Raspberry Piでfirewalldを使う

Raspberry Pi 3でRaspbianを使うとき、ファイヤーウォールをどうしようかと思って、CentOS7にデフォルトでインストールされているfirewalldをインストールして使うことにした。RaspbianのバージョンはJessie。

$ cat /etc/issue Raspbian GNU/Linux 8 \n \l

firewalldのインストール

apt-getコマンドでインストールできる。

$ sudo apt-get install firewalld

インストールが完了すると自動でサービスが起動する。
$ systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/lib/systemd/system/firewalld.service; enabled) Active: active (running) ...

ただこの時点ではNICにファイヤーウォールの設定が適用されていないので、実質的にはファイヤーウォールは機能していない。

firewalldの設定

firewalldの使い方については、googleで検索するとたくさん見つかるので省略。とりあえず、ここではsshのみを許可する設定をしてみる。

まずは現在の設定を確認。
$ sudo firewall-cmd --list-all public (default) interfaces: sources: services: dhcpv6-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:
IPv6用のDHCPクライアントとsshを許可するように設定されている。

デフォルトのpublicゾーンの設定を変えてもいいが、新たにpiというゾーンを作成する。作成後に作成を反映させて、piゾーンの設定を確認。この時点では何も設定されていない。
$ sudo firewall-cmd --new-zone=pi --permanent $ sudo firewall-cmd --reload $ sudo firewall-cmd --zone=pi --list-all pi interfaces: sources: services: ports: masquerade: no forward-ports: icmp-blocks: rich rules:

sshを許可する設定をして反映させる。再起動しても設定が保持されるように--permanentオプションをつける。
$ sudo firewall-cmd --add-service=ssh --zone=pi --permanent $ sudo firewall-cmd --reload

sshのポートを変えている場合（例として10022）は、許可するポート番号を指定する。
$ sudo firewall-cmd --add-port=10022/tcp --zone=pi --permanent $ sudo firewall-cmd --reload

piゾーンをデフォルトにする。
$ sudo firewall-cmd --set-default-zone=pi

NICに設定を適用する。ifconfigなどのコマンドで適用するNICのデバイス名を確認（有線LANならeth0など）して、以下のコマンドを実行。
$ sudo firewall-cmd --zone=pi --change-interface=eth0

設定を確認する。
$ sudo firewall-cmd --list-all pi (default, active) interfaces: eth0 sources: services: ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:
sshを許可する設定になっている。

動作確認

namp [IPアドレス]で別のPCからポートスキャンしてみる。sshで使うtcp22番以外はフィルタが有効になっている。
Not shown: 999 filtered ports PORT STATE SERVICE 22/tcp open ssh

firewalldを無効にすると以下のような結果になる。フィルタが有効になっているポートはない。
Not shown: 999 closed ports PORT STATE SERVICE 22/tcp open ssh