9月24日(木)1コマ目

今日、やったこと

ファイアウォール

今日のホワイトボード

3つのゾーンとファイアウォール

LAN、WAN、DMZの各ゾーン間をパケットはF/Wによって「転送」、「破棄」する。一般的なパターンは下図のとおり。

図 3つのゾーンと一般的な「転送」、「破棄」パターン


パケットフィルタリングに使える情報

F/Wは入力パケットをフィルタリングする。

フィルタリングに使える情報はパケットのIPヘッダ、TCPヘッダの情報。

図 フィルタリングに使える情報


フィルタリングルール 例1

F/WはホストA(192.168.10.10/24)とホストB(192.168.10.20/24)の間にある。

F/WでホストAからホストBへのメール送信を許可するルールを作ると以下のようになる。

図 フィルタリングルール 例1


注意してほしいのは、

 行き(ホストA->ホストB)だけでなく、戻り(ホストB->ホストA)も転送するルールも必要

なところに注意!!


フィルタリングルール 例2

送信元IPアドレスや宛先IPアドレスにはマスクを使った指定方法も使える点に注意。

図 フィルタリングルール 例2


ステートフルパケットインスペクション

ステートフルパケットインスペクション機能があるF/W(今どきはほとんどある)では、

  • 行きのルールをつくるだけでOK
  • 戻りのパケットは自動的に転送される

ので、いままで「行き」と「戻り」の2つのルールがセットになっていたが、「行き」のルールだけでOKになる。

図 ステートフルパケットインスペクション


練習問題

問1

基本情報の午前問題に出題された問題。ポイントは

  • PC側は1024以上のポートを使う
  • Webサーバーは80ポートを使う

ところでしょうか。

図 練習問題 問1


問2

問1の穴埋め問題。

図 練習問題 問2


問3

問題文のとおり、パケットに対して

  • ルールの1行目から順にマッチするかチェック
  • マッチしたら動作実行、それ以上はなにもしない

です。で、順にチェックしていくと1行目とマッチ。


コメント

新しいコメントは書き込めません。

このブログの人気の投稿

6月25日(木)1コマ目(A班)、2コマ目(B班)

イメージ
きょう、やったこと ルーティング(経路をたどる) 今日のホワイトボード どうやってルーティングする? ルーティングに使う情報は以下の2つ。 パケットのIPヘッダ内の宛先IPアドレス 各機器のルーティングテーブル 基本 ①パケットを受信する(イーサネットの仕事) ②IPヘッダ内の宛先IPアドレスとルーティングテーブルを使ってルーティング(IPの仕事) ③ルーティングで決定した宛先へ送信(イーサネットの仕事) これを 繰り返して 宛先へたどり着く。 ルーティング ①パケットのIPヘッダ内の 宛先IPアドレスをルーティングテーブルのマスクのビットが1のところはそのまま、0のところは0にする (ネットワークアドレスの計算と同じ)。 ②計算結果とルーティングテーブルの宛先が一致するか確認。  一致しない=>次の行へ  一致する=>この行を使う ③一致する行の インタフェースからゲートウェイ(次のホスト)へ 送りだす。 ゲートウェイが「リンク上」の場合は、宛先はインタフェースが接続されているネットワーク上に接続されている。直接送信する。 ルーティング演習1 ネットワーク図、ルーティングテーブルは以下のとおり。 ホストA => ホストB ホストB => ホストA ここでルーティングテーブルを下図に変更。 ホストA => ホストB 同じネットワークでも、ルーティングテーブルが変わると経路も変わる。 ルーティング演習2 ネットワーク、ルーティングテーブルは下図のとおり。 ホストA => ホストB ここで、ルーティングテーブルを以下に変更。 ホストA => ホストB ホストC => ホストA
続きを読む

5月29日(金)2コマ目(B班)、3コマ目(A班)

イメージ
今日、やったこと イーサネットのはなし CSMA/CD イーサネットフレームフォーマット(特にイーサネットヘッダについて) MACアドレス 今日のホワイトボード 複数PCで通信する PC間をケーブルで接続する必要がある。それぞれ通信ができるようにするには、図のようになる。 これでは、PCが増えるとケーブル地獄になる。 ちなみに、n台のPCなら、n(n-1)/2本のケーブルが必要。 イーサネットでは 1本のケーブルをシェアする。 PC増設も簡単、ケーブル代も安いのいいことずくめ。 しかしながら、複数のPCが同時に通信を行うとケーブル上でデータの衝突が発生してしまう。 そこで、 なるべく衝突が起きないように もし、衝突が起きたら衝突発生をみんなに伝える 仕組みを考えた。それがCSMA/CD。 イーサネットフレームフォーマット イーサネットヘッダのなかで タイプは上位プロトコルを特定するための情報。(IPなら0x0800が書き込まれる) 宛先・送信元MACアドレスは送信元、宛先情報。 MACアドレス MACアドレスはイーサネットでのPC等の識別情報。 その中身は「どのメーカーで何番目に作られた」。 PCのネットワーク接続ポートがあるボードにメーカー出荷時に書き込まれる。 世界でオンリーワンになる情報。
続きを読む

9月3日(木)1コマ目

イメージ
今日、やったこと TCPのスライディングウィドウ 今日の真ん中モニター ホワイトボードには汚い字を書かずに、真ん中モニターだけで説明しました。 相手をオーバーフローさせないために 前回まで、以下の話をしました。 受信データはメモリ(バッファ)に一時保存される バッファが受信データでオーバーフローしない限り、受信応答を待たずに送信可能 空きバッファサイズはTCPヘッダ中のウィンドウサイズで通知する 確認応答番号、ウィンドウサイズから送信側はウィンドウ(窓)を移動させて、窓が開いているところのデータを送信する ウィンドウは相手から受信応答をもらうと移動するため、スライディングウィンドウと呼ぶ スライディングウィンドウを追いかけてみる くどいですが、ウィンドウ(窓)は 送信側は窓が開いている部分のデータを送信できる 窓は受信応答の確認応答番号からウィンドウサイズ分 です。 この窓がどのように移動するかを追いかけてみました。 図 スライディングウィンドウを追いかける① 図 スライディングウィンドウを追いかける②
続きを読む