LinuCレベル2 Version 4.5 202試験の例題と解説
212.1 ルータを構成する
■トピックの概要
このトピックの内容は以下の通りです。
<212.1 ルータを構成する>
重要度 3
<説明>
IPパケットを転送したり、ネットワークアドレス変換(NATやIPマスカレード)を実行するようシステムを設定し、
これによってネットワークを保護することの重要性について述べる。
これには、ポートリダイレクトの設定、フィルタルールの管理、攻撃の回避も含まれる。
<主要な知識範囲>
iptables および ip6tables の設定ファイル、ツール、ユーティリティ
ルーティングテーブルを管理するためのツール、コマンド、ユーティリティ
プライベートアドレスの範囲(IPv4) 、リンクローカルアドレスおよびユニークローカルアドレス(IPv6)
ポートリダイレクトとIP転送
発信元または宛先のプロトコル、ポート、アドレスに基づいて、IP パケットを受け入れる、または拒否するフィルタとルールの表示と記述フィルタ設定の保存および再読込
フィルタ設定の保存および再読込
ip6tablesとフィルタリングを知っている
<重要なファイル、用語、ユーティリティ>
/proc/sys/net/ipv4
/proc/sys/net/ipv6/
/etc/services
iptables
ip6tables
■例題
ip6tablesのIPv6アドレスを指定するオプションにおいて、グローバルユニキャストアドレスをパラメータに指定しているものはどれか、選択せよ。
1.ip6tables -I INPUT 3 -p tcp --dport 80 -s 2001:A2B8:BC34:0:AAA8:B800:200C:418A -j ACCEPT
2.ip6tables -I INPUT 3 -p tcp --dport 80 -d ::1 -j ACCEPT
3.ip6tables -I INPUT 3 -p tcp --dport 80 --source FE80::2002:43B7 -j ACCEPT
4.ip6tables -I INPUT 3 -p tcp --dport 80 --destination FF01:0:0:0:0:0:0:102 -j ACCEPT
※この例題は実際の試験とは異なります。
解答と解説
答えは1.ip6tables -I INPUT 3 -p tcp --dport 80 -s 2001:A2B8:BC34:0:AAA8:B800:200C:418A -j ACCEPT です。
それ以外は、以下の理由により不正解となります。
::1・・・・ループバックアドレス(::は連続した0を表し、0:0:0:0:0:0:0:1でも同じ意味を表す)
FE80::2002:43B7・・・・リンクローカルアドレス(FE80::で始まる同一リンク内でホストを識別する為のもの)
FF01:0:0:0:0:0:0:102・・・・マルチキャストアドレス(FF00::/8で始まる)
ip6tablesの設定ファイルは /etc/sysconfig/ip6tables、
ルールの保存/リストアには ip6tables-save/ip6tables-restore を使用するなど
iptablesと類似したものとなっているので併せて学習すると効率よく学ぶことができます。
また、ip6tablesでネットワークアドレス変換(NATやIPマスカレード)を行う場合は
PREROUTINGチェイン・OUTPUTチェイン・POSTROUTINGチェインを使用、
フィルタリングを行う場合はINPUTチェイン・FORWARDチェイン・OUTPUTチェインを使用します。
フィルタリングでは、1秒あたりのICMP(ping)応答回数を制限するなどのセキュリティ向上(攻撃の回避)なども設定することが可能です。
<参考情報>
IPv6アドレスについて
https://www.nic.ad.jp/ja/newsletter/No32/090.html
ip6tablesについて
http://surf.ml.seikei.ac.jp/~nakano/JMwww/html/iptables/man8/ip6tables.8.html
http://ipset.netfilter.org/ip6tables.man.html
■例題作成者