CentOS7にpptpdをInstall(firewallの設定)

更新日2018-03-28 (水) 22:43:57

pptpdのInstall

以下を参考に pptpdをInstall

rpmを以下からDL

# rpm -Uvh pptpd-1.4.0-1.rhel5.x86_64.rpm

SELINUXを無効

  • 確認
# /usr/sbin/getenforce
Enforcing
#  vi /etc/selinux/config
SELINUX=disabled

firewallの設定

  • zone:public
  • port:1723/tcp
  • GREの穴をあける

pptpdの確認のためfirewallの停止

# systemctl stop firewalld
# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: inactive (dead) since 日 2018-03-18 14:09:55 JST; 40s ago
     Docs: man:firewalld(1)
  Process: 678 ExecStart=/usr/sbin/firewalld --nofork --nopid $FIREWALLD_ARGS (code=exited, status=0/SUCCESS)
 Main PID: 678 (code=exited, status=0/SUCCESS)
  • OS起動時にファイアウォールが無効化
# systemctl disable firewalld
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

NICのゾーン確認(

zone:public
# firewall-cmd --get-active-zones
public
  interfaces: ens160

1730ポートの通過

# firewall-cmd --zone=public --add-port=1723/tcp
# firewall-cmd --zone=public --add-port=1723/tcp --permanent
  • 確認
# firewall-cmd --list-all --zone=public
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources:
  services: ssh dhcpv6-client
  ports: 1723/tcp   ←ここ
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

masqueradeのルール

  • ppp0で接続するパケットはmasquerade無効で直接接続
  • 192.168.31.10はmasqueradeで接続してほしくない

→結果:方法が見つからず、masquerade無で、Proxyを立てた

public zone に masqueradeの作成

この方法ではすべての入力がmasqueradeが有効になるので、NG

# sudo firewall-cmd --zone=public --add-masquerade
success
# firewall-cmd --permanent --zone=public --add-masquerade
success
  • 確認
# firewall-cmd --list-all --zone=public
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources:
  services: ssh dhcpv6-client
  ports: 1723/tcp
  protocols:
  masquerade: yes
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

ppp0をzone trustedに指定し、public zone masqueradeを一部無効

IF ppp0からのパケットすべて許可する。ppp0のzoneをtrustedにする。 また、public zone masqueradeは一部無効

192.168.31.10だけマスカレード使用不可にしたかったが

192.168.31.12, 192.168.31.16-63, 192.168.31.64-127, 192.168.31.128-255までがマスカレードで外部と接続可能

# firewall-cmd  --add-rich-rule="rule family=ipv4 source address=192.168.31.128/25 masquerade" --permanent
# firewall-cmd  --add-rich-rule="rule family=ipv4 source address=192.168.31.12/32 masquerade" --permanent
# firewall-cmd  --add-rich-rule="rule family=ipv4 source address=192.168.31.16/28 masquerade" --permanent
# firewall-cmd  --add-rich-rule="rule family=ipv4 source address=192.168.31.32/27 masquerade" --permanent
# firewall-cmd --reload
  • 確認
# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources:
  services: ssh dhcpv6-client dhcp
  ports: 1723/tcp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source address="192.168.31.128/25" masquerade
        rule family="ipv4" source address="192.168.31.12/32" masquerade
        rule family="ipv4" source address="192.168.31.16/28" masquerade
        rule family="ipv4" source address="192.168.31.32/27" masquerade

GREの穴をあける

# firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -i ens160 -p gre -j ACCEPT
success
  • 恒久的に有効化
# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -i ens160 -p gre -j ACCEPT
success
  • 確認
# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 0 -i ens160 -p gre -j ACCEPT

pptpd自動起動

# systemctl start pptpd
# systemctl enable pptpd
pptpd.service is not a native service, redirecting to /sbin/chkconfig.
Executing /sbin/chkconfig pptpd on

pptpd はネイティブなsystemd サービスではないので以下のコマンドで設定

# /sbin/chkconfig pptpd on

サービスの追加削除例

firewall-cmd --add-service=ssh --zone=public --permanent
firewall-cmd --remove-service=ssh --zone=public --permanent
  • 設定一覧を表示
ls -lta /usr/lib/firewalld/services/

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-03-28 (水) 22:43:57 (603d)