LinuCレベル3 303試験の例題と解説
328.3 パケットフィルタ
今回は303試験の試験範囲から「328.3 パケットフィルタ」についての例題を解いてみます。
■トピックの概要
このトピックの内容は以下の通りです。
<328.3 パケットフィルタ>
重要度 5
<説明>
パケットフィルタの使用と設定に精通していることが求められる。これには、nftables, nft および ebtablesと同様に、netfilter, iptables および
ip6tablesも含まれる。
<主要な知識範囲>
・一般的なfirewall のアーキテクチャの理解。DMZを含む。
・netfilter, iptables および ip6tablesの理解と使用。標準モジュール、テスト、ターゲットを含む。
・IPv4 と IPv6 のパケットフィルタの実装。
・接続追跡とNATの実装。
・IPセットの定義とnetfilterルール内での使用。
・nftの基本的な知識。
・ebtablesの基本的な知識。
・conntrackdの認知。
<重要なファイル、用語、ユーティリティ>
・iptables
・ip6tables
・iptables-save, iptables-restore
・ip6tables-save, ip6tables-restore
・ipset
・nft
・ebtables
■例題
Ethernet ブリッジフレームテーブルの検査ルールを設定管理するコマンド ebtables は、-t
オプションでテーブルの指定が可能だが、-tを指定しない場合のデフォルトテーブルは次のうちどれか。
1. default
2. broute
3. filter
4. nat
5. frame
※この例題は実際の試験問題とは異なります。
解答と解説
答えは3. filter です。
Linux カーネルには、filter, broute, nat の3つのebtablesテーブルがあります。 filter は、ebtablesコマンドのデフォルトテーブルで、INPUT, OUTPUT, FORWADの3つの組み込みチェーンがあります。 nat は、MACアドレスの変更に使用し、PREROUTING, OUTPUT, POSTROUTINGの3つの組み込みチェーンがあります。 broute は、brouterを作る時に使用し、組み込みチェーンはBROUTING1つのみです。 nat とbroute の設定を行うには、-tで明示的に指定する必要があります。
■例題作成者 LPI-Japan 中谷徹