Network

iptablesでFirewallを実装

Firewall専用機でフィルタリングや不正アクセスに対応しているのだが、あまりに煩い奴がいるので、ブラックリストを用意して、明示的にフィルタリングしてやろうと設定を行った。ここでは、ファイアーウォールのログに残されているアタックしてきたサイトからのパケットを落とすだけで、iptablesのみでファイアーウォールを作成するわけではありません。

Debian/GNU Linuxの初期状態

iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

起動対象マシンのBIOSでWalk On LAN(WOL)を有効にしておく。

この時、BIOS上で各NICのMACアドレスを確認しておくと良い。

再度確認したい場合には、

ip a

必要パッケージをインストールする。

起動させたいマシン

apt install ethtool

ブリッジ構成br0等となっている場合にも、構成NIC名(eno1等)でファイルを作成する。

vi /etc/network/interfaces.d/IF-NAME

iface IF-NAME inet static
        address 0.0.0.0
        up /sbin/ethtool -s $IFACE wol g

ethtool IF-NAME | grep Wake-on

Supports Wake-on: g
Wake-on: g

ISC-DHCPをずっと使ってきたが、固定（特定アドレス）の払い出しの管理が面倒となってきたため、なるべくデータベースで管理できるKeaを選択した。特にFail Over対応のISC-DHCPの２つのサーバーに同じ設定を書き込むのが面倒になってきたための理由です。同時にIPv6の本格運用も目的です。ただし、Fail SafeとするためにはmariaDBもHA化していといけないので、先は長い。

インストール

Debian 10 BusterにはISC-KEA DHCP Serverのパッケージは含まれていない。

1. ISCのマニュアルからaptのsources.listに対象リポジトリを追加する。
2. SIDのパッケージソースからパッケージを作成する。
3. SIDのパッケージをそのまま使用する。
4. Gitレポジトリからソースをダウンロードし、ビルドする。

１の場合

apt install kea isc-kea-dhcp4-server isc-kea-dhcp6-server isc-kea-admin

３の場合

2台のマシン間で、ディレクトリを同期する。

コピー先マシン

apt install rsync

vi /etc/default/rsync

RSYNC_ENABLE=true

vi /etc/rsyncd.conf

[ラベル]
# コピー先対象ディレクトリ
path = コピー先ディレクトリのフルパス
hosts allow = コピーを許可するホストのIPアドレス
hosts deny = *
list = true
uid = root
gid = root
read only = false

コピー元マシン

apt install rsync

コピー元マシンから同期を実行する。

WSH(Windows Scripting Host)で書いたコードをHTML化し、HTA(HTML Applications)としてGUIを実装したもの。

ポートを使用しているユーザー表示する。

モバイルデバイスからLinuxへVPN(L2TP)接続する。

ネットワーク起動のサーバーを立てる。

ISC-DHCP Serverを利用し、2枚のNICそれぞれでIPアドレスのリースを行う。

ntpを使った時刻同期