LinuCレベル3 303試験の例題と解説
328.3パケットフィルタ
LinuCレベル3 303試験の出題範囲から「328.3 パケットフィルタ」についての例題を解いてみます。
ここでは、iptablesを利用したパケットフィルタ設定について確認しておきましょう。
例題
192.168.100.1からICMPパケットが受信したときだけ、ログファイルに出力を行いたい。
実行すべき、iptablesコマンドを選択してください。
- iptables -A INPUT -p icmp -s 192.168.100.1 -j LOG
- iptables -A INPUT -p icmp -d 192.168.100.1 -j LOG
- iptables -A INPUT -p icmp -s 192.168.100.1 -j ACCEPT
- iptables -A INPUT -p icmp -s 192.168.100.1 --log icmp
※この例題は実際の試験問題とは異なります。
解答と解説
正解は、「1. iptables -A INPUT -p icmp -s 192.168.100.1 -j LOG」です。
iptablesは、パケットフィルタの設定や管理に利用されるコマンドです。
まず初めにどのチェインについて、設定を追加するか確認しましょう。デフォルトでは、以下のチェインが用意されています。
| チェイン名 | 概要 | |
| INPUT | : | 受信パケットの設定に利用します |
| OUTPUT | : | 送信パケットの設定に利用します |
| FORWARD | : | 転送パケットの設定に利用します |
今回の問題では、受信パケットに対しての設定を行うのでINPUTが選択されます。
次に、コマンドオプションを指定してチェインに対して設定します。よく利用するコマンドオプションは、以下になります。
| コマンドオプション | 概要 | |
| -A [チェイン名] [ルール] | : | 指定したチェインの末尾に設定を追加 |
| -D [チェイン名] [ルール] | : | 指定したチェインより、マッチするルールを削除 |
| -I [チェイン名] [ルール番号] [ルール] | : | 指定したチェインにルール番号に従い、設定追加 |
| -R [チェイン名] [ルール番号] [ルール] | : | 指定したチェインのルールを変更 |
今回の問題では、特にルールの順番指定はありません。そのため、「-A」オプションを利用してINPUTチェインの末尾に追加しています。
最後に、ルールオプションについても確認しておきましょう。よく利用するルールオプションは、以下になります。
| ルールオプション | 概要 | |
| -p [プロトコル] | : | プロトコルの指定 |
| -s [IPアドレス] | : | 送信元IPアドレスを指定 |
| -d [IPアドレス] | : | 送信先IPアドレスを指定 |
| -j [ターゲット名] | : | パケットの処理方法を指定 |
今回の問題では、指定パケットをログに出力します。そのため、「-j」オプションを利用してLOGを指定します。
それでは選択肢を見ていきます。
1.iptables -A INPUT -p icmp -s 192.168.100.1 -j LOG
正解です。
INPUTチェインに対して、192.168.100.1からICMPパケットを受信した際にログを出力する設定です。
2.iptables -A INPUT -p icmp -d 192.168.100.1 -j LOG
不正解です。
「-d」オプションは、送信先のIP指定を行うオプションです。今回の問題では、192.168.100.1から送付された場合なので不適切です。
3.iptables -A INPUT -p icmp -s 192.168.100.1 -j ACCEPT
不正解です。
「-j」オプションにて、ACCEPTを指定しています。この場合、192.168.100.1からICMPパケットの通過を許可しています。
4.iptables -A INPUT -p icmp -s 192.168.100.1 --log icmp
不正解です。
「--log」オプションは、存在しないオプションです。
iptablesのオプションを確認して、パケットフィルタ設定を正しく行えるようにしましょう。
例題作成者
株式会社デージーネット OSS研究室 上野 貴博