quinaengのブログ

ねっとわあくえんじにあです。くいなのらくがきちょうです。

Layer2基礎学習

宛先MACアドレスを理解して対象のポートから送出する。

 

エージング
L2スイッチは一定時間が経過すると学習していたMACアドレスMACアドレステーブルから削除が行われる。
Catalystでは300秒。

宛先となるMACアドレスを学習していない場合と
ブロードキャストを受信した場合はフラッディングをする。
フラッディングは同じVLANを割り当てられたポートのみ。


#スイッチング方式

 

・カットスルー方式
宛先MACアドレスのみ保存・確認してすぐに宛先へフレーム(データ)を転送する。

 

・ストアアンドフォワード方式
現在、利用されている転送方式になり、フレーム(データ)のすべてを保存・確認して転送する。

 

・フラグメントフリー方式
ストアアンドフォワード方式が開発されたばかりの時、処理スピードに時間がかかり、
障害が起きていないのにもかかわら通信不能になることがあった。
これを回避するためフラグメントフリーが開発された。
その後ハードウェアの技術が上がり、現在はストアアンドフォワードが実装されている。


#MACアドレステーブル
CatalystスイッチはデフォルトでMACアドレス学習/転送機能を行う。
Catalystスイッチは受信したフレームのMacアドレスを参照し、受信したポートと送信元MACアドレスマッピングして学習する。
これにより、どの端末がどのポートに接続されているかを確認することができる。
このMACアドレス学習機能により受信したフレームを転送すべきポートのみから出力し、無駄なフレームが転送されるのを防ぐことができる。
CatalystスイッチはMACアドレステーブル(MACアドレス)と呼ばれるテーブルを保持し、学習したMACアドレスと受信ポートのマッピングをこのMACアドレステーブルに登録する。

 

#VLAN基礎学習

・TPID
IEEE802.1qフレームであることを示す

PCP
フレームの優先度を示す

・CFI
アドレス形式を示す

・VID
VLAN IDを示す。(12bit(0 ~ 4095))

 

・ネイティブVLAN
トランクポートで唯一、タグをつけない
デフォルトはVLAN 1

 

・ポートVLAN
タグのつかないトラフィック

 

・タグVLAN
タグ付きパケットが出入り

 

・メーカー ポートVLAN タグVLAN *
・シスコアクセスポート トランクポート*
・その他 アンタグポート タグポート *

 

#STPの仕組み

1:BPDUの送信
2:ルートブリッジの選択
3:ルートポートの選択
4:指定ポート(Designated Port)、ブロックポート(NDP)の選択

 

1、BPDUの送信
スイッチは、ネットワーク参加すると同時にBPDUと呼ばれるHelloパケットをすべてのポートから送信します。
BPDUはお互いのスイッチの存在や通常に動作しているかを確認するキープアライブの役目を持っている。
マルチキャスト転送をし、2秒ごとに送信される。
複数のスイッチがある場合、すべてのスイッチがBPDUを送信し、お互いのBPDUを受信する。

・BPDUの内容
ブリッジID
パスコスト

ブリッジIDはプライオリティ値とMACアドレスで構成されている。デフォルトのプライオリティ値は「32768」。
このブリッジIDがスイッチを識別する番号になる。プライオリティ値が同じ場合にはMACアドレス

・パスコスト
10Gbps:コスト2
1Gbps:コスト4
100Mbps:コスト19
10Mbps:コスト100

 

2、ルートブリッジの選択
BPDUを送信、受信してネットワーク内のすべてのスイッチを確認すると、リーダースイッチになるルートブリッジを選ぶ。
ルートブリッジには、最小値のブリッジIDを持つスイッチが選ばれる。

 

3、ルートポートの選択
ルートブリッジが選出されると、次にパスコストをもとにルートポートが選出される。
ルートブリッジにパスコストが小さいポートが1つ選択されルートポートになる。

 

4、指定ポート(Designated Port)、ブロックポート(NDP)の選択
指定ポートは各リンク(セグメント)でルートブリッジに最も近いポート。
各リンクごとに1ポートが指定ポートになる。
ルートブリッジの全てのポートは必ず指定ポートになる。
指定ポートは「最も小さいルートパスコストのRPを持つスイッチ側のポート」が指定ポートになる。
ルートパスコストとブリッジIDが同じ値の場合インターフェース番号が若い方が指定ポートになる。


#STPのコンバージェンス

 

・ブロック状態(ブロッキング)
スイッチがネットワークに参加するとデータ転送ができないよう一度すべてのポートをブロックポートにしてSTPの計算を始める。
最大エージタイマーは20秒。

 

・リスニング状態
ブロックポートの選出を行う。
転送遅延タイマーは15秒。

 

・ラーニング状態
MACアドレステーブルの作成を行う。フレームの転送は行われない。
転送遅延タイマーは15秒。

・転送状態
フレームの転送が開始され、コンバージェンスした状態。


#高速なコンバージェンス技術
STPではコンバージェンスに最大50秒かかる。この時間を短縮するための技術が以下。
下の3つはCisco独自の機能。ほかのベンダでも利用できる標準の機能に、RSTPがある。

 

・PortFast(SW(config-if)#spanning-tree portfast)
スイッチに接続するデバイスがPCやサーバの場合、ループは発生しないのでSTPの計算が不要。
この場合、STPの計算を行わず、すぐに転送状態にする。
PortFastはポート単位で設定を行う。
スパニングツリーを無効にするわけではないので、BPDUの送信は行われる。

 

・UplinkFast(SW(config)#spanning-tree uplinkfast)
ブロックポートをルートポートのバックアップとして用意しておく。
ブロックポートは代替ポートと呼ばれる。障害が起きた際にブロックポートをすぐに空け、ルートポートに変更する。
UplinkFastは、ブロックポートを持つスイッチに設定が可能。
ブロックポートを持たないスイッチに設定しても意味がない。

 

・BackboneFast(SW(config)#spanning-tree backbonefast)
バックボーンファストは、ネットワーク上のすべてのスイッチに設定する必要がある。
RLQ(Route Link Query)というメッセージによって最大エージタイマーの分だけ省略することができる。


#ラピッドスパニングツリープロトコル(RSTP)
RSTP(IEEE802.1Wで定義)は、STP(IEEE802.1Dで定義)の改良版で、PortFast、UplinkFast、BackboneFastの機能が組み合わさったプロトコル
STPとの互換性があり、一緒に使用することができる。とポロ時に変更があった場合、
STPは50秒未満で収束するのに対してRSTPは1秒未満で高速収束する。

 

#STPとRSTPのポートステータス対比

 

・STP ・RSTP ・MACアドレス学習
Disabled Discarding No
Blocking Discarding No
Listening Discarding No
Learnin Learning Yes
Forwarding Forwarding Yes

 

・ポートの役割
RSTPには、ルートポート、指定ポート、バックアップポート、代替ポートの4つの役割がある。
STPには、ルートポート、指定ポート、ブロッキングポートの3つの役割がある。
STPのブロッキングポートが、RSTPではバックアップポートと代替ポートに分割された。


#STP BPDU補足

 

・BPDUガード
PortFastの設定されているポートでBPDUを受信したとき、そのポートをerror-disableにする機能。
PortFastに設定されているポートでは、PCやサーバなどが接続されることをいみする。
また、BPDUの受信はスイッチが接続されたことを意味することからLayer2ループを防ぐためにも実装すべき推奨コマンド。

 

・BPDUフィルタリング
PortFastの設定されているポートで、CatalystがBPDUの送受信を防止する機能。
PortFastが設定されたポートでは通常PC等が接続されるが、PCはSTPに参加しないため受信したBPDUを破棄する。
この機能により、不要なBPDUがPCへ送信されることを防ぐ。
々I/FでBPDUガードとBPDUフィルタリングの設定を有効にすると、フィルタリングが優先される。


#VTP(VLAN Trunking Protocol)
トランクポートからVTPアドバタイズメントと呼ばれるメッセージ
を送信して、スイッチネットワーク全体で設定されているVLAN情報の同期をとるシスコ独自のプロトコル
VTPを利用することで、管理者は1台のスイッチに対してVLANの追加、名前変更、削除などを行うだけで
同じグループ( 同じVTPドメイン )の全てのスイッチにVLANの追加、変更、削除の情報が通知される。
VTPアドバタイズメントには①VTPドメイン名 ②VTPパスワード ③VLAN情報 ④コンフィグレーションリビジョン番号の4つの情報が含まれる。
Catalystスイッチのデフォルトはサーバモード。
自身の保持するリビジョン番号よりこの値が大きい場合には、VTPにより通知されたVLAN情報が最新であると判断して、VLANの設定情報を置き換え

 

#VTPモード

 

・サーバ
VLAN作成:〇
VTP通知:〇
VTP転送:〇
同期:〇

 

・クライアント
VLAN作成:×
VTP通知:×
VTP転送:〇
同期:〇

 

・トランスペアレント
VLAN作成:〇
VTP通知:×
VTP転送:〇
同期:×

#VTPのバージョン
VTP バージョン 1 およびバージョン 2 は、標準範囲の VLAN(VLAN ID 1 ~ 1005)だけをサポートします。
VTP バージョン 3 は、VLAN 範囲全体(VLAN 1 ~ 4094)をサポートする。
拡張範囲 VLAN(VLAN 1006 ~ 4094)は、VTP バージョン 3 でだけサポートされます。
拡張 VLAN がドメインに設定されている場合は、VTP バージョン 3 から VTP バージョン 2 に変換できません。

#VTPプルーニング
VTPプルーニングはトランクリンク上で不要なVLANトラフィックの伝送を動的に止める機能。
VTP バージョン 1 および 2 では、VTP サーバでプルーニングをイネーブルにすると、その VTP ドメイン全体でプルーニングがイネーブルになる。
VTP バージョン 3 では、ドメイン内の各スイッチ上で手動によってプルーニングをイネーブルにする必要がある。
トランク ポート上で VLAN 2 ~ 1001 がプルーニング可能。専用の VLAN および拡張範囲 VLAN をプルーニングすることはできません。

#VTPの設定
「vtp version { 1 | 2 | 3 }」コマンドで設定
「show vtp status」コマンドでVTPバージョンがEnableになっていることを確認
「vtp domain <domain-name>」コマンドでvtpドメインを設定。VTPを動作させるには<domain-name>を各機器で同じにする必要がある。

 

OSPFメモ

OSPF(Open Shortest Path First)

#特徴
・マルチベンダサポート
マルチキャストをサポート
・Helloパケットを交換、ネイバー関係を確立・維持
・LSAをフラッディングし、LSDBに格納
SPFアルゴリズム
・ディスタンスベクタ型よりも高速なコンバージェンス
・メトリックはコスト
・エリアの概念による階層型ルーティング
・クラスレスルーティングプロトコル
・手動経路集約のサポート

 

#OSPFで使用されるパケット

・タイプ1: Hello
ネイバー関係を確立泳ぎ維持する
OSPFルータはネイバーの検出にHelloパケットを使用します。Helloパケットは、「225.0.0.5」のマルチキャストアドレスで定期的に送信されます。
最後にHelloを受信してからDeadインターバルが経過してもHellloを受信できなかった場合には、そのネイバーはダウンしたとみなされます。

・タイプ2: DBD
リンクステートデータベース(LSDB)の同期チェックを行う
DBD(Database Description)パケットは、LSDBの同期をとるために送受信します。DBDによってLSDBで保持しているLSAのリストを好感し、同期がとれているかを確認する。

・タイプ3: LSR
リンクステート情報(LSA)を要求する
LSR(Link-State Request)パケットは、自身のLSDBに不足しているLSAがあった場合、必要なLSAを要求するために使用します。

・タイプ4: LSU
リンクステート情報(LSA)を送信する
LSU(Link State Update)パケットは、LSRで要求されたLSAを送るために使用されます。LSUパケットには1つ以上のLSAが含まれています。

・タイプ5: LSAck
Helloを除くパケットの確認応答
LSACK(Link-State Acknowledgment)パケットは、DBDやLSUパケットを受信したことを通知する目的で使用する確認応答。


#OSPFパケットのフォーマット

・IPヘッダ
IPヘッダ(プロトコル番号89): 32bit

・OSPF共通ヘッダ
バージョン: 8bit
タイプ: 8bit
パケット長: 16bit
ルータID: 32bit
エリアID: 32bit
チェックサム: 16bit
認証タイプ: 16bit
認証: 32bit
認証: 32bit

・データ
データ(タイプごとに異なるメッセージ)

#OSPFテーブル
OSPFルータはリンクステートルーティングの実現要素として、次の3つのテーブルを保持しています。

・ネイバーテーブル
認識しているOSPFネイバーのリスト。隣接ルータとの隣接関係情報が格納されている。

・トポロジテーブル
LSAを格納したデータベース。LSDBとも呼ばれている。
LSDBはすべてのOSPFルータが保持し、エリア内のルータ間で同期がとられる。

・ルーティングテーブル
LSDBの情報を基に得た最適ルートのリスト。

 

#ルータidの決定(優先度)

router-idコマンドで設定
ループバックインターフェイスの中で最大のIPアドレス
アクティブなインターフェイスの中で最大のIPアドレス

 

#OSPFルータ同士の関係

・ネイバー関係(2way)
DROTHER-DROTHER

・アジャセンシ関係(隣接関係)
DR - DROTHER
BDR-DROTHER
DR-BDR

 

#DR/BDRの選出方法
router-idコマンドで設定
プライオリティが最大のルータがDR
プライオリティ値が2番目に大きいルータがBDR
プライオリティ値0のルータはDROTHER
プライオリティ値が同じ場合、ルータIDが最大のルータがDR、2番目に大きいルータがBDR

 

#OSPFの経路を学習するまでのプロセス

1、DOWN状態
2、INIT状態
3、2WAY状態
4、DR/BDRの選出
5、EXSTART状態
6、EXCHANGE状態
7、LOADING状態
8、FULL状態

 

#OSPFのコスト(式:100(Mbps)/インターフェイス帯域幅(Mbps))
Ethernet:コスト10
FastEthernet:コスト1
GigabitEthernet:コスト1
TenGigabitEthernet:コスト1
Serial(デフォルトT1:1,544kbps):コスト64
Serial(128kbps):コスト781
Serial(64kbps):コスト1,562

 

#設定
コストの変更
「ip ospf cost <1-65535>」で変更可能(インターフェイスで設定)

プライオリティの変更
「ip ospf priority <0-255>」で変更可能(インターフェイスで設定)

router ospf <process-id> ←プロセスIDは1-65535
network <address> <wildcard-mask> area <area-id>

 

#OSPFルートのコード
「O」 OSPFエリア内ルート
「O IA」 OSPFエリア間ルート
「O E1」 OSPF外部ルート メトリックタイプ1
「O E2」 OSPF外部ルート メトリックタイプ2
「O N1」 ISOF NSSA外部ルート メトリックタイプ1
「O N2」 NSSA外部ルート メトリックタイプ2

 

#OSPFネットワークタイプ
・ポイントツーポイント
ネイバー自動検出、DR/BDR選出なし、Hello/Deadインターバル(10/40秒)、マルチキャストアドレス:224.0.0.5

・ブロードキャストマルチアクセス
ネイバー自動検出、DR/BDR選出あり、Hello/Deadインターバル(10/40秒)
マルチキャストアドレス:224.0.0.5(OSPFルータ宛) 224.0.0.6(DR/BDR宛)

・NBMA(ノンブロードキャストマルチアクセス)
ネイバー自動検出なし(手動設定)、DR/BDR選出あり、Hello/Deadインターバル(30/120秒)
マルチキャストアドレス:なし(代わりにneighborコマンドを設定したユニキャストアドレスを使用)

・ポイントツーマルチポイント
ネイバー自動検出、DR/BDR選出なし、Hello/Deadインターバル(30/120秒)
マルチキャストアドレス:224.0.0.5

・ポイントツーマルチポイントノンブロードキャスト
ネイバー自動検出なし、DR/BDR選出なし、Hello/Deadインターバル(30/120秒)
マルチキャストアドレス:なし(代わりにneighborコマンドを設定したユニキャストアドレスを使用)


#主なインターフェイスのデフォルトのネットワークタイプ
・LANインターフェイス(Ethernet、FastEthernetなど):ブロードキャストマルチアクセス
・HDLC、PPPのシリアルインターフェイス:ポイントツーポイント
・フレームリレーのメジャーインターフェイス:NBMA
・フレームリレーのサブインターフェイス(point-to-point):ポイントツーポイント
・フレームリレーのサブインターフェイス(multipoint):NBMA

 

#OSPFネットワークタイプの変更
(config-if)#ip ospf network <mode>

・mode
OSPFネットワークタイプを次のいずれかで指定
broadcast、non-broadcast、point-to-multipoint
point-to-multipoint non-broadcast、point-to-point

※2台のルータ間でOSPFネットワークタイプが一致しなくても、Hello/Deadインターバルが一致していればネイバー関係は確立できる。ただし、DR/BDR選出の有無が異なると適切にルーティングテーブルを構築できないため、DR/BDR選出の認識を合わせる必要がある。
#LSAタイプ

・LSAタイプ1:ルータLSA
ルータが直接接続しているリンクの状態を表現するための最も基本的なLSAで、すべてのOSPFルータが生成する。
生成したルータのルータIDやリンク数、(OSPFが有効なインターフェイス)の詳細情報(IPアドレスやコストなど)のほか、自身がABR(Bビット)またはASBR(Eビット)かどうかを示すビットも含まれている。
LSAタイプ1は、発生したそのエリア内でのみフラッディングされる。
LSAタイプ1のルート情報には、ルーティングテーブルでOSPFエリア内ルートを示すため「O」のコードがつけられる。

・LSAタイプ2:ネットワークLSA
LSAタイプ2は、マルチアクセスネットワーク上のDRが生成する。
DRのIPアドレスやそのマルチアクセスネットワークに接続されているルータのリストとネットワークのサブネットマスクの情報が含まれている。
LSAタイプ2は、発生したそのエリア内でのみフラッディングされる。
このLSAを確認するには、show ip ospf database networkコマンドを使用する。

・LSAタイプ3:ネットワーク集約LSA
LSAタイプ3は、エリア内に存在するネットワークアドレスをほかのエリアへ通知するためのLSAで、ABRによって生成される。
ABRはデフォルトですべてのサブネットに関するルート情報をアドバタイズする。
大規模ネットワークにおいて効率的なOSPFルーティングを行うには、ABRには明示的にルート集約を設定する必要がある。
LSAタイプ3は、自立システム全体にフラッディングされる。
LSAタイプ3のルート情報には、ルーティングテーブルでoSPFエリア間ルートを示すため「O IA」のコードがつけられる。
このLSAを確認するには、show ip ospf database summaryコマンドを使用する。

・LSAタイプ4:ASBR集約LSA
LSAタイプ4は、ASBRの情報をほかのエリアへ通知するためのLSAであり、
SABRのルータIDとASBRに到達するまでのメトリックが含まれている。
非OSPFネットワークが接続され、ASBRルート情報をOSPFに再配布している場合にそのエリアのABRが生成する。
LSAタイプ4は、自立システム全体にフラッディングされる。
このLSAを確認するには、show ip ospf database asbr-summaryコマンドを使用する。

・LSAタイプ5:AS外部LSA
LSAタイプ5は、非OSPFネットワークの絵っとワークアドレスをOSPFドメインへアドバタイズするためのLSAであり、
非OSPFネットワークのネットワークアドレス、サブネットマスク、メトリック及び転送アドレスが含まれている。
非OSPFネットワークが接続され、ルート情報をOSPFに再配布している場合にASBRが生成する。
ASBRはデフォルトですべてのサブネットに関するネットワークアドレスをアドバタイズするため、大規模ネットワークにおいて効率的なOSPFルーティングを行うには、
ASBRで明示的にルート集約を設定する必要がある。
LSAタイプ5は、自立システム全体にフラッディングされる。
このLSAを確認するには、show ip ospf database externalコマンドを使用する。
メトリックタイプは「O E1」または「O E2」のいずれかになる。

・E1...OSPFドメイン内のコストが外部コストに加算される。
・E2...OSPFドメイン内のコストが外部コストに加算されない(デフォルト、常に外部コスト値のまま伝搬)

・LSAタイプ7:NSSA外部LSA
LSAタイポう7は、非OSPFネットワークのネットワークアドレスをNSSAへアドバタイズするためのLSAであり、
非OSPFネットワークが接続されNSSAを構成した場合にASBRが生成する。


#用語

・トランジットネットワーク
OSPFリンクタイプの一種で、複数のOSPFルータを接続しているネットワークのこと

・スタブネットワーク
OSPFリンクタイプの一種で、ここではほかにOSPFルータが存在しないネットワークを指す


#OSPF関連コマンド
show ip ospf
show ip ospf neighbor
show ip ospf database
show ip ospf database topology
show ip ospf database summary
show ip ospfdatabase network

 

Ubuntu ufw(ファイアウォール)の設定

ufw(ファイアウォール)のインストール
sudo apt-get install ufw

 

スタートアップで有効
sudo ufw enable

 

スタートアップで無効
sudo ufw disable

 

ファイアウォールによるアクセス制限を見る
sudo ufw status

 

ポートを許可(外部からの要求に対して)
sudo ufw allow ポート番号

 

ポートを拒否(外部からの要求に対して)
sudo ufw deny ポート番号

 

デフォルトですべてのポートを拒否(外部からの要求に対して)
sudo ufw default deny

 

デフォルトですべてのポートを許可(外部からの要求に対して)

sudo ufw default allow

 

特定のIPアドレスに許可する
sudo ufw allow from IPアドレス to any port ポート番号

 

特定のIPアドレスに拒否する
sudo ufw deny from IPアドレス to any port ポート番号

 

メモ
外部からの要求に対してブロックはしているが内部には適用していないためマルウェアが侵入している場合、データは外部に漏れる可能性がある。なので調べる必要がある。

 

CentOS6.5以降からCentOS7へのアップグレード手順

 

 

※あらかじめバックアップを行っていること

 

yum update
reboot

 

手順1:
リポジトリを編集し、アップグレードツールを導入できるようにする。端末アプリ上でroot権限でテキストエディタを起動し、「/etc/yum/repos.d/upgradetool.repo」を新規作成し編集する

 

ファイル内容
[upg]
name=CentOS-$releasever - Upgrade Tool
baseurl=http://dev.centos.org/centos/6/upg/x86_64/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

 

手順2:
アップグレードツールをインストール
yum install redhat-upgrade-tool preupgrade-assistant-centents

 

手順3:
端末アプリでroot権限でアップグレードツールを実行する。
実行後に続けるか尋ねられるので「y」と入力する。
preupg -s CentOS6_7

 

手順4:
事項が完了すると、レポートが作成される。
レポートは「/root/preupgrade/result.html」ファイルとして保存される。
この内容を確認して問題がないか問題がないかを確認する。「FAIL」と「ERROR」がある場合は、内容を確認して対処を行い再度、手順3の作業を行う。

 

手順5:
CentOS7のリポジトリとGPGキーをインストールする。
端末アプリでroot権限で以下のコマンドを実行する。改行せず1行で入力してください。途中確認メッセージが表示されたら「y」を入力する
これでアップグレードが開始される。
rpm --import http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-7 centos-upgrade-tool-cli --network 7 --instrepo=http://mirror.centos.org/centos/7/os/x86_64

 

誤字あったらゴメソ

 

28日で即戦力!  サーバ技術者養成講座[改訂3版]

28日で即戦力! サーバ技術者養成講座[改訂3版]

 
実践! CentOS 7 サーバー徹底構築 改訂第二版 CentOS 7(1708) 対応

実践! CentOS 7 サーバー徹底構築 改訂第二版 CentOS 7(1708) 対応

 
実践!  CentOS 7 サーバー徹底構築

実践! CentOS 7 サーバー徹底構築

 
できるPRO CentOS 7サーバー できるPROシリーズ

できるPRO CentOS 7サーバー できるPROシリーズ

 

CentOS7 セキュリティ設定 ウイルス対策ソフト編

 

 

無償の不正プログラム対策ソフトを導入

 

Clam AntiVirusに利用するのに必要なパッケージのインストール

yum install clamav camav-update

 

不正プログラムを検知する

clamscan [オプション] [スキャンするディレクトリ]

 

オプション

「-r」ディレクトリ内の全ファイルがチェック対象になる。

「--remove」 ウイルス検知と同時に削除を行う。

「--move=ディレクトリ」 検知したウイルスをディレクトリに移動する。

 

できるPRO CentOS 7サーバー できるPROシリーズ

できるPRO CentOS 7サーバー できるPROシリーズ

 
たった2日でわかるLinuxサーバーCentOS7.0対応

たった2日でわかるLinuxサーバーCentOS7.0対応

 

 

 

CentOS7 セキュリティ設定 ファイアウォール編

ファイアウォール

CentOS7では従来のiptablesに代わって、firewalldによってファイアウォール機能が提供されている。

コマンド操作による設定のほか、GUI設定ツールを用いた設定も可能になっている。

 

サーバの用途によってゾーンを切り替える

firewalldではゾーンという利用用途に応じた設定群を用意している。

設置するサーバーの利用用途や状況、ネットワークインターフェースごとにゾーンを設定する。特定のIPアドレスに対してのみに異なるゾーンを設定することも可能になっている。

 

・external

選択したホストのみ信頼してアクセスを許可する

dmz

外部からのアクセスを受ける。しかし、内部ネットワークへのアクセスを制限する

・work

作業をするためのゾーン。設定したアクセスを許可する

・home

設定したアクセスを許可する

・internal

内部ネットワークに対してのゾーン

・trusted

全てのアクセスを許可する

 

パーソナルメンターがつくオンラインブートキャンプ

設定例

特定のIPアドレスからのアクセスを拒否

firewall-cmd -zone drop --add-source=IPアドレス/サブネットマスク

 

上記の設定を元に戻す

firewall-cmd -zone drop --remove-source=IPアドレス/サブネットマスク

 

許可されているサービスの確認

firewall-cmd --zone=public --list-service

 

設定可能なサービス一覧を表示する

firewall-cmd --get-services

 

サービスを許可する

firewall-cmd --permanent --zone=public --add-service=サービス(http、fpt等)

 

上記の設定を元に戻す

firewall-cmd --permanent --zone=public --remove-service=サービス(http、fpt等)

 

サービスに準備されていないポートを許可する

firewall-cmd --permanent --zone=public --add-port=ポート番号/(tcp or udp)

 

firewalldのリロード

firewall-cmd --reload

 

設定変更を行った場合は必ずリロードを行ってください。

設定が反映されません。

 

CentOS7 Webサーバ構築

Apacheのインストール

sudo yum -y install httpd

 

MariaDB(MySQL)のインストール

sudo yum -y install maridb mariadb-server

 

PHPのインストール

sudo yum -y install php php-mysql php-mbstring php-gd

 

デーモンの起動

sudo systemctl start mariadb httpd

 

データベースの作成

mysql
create database データベース名;
grant all privileges on データベース名.* to ユーザー名@localhost identified by 'パスワード';
exit

 

WordPressのダウンロード

sudo wget https://ja.wordpress.org/wordpress-4.9.5-ja.zip

 

chmod 766 wordpress
chmod -R 766 wordpress/wp-content
chown apache:apache wordpress
mv wordpress /var/www/html/

 

ブラウザでアクセス出来ることを確認


http://サーバー名(IPアドレス)/wordpress

データベースの作成で指定したユーザー名とパスワードを入力してwordpressにログインしてインストールを行う。