LinuCレベル2 202試験の例題と解説

主題2.12システムのセキュリティ

2.12.1iptables や firewalld によるパケットフィルタリング

このエントリーをはてなブックマークに追加

LinuC 202試験の試験範囲から「2.12.1 iptables や firewalld によるパケットフィルタリング」についての例題を解いてみます。

Linucレベル2 202試験 出題範囲


例題

ip6tablesのIPv6アドレスを指定するオプションにおいて、グローバルユニキャストアドレスをパラメータに指定しているものはどれか、選択せよ。

  1. ip6tables -I INPUT 3 -p tcp --dport 80 -s 2001:A2B8:BC34:0:AAA8:B800:200C:418A -j ACCEPT
  2. ip6tables -I INPUT 3 -p tcp --dport 80 -d ::1 -j ACCEPT
  3. ip6tables -I INPUT 3 -p tcp --dport 80 --source FE80::2002:43B7 -j ACCEPT
  4. ip6tables -I INPUT 3 -p tcp --dport 80 --destination FF01:0:0:0:0:0:0:102 -j ACCEPT

※この例題は実際の試験問題とは異なります。


解答と解説

答えは1.ip6tables -I INPUT 3 -p tcp --dport 80 -s 2001:A2B8:BC34:0:AAA8:B800:200C:418A -j ACCEPT です。

グローバルユニキャストアドレス「2001:A2B8:BC34:0:AAA8:B800:200C:418A」は、IPv4でいうグローバルアドレスと同様の位置付けとなります。

それ以外は、以下の理由により不正解となります。
::1・・・・ループバックアドレス(::は連続した0を表し、0:0:0:0:0:0:0:1でも同じ意味を表す)
FE80::2002:43B7・・・・リンクローカルアドレス(FE80::で始まる同一リンク内でホストを識別する為のもの)
FF01:0:0:0:0:0:0:102・・・・マルチキャストアドレス(FF00::/8で始まる)

ip6tablesの設定ファイルは /etc/sysconfig/ip6tables、
ルールの保存/リストアには ip6tables-save/ip6tables-restore を使用するなど
iptablesと類似したものとなっているので併せて学習すると効率よく学ぶことができます。

また、ip6tablesでネットワークアドレス変換(NATやIPマスカレード)を行う場合は
PREROUTINGチェイン・OUTPUTチェイン・POSTROUTINGチェインを使用、
フィルタリングを行う場合はINPUTチェイン・FORWARDチェイン・OUTPUTチェインを使用します。
フィルタリングでは、1秒あたりのICMP(ping)応答回数を制限するなどのセキュリティ向上(攻撃の回避)なども設定することが可能です。 

<参考情報>
IPv6アドレスについて
https://www.nic.ad.jp/ja/newsletter/No32/090.html
ip6tablesについて
http://surf.ml.seikei.ac.jp/~nakano/JMwww/html/iptables/man8/ip6tables.8.html
http://ipset.netfilter.org/ip6tables.man.html


例題作成者

鯨井 貴博 氏(登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)

ページトップへ