Linux標準教科書 第10章(v304対応)

ネットワークの設定と管理

10.1 TCP/IP とは

コンピュータ間をケーブルや無線機能で接続したシステムをネットワークと呼びます。

10.1.1 ローカルエリアネットワークとワイドエリアネットワーク

学校や自宅などの閉じられた複数のコンピュータを相互接続したネットワークをローカルエリアネットワーク( LAN ) 呼びます。離れた場所にある LAN と LAN を結んだネットワークのことをワイドネットワーク( WAN )と呼びます。

10.1.2 IP とは

ネットワークでつながったコンピュータ同士の間では、決まった手順(プロトコル)に従ってデータを送受信していきます。今日一般的に使われているイーサネット規格のネットワークはプロトコルとして TCP/IP を利用しています。

実習: ローカルなマシンの IP アドレスの確認

LAN 上にあるホストに ping コマンドを実行してみましょう。

$ ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=63 time=2.48 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=63 time=2.49 ms
(Ctrl + c で ping コマンドを中止)
— 192.168.1.1 ping statistics —
18 packets transmitted, 18 received, 0% packet loss, time 17046ms
rtt min/avg/max/mdev = 2.118/2.592/4.719/0.673 ms

実習: インターネットにつながるマシンで確認

ping コマンドに対して lpi サーバからの返答があるか確認。ping コマンドを3回実施するため、-e オプションを付けて実行します。

$ ping lpi.jp -c 3
PING lpi.jp (203.174.74.34) 56(84) bytes of data.
64 bytes from sv1.lpi.jp (203.174.74.34): icmp_seq=1 ttl=63 time=13.5 ms
64 bytes from sv1.lpi.jp (203.174.74.34): icmp_seq=2 ttl=63 time=38.7 ms
64 bytes from sv1.lpi.jp (203.174.74.34): icmp_seq=3 ttl=63 time=13.8 ms
— lpi.jp ping statistics —
3 packets transmitted, 3 received, 0% packet loss, time 2004ms
rtt min/avg/max/mdev = 13.544/22.051/38.762/11.817 ms

10.1.3 TCP と UDP とは

TCP(Transmission Control Protocol) は IP(Internet Protocol) の仕組みを使ってデータを送る手順です。TCP では、データをまとまりを1つ受け取ると、すぐにデータの破損などのエラーを確認し、間違っている場合はデータの再送を依頼します。

UDP(User Datagram Protocol) はエラー確認やデータの再送制御は行いませんがその分データを高速に送ることができるので多少欠損しても問題がなく、信頼性よりも速度を求められる通信に適しています。

10.2 IP アドレス

TCP/IP でデータを送受信するには発信元と発送元の場所を表すアドレスが必要です。インターネットでは IPv4( Internet Protocol versin 4 )とIPv6 という2つのプロトコルが使われています。プライベートな IP アドレスを除いた IP アドレスをグローバルな IP アドレスと呼びます。

10.2.1 IP アドレスのクラス

IPv4 で使われる IP アドレスはネットワークアドレスホストアドレスをつなげた形になります。ネットワークアドレスは次の表のサブネットマスクのビットが立っている(255の様な)部分で、ホストアドレスはサブネットマスクのビットが立っていない(0)の部分です。ネットワークアドレスの長さにより A から C のクラスがあり、クラス D やクラス E などの特殊なクラスも予約されています。

ホストアドレスにおいて、ホスト部の全てのビットが 0 のアドレスはそのネットワーク自身のアドレスを示し、ホストの全てのビットが1のアドレスは、そのネットワーク内の全てのホストに届くブロードキャストアドレスという特殊なアドレスを示します。これらのアドレスは実際にコンピュータに割り当てることができません。

IPアドレスのクラス
10.2.2 プライベート IP アドレス
ローカルなネットワークで自由に利用可能は IP アドレスが用意されており、プライベート IP アドレスと呼びます。
プライベートIPアドレスとクラス
10.2.3 サブネットマスク
IP アドレスのうち、ネットワークアドレスとホストアドレスを識別するための数値をサブネットマスクといいます。サブネットマスクは通信先ホストが同一ネットワークにいるかいないかの判断に使われます。
IPアドレス概念
10.2.4 CIDR(サイダー)表記
クラス分けしない CIDR( Classless Inter-Domain Routing )があります。 IP アドレスのネットワーク部とホスト部の境を / (スラッシュ)の後に続くビット数で指定する方法です。

・127.0.0.1/8
IP アドレスの先頭から8ビットをネットワーク部として残りの24ビットをホスト部とした設定。クラスAと同じ扱い
* IP アドレス         : 127.0.0.1
* ネットマスク       : 255.0.0.0
* ネットワーク       : 127.0.0.0
* ブロードキャスト : 127.255.255.255
* アドレスの数       : 16,777,216個

・192.168.0.1/24
IP アドレスの先頭から24ビットをネットワーク部として残りの8ビットをホスト部とした設定。クラスCと同じ扱い
* IP アドレス         : 192.168.0.1
* ネットマスク       : 255.255.255.0
* ネットワーク       : 192.168.0.0
* ブロードキャスト : 192.168.0.255
* アドレスの数       : 256個

・192.168.0.1/28
IP アドレスの先頭から28ビットをネットワーク部として残りの4ビットをホスト部とした設定。クラスCのサブセット扱い
* IP アドレス         : 192.168.0.1
* ネットマスク       : 255.255.255.240
* ネットワーク       : 192.168.0.0
* ブロードキャスト : 192.168.0.15
* アドレスの数       : 16個

10.3 経路の確認

LAN と LAN をつなげる場合、もしくは LAN と WAN をつなげる場合は、ゲートウェイ(ルーター)が間に接続されています。

ゲートウェイ概念図

自分が利用しているコンピュータから通信先のコンピュータまでに仲介する複数のゲートウェイを調べるには traceroute コマンドと tracepath コマンドがあります。

実習: traceroute コマンドと tracepath コマンドでゲートウェイを確認

# tracepath lpi.jp
1?: [LOCALHOST]               pmtu 1500
1: 10.x.x.x                         0.029ms
1: 10.x.x.x                         0.151ms
2: ntt.setup                       4.194ms asymm 64
(略)

ゲートウェイによってはセキュリティ対策のため、コマンドに応答しない場合があります。

# traceroute lpi.jp
-bash: traceroute: command not found
traceroute コマンドが見つからない場合 yum でインストールして下さい
# yum install traceroute

10.4 ネットワークの設定

CentOS 7 では、システム起動の推奨技術が SysV init から systemd に変わり、また Network-Manager サービスを推奨するようになったため、ネットワークの設定ファイルやコマンドも変わりました。

10.4.1 ネットワークインターフェース

ネットワークへアクセスするためにネットワークインターフェイスが必要です。物理的なネットワークインターフェースとしてネットワークインターフェイスカード( NIC )があります。現在は、多くの場合、ネットワークインターフェイスがコントロールチップの中に統合されています。

10.4.2 IP アドレスを確認

IP アドレスの確認は、ip コマンドの他、NetworkManager の nmcli, nmtui コマンドでも行えます。また従来からの ifconfig コマンドでも確認できます。

$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet 10.0.2.15/24 brd 10.0.2.255 scope global dynamic enp0s3
valid_lft 81379sec preferred_lft 81379sec
inet6 fe80::a00:27ff:fede:e0e/64 scope link
valid_lft forever preferred_lft forever

lo がフープバックインターフェイス(機器が正常に稼働しているか確認するためにデータを送って試すループバックテストなどに利用)。enp0s3 が物理的に存在する Ethernet(イーサネット)のネットワークインターフェースです。

$ nmcli device
デバイス   タイプ       状態         接続
enp0s3    ethernet    接続済み   enp0s3
lo            loopback    管理無し   —

10.4.3 IP アドレスの設定ファイル

RedHat Linux 系のディストリビューションは IP アドレスの設定を2つの設定ファイルに記述しておき、ブート時にそれらの設定ファイルにより設定されます。/etc/sysconfig/network-scripts/ifcfg-xxx 設定ファイルは xxx インターフェースの IP アドレスとサブネットマスクなどを記述します。xxx はループインターフェースの場合は lo 、ネットワークインターフェースカードの場合は enp0s3 などデバイスの種類とスロット位置により番号が振られます。

ifconfg設定ファイルの項目

固定アドレス( static )を設定する場合の項目

起動時にアドレスを自動設定するには DHCP 機能が提供された環境が必要です。/etc/syconfig/network 設定ファイルはデータが他のネットワークは転送されるゲートウェイのアドレスとホスト名を記述します。主な内容は次のようになります。

ネットワークの項目

実習: ネットワークインターフェイスの確認

$ cat /etc/sysconfig/network-scripts/ifcfg-lo
DEVICE=lo
IPADDR=127.0.0.1              (IP アドレス)
NETMASK=255.0.0.0            (サブネットマスク)
NETWORK=127.0.0.0             (ネットワーク)
# If you’re having problems with gated making 127.0.0.0/8 a martian,
# you can change this to something else (255.255.255.255, for example)
BROADCAST=127.255.255.255
ONBOOT=yes                (ブート時に有効にする)
NAME=loopback                (インターフェース名 )

$ cat /etc/sysconfig/network-scripts/ifcfg-enp0s3
# Generated by dracut initrd
NAME=”enp0s3″
DEVICE=”enp0s3″
ONBOOT=yes
NETBOOT=yes
UUID=”2549fe9a-7096-4c07-9f6c-7debcec1aafc”
IPV6INIT=yes
BOOTPROTO=dhcp
TYPE=Ethernet

MAC アドレスはハードウェアに設定されているユニークな番号であり、正しい MAC アドレス が設定されていない場合通信することができなくなるため、自動的に認識された番号を書き換えな いようにしましょう。ブロードキャストは 1 対多で通信をする場合に使われるアドレスで、ホスト 部のビットが全部1のアドレスです。

10.4.4 インターフェースの設定

ネットワークのインターフェースは設定ファイルを書き換えて、systemctl コマンドに restart オプションをつけて再起動することで変更できます。

実習: ネットワークインターフスの再設定

ip addr コマンドで設定を確認後、ip アドレスを変更して NetworkManager と network サービスを再起動します。

# ip addr show dev enp0s3
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet 192.168.1.60/24 brd 10.0.2.255 scope global dynamic enp0s3
valid_lft 81379sec preferred_lft 81379sec
inet6 fe80::a00:27ff:fede:e0e/64 scope link
valid_lft forever preferred_lft forever
# vi /etc/sysconfig/network-scripts/ifcfg-enp0s3
(ip アドレスを変更)
# systemctl restart network.service
(ネットワークサービスの再起動)
# ip addr show dev enp0s3
(enp0s3 の設定を表示)

※ vi で設定変更していますが NetworkManager ( nmcli コマンド)で変更するのが主流みたいです。

10.5 ルーティング

ネットワークの状況を表示するための ip route コマンドや ss コマンドがあり、データが流れる方向(ルーティング)が調べられます。

ss のオプション
-v     バージョン情報
-a     全てのソケットを表示
-n     サービス名に変換せずに表示
-r     ホスト名を名前解決
-p     ソケットを使用しているプロセス ID を表示

実習: ルーティングとインターフェースの確認

# ip rout
default via 192.168.1.1 dev enp0s3 proto static metric 100
192.168.122.0/24 dev enp0s3 proto kernel scope link src 10.0.2.15 metric 100

10.5.1 ルーティングの変更

ルーティングの変更を行うには、ip route コマンドを使用します。
route コマンドでは、add を指定するとルーティングに経路を追加します。ターゲットには、-net を指定した場合にはネットワークアドレスを、 -bohst を指定した場合にはホストアドレスを宛先として指定します。サブネットマスクの指定を省略した場合は、ターゲットに設定したアドレスから判別されたクラスに該当するマスク値が設定されます。インターフェースを省略すると、カーネルが自動的に最適なデバイスを設定します。
実習: ルーティングの追加(例)

# ip route add 192.168.2.0/24 via 192.168.1.1 dev enp0s3
(経路を追加)
# ip route
(ルーティングを表示)

実習: ルーティングの削除(例)

# ip route del 192.168.2.0/24 via 192.168.1.1
(経路を削除)
# ip route
(ルーティングを表示)

10.6 DNS を使う設定

名前解決の機能を使うには /etc/nsswich.conf ファイルで何を使うか指定します。ファイルを使う指定であれば /etc/hosts ファイルを参照し、DNS (Domain Name System) を使う指定であれば /etc/resolv.conf ファイルを見て DNS サーバを使います。/etc/nsswich.conf ファイルでは hosts: の項目でファイル( files ) や DNS( dns )を指定します。hosts: 項目のファイルや DNS の優先順位は記述された順番となります。

$ ls -l /etc/nsswitch.conf
-rw-r–r–. 1 root root 1717 7月 16 2015 /etc/nsswitch.conf
$ less /etc/nsswitch.conf

hosts: files dns

/etc/resolv.conf ファイルには nameserver でDNS サーバのアドレスが登録されています。デフォルトでは、このファイルは NetworkManager 経由で管理されます。

$ cat /etc/resolv.conf
# Generated by NetworkManager
search localdomain
nameserver xxx.x.x.xx

nmcli コマンドで DNS サーバの設定を確認してみましょう。

# nmcli d show enp0s3
GENERAL.GERÄT:                enp0s3
GENERAL.TYP:                                               ethernet
GENERAL.HWADDR:                                       08:00:27:DE:0E:0E
GENERAL.MTU:                                              1500
GENERAL.STATUS:                                         100 (verbunden)
GENERAL.VERBINDUNG:                                 enp0s3
GENERAL.CON-PFAD:                                     /org/freedesktop/NetworkManager/ActiveConnection/0
WIRED-PROPERTIES.TRÄGERFREQUENZ:         an
IP4.ADRESSE[1]:                                           10.0.2.15/24
IP4.GATEWAY:                                               xxx.x.x.xx
IP4.DNS[1]:                                                  xxx.x.x.xx

実際に設定されている DNS サーバで名前解決してみましょう。

# nslookup lpi.jp
Server: xx.x.x.xx
Address: xx.x.x.xx#53

Non-authoritative answer:
Name: lpi.jp
Address: 203.174.74.34

/etc/hosts ファイルはホストの名前と IP アドレスの関係を静的に定義しておくファイルです。定義は次のように1行で1つの定義を書きます。

$ cat /etc/hosts
(例)
127.0.0.1      localhost         localhost.localdomain
192.168.1.5      test.lpi.jp        test

/etc/nsswitch.conf で files dns の順になっているので、 /etc/hosts ファイルは DNS サーバによる名前解決よりも優先されます。

10.6.1 名前( FQDN )

インターネットでは IP アドレスだけを使うと人間にはわかり辛いので、FQDN(Fully Qualified Domain Name) と呼ばれる名前(例: www.lpi.or.jp )を使えます。IP アドレスと名前の対応は dig コマンドや nslookup コマンドで調べられます。

実習: IP アドレスに対応するホスト名の問い合わせ

$ nslookup 203.174.74.34
$ nslookup lpi.jp
Server:          10.0.2.3
Address:         10.0.2.3#53

Non-authoritative answer:
Name: lpi.jp
Address: 203.174.74.34

10.7 ポート番号

TCP/IP で通信をする場合は、IP アドレスに加えてサービスごとにポート番号を使います。ポート番号がどのサービスに対応するかは規格として取り決められており、一般的なサービスはサービス番号との対応が /etc/services ファイルに書かれています。

ポート番号と対応サービス

10.8 サービスの確認

Linux のサービスやネットワークの状況を表示する ss コマンドは、提供されているサービスを調べて表示することができます。

実習: 提供されている TCP サービスの表示

$ ss -at
State      Recv-Q   Send-Q    Local Address:Port                    Peer Address:Port
LISTEN   0           128                           *:ssh                                      *:*
LISTEN   0           100               127.0.0.1:smtp                                   *:*
ESTAB    0           0                   10.0.2.15:ssh                           10.0.2.2:53611
LISTEN   0          128                          :::ssh                                     :::*
LISTEN   0          100                           ::1:smtp                                :::*

実習: 提供されている UDP サービスの表示

$ ss -au
State        Recv-Q   Send-Q              Local Address:Port              Peer Address:Port
UNCONN  0            0                                        *:bootpc                            *:*
UNCONN  0            0                                        *:23863                             *:*
UNCONN  0            0                                       :::30645                             :::*

$ netstat -au
Active Internet connections (servers and established)
Proto       Recv-Q   Send-Q    Local Address    Foreign Address       State
udp         0           0             0.0.0.0:bootpc   0.0.0.0:*
udp         0           0             0.0.0.0:23863    0.0.0.0:*
udp6       0           0             [::]:30645         [::]:*

10.9 ネットワークセキュリティの設定

ネットワークセキュリティのために TCP ラッパー( TCP Wrapper )という機能が提供されています。TCP ラッパーでセキュリティを強化する場合は、サービスが TCP ラッパー機能を提供するライブラリ(プログラム)を利用している必要があります。アクセスを制御する /etc/deny.allow ファイルとアクセスを許可する /etc/hosts.allow ファイルを用意する必要があります。

# vi /etc/hosts.allow
ssd : 192.168.1.60  (例)
vi /etc/hosts.deny
ALL : ALL   (例)

10.9.1 ファイアーウォール( firewalld )の設定

CentOS 7 では、iptables に代わり、firewalld が推奨されています。iptables も使用できますが、使用するにはfirewalld を無効にする必要があります。firewalld では、ゾーンと呼ばれる単位ごとに設定が可能です。firewalld の状態は、firewall-cmd コマンドまたは systemctl コマンドで確認できます。

# firewall-cmd –state
running

# systemctl status firewalld.service
firewalld.service – firewalld – dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since Mi 2018-12-19 06:45:38 CET; 5h 1min ago
Main PID: 577 (firewalld)
CGroup: /system.slice/firewalld.service
└─577 /usr/bin/python -Es /usr/sbin/firewalld –nofork –nopid
Dez 19 06:45:35 localhost.example.com systemd[1]: Starting firewalld – dynami…
Dez 19 06:45:38 localhost.example.com systemd[1]: Started firewalld – dynamic…
Hint: Some lines were ellipsized, use -l to show in full.

firewalld の設定を確認してみましょう。root または sudo で実行してください。

# firewall-cmd –list-all
public (default, active)
interfaces: enp0s3
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:

firewall-cmd [オプション]

–permanent
永続的設定に使用します。このオプションを付けて実行した設定を有効にするには、 –reload オプションを使用するか、firewalld の再起動が必要です。

–list-all
追加、有効化されている項目を全て表示します。

–list-services
追加、有効化しているサービスを表示します。

–add-services
サービスを有効にします。

–remove-services
サービスを無効にします。

–reload
permanent 設定を再読み込みします。

実習: ファイアーウォールの表示

# firewall-cmd –list-services
dhcpv6-client ssh

ディストリビューションによってはデフォルトではほとんどのサービスが抑制されており、サービスを利用するためには設定を追加する必要があります。

実習: ファイアーウォールの設定変更

# firewall-cmd –add-services=http
(http を一時的に設定)
success
# firewall-cmd –add-services=http –permanent
(http を永続的に設定)
success

https がシステム起動時に設定されることを確認するため、fierwalld を再起動します。

# systemctl restart firewalld.service

10.9.2 iptables への切り替え

次に、ファイアウォールを firewalld から iptables に切り替えて動作を確認しましょう。

 大まかな手順は、下記の通りです。

firewalld の無効化 iptables の有効化 iptables の設定

firewalldを無効化します。

(firewalld を停止します。)
# systemctl stop firewalld.service
(firewalld を無効化します。無効化には disable または mask を指定します。)
# systemctl disable firewalld.service
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service. (mask を指定すると、systemd から firewalld アクセスできないようにできます。)
# systemctl mask firewalld.service
Created symlink from /etc/systemd/system/firewalld.service to /dev/null.
# systemctl status firewalld.service
● firewalld.service
Loaded: masked (/dev/null; bad)
Active: inactive (dead)
3月 11 07:05:18 localhost.localdomain firewalld[14853]: WARNING: COMMAND_FAILED: ‘/usr/sbin/iptable…d:
3月 11 07:05:18 localhost.localdomain firewalld[14853]: WARNING: COMMAND_FAILED: ‘/usr/sbin/iptable…d: :::

次に、iptables を有効化します。

(iptables-services をインストールします。) # yum -y install iptables-services :::
(iptbles サービスを起動します。)
# systemctl start iptables.service
(iptbles サービスを有効化します。)
# systemctl enable iptables.service
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/ip (iptbles サービスを状態を確認します。)
# stemctl status iptables.service
● iptables.service – IPv4 firewall with iptables
Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled; vendor preset: disabled)
Active: active (exited) since 土 2017-03-11 07:35:31 JST; 34s ago Main PID: 15829 (code=exited, status=0/SUCCESS)
:::

iptables コマンドに-L オプションをつけて、現在の設定を確認します。

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp — anywhere anywhere
ACCEPT all — anywhere anywhere
ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ssh
REJECT all — anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all — anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

エディタで設定ファイルに、Apache http(ポート番号:80) https(ポート番号:443) を追加し ます。

# vi /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state –state NEW -m tcp –dport 22 -j ACCEPT
-A INPUT -p tcp -m state –state NEW -m tcp –dport 80 -j ACCEPT # この行を追加 -A INPUT -p tcp -m state –state NEW -m tcp –dport 443 -j ACCEPT # この行を追加 -A INPUT -j REJECT –reject-with icmp-host-prohibited
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
COMMIT

iptables サービスを再起動して、追加した設定を有効にします。

# systemctl restart iptables.service

http(80) https(443) が追加されたことを確認します。

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp — anywhere anywhere
ACCEPT all — anywhere anywhere
ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp — anywhere anywhere state NEW tcp dpt:http # 追加されました。
ACCEPT tcp — anywhere anywhere state NEW tcp dpt:https # 追加されました。
REJECT all — anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all — anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

10.10 CentOS 7 と CentOS 6 の比較

ネットワーク関連のコマンドについて新しいコマンドを推奨しています。

CentOS7とCentOS6コマンド比較

10.11 章末テスト

(1)以下のうち、一般的に使われているサーバーが使うポートについて、正しい組み合わせを選びなさい。

  1. 22:SSH 80:HTTP 443:HTTPS
  2. 23:SSH 80:HTTP 443:HTTPS
  3. 22:SSH 443:HTTP 80:HTTPS
  4. 23:SSH 443:HTTP 80:HTTPS

(2)traceroute コマンドの動作と利用方法を説明しなさい。

(3)マシンに設定されている IP アドレスをコマンドで表示しなさい。

(4)マシンの DNS サーバの参照先として 8.8.8.8 を設定しなさい。

(5)192.168.100.20 からのアクセスを拒否するように設定しなさい。

linux標準教科書より抜粋

テキストと問題集の購入は下記の画像をクリックして下さい。

認定テキストKindle版はこちらから

問題集Kindle版はこちらから

章末テスト解答

(1)1

(2)自分が利用しているコンピュータから通信先のコンピュータまでに仲介するゲートウェイを調べる。ping コマンドで相手ホストから正常な応答があるか経路嬢のルーターのルーティングが正しいか調べる。

(3)ip a

(4)

# vi /etc/resolv.conf
# Generated by NetworkManager
search flets-east.jp example.com
nameserver 8.8.8.8

(5)

# vi /etc/hosts.deny

# hosts.deny This file contains access rules which are used to
# deny connections to network services that either use
# the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# The rules in this file can also be set up in
# /etc/hosts.allow with a ‘deny’ option instead.
#
# See ‘man 5 hosts_options’ and ‘man 5 hosts_access’
# for information on rule syntax.
# See ‘man tcpd’ for information on tcp_wrappers
#
SSH:192.168.100.20

または firewall-cmd を使う

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください