212.1 ルータを構成する

202試験の試験範囲から「212.1 ルータを構成する」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜212.1 ルータを構成する＞
重要度     3

＜説明＞
IPパケットを転送したり、ネットワークアドレス変換（NATやIPマスカレード）を実行するようシステムを設定し、これによってネットワークを保護することの重要性について述べる。これには、ポートリダイレクトの設定、フィルタルールの管理、攻撃の回避も含まれる。

＜主要な知識範囲＞
・iptables および ip6tables の設定ファイル、ツール、ユーティリティ
・ルーティングテーブルを管理するためのツール、コマンド、ユーティリティ
・プライベートアドレスの範囲(IPv4) 、リンクローカルアドレスおよびユニークローカルアドレス(IPv6)
・ポートリダイレクトとIP転送
・発信元または宛先のプロトコル、ポート、アドレスに基づいて、IP パケットを受け入れる、または拒否するフィルタとルールの表示と記述フィルタ設定の保存および再読込
・フィルタ設定の保存および再読込
・ip6tablesとフィルタリングを知っている

＜重要なファイル、用語、ユーティリティ＞
・/proc/sys/net/ipv4
・/proc/sys/net/ipv6/
・/etc/services
・iptables
・ip6tables

■例題
iptablesのINPUTチェインにおいて、指定された位置に規則を追加したい。

以下の空欄に、適切なオプションを答えよ。
iptables (   ) INPUT 5 -p tcp ?-dport 80 -j ACCEPT

※この例題は実際の試験とは異なります。

規則の追加は「-A」オプションでも実施することが出来ますが、
「-A」を使った場合、チェインにある規則の最後に追加されます。
そのため、指定された位置に規則を追加する場合には、
「-I」オプションを使用します。

その他のオプションについては、以下を参照ください。
http://ipset.netfilter.org/iptables.man.html

また、IPv6用にはip6tablesというコマンドを使用し、
設定した規則は、iptablesでは/etc/sysconfig/iptablesというファイル、
ip6tablesでは/etc/sysconfig/ip6tablesというファイルに設定が保存されます。

なお、CentOS7などではiptablesサービスの代わりに、
Firewalld(firewall-cmdコマンド)を使用するように変更されています。

■例題解説提供者
LPI-Japanアカデミック認定校　Zeus IT Camp　鯨井 貴博 氏（登録インストラクター）