もちろん、とりあえずやってみる趣旨だったので、関係無いところでハマらないように配慮した結果なのですが。
では、CentOS7のfirewalldは有効にすべきなのでしょうか?
様々な環境で運用されるかと思いますが、ルーターや手前のファイアーウォールなどで一括して対応する場合もあれば、サーバー個々に設定するところまで必要な場合もあります。
うーん...
Azureの場合を考えてみましょうか。
エンドポイントに一応ACLが付いていますが、同じ仮想ネットワーク内のホストが乗っ取られた場合を考えた場合、firewalldはあった方がいいかもしれませんね。
そういえば、CentOS6までのiptablesのルールは「/etc/sysconfig/iptables」に書いてありましたが、firewalldの場合はどこにあるのでしょうか?
答えは「/etc/firewalld/zones/」の下のXMLファイルです。
Azureの場合、CentOS7の仮想マシンを立ち上げると、有効なzoneは「public」だけですので、「/etc/firewalld/zones/public.xml」になります。
中を見てみましょう。
[root@cocteau7 ~]# cat /etc/firewalld/zones/public.xml
ここに直接記述しても良さそうですね。
起動時にfirewalldを有効にしてスタートするには、こうします。
[root@cocteau7 ~]# systemctl enable firewalld
ln -s '/usr/lib/systemd/system/firewalld.service' '/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service'
ln -s '/usr/lib/systemd/system/firewalld.service' '/etc/systemd/system/basic.target.wants/firewalld.service'
[root@cocteau7 ~]# systemctl start firewalld
詳しい設定などはこちらをどうぞ。