Firewalld : リッチルールを使用する2025/10/21

	Firewalld のリッチルールを使用した、より詳細なルールの設定方法です。
[1]	例として、デフォルト拒否の SSH に対して、特定の IP アドレスは許可する設定を追加する。

dlp:~ #

firewall-cmd --list-service

dhcpv6-client http https

# family=[ipv4|ipv6]
# - family を省略した場合は両方に対して設定される
#
# service name=[サービス名]
# - 定義済みのサービス名は [firewall-cmd --get-services] で確認可
# または
# port port=[ポート番号] protocol=[プロトコル]
# - service|port のいずれも省略した場合は全ポートに対して設定される
#
# source address=[ソースアドレス]
# - ネットワークをまとめて指定する場合は 例えば [10.0.0.0/24] と指定
#
# アクション
# - accept : 許可
# - reject : 拒否 (ソースに通知)
# - drop : 拒否 (通知なし)
# - mark : 指定された mark とオプションの mask でマークされる

dlp:~ #

firewall-cmd --add-rich-rule='rule family="ipv4" service name="ssh" source address="10.0.0.212" accept'

success

# 設定確認

dlp:~ #

firewall-cmd --list-rich-rules

rule family="ipv4" source address="10.0.0.212" service name="ssh" accept

[2]	例として、デフォルト許可の HTTP に対して、特定の IP アドレスは拒否する設定を追加する。

dlp:~ #

firewall-cmd --list-service

dhcpv6-client http https

dlp:~ #

firewall-cmd --add-rich-rule='rule family="ipv4" service name="http" source address="10.0.10.0/24" drop'

dlp:~ #

firewall-cmd --add-rich-rule='rule family="ipv4" service name="https" source address="10.0.10.0/24" drop'

success

# 設定確認

dlp:~ #

firewall-cmd --list-rich-rules

rule family="ipv4" source address="10.0.10.0/24" service name="http" drop
rule family="ipv4" source address="10.0.0.212" service name="ssh" accept
rule family="ipv4" source address="10.0.10.0/24" service name="https" drop

[3]	例として、デフォルト拒否の特定のポートに対して、特定の IP アドレスは許可する設定を追加する。

dlp:~ #

firewall-cmd --list-ports

dlp:~ #

firewall-cmd --add-rich-rule='rule family="ipv4" port port="514" protocol="udp" source address="10.0.0.0/24" accept'

success

dlp:~ #

firewall-cmd --list-rich-rules

rule family="ipv4" source address="10.0.10.0/24" service name="http" drop
rule family="ipv4" source address="10.0.0.212" service name="ssh" accept
rule family="ipv4" source address="10.0.0.0/24" port port="514" protocol="udp" accept
rule family="ipv4" source address="10.0.10.0/24" service name="https" drop