conohaでfirewalld
conohaのNWの制御がよくわかっていない。。 コントロールパネルで制御するのか、iptablesなのか、firewalldなのか。 いくら、コントールパネルであけても、iptablesもfirewalldも変化がない。。。 もっと上のレイヤーなんだろう。
nginxを入れてみて、なんとなくわかったのは、firewalldで開けてあげないと接続できなかったこと。 以下はfirewalld を触ったときのメモ
# zoneの情報表示 [root@test foxtrot]# firewall-cmd --list-all public (default, active) interfaces: eth0 sources: services: dhcpv6-client http ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: # サービスの表示 [root@test foxtrot]# firewall-cmd --list-service --zone=public dhcpv6-client http ssh
# サービスの追加(一時的に) [root@test foxtrot]# firewall-cmd --add-service=https --zone=public success [root@test foxtrot]# [root@test foxtrot]# firewall-cmd --list-service --zone=public dhcpv6-client http https ssh # reload (reloadしたら一時的に追加したサービスは消える) [root@test foxtrot]# firewall-cmd --reload success [root@test foxtrot]# [root@test foxtrot]# firewall-cmd --list-service --zone=public dhcpv6-client http ssh
# サービスの追加(こちらだとreloadしても消えない) firewall-cmd --add-service=https --zone=public --permanent #追加後は反映のためreloadが必要 firewall-cmd --reload
# サービスを削除する場合 [root@test foxtrot]# firewall-cmd --list-service --zone=public dhcpv6-client http https ssh [root@test foxtrot]# [root@test foxtrot]# firewall-cmd --remove-service=https --zone=public success [root@test foxtrot]# [root@test foxtrot]# [root@test foxtrot]# firewall-cmd --list-service --zone=public dhcpv6-client http ssh [root@test foxtrot]# [root@test foxtrot]# [root@test foxtrot]# firewall-cmd --reload success [root@test foxtrot]# [root@test foxtrot]# [root@test foxtrot]# firewall-cmd --list-service --zone=public dhcpv6-client http https ssh [root@test foxtrot]# [root@test foxtrot]# [root@test foxtrot]# firewall-cmd --remove-service=https --zone=public --permanent success [root@test foxtrot]# [root@test foxtrot]# [root@test foxtrot]# firewall-cmd --list-service --zone=public dhcpv6-client http https ssh [root@test foxtrot]# [root@test foxtrot]# [root@test foxtrot]# firewall-cmd --reload success [root@test foxtrot]# [root@test foxtrot]# [root@test foxtrot]# firewall-cmd --list-service --zone=public dhcpv6-client http ssh
firewalldで追加すると、firewalldがiptablesを開けてくれる。(という認識なんだけど。。)
Chain IN_public_allow (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ctstate NEW 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ctstate NEW 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 ctstate NEW
systemctlも勉強しないと。。