD
Nordhold:Fusion System、説明
4週間前 By 尊渡假赌尊渡假赌尊渡假赌
マンドラゴラ:魔女の木のささやき - グラップリングフックのロックを解除する方法
3週間前 By 尊渡假赌尊渡假赌尊渡假赌
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Java チュートリアル
1675
14
CakePHP チュートリアル
1429
52
Laravel チュートリアル
1333
25
PHP チュートリアル
1278
29
C# チュートリアル
1257
24
もっと見る
Related knowledge
Linuxアーキテクチャ:5つの基本コンポーネントを発表します Linuxアーキテクチャ:5つの基本コンポーネントを発表します Apr 20, 2025 am 12:04 AM

Linuxシステムの5つの基本コンポーネントは次のとおりです。1。Kernel、2。Systemライブラリ、3。Systemユーティリティ、4。グラフィカルユーザーインターフェイス、5。アプリケーション。カーネルはハードウェアリソースを管理し、システムライブラリは事前コンパイルされた機能を提供し、システムユーティリティはシステム管理に使用され、GUIは視覚的な相互作用を提供し、アプリケーションはこれらのコンポーネントを使用して機能を実装します。

Linuxのメンテナンスモード:それを使用する時期と理由 Linuxのメンテナンスモード:それを使用する時期と理由 Apr 25, 2025 am 12:15 AM

Linuxメンテナンスモードを使用するタイミングと理由:1)システムが起動するとき、2)主要なシステムの更新またはアップグレードを実行するとき、3)ファイルシステムメンテナンスを実行するとき。メンテナンスモードは、安全で制御された環境を提供し、運用上の安全性と効率を確保し、ユーザーへの影響を減らし、システムセキュリティを強化します。

Linux操作:システム管理とメンテナンス Linux操作:システム管理とメンテナンス Apr 15, 2025 am 12:10 AM

Linuxシステムの管理とメンテナンスの重要な手順には、次のものがあります。1)ファイルシステム構造やユーザー管理などの基本的な知識をマスターします。 2)システムの監視とリソース管理を実行し、TOP、HTOP、その他のツールを使用します。 3)システムログを使用してトラブルシューティング、JournalCtlおよびその他のツールを使用します。 4)自動化されたスクリプトとタスクのスケジューリングを作成し、Cronツールを使用します。 5)セキュリティ管理と保護を実装し、iPtablesを介してファイアウォールを構成します。 6)パフォーマンスの最適化とベストプラクティスを実行し、カーネルパラメーターを調整し、良い習慣を開発します。

Linux:リカバリモード(およびメンテナンス)に入る方法 Linux:リカバリモード(およびメンテナンス)に入る方法 Apr 18, 2025 am 12:05 AM

Linux Recoveryモードを入力する手順は次のとおりです。1。システムを再起動し、特定のキーを押してGrubメニューを入力します。 2。[RecoveryMode)でオプションを選択します。 3. FSCKやrootなどの回復モードメニューで操作を選択します。リカバリモードを使用すると、シングルユーザーモードでシステムを開始し、ファイルシステムのチェックと修理を実行し、構成ファイルを編集し、システムの問題を解決するのに役立ちます。

Linux:その基本構造を見てください Linux:その基本構造を見てください Apr 16, 2025 am 12:01 AM

Linuxの基本構造には、カーネル、ファイルシステム、およびシェルが含まれます。 1)カーネル管理ハードウェアリソースとUname-Rを使用してバージョンを表示します。 2)ext4ファイルシステムは、大きなファイルとログをサポートし、mkfs.ext4を使用して作成されます。 3)シェルは、BASHなどのコマンドラインインタラクションを提供し、LS-Lを使用してファイルをリストします。

Linuxの重要なコンポーネント:初心者向けに説明されています Linuxの重要なコンポーネント:初心者向けに説明されています Apr 17, 2025 am 12:08 AM

Linuxのコアコ​​ンポーネントには、カーネル、ファイルシステム、シェル、および共通ツールが含まれます。 1.カーネルはハードウェアリソースを管理し、基本的なサービスを提供します。 2。ファイルシステムはデータを整理して保存します。 3.シェルは、ユーザーがシステムと対話するインターフェイスです。 4.一般的なツールは、毎日のタスクを完了するのに役立ちます。

Linux:基本的な部分に深く潜ります Linux:基本的な部分に深く潜ります Apr 21, 2025 am 12:03 AM

Linuxのコアコ​​ンポーネントには、カーネル、ファイルシステム、シェル、ユーザー、カーネルスペース、デバイスドライバー、パフォーマンスの最適化とベストプラクティスが含まれます。 1)カーネルは、ハードウェア、メモリ、プロセスを管理するシステムのコアです。 2)ファイルシステムはデータを整理し、Ext4、BTRFS、XFSなどの複数のタイプをサポートします。 3)シェルは、ユーザーがシステムと対話するためのコマンドセンターであり、スクリプトをサポートします。 4)システムの安定性を確保するために、ユーザースペースをカーネルスペースから分離します。 5)デバイスドライバーは、ハードウェアをオペレーティングシステムに接続します。 6)パフォーマンスの最適化には、システム構成とベストプラクティスのチューニングが含まれます。

Linux操作:メンテナンスモードを利用します Linux操作:メンテナンスモードを利用します Apr 19, 2025 am 12:08 AM

Linuxメンテナンスモードは、Grubメニューから入力できます。特定の手順は次のとおりです。1)GRUBメニューのカーネルを選択し、「E」を押して編集し、2)「Linux」行の最後に「シングル」または「1」を追加し、3)Ctrl Xを押して開始します。メンテナンスモードは、システム修理、パスワードリセット、システムのアップグレードなどのタスクに安全な環境を提供します。

See all articles