ネットワークの設定と管理

10.1　TCP/IP とは

コンピュータ間をケーブルや無線機能で接続したシステムをネットワークと呼びます。

10.1.1　ローカルエリアネットワークとワイドエリアネットワーク

学校や自宅などの閉じられた複数のコンピュータを相互接続したネットワークをローカルエリアネットワーク（ LAN ) 呼びます。離れた場所にある LAN と LAN を結んだネットワークのことをワイドネットワーク（ WAN ）と呼びます。

10.1.2　IP とは

ネットワークでつながったコンピュータ同士の間では、決まった手順（プロトコル）に従ってデータを送受信していきます。今日一般的に使われているイーサネット規格のネットワークはプロトコルとして TCP/IP を利用しています。

実習： ローカルなマシンの IP アドレスの確認

LAN 上にあるホストに ping コマンドを実行してみましょう。

$ ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=63 time=2.48 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=63 time=2.49 ms
(Ctrl + c で ping コマンドを中止)
— 192.168.1.1 ping statistics —
18 packets transmitted, 18 received, 0% packet loss, time 17046ms
rtt min/avg/max/mdev = 2.118/2.592/4.719/0.673 ms

実習： インターネットにつながるマシンで確認

ping コマンドに対して lpi サーバからの返答があるか確認。ping コマンドを3回実施するため、-e オプションを付けて実行します。

$ ping lpi.jp -c 3
PING lpi.jp (203.174.74.34) 56(84) bytes of data.
64 bytes from sv1.lpi.jp (203.174.74.34): icmp_seq=1 ttl=63 time=13.5 ms
64 bytes from sv1.lpi.jp (203.174.74.34): icmp_seq=2 ttl=63 time=38.7 ms
64 bytes from sv1.lpi.jp (203.174.74.34): icmp_seq=3 ttl=63 time=13.8 ms
— lpi.jp ping statistics —
3 packets transmitted, 3 received, 0% packet loss, time 2004ms
rtt min/avg/max/mdev = 13.544/22.051/38.762/11.817 ms

10.1.3 TCP と UDP とは

TCP(Transmission Control Protocol) は　IP(Internet Protocol) の仕組みを使ってデータを送る手順です。TCP では、データをまとまりを１つ受け取ると、すぐにデータの破損などのエラーを確認し、間違っている場合はデータの再送を依頼します。

UDP(User Datagram Protocol) はエラー確認やデータの再送制御は行いませんがその分データを高速に送ることができるので多少欠損しても問題がなく、信頼性よりも速度を求められる通信に適しています。

10.2　IP アドレス

TCP/IP でデータを送受信するには発信元と発送元の場所を表すアドレスが必要です。インターネットでは IPv4( Internet Protocol versin 4 ）とIPv6 という２つのプロトコルが使われています。プライベートな IP アドレスを除いた IP アドレスをグローバルな IP アドレスと呼びます。

10.2.1　IP アドレスのクラス

IPv4 で使われる IP アドレスはネットワークアドレスとホストアドレスをつなげた形になります。ネットワークアドレスは次の表のサブネットマスクのビットが立っている（255の様な）部分で、ホストアドレスはサブネットマスクのビットが立っていない（０）の部分です。ネットワークアドレスの長さにより A から C のクラスがあり、クラス D やクラス E などの特殊なクラスも予約されています。

ホストアドレスにおいて、ホスト部の全てのビットが 0 のアドレスはそのネットワーク自身のアドレスを示し、ホストの全てのビットが１のアドレスは、そのネットワーク内の全てのホストに届くブロードキャストアドレスという特殊なアドレスを示します。これらのアドレスは実際にコンピュータに割り当てることができません。

10.2.2　プライベート IP アドレス
ローカルなネットワークで自由に利用可能は IP アドレスが用意されており、プライベート IP アドレスと呼びます。

10.2.3　サブネットマスク
IP アドレスのうち、ネットワークアドレスとホストアドレスを識別するための数値をサブネットマスクといいます。サブネットマスクは通信先ホストが同一ネットワークにいるかいないかの判断に使われます。

10.2.4　CIDR（サイダー）表記
クラス分けしない CIDR（ Classless Inter-Domain Routing ）があります。　IP アドレスのネットワーク部とホスト部の境を / （スラッシュ）の後に続くビット数で指定する方法です。

・127.0.0.1/8
IP アドレスの先頭から8ビットをネットワーク部として残りの24ビットをホスト部とした設定。クラスAと同じ扱い
* IP アドレス　        : 127.0.0.1
* ネットマスク　      : 255.0.0.0
* ネットワーク　      : 127.0.0.0
* ブロードキャスト　: 127.255.255.255
* アドレスの数　      : 16,777,216個

・192.168.0.1/24
IP アドレスの先頭から24ビットをネットワーク部として残りの8ビットをホスト部とした設定。クラスCと同じ扱い
* IP アドレス　        : 192.168.0.1
* ネットマスク　      : 255.255.255.0
* ネットワーク　      : 192.168.0.0
* ブロードキャスト　: 192.168.0.255
* アドレスの数　      : 256個

・192.168.0.1/2８
IP アドレスの先頭から2８ビットをネットワーク部として残りの４ビットをホスト部とした設定。クラスCのサブセット扱い
* IP アドレス　        : 192.168.0.1
* ネットマスク　      : 255.255.255.240
* ネットワーク　      : 192.168.0.0
* ブロードキャスト　: 192.168.0.１５
* アドレスの数　      : １６個

10.3　経路の確認

LAN と LAN をつなげる場合、もしくは LAN と WAN をつなげる場合は、ゲートウェイ（ルーター）が間に接続されています。

自分が利用しているコンピュータから通信先のコンピュータまでに仲介する複数のゲートウェイを調べるには traceroute コマンドと tracepath コマンドがあります。

実習： traceroute コマンドと tracepath コマンドでゲートウェイを確認

# tracepath lpi.jp
1?: [LOCALHOST]               pmtu 1500
1: 10.x.x.x                         0.029ms
1: 10.x.x.x                         0.151ms
2: ntt.setup                       4.194ms asymm 64
(略)

ゲートウェイによってはセキュリティ対策のため、コマンドに応答しない場合があります。

# traceroute lpi.jp
-bash: traceroute: command not found
traceroute コマンドが見つからない場合 yum でインストールして下さい
# yum install traceroute

10.4　ネットワークの設定

CentOS 7 では、システム起動の推奨技術が SysV init から systemd に変わり、また Network-Manager サービスを推奨するようになったため、ネットワークの設定ファイルやコマンドも変わりました。

10.4.1　ネットワークインターフェース

ネットワークへアクセスするためにネットワークインターフェイスが必要です。物理的なネットワークインターフェースとしてネットワークインターフェイスカード（ NIC ）があります。現在は、多くの場合、ネットワークインターフェイスがコントロールチップの中に統合されています。

10.4.2　IP アドレスを確認

IP アドレスの確認は、ip コマンドの他、NetworkManager の nmcli, nmtui コマンドでも行えます。また従来からの ifconfig コマンドでも確認できます。

$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet 10.0.2.15/24 brd 10.0.2.255 scope global dynamic enp0s3
valid_lft 81379sec preferred_lft 81379sec
inet6 fe80::a00:27ff:fede:e0e/64 scope link
valid_lft forever preferred_lft forever

lo がフープバックインターフェイス（機器が正常に稼働しているか確認するためにデータを送って試すループバックテストなどに利用）。enp0s3 が物理的に存在する Ethernet(イーサネット)のネットワークインターフェースです。

$ nmcli device
デバイス   タイプ       状態         接続
enp0s3    ethernet    接続済み   enp0s3
lo            loopback    管理無し   —

10.4.3 IP アドレスの設定ファイル

RedHat Linux 系のディストリビューションは IP アドレスの設定を２つの設定ファイルに記述しておき、ブート時にそれらの設定ファイルにより設定されます。/etc/sysconfig/network-scripts/ifcfg-xxx 設定ファイルは xxx インターフェースの IP アドレスとサブネットマスクなどを記述します。xxx はループインターフェースの場合は lo 、ネットワークインターフェースカードの場合は enp0s3 などデバイスの種類とスロット位置により番号が振られます。

起動時にアドレスを自動設定するには DHCP 機能が提供された環境が必要です。/etc/syconfig/network 設定ファイルはデータが他のネットワークは転送されるゲートウェイのアドレスとホスト名を記述します。主な内容は次のようになります。

実習： ネットワークインターフェイスの確認

$ cat /etc/sysconfig/network-scripts/ifcfg-lo
DEVICE=lo
IPADDR=127.0.0.1　　　　　　　　　　　　　 (IP アドレス)
NETMASK=255.0.0.0　　　　　　　　　　　　(サブネットマスク)
NETWORK=127.0.0.0　　　　　　　　　　　  (ネットワーク)
# If you’re having problems with gated making 127.0.0.0/8 a martian,
# you can change this to something else (255.255.255.255, for example)
BROADCAST=127.255.255.255
ONBOOT=yes 　　　　　　　　　　　　　　　(ブート時に有効にする)
NAME=loopback 　　　　　　　　　　　　　  (インターフェース名 )

$ cat /etc/sysconfig/network-scripts/ifcfg-enp0s3
# Generated by dracut initrd
NAME=”enp0s3″
DEVICE=”enp0s3″
ONBOOT=yes
NETBOOT=yes
UUID=”2549fe9a-7096-4c07-9f6c-7debcec1aafc”
IPV6INIT=yes
BOOTPROTO=dhcp
TYPE=Ethernet

10.4.4 インターフェースの設定

ネットワークのインターフェースは設定ファイルを書き換えて、systemctl コマンドに restart オプションをつけて再起動することで変更できます。

実習： ネットワークインターフスの再設定

ip addr コマンドで設定を確認後、ip アドレスを変更して NetworkManager と network サービスを再起動します。

# ip addr show dev enp0s3
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet 192.168.1.60/24 brd 10.0.2.255 scope global dynamic enp0s3
valid_lft 81379sec preferred_lft 81379sec
inet6 fe80::a00:27ff:fede:e0e/64 scope link
valid_lft forever preferred_lft forever
# vi /etc/sysconfig/network-scripts/ifcfg-enp0s3
(ip アドレスを変更)
# systemctl restart network.service
(ネットワークサービスの再起動)
# ip addr show dev enp0s3
(enp0s3 の設定を表示)

※ vi で設定変更していますが NetworkManager （ nmcli コマンド）で変更するのが主流みたいです。

10.5　ルーティング

ネットワークの状況を表示するための ip route コマンドや ss コマンドがあり、データが流れる方向（ルーティング）が調べられます。

ss のオプション
-v     バージョン情報
-a     全てのソケットを表示
-n     サービス名に変換せずに表示
-r     ホスト名を名前解決
-p     ソケットを使用しているプロセス ID を表示

実習： ルーティングとインターフェースの確認

# ip rout
default via 192.168.1.1 dev enp0s3 proto static metric 100
192.168.122.0/24 dev enp0s3 proto kernel scope link src 10.0.2.15 metric 100

10.5.1　ルーティングの変更

ルーティングの変更を行うには、ip route コマンドを使用します。
route コマンドでは、add を指定するとルーティングに経路を追加します。ターゲットには、-net を指定した場合にはネットワークアドレスを、 -bohst を指定した場合にはホストアドレスを宛先として指定します。サブネットマスクの指定を省略した場合は、ターゲットに設定したアドレスから判別されたクラスに該当するマスク値が設定されます。インターフェースを省略すると、カーネルが自動的に最適なデバイスを設定します。
実習： ルーティングの追加（例）

# ip route add 192.168.2.0/24 via 192.168.1.1 dev enp0s3
(経路を追加)
# ip route
(ルーティングを表示)

実習： ルーティングの削除（例）

# ip route del 192.168.2.0/24 via 192.168.1.1
(経路を削除)
# ip route
(ルーティングを表示)

10.6 DNS を使う設定

名前解決の機能を使うには /etc/nsswich.conf ファイルで何を使うか指定します。ファイルを使う指定であれば /etc/hosts ファイルを参照し、DNS (Domain Name System) を使う指定であれば /etc/resolv.conf ファイルを見て DNS サーバを使います。/etc/nsswich.conf ファイルでは hosts: の項目でファイル（ files ) や DNS（ dns ）を指定します。hosts: 項目のファイルや DNS の優先順位は記述された順番となります。

$ ls -l /etc/nsswitch.conf
-rw-r–r–. 1 root root 1717 7月 16 2015 /etc/nsswitch.conf
$ less /etc/nsswitch.conf
・
hosts: files dns
・

/etc/resolv.conf ファイルには nameserver でDNS サーバのアドレスが登録されています。デフォルトでは、このファイルは NetworkManager 経由で管理されます。

$ cat /etc/resolv.conf
# Generated by NetworkManager
search localdomain
nameserver xxx.x.x.xx

nmcli コマンドで DNS サーバの設定を確認してみましょう。

# nmcli d show enp0s3
GENERAL.GERÄT:　　　　　　　　　　 　　　　 enp0s3
GENERAL.TYP:                                               ethernet
GENERAL.HWADDR:                                       08:00:27:DE:0E:0E
GENERAL.MTU:                                              1500
GENERAL.STATUS:                                         100 (verbunden)
GENERAL.VERBINDUNG:                                 enp0s3
GENERAL.CON-PFAD:                                     /org/freedesktop/NetworkManager/ActiveConnection/0
WIRED-PROPERTIES.TRÄGERFREQUENZ:         an
IP4.ADRESSE[1]:                                           10.0.2.15/24
IP4.GATEWAY:                                               xxx.x.x.xx
IP4.DNS[1]:                                                  xxx.x.x.xx

実際に設定されている DNS サーバで名前解決してみましょう。

# nslookup lpi.jp
Server: xx.x.x.xx
Address: xx.x.x.xx#53
・
Non-authoritative answer:
Name: lpi.jp
Address: 203.174.74.34

/etc/hosts ファイルはホストの名前と IP アドレスの関係を静的に定義しておくファイルです。定義は次のように１行で１つの定義を書きます。

$ cat /etc/hosts
(例)
127.0.0.1　　　　　 localhost         localhost.localdomain
192.168.1.5 　　　  test.lpi.jp        test

/etc/nsswitch.conf で files dns の順になっているので、 /etc/hosts ファイルは DNS サーバによる名前解決よりも優先されます。

10.6.1　名前（ FQDN )

インターネットでは IP アドレスだけを使うと人間にはわかり辛いので、FQDN(Fully Qualified Domain Name) と呼ばれる名前（例: www.lpi.or.jp ）を使えます。IP アドレスと名前の対応は dig コマンドや nslookup コマンドで調べられます。

実習： IP アドレスに対応するホスト名の問い合わせ

$ nslookup 203.174.74.34
$ nslookup lpi.jp
Server: 　　　　　　　　　10.0.2.3
Address: 　　　　　　　　10.0.2.3#53
・
Non-authoritative answer:
Name: lpi.jp
Address: 203.174.74.34

10.7　ポート番号

TCP/IP で通信をする場合は、IP アドレスに加えてサービスごとにポート番号を使います。ポート番号がどのサービスに対応するかは規格として取り決められており、一般的なサービスはサービス番号との対応が /etc/services ファイルに書かれています。

10.8　サービスの確認

Linux のサービスやネットワークの状況を表示する ss コマンドは、提供されているサービスを調べて表示することができます。

実習： 提供されている TCP サービスの表示

$ ss -at
State      Recv-Q   Send-Q    Local Address:Port                    Peer Address:Port
LISTEN   0           128                           *:ssh                                      *:*
LISTEN   0           100               127.0.0.1:smtp                                   *:*
ESTAB    0           0                   10.0.2.15:ssh                           10.0.2.2:53611
LISTEN   0          128                          :::ssh                                     :::*
LISTEN   0          100                           ::1:smtp                                :::*

実習： 提供されている UDP サービスの表示

$ ss -au
State        Recv-Q   Send-Q              Local Address:Port              Peer Address:Port
UNCONN  0            0                                        *:bootpc                            *:*
UNCONN  0            0                                        *:23863                             *:*
UNCONN  0            0                                       :::30645                             :::*

$ netstat -au
Active Internet connections (servers and established)
Proto       Recv-Q   Send-Q    Local Address    Foreign Address       State
udp         0           0             0.0.0.0:bootpc   0.0.0.0:*
udp         0           0             0.0.0.0:23863    0.0.0.0:*
udp6       0           0             [::]:30645         [::]:*

10.9 ネットワークセキュリティの設定

ネットワークセキュリティのために TCP ラッパー（ TCP Wrapper ）という機能が提供されています。TCP ラッパーでセキュリティを強化する場合は、サービスが TCP ラッパー機能を提供するライブラリ（プログラム）を利用している必要があります。アクセスを制御する /etc/deny.allow ファイルとアクセスを許可する /etc/hosts.allow ファイルを用意する必要があります。

# vi /etc/hosts.allow
ssd : 192.168.1.60　　（例）
vi /etc/hosts.deny
ALL : ALL　　　（例）

10.9.1　ファイアーウォール（ firewalld ）の設定

CentOS 7 では、iptables に代わり、firewalld が推奨されています。iptables も使用できますが、使用するにはfirewalld を無効にする必要があります。firewalld では、ゾーンと呼ばれる単位ごとに設定が可能です。firewalld の状態は、firewall-cmd コマンドまたは systemctl コマンドで確認できます。

# firewall-cmd –state
running

# systemctl status firewalld.service
firewalld.service – firewalld – dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since Mi 2018-12-19 06:45:38 CET; 5h 1min ago
Main PID: 577 (firewalld)
CGroup: /system.slice/firewalld.service
└─577 /usr/bin/python -Es /usr/sbin/firewalld –nofork –nopid
Dez 19 06:45:35 localhost.example.com systemd[1]: Starting firewalld – dynami…
Dez 19 06:45:38 localhost.example.com systemd[1]: Started firewalld – dynamic…
Hint: Some lines were ellipsized, use -l to show in full.

firewalld の設定を確認してみましょう。root または sudo で実行してください。

# firewall-cmd –list-all
public (default, active)
interfaces: enp0s3
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:

firewall-cmd [オプション]

–permanent
永続的設定に使用します。このオプションを付けて実行した設定を有効にするには、 –reload オプションを使用するか、firewalld の再起動が必要です。

–list-all
追加、有効化されている項目を全て表示します。

–list-services
追加、有効化しているサービスを表示します。

–add-services
サービスを有効にします。

–remove-services
サービスを無効にします。

–reload
permanent 設定を再読み込みします。

実習： ファイアーウォールの表示

# firewall-cmd –list-services
dhcpv6-client ssh

ディストリビューションによってはデフォルトではほとんどのサービスが抑制されており、サービスを利用するためには設定を追加する必要があります。

実習： ファイアーウォールの設定変更

# firewall-cmd –add-services=http
(http を一時的に設定)
success
# firewall-cmd –add-services=http –permanent
(http を永続的に設定)
success

https がシステム起動時に設定されることを確認するため、fierwalld を再起動します。

# systemctl restart firewalld.service

10.9.2　iptables への切り替え