CentOS7 firewalldパケットフィルタリング設定

※基本書式
# firewall-cmd [--permanent] [--zone=<zone>] [<options>..] [--timeout=<timevalue>]

※ヘルプコマンド
# firewall-cmd --help

※「.service」は省略してもOK!です。
firewalldサービスの起動や停止は、systemctlコマンドを使用します。

1.firewalldの起動
# systemctl start firewalld.service

2.firewalldの停止
# systemctl stop firewalld.service

3.firewalldの状態確認(※詳細版)
# systemctl status firewalld.service

firewalldの状態確認(※簡易版)
# firewall-cmd --state

4.firewalldの自動起動を有効化
# systemctl enable firewalld.service

5.firewalldの自動起動を無効化
# systemctl disable firewalld.service

6.firewalld自動起動設定の状態確認
# systemctl is-enabled firewalld.service

・全ゾーンを一覧表示
# firewall-cmd --list-all-zones

・デフォルトゾーンがどのゾーンに設定されているのかを確認
# firewall-cmd --get-default-zone

・現在のアクティブゾーンの設定確認
# firewall-cmd --get-active-zones

・デフォルトゾーンの設定確認
# firewall-cmd --list-all

・特定ゾーンの設定確認（※例としてdmzを指定）
# firewall-cmd --list-all --zone=dmz

・利用可能なゾーン名を一覧表示
# firewall-cmd --get-zones

・デフォルトゾーンを変更
# firewall-cmd --set-default-zone=dmz

＜ポート番号及びサービス名を含めた設定確認＞
・デフォルトゾーンに指定されているruntime(再起動したら消える)の現状確認
# firewall-cmd --list-all

・デフォルトゾーンに指定されているpermanent(再起動しても消えない)の現状確認
# firewall-cmd --list-all --permanent

＜ポート番号の確認＞
・公開中のポート番号一覧
# firewall-cmd --list-ports

・デフォルトゾーンに指定されているポート番号の永続設定を確認
# firewall-cmd --list-port --permanent

・パブリックゾーンに指定されているポート番号の永続設定を確認（※ゾーン指定版）
# firewall-cmd --list-port --zone=public --permanent

＜サービスの確認＞
・デフォルトゾーンに指定されているサービスの確認
# firewall-cmd --list-service --permanent

・パブリックゾーンに指定されているサービスの確認（※ゾーン指定版）
# firewall-cmd --list-service --zone=public --permanent

＜ポート番号を指定する場合＞
・80番ポート(HTTP)を許可
# firewall-cmd --add-port=80/tcp --permanent

・123番ポート（NTP）を許可
# firewall-cmd --add-port=123/udp --permanent

＜サービス名を指定する場合＞
・HTTPを許可
# firewall-cmd --add-service=http --permanent

・NTPを許可
# firewall-cmd --add-service=ntp --permanent

＜ポート番号指定で削除する場合＞
・80番ポート(HTTP)を拒否
# firewall-cmd --remove-port=80/tcp --permanent

・123番ポート（NTP）を拒否
# firewall-cmd --remove-port=123/udp --permanent

＜サービス名を指定して削除する場合＞
・HTTPを拒否
# firewall-cmd --remove-service=http --permanent

・NTPを拒否
# firewall-cmd --remove-service=ntp --permanent

・設定を反映
# firewall-cmd --reload

・runtime設定を永続設定に上書きする
# firewall-cmd --runtime-to-permanent

＜永続設定を読み込む（既存セッションを維持）＞
# firewall-cmd -reload

＜永続設定を読み込む（既存セッションを破棄）＞
# firewall-cmd --complete-reload

# firewall-cmd --zone=drop --add-source=xxx.xxx.xxx.0/24

・60分間のみhttpを許可
# firewall-cmd --add-service=http --timeout=60m

・サービス一覧の表示
# firewall-cmd --get-services

・サービスを公開(httpsの場合)
# firewall-cmd --add-service=https

・サービスの公開を停止(httpsの場合)
# firewall-cmd --remove-service=https

・公開されているサービス一覧を表示
# firewall-cmd --list-services

・インターフェースがどのゾーンに所属しているのか
# firewall-cmd --get-active-zones

・特定のインターフェースがどのゾーンに所属しているのか（runtimeの場合）。
# firewall-cmd --get-zone-of-interface=venet0

・特定のインターフェースがどのゾーンに所属しているのか（永続設定の場合）。
# firewall-cmd --get-zone-of-interface=venet0 --permanent

・インターフェースの所属ゾーンを変更
# firewall-cmd --zone=dmz --change-interface=venet0
※注意：上記コマンドではOS再起動をするとデフォルトゾーンに戻ってしまうので、
　NICの所属ゾーン変更をする際はNetworkManegerの設定で行うこと。

# vi /etc/firewalld/zones/public.xml