KVM (Kernel-based Virtual Machine) の migration を行う際に、開ける必要のあるファイアウォールのポート番号

一番初めに答えから言いますと、KVM (Kernel-based Virtual Machine) の migration を行う際に、開ける必要のあるファイアウォールのポート番号は、「49152-49215」です。

この投稿では、CentOS 6.3 (x86_64) + GNOME (GUI) にて、ファイアウォールのポートを開ける手順を説明します。

GNOME (GUI) ではなく、iptables を CUI で手作業で設定されている方は、「49125-49215」を空けるように CUI で手作業設定を変更して下さい。(この投稿では、主に GUI の設定手順を説明します。CUI の設定手順はこの文章の補足をご参照ください)

1. GNOME でファイアウォール設定画面を起動します。

   「(GNOME の) システム」→「設定」→「ファイアウォール」

   

   図1.「ファイアウォール設定(GUI) を起動する」

2. GNOME でファイアウォール設定画面の起動時に、警告メッセージが表示されます。

   「CUI で手作業でファイアウォール (iptables) の設定をしている場合は、この GUI のファイアウォールの設定画面は使わずに、手作業で設定を行なって下さい。」という意味です。

   

   図2.「ファイアウォール設定(GUI)画面起動時の警告メッセージ」

   ここでは、「閉じる」を押します。

3. 左側で「その他のポート」をクリックします。右側にポートが「49152-49215」でプロトコルが「TCP」の行が存在するどうかを探します。

   以下の画面の例ではすでに存在しているので、「49152-49215」の「TCP」のポートはすでに開かれている状態です。これ以下の作業は不要です。

   

   図3.「ファイアウォール設定(GUI)画面」

4. 左側で「その他のポート」をクリックします。右側にポートが「49152-49215」でプロトコルが「TCP」の行が存在しない場合は、ポートが「49152-49215」でプロトコルが「TCP」の行を追加する必要があります。
   1. 「追加」ボタン (※ 図3を参照) をクリックします。
   2. 「ユーザー定義」のチェックボックスをオンにします (※ 図4を参照)。
   3. 「ポート」の欄には「49152-49215」と入力します (※ 図4を参照)。
   4. 「プロトコル」は「TCP」を選択します (※ 図4を参照)。
   

   図4.ファイアウォールの空きポート追加の画面

   「OK (※ 図4を参照)」→「適用 (※ 図3を参照)」→「(警告画面の) はい」の順番にクリックします。

補足　その1　「/etc/sysconfig/iptables」を直接手動で編集する場合

手作業で修正を行う場合は、「vi /etc/sysconfig/iptables」などで iptables のファイルを開き、

-A INPUT -m state --state NEW -m tcp -p tcp --dport 49152:49215 -j ACCEPT

という行を追加します。以下、追加した例です。

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 49152:49215 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

追加し終えたら、保存して vi を終了します。

iptables ファイルに加えた変更を有効にするために、iptables サービスを一旦停止して、再起動します。

[root@pc111 ~]# service iptables stop
iptables: ファイアウォールルールを消去中: [ OK ]
iptables: チェインをポリシー ACCEPT へ設定中filter [ OK ]
iptables: モジュールを取り外し中: [ OK ]
[root@pc111 ~]# service iptables start
iptables: ファイアウォールルールを適用中: [ OK ]
iptables: 追加のモジュールを読み込み中:nf_conntrack_netbios[ OK ]
[root@pc111 ~]#

以上で、手動で iptables ファイルを編集する方法は終了です。

参考

• CentOS6 - VNC ServerのGUI設定 (狸おやじのLinux備忘録)

  CentOS にて、GUI で VNC のポートを空ける手順が紹介されています。

• ファイアウォール構築（iptables）：設定

  スクリプトで、「/etc/sysconfig/iptables」を変更する方法です。