ansible-firewalld

これは、RedHat Enterprise Linux用のfirewalldのインストールと設定のためのAnsibleロールです。

要件

なし

ロール変数のサンプル

shhirose_firewalld:
  default_zone: public

  zones:
    - zone: test1
      state: enabled

  interfaces:
    - interface: eth901
      zone: public
      immediate: yes
      permanent: True
      state: enabled

  targets:
    - target: DROP
      zone: home

  masquerades:
    - masquerade: yes
      zone: public
      immediate: yes
      permanent: True

  services:
    - service: http
      zone: public
      immediate: yes
      permanent: True
      state: enabled

  ports:
    - port: "8080/tcp"
      zone: public
      immediate: yes
      permanent: True
      state: enabled

  rich_rules:
    - rule: "rule family="ipv4" source address="192.168.0.0/16" port protocol="tcp" port="22" accept"
      zone: public
      immediate: yes
      permanent: False
      state: enabled

  icmp_blocks:
    - type: echo-request
      zone: public
      immediate: yes
      permanent: False
      state: enabled

  sources:
    - source: "172.10.0.0/16"
      zone: public
      immediate: yes
      permanent: False
      state: enabled

  forward_ports:
    - proto: "tcp"
      port: "50022"
      toaddr: "192.168.10.10"
      toport: "22"
      zone: public
      immediate: yes
      permanent: False
      state: enabled

変数パラメータ

zones

キー	必須	デフォルト	型	値	注釈
zone	はい		文字列		対象のゾーン名
state	はい		文字列	enabled または disabled	有効の場合は新しいゾーンを追加します。

targets

キー	必須	デフォルト	型	値	注釈
target	はい		文字列	default, ACCEPT, %%REJECT%% または DROP
zone	いいえ		文字列		対象のゾーン名

masquerades

キー	必須	デフォルト	型	値	注釈
masquerade	はい		文字列	yes または no
zone	いいえ		文字列		対象のゾーン名
immediate	いいえ	yes	文字列	yes または no	この設定は即時に適用されます。
permanent	いいえ	no	真偽値	True または False	この設定は永続的です。

interfaces

キー	必須	デフォルト	型	値	注釈
interface	はい		文字列		対象のインターフェース名
zone	いいえ		文字列		対象のゾーン名
immediate	いいえ	yes	文字列	yes または no	この設定は即時に適用されます。
permanent	いいえ	no	真偽値	True または False	この設定は永続的です。
state	はい		文字列	enabled または disabled	有効の場合は新しいゾーンを追加します。

services

キー	必須	デフォルト	型	値	注釈
service	はい		文字列		対象のサービス名
zone	いいえ		文字列		対象のゾーン名
immediate	いいえ	yes	文字列	yes または no	この設定は即時に適用されます。
permanent	いいえ	no	真偽値	True または False	この設定は永続的です。
state	はい		文字列	enabled または disabled	有効の場合は新しいゾーンを追加します。

ports

キー	必須	デフォルト	型	値	注釈
port	はい		文字列		対象のポート
zone	いいえ		文字列		対象のゾーン名
immediate	いいえ	yes	文字列	yes または no	この設定は即時に適用されます。
permanent	いいえ	no	真偽値	True または False	この設定は永続的です。
state	はい		文字列	enabled または disabled	有効の場合は新しいゾーンを追加します。

sources

キー	必須	デフォルト	型	値	注釈
source	はい		文字列		対象の接続制限ソース。
zone	いいえ		文字列		対象のゾーン名
immediate	いいえ	yes	文字列	yes または no	この設定は即時に適用されます。
permanent	いいえ	no	真偽値	True または False	この設定は永続的です。
state	はい		文字列	enabled または disabled	有効の場合は新しいゾーンを追加します。

rich-rules

キー	必須	デフォルト	型	値	注釈
rule	はい		文字列		rich-rule値
zone	いいえ		文字列		対象のゾーン名
immediate	いいえ	yes	文字列	yes または no	この設定は即時に適用されます。
permanent	いいえ	no	真偽値	True または False	この設定は永続的です。
state	はい		文字列	enabled または disabled	有効の場合は新しいゾーンを追加します。

icmp-blocks

キー	必須	デフォルト	型	値	注釈
type	はい		文字列		icmpブロックタイプ
zone	いいえ		文字列		対象のゾーン名
immediate	いいえ	yes	文字列	yes または no	この設定は即時に適用されます。
permanent	いいえ	no	真偽値	True または False	この設定は永続的です。
state	はい		文字列	enabled または disabled	有効の場合は新しいゾーンを追加します。

forward ports

キー	必須	デフォルト	型	値	注釈
proto	はい		文字列		接続元プロトコル
port	はい		文字列		ソースポート
toport	いいえ		文字列		宛先ポート
toaddr	いいえ		文字列		宛先アドレス
zone	いいえ		文字列		対象のゾーン名
immediate	いいえ	yes	文字列	yes または no	この設定は即時に適用されます。
permanent	いいえ	no	真偽値	True または False	この設定は永続的です。
state	はい		文字列	enabled または disabled	有効の場合は新しいゾーンを追加します。

依存関係

なし

例のプレイブック

- hosts: servers
  roles:
     - { role: shhirose.firewalld }
  vars:
    shhirose_firewalld:
      services:
        - service: http
          zone: public
          immediate: yes
          permanent: True
          state: enabled
        - service: https
          zone: public
          immediate: yes
          permanent: True
          state: enabled
      ports:
        - port: 8080/tcp
          zone: public
          immediate: yes
          permanent: True
          state: enabled

ライセンス

MIT