Ubuntu 17.10でL2TPのVPN接続を試してみた · hnakamur's blog
2018-03-31 はじめに Ubuntu 17.10でL2TPのVPN接続を試してみたのでメモです。 以下の手順の一部は接続先の設定に依存して変動がありえます。 セットアップ 必要なソフトウェアをインストール network-manager-l2tp-gnomeをインストール。依存関係でnetwork-manager-l2tpやxl2tpdも入ります。 VPN設定を追加 「設定」→「ネットワーク」→「VPN」の右上の「+」ボタンを押します。 .. image:: {attach}/images/2018/03/31/l2tp-vpn-on-ubuntu-17.10/start-adding-vpn.png :width: 490px :height: 355px :alt: start adding vpn 「VPNの追加」ダイアログで「Layer 2 Tunneling Protoc
Linuxネットワークコマンド新旧まとめ
ipコマンドの実行例 / Ubuntu 18.04 LTS これまでLinuxディストリビューションではUNIX系オペレーティングシステムでよく使われているコマンドと、Linux独自のネットワーク系コマンドが混在したような状態になっていた。最近のLinuxディストリビューションではこうしたコマンドをipコマンドに一本化する取り組みを続けている。 ipコマンドにはいくつものサブコマンドが用意されており、これまで個別のコマンドで実行していた処理をipコマンドのもとに集約するような作りになっている。なお、ipコマンドはLinux系に特有のコマンドで、他のUNIX系オペレーティングシステムでは使うことができない。記事では、非推奨になったコマンドを今後使うことはお薦めできないとしている。
CentOS7 第4回 はじめての firewalld で作る Linuxルータ – CLARA ONLINE techblog
こんにちは、後野です。 CentOS7 になれるため、チーム内の検証環境で利用しているサーバを CentOS7 で 作りなおしてみたいと思います。 作業対象となるのは、iptables で作成したLinuxルータ(NAT BOX)となります。 このサーバの用途を簡単に説明しますと、検証環境にも物理ファイアウォールがあるのですが、 プライベート側のセグメントを自由に使いたい、別なサーバのパケットが飛んできて、紛らわしい、 等があり、その都度、ファイアウォール設定を変更するのが面倒、iptables にもっと慣れようという 思いを込めて作ったサーバです。 ※昔は open vpn も動かしていましたが、使わないので止めちゃいました。 環境説明 図 簡単に構成内容を記載しました。複数ある物理ホスト(今回の対象は vSphere5.0)でCentOSにNICをたくさんくっつけ、担当者毎にセグメント
CentOS7 の ip_forward 有効化で rp_filter が邪魔してる話 - Qiita
やりたいこと CentOS7 で eth0 に届くパケットを全て eth1 に転送し出力する これだけ!!! 問題 カーネルパラメータ ip_forward を有効化 (ip_forward=1) 、iptables で FORWARD チェーンにルールを追加しても転送が行われない 詳しくしらべると、iptables の PREROUTING チェーンにはパケットが届いているが、その先の FORWARD チェーンに到達していない iptables の仕組みついてはこちらを参照 (http://oxynotes.com/?p=6361) 解決策 rp_filter を無効化する これだけ!!! CentOS7 では、スプーフィング対策で rp_filter というフィルターが稼働しており、これが自身宛以外のパケットを drop させている模様。 まとめ やるべきことは以下の通り - ip_f
iptables 1レコードで複数ポートを定義する方法 - Qiita
例えばApacheをたてて、iptablesを書く場合、--dportは80と443に して、通信を許可することなどがあると思います。 その場合、私は今まで下記のように2レコードのiptablesを書いていました。 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT しかし、-m multiportを使用すると、--dportsオプションが利用できるようになり、 これにより1レコードで複数のポートを指定できるようになります。 例えば下記のような感じです。
DNATターゲット
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10 --to-destination オプションは、 DNAT メカニズムに対して、 IP ヘッダに設定したい宛先 IP と、マッチしたパケットの行き先を指示する。上記の例は、 IPアドレス 15.45.23.67 に宛てられたすべてのパケットを、LAN の IP 192.168.1.1 から 10 の範囲へ送る。既に述べたように、ひとつのストリーム中では常に同じホストが使用されるが、ストリームが異なれば、各ストリームが使うべき宛先 IPアドレスはランダムに選択される。また、単一の IPアドレスを指定することも可能で、そうすれば、接続は常にそのホストへ導かれる。さらに、ト
iptablesで特定のポートを別のホストへ転送する方法
諸般の事情でネットワークセグメントを分けたのだけど、どうしてもあるポートだけ疎通させたいと思ったので、iptablesのNAT機能を使って実現してみた。 ルールの書き方はiptables本来のfilterとは少し違うのと、他のサイトでは解説が不足している点があるな、と思ったのでしっかり書き留めておく。 やろうとしていること この図の通り。 今回、iptablesを使ってNATさせる箱は、192.168.1.30と10.0.2.40と二つのサブネットのIPを持っていなければならない。 しかしクライアント(192.168.1.20)とサーバ(10.0.2.50)となる2ホストに、スタティックルートを書く必要はない所がポイント。 なぜならNAT箱でアドレスを変換するので、クライアントは192.168.1.30さえ到達可能であればよい。同様にサーバも10.0.2.40には到達可能なので、実現できる
natテーブルを利用したLinuxルータの作成
はじめに 今回は、iptablesのnatテーブル(関連記事)を使ったNATおよびNAPT機能を解説します。こうした機能を使えばパケットのIPアドレス情報を書き換えることができます。つまりiptablesを駆使すれば、市販されているブロードバンドルータと同等、またはそれ以上のルータを作り上げることができるのです。 関連リンク →Linuxで作るファイアウォール[パケットフィルタリング設定編] http://www.atmarkit.co.jp/flinux/rensai/security05/security05a.html →連載記事 「習うより慣れろ! iptablesテンプレート集」 http://www.atmarkit.co.jp/flinux/index/indexfiles/iptablesindex.html →連載記事 「習うより慣れろ! iptablesテンプレート集
firewalld + ipset でアクセス制限
セット作成例 今回作成する「BLACKLIST」という名前のセットには、ネットワークアドレス登録するのでタイプは「hash:net」を指定して作成します。 # ipset create BLACKLIST hash:net ネットワークアドレス追加 セットの作成が完了しましたら、「ipset add」コマンドでネットワークアドレスを追加していきます。 ipset add セット名 ネットワークアドレス/ネットマスク 追加例 先ほど作成したセットである「BLACKLIST」にネットワークアドレスを追加していきます。 # ipset add BLACKLIST 192.168.0.0/24 # ipset add BLACKLIST 192.168.2.0/24 追加確認 セットに登録された情報は下記のコマンドで確認することが出来ます。 ipset list セット名 先ほど実際に登録した内容
CentOS6.5における「Determining if ip address is already …」の解決方法
CentOS6.5にアップデータしたら、networkサービスが起動中に、 『Bringing up interface eth0: Determining if ip address 192.168.xxx.yyy is already in use for device eth0.』 のようなメッセージが表示されます。 問題なく使用しているし、割り当てているIPは競合していないはずなのに、何となくいやな気分。 いろいろと調べてみて、とりあえず、ifcfg-eth0ファイルに ARPCHECK=no を追加したら、回避するとのことで。 根本的な解決かどうか分かりませんが、取りえず忘備メモ....
Linuxでネットワークの監視を行えるモニタリングコマンド20選 | 俺的備忘録 〜なんかいろいろ〜
今回は、Linux上でネットワークトラフィックの監視を行えるモニタリングコマンドについて、数あるコマンドから20個を紹介する。 1.iftop 以前にこちらでも書いているiftopは、個別のソケットで受信・送信パケットをひと目で見る事が出来るコマンド。 通信ごとに個別のプロセスを表示させることは出来ないが、どのホストとの接続がどの程度の帯域を使用しているのかはひと目で分かるだろう。 以下のコマンドでインストールが出来る。 sudo apt-get install iftop # Debian/Ubuntuの場合 sudo yum install iftop # RHEL系の場合 2.bmon 『bmon』は、グラフでトラフィックの負荷を表示してくれるモニタリングコマンドだ。 どのNICのトラフィックを表示させるかを上下キー、モニタリングを行うパケットの種類を左右キーで選択する。 このコマン
過負荷で接続が困難です
今朝リリースされたCentOS 7へのアクセスが殺到しているため、昼過ぎからftp.jaist.ac.jpへの接続が困難になっています。14時過ぎにはロードアベレージが900を超えました。過去の例では、この辺で処理が詰まって応答しなくなるのでユーザーから見放してもらえるのですが、今回はロードアベレージが1000を超えても処理が継続しているため、負荷が下がらない状況となっています。 どうにもならないので、18時の段階でCentOS 7のディレクトリのパーミッションを落としました。アクセスすると403 Forbiddenになります。CentOS 7をダウンロードする際には以下のいずれかのミラーを使ってください。 http://ftp.iij.ad.jp/pub/linux/centos/7/ http://ftp.riken.jp/Linux/centos/7/ http://ftp.tsuk
ssコマンドのちょっといい所見てみたい。のでネットワーク統計情報がどの程度見られるか試してみた。 - 256bitの殺人メニュー
netstatさんが時代遅れだって!? netstat使ってるのは小学生までだよねー。 キャハハk(ry 、、、というのは冗談ですが、これからはssコマンドらしいって聞いたので、どんな感じで使えるか使ってみた。 ssコマンド netstatの代替コマンドらしく、現在の通信状況の確認に使えるコマンドです。 メリットはsocketのrawでのsocketの扱いができる点かなと。 と、ipv6に強いところのようです。 でもあんまりipv6環境ってないですし、普段使いで代替になるかなーと思って見てみました。 基本的な使い方 netstatと似た感じっすよ。これ。 netstat # netstat -naot (snip) tcp 0 0 192.168.100111:50271 192.168.10131:27218 ESTABLISHED keepalive (215.43/0/0) tcp
ローカルポートを食いつぶしていた話 - download_takeshi’s diary
ここのところ、お仕事で管理しているシステムで、夜中に負荷が急上昇する事象が発生しており、夜な夜な対応に追われていました。 (このブログ書いている今も、負荷がじわじわ上昇中なんですが・・・) で、いろいろと調査した結果、ようやく糸口がわかってきました。 結論から言うと、ローカルポートなどのネットワーク資源を食いつぶしていたようです。 以下、調べていってわかったことなどのメモです。 トラブルの事象 運用しているのは Apache2.2 + mod_perl2 なwebサーバで、リスティング広告システムの配信系です。 リスティング広告の配信のシステムって一般的にロジックが複雑でいやーな感じなんですが、このシステムもご他聞に漏れずかなりのひねくれ者で、しかもトラヒックは結構多めです。システム全体で、日に1000万〜2000万クエリくらいかな。幸か不幸か、このご時勢においてもトラヒック的には成長し続
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
認証プロキシに悪戦苦闘したエンジニアの手記 - Qiita
A INPUT -j REJECT --reject-with icmp-host-prohibited - ひよこになりたい