Cloudflare Zero Trustを導入してみた - ポリシー設定編① - メモのページ - チラシの裏メモ 3枚目
前回は、ゼロトラストネットワーク(ZTNA)の学習用環境としてCloudflare Zero TrustのPOC環境を構築し、自宅の環境でも手軽にゼロトラストネットワークを体験出来た。 疎通確認としてYouTubeへのアクセスをBlockするポリシーを設定し、想定どおりアクセスをブロックさせる事が出来たが、今回はもう少し踏み込んだ内容でポリシーを設定してみた。 当記事は、ポリシーの設定および疎通確認のメモ。 前回の記事の内容、Cloudflareのアカウント作成からCloudflare Zero Trustの設定、そしてクライアント側の設定までの流れに関しては、以下のリンク先を参照。 https://debslink.hatenadiary.jp/entry/20221103/1667482863 Cloudflare Zero Trustを導入してみた - POC環境構築編 追加記事の内
「Cloudflare Zero Trust」 で組織のゼロトラストネットワークを構成する
この記事以外にもいくつかCloudflareのゼロトラストについての記事を書いています。今回はその第一弾として、Cloudflareのゼロトラストネットワークの概要について書きます。 「Cloudflare Zero Trust」 で組織のゼロトラストネットワークを構成する Cloudflare Zero Trust の基本的なセットアップ手順 Cloudflare Zero Trust クライアント側のセットアップ手順 Cloudflare Zero Trust 経由でAWS上のEC2(グローバルIPアドレス無し)にSSHでログインする 2023年11月27日 追記 PayPayやInstagramなど、一部サービスのスマートフォンアプリが使えない問題の解決策を追記しました。 背景 2020年、新型コロナウイルスが蔓延しだしてから、「ゼロトラスト」という言葉をよく聞くようになりました。
NetworkManager+dnsmasqで名前解決の耐障害性を向上 | 外道父の匠
クラウド・インスタンスにおけるDNSサーバーの指定は、DHCPサーバーから情報を取得して利用するようになっています。具体的には dhclient が resolv.conf を上書きする感じですが、最近は NetworkManager さんがこの辺の面倒を見てくれるので、まともな構成 ってやつを考えてみました。 ドンピシャで正着に至ったというわけではないですが、ひとつの有効な手段として扱うことはできそうです。 目次 概要 NetworkManagerがない場合 NetworkManagerのデフォルトの挙動 dnsmasqを利用する 任意のDNSサーバーを追加する 起動時の設定として組み込む dnsmasqのForward方式 DNSキャッシュ 耐障害性 理想の挙動 概要 NetworkManager は必ずしも必要なわけではないですが、CentOS7 など新し目のディストリビューションで
ネットワークブリッジ - ArchWiki
ブリッジの作成 ブリッジを作成する方法は複数存在します。 ネットワークブリッジを作成するには、いくつかの方法があります。このセクションでは、少なくとも 1 つのイーサネットインターフェイスを備えたブリッジを設定するために必要な手順の概要を説明します。これは、QEMU のブリッジモード、ソフトウェアベースのアクセスポイントの設定などに役立ちます。 警告: リモートサーバー上にブリッジを作成し、メインのネットワークインターフェイスをブリッジに追加する場合、ブリッジにインターフェイスを追加する前に、まずメインのネットワークインターフェイスのIPアドレスをブリッジに追加し、ブリッジをセットアップし、バックアップデフォルトルートをセットアップすることを確認してください。そうしないと、サーバーはネットワーク接続を失い、SSH でログインできなくなります。 iproute2 を使う このセクションでは
Linuxにおける新たなパケットフィルタリングツール「nftables」入門 | さくらのナレッジ
たとえば、かつてiptablesで設定していたIPv4に関連するパケットフィルタリング設定は、nftablesにおいては「ip」というアドレスファミリに紐付けたテーブルを作成することで設定できる。同様に、ip6tablesやarptables、ebtablesで設定していたものはそれぞれ「ip6」や「arp」、「bridge」というアドレスファミリに紐付けたテーブルで設定する。 「inet」「および「netdev」アドレスファミリはnftablesで新たに導入されたもので、まず「inet」はIPv4およびIPv6の両方を対象にした設定を行えるアドレスファミリだ。従来IPv4とIPv6の両方にまたがったフィルタリングルールを設定したい場合はiptablesとip6tablesの両方で同じようなルールを追加する必要があったが、nftablesではinetアドレスファミリで指定することで単一の設
ユーザが接続先を意識しないSSHプロキシサーバを作った - Fire Engine
今回は、ユーザが接続先を意識しないSSHプロキシサーバを作った話です。 SSHのユーザ名から動的に接続先ホストを決定し、SSH接続をプロキシします。 github.com 作った背景 比較的規模の大きなサーバ群を管理しており、そこに対して接続してくるユーザに特定のサーバを使ってもらいたい場合を考えます。 すなわち「ユーザtsurubeeには、ssh102サーバを使ってほしい」といったようにユーザとマシン間が紐づいている場合の一番単純な運用方法は、個々のユーザが接続先ホストの情報を知っていることです。 これでも問題ないのですが、何かしらのサーバ管理の理由でユーザに使ってもらいたいサーバが変更した場合、ユーザに通知するなどして意識的に接続先を変更してもらう必要があります。 このようなユーザとそのユーザに使ってもらいたいサーバの紐付け情報をサーバ管理側が一元的に管理して、ユーザに意識させることな
Docker + Linuxでいい感じに自宅・小規模オフィス用ルータを作る - Qiita
年末年始になると自宅のネットワーク周りをいじりたくなるmizutaniです.1年くらい前にミラーリングできるスイッチを格安で手に入れてはしゃいで自宅ネットワークの監視環境を作ったんですが,今見直してみるとわりと複雑な構成で,これをどうにか整理できないかと昨年末に思い立ちました.機器の構成はなるべくシンプルにするとともにどうせなら今風な作りにしようということで,Docker + Linuxで構成するPCルータを作ってみました. 設計 原則 サービスのモジュール化 Linux kernelにやらせなければならない仕事を除き,各サービスをなるべく独立して動かせるようにします. 市販のブロードバンドルーターなどと比べ,Linuxを入れたマシンは非常に自由度が高いためなんでもできますが,そのために環境が"汚れて"しまうという問題が有ります 細かい変更を続けるうちにサービスや保存してあるファイルの依存
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
CentOS7 PPTPを辞めてL2TP/IPSecに変更する - ともかくメモ
手持ちのiphoneを使って外からの接続をする際、自宅にあるルータ(BHR-4RV)のVPN(PPTP)を利用していましたが、PPTPベースのVPN接続は脆弱性もあるということなので、PPTPを辞めてL2TP/IPSecにすることにしました。 まぁ、脆弱性があったからと言って、自宅サーバ利用のデータに興味を持つ人なんていないと思いますけど。。。 VPN接続するにあたり、L2TP単体でも実現できますが、暗号化されません。 そこで、L2TP/IPSecとの組み合わせで、通信経路を暗号化します。 とりあえず、これぐらいのレベルの知識があれば、定義ファイルも理解がしやすいと思います。 必要パッケージのインストール L2TP/IPsecの環境を作るには、3つのパッケージをインストールしますが、「xl2tpd」というパッケージは標準リポジトリにはありませんでしたので、「EPEL」からインストールし
LinuxでL4のロードバランサを簡単に作る手順 - Qiita
ロードバランサは高いので、Linuxで比較的簡単にL4の負荷分散を行えるLVSは使いドコロが色々あり結構便利。 久々に作った時のメモがわりとして、今回は、LVSの構築手順と簡単なテスト結果を順に書いてみた。 構成 ちょっと特殊な要件があり、負荷分散行うLVSも実際にレスポンス返すアプリも同じ筐体で動かしたいという前提で作った。 ※最初の投稿だと、同一筐体で動かした時にBACKUP STATEのLVSがARP応答する設定になっていたので、加筆! LVS単体サーバとしても下記の手順で同じように作れる サーバはaa,bbの2台(vagrant上の仮想マシンとした) 同じ役割を持つサーバaa,bbをLVSを使って負荷分散したい LVS自身も冗長構成にして、aa,bbにやらせたい リクエスト元は、同一セグメントなのでDSR(Direct Server Return)を使う ※NATは、戻す時に直接L
はてなブログ | 無料ブログを作成しよう
トルコ水紀行 -前編 イスタンブール- みなさんこんばんは、地図子です!8月は久しぶりに毎月更新にしようと思います。今までずっと名古屋について書いてきましたが、ワープして・・・ トルコについて書きたいと思います。 2024年6月に念願のトルコに行ってきました。いつからトルコに行きたかったかわから…
CentOS 6.5 で dnsmasq を DHCP サーバとして使ってみる
dnsmasq には色々な機能が載っているようだけど DHCP サーバとして使うこともできるらしい。今回はそれを CentOS 6.5 で試してみる。 まずは今回組む環境の説明。こんなかんじ。 いつも通り環境は Vagrant で作る。Vagrantfile は以下の通り。 client の eth1 に固定 IP アドレスを振っているのは仮置き。 これを DHCP で取得できるようにしたい。 VirtualBox のネットワーク設定で private_network で動作している DHCP サーバは忘れずに停止しておく。 $ cat Vagrantfile # -*- mode: ruby -*- # vi: set ft=ruby : # Vagrantfile API/syntax version. Don't touch unless you know what you're d
コンテナ型とハイパバイザ型の仮想化 NW分離覚書き - Qiita
遅ればせながら、コンテナ型仮想化ツール「Docker」を検証環境で利活用はじめました。 なにぶん自分はNWエンジニアなので、Dockerをはじめとする「コンテナ型仮想化」ツールについて まず何より最初に、そのNW分離方法の特徴に興味をそそられました。 そこで、これまで多用してきたlibvirt + KVMによる「ハイパバイザ型仮想化」とのLinux内部的な NW分離の実現方式の比較を、覚書きとして残したいと思います。 「コンテナ型仮想化」(Docker)のNW分離について まずDockerがホストとコンテナのNWをnamespaceモジュールの機能によって実現している事を 確認します。 root@ubuntu:~# ps -ef | grep docker root 1219 1 0 Sep11 ? 00:01:53 /usr/bin/docker -d root 21478 9790 0
かっこ良くネットワークトラフィックを監視!『Speedometer』コマンド | 俺的備忘録 〜なんかいろいろ〜
今回は、ネットワークトラフィックをかっこよくモニタリング出来るツール『Speedometer』コマンドを紹介する。 1.インストール 以下のコマンドを実行し、インストールを行う。 Debian/Ubuntuの場合 sudo apt-get install speedometer RHEL系の場合 yum install python-urwid wget http://excess.org/speedometer/speedometer-2.8.tar.gz tar -xvzf speedometer-2.8.tar.gz cp speedometer.py /usr/local/bin/speedometer chown root: /usr/local/bin/speedometer chmod 755 /usr/local/bin/speedometer これでインストールが完了する
「iTunes Match」で手持ちの音楽ライブラリを300%活用するワザ (1/2)
Appleは5月2日にいきなり「iTunes Match」の日本語版をスタートした。サービス内容がわかっている人はすぐに飛びついたが、そのほかの人はまだ様子見していることだろう。音楽の楽しみ方によっては、今すぐにでも契約すべき神サービスなので、ぜひチェックして欲しい。今回は、iTunes Matchで手持ちの音楽ライブラリを300%活用するワザを紹介しよう。 100%安心なバックアップ代わりに利用できる iTunes Matchは、ユーザーが持っている楽曲を「iCloud」で管理するサービス。これだけ見ると、特に目新しくもないし、メリットもわかりにくいが、実は類を見ない神サービスなのだ。 iCloudに楽曲データをすべて保存するので、信頼できるバックアップとして活用できる。HDDはいつかは壊れるデバイスなので、大事な楽曲は別ストレージにバックアップしていることだろう。この手間やコストがなく
Dockerのネットワーク管理とnetnsの関係 - めもめも
RHEL7RC+EPEL版Dockerの前提で解説します。RHEL7RCを最小構成で入れて、次の手順でDockerを導入します。 # yum -y install bridge-utils net-tools # yum -y install http://download.fedoraproject.org/pub/epel/beta/7/x86_64/epel-release-7-0.1.noarch.rpm # yum -y install docker-io # systemctl enable docker.serviceDockerが設定するiptablesの内容を見るために(見やすくするために)、firewalldを停止した上でdockerサービスを起動します。 # systemctl stop firewalld.service # systemctl mask firew
TCP高速化プロキシ「AccelTCP」を公開しました : DSAS開発者の部屋
昨年末からずっとこんなことをしてまして、この時期になってようやく今年初のブログ記事です。 進捗的なアレがアレでごめんなさい。そろそろ3年目に突入の @pandax381です。 RTT > 100ms との戦い 経緯はこのへんとか見ていただけるとわかりますが「日本と海外の間を結ぶ長距離ネットワーク(いわゆるLong Fat pipe Network)において、通信時間を削減するにはどうしたらいいか?」ということを、昨年末くらいからずっとアレコレやっていました。 送信したパケットが相手に到達するまでの時間(伝送遅延)を削減するのは、光ファイバーの効率の研究とかしないと物理的に無理なので、ここで言う通信時間とは「TCP通信」における一連の通信を完了するまでの時間です。 伝送遅延については、日本国内のホスト同士であれば、RTT(往復遅延時間)はだいたい10〜30ms程度ですが、日本・北米間だと10
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第41章 nftables の使用 Red Hat Enterprise Linux 8 | Red Hat Customer Portal
DNS再入門ー初心者からベテランまで、基礎から見直して見よう。 #oscnagoya #osc_tss_ontap
サービス終了のお知らせ