ひよっこエンジニアの雑多な日記

とあるプログラミングスクールで働くひよっこエンジニアが覚えたことや悲しみを記すブログ

【CentOS7】firewallで特定のポートに特定のホストからのみアクセスさせる設定

気がついたら最終更新から1週間以上立っていました(驚愕)
先週北海道に旅だったり、無駄に副業に忙しかったり、PS4買ったりしたからしょうがない!!。。。。しょうがないんや(反省)

さて一週間記事更新してなかったから今回はとりあえず更新したいという思いもあり、軽めの記事。

概要

冗長構成を組んでいるインフラ環境で特定のミドルウェアへのアクセスはアプリケーションサーバーからのみのものを受け付けたいとなった時にfirewallで設定してやるということを行いました。
ちょっとコマンド長くて、またやるとき忘れそうなんで書き留めとく感じ。

今回は7777ポートに特定のIPアドレスからのみアクセスを受け付けたかったという想定。

方法

まずは7777へのアクセスさせていた設定を消しておく

$ firewall-cmd --permanent --remove-port=7777/tcp

特定のIPアドレスを通す設定を行う

 $ firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="IPアドレス" port protocol="tcp" port="7777" accept"

firewallをリロード

$ firewall-cmd --reload

設定確認

$ firewall-cmd --list-all

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: dhcpv6-client mysql ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  sourceports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="IPアドレス" port port="7777" protocol="tcp" accept

rich rulesが設定されていればOK
複数ホストを設定したい場合はIPアドレスを変えてrich ruleの設定コマンドをもう一度叩けばOK

最後に

そういやCodeDeployの書きかけの記事がある
早く書いて世に出さないと(やり方忘れかけ)