coreosでdtrfs、RH系でxfsと、ファイルシステムが色々と採用されているっぽいのですが、initについては以下の参考サイトによると意外なことに。
Linux Daily Topics
2014年2月14日 問題の核心はinitにあらず ─Ubuntuの孤立
タイトルにも書いてありますが、Fedora/Red Hat,openSUSE、など比較的メジャーなディストリはsystemdを採用しつつあるらしく、Debianも一応利用可能という事でsystemdが使えるそうだ。
そんな訳で、CentOSもsystemdなんだけど、ファイアウォール回りも結構変わっていて、タイトルの通り、sshの入り口をローカルだけにしたいとき、例えば入口となるサーバーだけsshを開けておいて、他のサーバーはグローバルなsshは閉じているという構成にしたい時に、iptablesでは簡単にできていたのだけど、firewalldというものになったら少しステップを踏む必要があったので、作業メモしておこうと思います。
とりあえず、よく使いそうなコマンドたちを。
[root@cent7 ~]# firewall-cmd -h | grep service
--get-services Print predefined services [P]
--new-service=<service>
Add a new service [P only]
--delete-service=<service>
Delete and existing service [P only]
--list-services List services added for a zone [P] [Z]
--add-service=<service>
Add a service for a zone [P] [Z] [T]
--remove-service=<service>
Remove a service from a zone [P] [Z]
--query-service=<service>
Return whether service has been added for a zone [P] [Z][root@cent7 ~]# firewall-cmd -h | grep inter
--get-default-zone Print default zone for connections and interfaces
--get-zone-of-interface=<interface>
Print name of the zone the interface is bound to [P]
--list-interfaces List interfaces that are bound to a zone [P] [Z]
--add-interface=<interface>
Bind the <interface> to a zone [P] [Z]
--change-interface=<interface>
Change zone the <interface> is bound to [Z]
--query-interface=<interface>
Query whether <interface> is bound to a zone [P] [Z]
--remove-interface=<interface>
Remove binding of <interface> from a zone [P] [Z]
自己流にやったので、何かあれば教えてください。
まずはLAN側のインターフェースをpublicからhomeへ。
remove>addじゃなく、changeさせます。
[root@cent7 ~]# firewall-cmd --change-interface=ens4 --zone=home
success
home (active)
interfaces: ens4
services: dhcpv6-client ipp-client mdns samba-client ssh
icmp-blocks:
public (default, active)
interfaces: ens3
services: dhcpv6-client ssh
icmp-blocks:続いて、publicのsshを拒否しますというか、削除します。
[root@cent7 ~]# firewall-cmd --remove-service=ssh --zone=public
success
home (active)
interfaces: ens4
services: dhcpv6-client ipp-client mdns samba-client ssh
icmp-blocks:
public (default, active)
interfaces: ens3
services: dhcpv6-client
icmp-blocks:終わりです。
ifconfigもデフォではなくなり、ipコマンドが中心になるのかどうか知りませんが、今のデファクトスタンダードでもipコマンドは入っているようなので、今のうちから意識してつかっておくのもいいかもしれないですね。
面白いことに
$ ip
Usage: ip [ OPTIONS ] OBJECT { COMMAND | help }
ip [ -force ] -batch filename
where OBJECT := { link | addr | addrlabel | route | rule | neigh | ntable |
tunnel | tuntap | maddr | mroute | mrule | monitor | xfrm |
netns | l2tp | tcp_metrics | token }
OPTIONS := { -V[ersion] | -s[tatistics] | -d[etails] | -r[esolve] |
-f[amily] { inet | inet6 | ipx | dnet | bridge | link } |
-4 | -6 | -I | -D | -B | -0 |
-l[oops] { maximum-addr-flush-attempts } |
-o[neline] | -t[imestamp] | -b[atch] [filename] |
-rc[vbuf] [size]}頭文字だけでもいけるようです。
最初が被ってるやつは2文字目まで入れたらいけるっぽい。
$ ip to
token :: dev ens3
token :: dev ens4