セキュリティ対策からクラウド間接続まで
Vyatta――クラウド時代の仮想ルータ活用術:実践編

松本直人
日本Vyattaユーザー会 運営委員
さくらインターネット研究所 上級研究員
2010/12/8

オープンソースソフトウェアを集めて作られたルータ「Vyatta」は、ルーティングやファイアウォールといった機能を、既存のハードウェア一体型ルータには実現しがたい柔軟さで提供します(編集部)

設定投入のおさらい

 「導入編」に続き、今回はVyattaが持つさまざまな機能について、具体的な設定例を交えながら解説していきます。

 まず最初に、前回のおさらいとして少し補足しておきましょう。Vyattaの管理者用コマンドには、set、edit、deleteという3つの設定投入方法があります。

 次に示す2つの設定内容はまったく同一になりますが、設定を入力する際の労力が若干変わってくるかと思います。これら運用スタイルには、特に定めはありません。利用者が使いやすい方法を自由に選択していくとよいでしょう。

setコマンドを使った設定投入


# set interfaces ethernet eth1 address 22.22.22.22/24

editコマンドを使った設定投入


# edit interfaces
# set ethernet eth0 address 22.22.22.22/24
# exit

deleteコマンドを使った設定投入


# delete interfaces ethernet eth1 address

 また管理者コマンドでは「show」と入力することで、現在までに設定入力した内容を確認できます。

【参考となるリソース】

 Vyatta.org(http://www.vyatta.org/)やVyatta.com(http://www.vyatta.com/)には、Vyattaに関するドキュメント類やビデオチュートリアルなどが用意されています。また、日本Vyattaユーザー会(http://www.vyatta-users.jp)にも、ユーザーミーティングのプログラム資料などが用意されていますので、ぜひ参考にしてください。それでも分からないことがある場合は、メーリングリストも活用できます。

画面1 日本Vyattaユーザー会(http://www.vyatta-users.jp)のWebサイト

ルータと同じように設定できるファイアウォール機能

 ファイアウォールにはパケット処理を行うためにdrop、reject、acceptが基本的に備わっていて、さらにinspectというIPS機能と連携する機能も備わっています。

 ファイアウォールを設定する手順は、まず「デフォルト状態でのパケット処理」、次に「ルール適合した際にパケット処理」を順番に設定していき、最後にそれを実施するネットワークインターフェイスで、入力の場合はinを、出力に適応する場合にはoutを選択してルール設定を行います。

 これも従来のルータの設定方法とまったく変わりませんので、常時行っているような設定投入をしていくとよいでしょう。

$ configure
# edit firewall name FWv4
# set default-action reject
# set rule 99 source address 10.10.20.0/24
# set firewall name FWv4 rule 99 action accept
# exit
# set interfaces ethernet eth0 firewall in name FWv4
# commit
# save
# exit
ファイアウォールの設定例

 実際にファイアウォールの設定がどのようになっているかを確認する場合には、以下のようにユーザーモードで確認するとよいでしょう。このように、逐次確認しながら設定投入を行うことで、運用上のミスを減らしていけることでしょう。

$ show firewall
-------------------------------------------------------------
-------------------
IPv4 Firewall "FWv4":


Inactive - Not applied to any interfaces, zones or for content-inspection.

(State Codes: E - Established, I - Invalid, N - New, R - Related)

rule action source destination proto state
---- ------ ------ ----------- ----- -----
99 ACCEPT 10.10.20.0/24 0.0.0.0/0 all any
10000 REJECT 0.0.0.0/0 0.0.0.0/0 all any

$
ユーザーモードで設定内容を確認

DoS対策機能でリソースを一括保護

 ファイアウォール機能にはDoS(Denial of Service Attack)サービス妨害攻撃に対応する設定も備わっています。この機能では、特定のポートに対して、一定時間内にしきい値を超える接続が行われた場合には、その接続のパケットを廃棄するというものです。WebやDNSなど公開サーバを対象とした保護対策として利用するとよいでしょう。

 当然これらも、Linuxなどのフィルタリングを用いても設定可能です。しかし、仮想ルータを置く形で一括した保護を行えることや、Linuxの設定に比べ極めて簡単に設定できる点などに優位性があるといえます。

 ここで紹介する設定は「ポート80番に対し、同一IPアドレスを持つホストから、10秒間の間に255回以上の接続があった場合に、そのパケットを破棄する」というものです。この設定ではコネクションの状態を保持するため、搭載されるメモリ容量に合わせてconntrack-table-sizeなどのパラメータを調整しておくとよいでしょう。

$ configure
# set firewall conntrack-expect-table-size 50000000
# set firewall conntrack-table-size 50000000
# set firewall conntrack-hash-size 16384
# edit firewall name STOP-DoS
# set default-action accept
# set rule 88 protocol tcp
# set rule 88 destination port 80
# set rule 88 state new enable
# set rule 88 recent count 255
# set rule 88 recent time 10
# set rule 88 action drop
# exit
# set interfaces ethernet eth0 firewall in name STOP-DoS
# commit
# save
# exit

$ run show firewall name STOP-DoS
DoS攻撃対策の設定例

 こちらも先ほどと同じく設定状況を確認したうえで、ユーザーモードにおいてshowコマンドで確認を行うとよいでしょう。

 

SVyatta――クラウド時代の仮想ルータ活用術:実践編
  設定投入のおさらい
ルータと同じように設定できるファイアウォール機能
DoS対策機能でリソースを一括保護
クラウドとクラウドをつなぐ「クラウドブリッジ」
IPv6による各種設定も可能
Vyattaならではの柔軟な拡張性
「Master of IP Network総合インデックス」


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間
@IT