conohaでfirewalld

conohaのNWの制御がよくわかっていない。。 コントロールパネルで制御するのか、iptablesなのか、firewalldなのか。 いくら、コントールパネルであけても、iptablesもfirewalldも変化がない。。。 もっと上のレイヤーなんだろう。

nginxを入れてみて、なんとなくわかったのは、firewalldで開けてあげないと接続できなかったこと。 以下はfirewalld を触ったときのメモ

# zoneの情報表示
[root@test foxtrot]# firewall-cmd --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client http ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
# サービスの表示
[root@test foxtrot]# firewall-cmd --list-service --zone=public
dhcpv6-client http ssh
# サービスの追加(一時的に)
[root@test foxtrot]# firewall-cmd --add-service=https --zone=public
success
[root@test foxtrot]#
[root@test foxtrot]# firewall-cmd --list-service --zone=public
dhcpv6-client http https ssh
# reload (reloadしたら一時的に追加したサービスは消える)
[root@test foxtrot]# firewall-cmd --reload
success
[root@test foxtrot]#
[root@test foxtrot]# firewall-cmd --list-service --zone=public
dhcpv6-client http ssh
# サービスの追加(こちらだとreloadしても消えない)
firewall-cmd --add-service=https --zone=public --permanent
#追加後は反映のためreloadが必要
firewall-cmd --reload 
# サービスを削除する場合
[root@test foxtrot]# firewall-cmd --list-service --zone=public
dhcpv6-client http https ssh
[root@test foxtrot]#
[root@test foxtrot]# firewall-cmd --remove-service=https --zone=public
success
[root@test foxtrot]#
[root@test foxtrot]#
[root@test foxtrot]# firewall-cmd --list-service --zone=public
dhcpv6-client http ssh
[root@test foxtrot]#
[root@test foxtrot]#
[root@test foxtrot]# firewall-cmd --reload
success
[root@test foxtrot]#
[root@test foxtrot]#
[root@test foxtrot]# firewall-cmd --list-service --zone=public
dhcpv6-client http https ssh
[root@test foxtrot]#
[root@test foxtrot]#
[root@test foxtrot]# firewall-cmd --remove-service=https --zone=public --permanent
success
[root@test foxtrot]#
[root@test foxtrot]#
[root@test foxtrot]# firewall-cmd --list-service --zone=public
dhcpv6-client http https ssh
[root@test foxtrot]#
[root@test foxtrot]#
[root@test foxtrot]# firewall-cmd --reload
success
[root@test foxtrot]#
[root@test foxtrot]#
[root@test foxtrot]# firewall-cmd --list-service --zone=public
dhcpv6-client http ssh

firewalldで追加すると、firewalldがiptablesを開けてくれる。(という認識なんだけど。。)

Chain IN_public_allow (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 ctstate NEW
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 ctstate NEW

systemctlも勉強しないと。。