12月2日(火)1、2コマ目

今日、やったこと

  • [確認テスト]ファイアウォール1
  • ファイアウォール(ICMP)
  • [やってみよう]ファイアウォール(ICMP)

今日のホワイトボード

ICMPとは

Internet Control Message Protocolの略。IPの補助的なプロトコル。

ICMPに関係した最もよく使うのはpingコマンド。

pingコマンドはネットワークの導通確認に使われるコマンド。

ICMPのエコー要求、エコー応答を使って実際にパケットの往復をさせることで、導通確認を行う。

図 ICMP、pingコマンド

ICMPエコー要求パケット

ICMPエコー要求パケットを受信すると、ICMPエコー応答パケットを返信しなければならない。
が、インターネットに公開するサーバーは応答しない方がいい。そこで、ファイアウォールで破棄するように設定する。
逆に、LAN内のサーバーはメンテナンスのためにも応答する方がいいケースが多い。

ファアイウォールでICMPパケットをコントロール

ファイアウォールでICMPパケットに関する設定項目は以下の3つ。
項目名 説明
target F/Wのデフォルトの動作。
許可、拒否(返信する)、破棄を選択
icmp-blocks F/Wにて、許可 または 拒否 するICMPパケットのタイプ
imcp-block-inversion noなら、icmp-blocksのタイプのパケットをブロック
yesなら、icmp-blocksのタイプのパケットを許可
図 ICMPパケットに関する項目

以下のように、ゾーン「public」では、

図 firewall-cmd --list-all --zone=public

  • icmp-block-inversion : no
  • icmp-blocks : 

となっていることから、ICMPのパケットは全て許可する。


ICMPのタイプ

ファイアウォールが識別するICMPのタイプは --get-icmptypesオプションで確認できる。

図 firewall-cmd --get-icmptypes

いろんなタイプがあるように、ICMPはエコー要求、エコー応答だけでなく、色々な機能を持っている。


pingコマンドの応答

pingコマンドは以下の応答パターンがある。

図 pingコマンドの応答

icmp-block-inversionの変更

設定値はyes または noだが、
  • yesに設定するには、--add-icmp-block-inversion
  • noに設定するには、--remove-icmp-block-inversion
で行う。

⚪︎firewall-cmd --add-icmp-block-inservesion
実行すると、icmp-block-inversion : yesになる。
図 firewall-cmd --add-icmp-block-inversion

実行後は、icmp-blocksのパケットを許可する。icmp-blocksが未設定なら、全てのICMPパケットをブロック。

⚪︎firewall-cmd --remove-icmp-block-inservesion
実行すると、icmp-block-inversion : noになる。

図 firewall-cmd --remove-icmp-block-inversion

実行後は、icmp-blocksのパケットを拒否する。icmp-blocksが未設定なら、全てのICMPパケットを許可。

次回は

[確認テスト]ファイアウォール1の解説。
[やってみよう]ファイアウォール(ICMP)の解説。




このブログの人気の投稿

12月23日(火)1、2コマ目

イメージ
 今日、やったこと [確認テスト 解説]ファイアウォール2 [確認テスト]ファイアウォール3 Webサーバー構築 今日のホワイトボード [確認テスト 解説]ファイアウォール2 問1 firewall-cmd --list-all出力結果のうち、ICMPパケットの処理に影響を与えるのは target icmp-blocks icmp-block-inversion の3つ。 図 ICMPパケットとtarget 問2 firewall-cmd --list-all出力結果のうち、ICMPパケットのタイプに関する設定は、icmp-blocks。 問3 firewall-cmd --list-all出力結果のうち、icmp-blocksのパケットを許可/ブロックを決めるのはicmp-block-inversion。 問4 項目icmp-blocks だけを出力するには、 --list-icmp-blocksオプション 。 図 firewall-cmd --list-icmp-blocks 問5 項目icmp-block-inversion だけを出力するには、 --query-icmp-block-inversionオプション 。 図 firewall-cmd --query-icmp-block-inversion 問6 インターネット公開サーバーはICMPパケットを破棄したほうがいい。 なぜなら・・(問7につづく) 問7 サーバーが稼働していることが分かり、攻撃対象になるため。 仮想マシンを操作する 2種類の方法を使い分けていた。ごっちゃになら...
続きを読む

1月6日(火)1、2コマ目

イメージ
今日、やったこと LinuxでWebサーバー構築 今日のホワイトボード LinuxでWebサーバー構築 前々回、前回と 仮想マシン作成 仮想マシンにLinuxインストール、設定 仮想マシンにWebサーバーアプリケーションインストール を行った。今日は、そのおさらい。 物理マシン、仮想マシン 1台の物理マシンにハイパーバイザをインストールし、その上に仮想マシンを作成。 仮想マシンはソフトウェア的なコンピュータ。 仮想マシンにLinuxをインストールして、Webサーバーにする。 図 物理マシンと仮想マシン Webサーバー構築 配布した資料「Webサーバー構築」に沿って進めました。 以下はなんてことはないかと思うので、スルー。 Web管理ツールcockpitでLinuxサーバーにログイン 仮想マシンの新規作成 ネットワークインターフェース設定 AlmaLinuxインストール 仮想マシンログイン 6.ネットワーク設定 ①コネクション確認 まずは、コネクション一覧を出力。 図 コネクション一覧出力 "TYPE"がethernetのコネクション"enp1s0"が仮想マシンの仮想NICのためのコネクション。 コネクション"enp1s0"の詳細確認。 図 コネクション詳細確認 確認すべき項目は以下の3つ。 ipv4.method IPアドレスの設定方法 auto:DHCPサーバーからIPアドレスを借りる manual:IPアドレスを静的に設定 ipv4.add...
続きを読む

12月9日(火)1、2コマ目

イメージ
今日、やったこと [確認テスト 解説]ファイアウォール1 [やってみよう 解説]ファイアウォール(ICMP) リッチルール 今日のホワイトボード [確認テスト 解説]ファイアウォール1 問1 図 現在アクティブなゾーンの確認 問2 --get-active-zoneでなにも出力されない => 適用されるゾーンが未設定  適用されるゾーンが未設定の場合は、デフォルトゾーンが適用される。 デフォルトゾーンの確認は--get-default-zoneオプション。 図 デフォルトゾーンの確認 問3 稼働中のF/Wにて許可されているサービスの一覧は--list-serviceオプション。 下図はゾーン「public」で確認。(ゾーンzone01は存在しないため) 図 ゾーンpublicにて許可されているサービス確認 問4 ゾーンの設定ファイルは以下の2つ。 設定ファイルへのパス 内容 /usr/lib/firewalld/zones/ゾーン名.xml OSが用意するデフォルトの設定ファイル。基本的に変更しない。 /etc/firewalld/zones/ゾーン名.xml デフォルト設定を変更した際に作成される。 ユーザーがゾーンを追加する場合もこちらへ。 図 ゾーン設定ファイル 問5 設定ファイルにて許可されている...
続きを読む