SELinuxの無効化
毎回これで嵌るので・・
特にCentOS 7はデフォルトで有効になってるので注意!
・現状確認 # getenforce Enforcing #SELinux機能、アクセス制御が有効 ・SELinuxを恒常的に無効化 # vi /etc/selinux/config #SELINUX=enforcing ←コメントアウト SELINUX=disabled ←追加 ・リブート ・再確認 # getenforce Disabled
便利設定
- Management IPの設定(初期化直後など)
# set deviceconfig system ip-address <ip address> netmask <netmask> default-gateway <default gateway> dns-setting servers primary <DNS ip address>
(参考)
How to Configure the Management Interface IP - Live Community
- Managementポートのキャプチャ
> tcpdump filter "host 10.1.33.37" Press Ctrl-C to stop capturing tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes ^C65 packets captured 130 packets received by filter 0 packets dropped by kernel > view-pcap mgmt-pcap mgmt.pcap 14:51:03.140359 IP 10.1.33.6.ssh > 10.1.33.34.52848: P 2472854932:2472855064(132) ack 1275760533 win 65 14:51:03.141042 IP 10.1.33.34.52848 > 10.1.33.6.ssh: . ack 132 win 16425 14:51:03.454168 IP 10.1.33.5.53833 > 10.1.33.6.pan-ha-mgmt: S 3028119012:3028119012(0) win 5840 <mss 1460,sackOK,timestamp 3 5137456 0,nop,wscale 7> 14:51:03.664128 IP 10.1.33.34.netbios-ns > 10.1.33.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 14:51:03.820534 IP 10.1.111.102.59386 > 10.1.33.6.snmp: C=Md4ZFqWQLiNfyT2m GetRequest(31) 25.3.3.1.2.2[|snmp] 14:51:04.090154 IP6 fe80::21b:17ff:feff:d3dc > fe80::21b:17ff:fe5f:5f12: ICMP6, neighbor solicitation, who has fe80::21b:17f f:fe5f:5f12, length 32 14:51:04.090417 IP6 fe80::21b:17ff:fe5f:5f12 > fe80::21b:17ff:feff:d3dc: ICMP6, neighbor advertisement, tgt is fe80::21b:17f f:fe5f:5f12, length 32
CentOS 7の癖
- バージョン確認
# cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core)
- IP系コマンド
| net-tools | iproute2 |
| ifconfig | ip a(addr), ip l(link) |
| route | ip r(route) |
| netstat | ss |
| netstat -i | ip -s l(link) |
| arp | ip n(neighbor) |
# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eno16777736: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:91:79:a2 brd ff:ff:ff:ff:ff:ff
inet 192.168.9.3/24 brd 192.168.9.255 scope global dynamic eno16777736
valid_lft 59998887sec preferred_lft 59998887sec
inet6 2400:4010:427:3109:20c:29ff:fe91:79a2/64 scope global noprefixroute dynamic
valid_lft 2591970sec preferred_lft 604770sec
inet6 fe80::20c:29ff:fe91:79a2/64 scope link
valid_lft forever preferred_lft forever
# ip r
default via 192.168.9.1 dev eno16777736 proto static metric 100
192.168.9.0/24 dev eno16777736 proto kernel scope link src 192.168.9.3 metric 100
# ss
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
u_str ESTAB 0 0 * 19019 * 19018
u_str ESTAB 0 0 * 19033 * 19032
u_str ESTAB 0 0 * 19025 * 19026
u_str ESTAB 0 0 /var/run/dbus/system_bus_socket 17510 * 17509
u_str ESTAB 0 0 * 19062 * 19063
u_str ESTAB 0 0 * 19045 * 19044
u_str ESTAB 0 0 * 18352 * 18353
u_str ESTAB 0 0 * 19083 * 19084
u_str ESTAB 0 0 * 18249 * 18250
u_str ESTAB 0 0 /var/run/dbus/system_bus_socket 16772 * 16771
# ip n
fe80::b60c:25ff:fe1e:213 dev eno16777736 lladdr b4:0c:25:1e:02:13 router STALE
192.168.9.1 dev eno16777736 lladdr b4:0c:25:1e:02:13 STALE
192.168.9.2 dev eno16777736 lladdr f0:de:f1:e2:76:f6 REACHABLE
- IPの変更(スタティックとDHCPを切り替えるとき)
# nmtui ・ネットワークリスタート # systemctl restart NetworkManager # service network restart Restarting network (via systemctl):
(参考)
RHEL7/CentOS7でipコマンドをマスター
NetworkManagerの設定変更、nmtuiとnmcliについてまとめたよ!
CentOS7 ネットワークの設定変更
Debian系OSの癖
- OSバージョン確認
# cat /etc/debian_version Kali Linux Rolling # more /etc/issue Kali GNU/Linux Rolling \n \l # lsb_release -a No LSB modules are available. Distributor ID: Kali Description: Kali GNU/Linux Rolling Release: kali-rolling Codename: kali-rolling # arch x86_64 # uname -a(カーネルのバージョン) Linux kali 4.6.0-kali1-amd64 #1 SMP Debian 4.6.4-1kali1 (2016-07-21) x86_64 GNU/Linux # cat /proc/version(カーネルのバージョン) Linux version 4.6.0-kali1-amd64 (devel@kali.org) (gcc version 5.4.0 20160609 (Debian 5.4.0-6) ) #1 SMP Debian 4.6.4-1kali1 (2016-07-21)
- IPアドレス等の設定ファイル
# more /etc/network/interfaces ------------------------------ # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback #iface eth0 inet static #address 10.1.33.204 #netmask 255.255.255.0 #gateway 10.1.33.254 ------------------------------
- ネットワーク再起動
/etc/init.d/networking restart
- サービス再起動
/etc/init.d/ssh restart
# update-rc.d ssh enable
・設定解除
# update-rc.d ssh remove
- パスの追加(Redhat系でも一緒だが)
# vi /etc/profile export PATH export PATH=$PATH:/root/thc-ipv6-3.0 #←追加
・すぐに反映させるには
# source ~/.profile
・パスの確認
# echo $PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/root/thc-ipv6-3.0
root@kali:/# randicmp6 -s 2401:4010:427:3101:d0e2:ddd8:5c8d:b9f5 eth0 2400:4010:427:3101::1
ミラーポートの設定
パケットを見たいからミラーしてほしいという依頼は頻繁にあるので、覚えておくとよし
Catalystで実装しているミラーリング機能=SPANを使う
送信元ポートと宛先ポートを指定するだけ
・設定
(スタック構成) monitor session 1 source interface Gi1/0/5 - 6 monitor session 1 source interface Gi2/0/5 - 6 monitor session 1 destination interface Gi1/0/24 monitor session 1 destination interface Gi2/0/24
・確認
#show monitor session all
Session 1
---------
Type : Local Session
Source Ports :
Both : Gi1/0/1,Gi1/0/4,Gi2/0/1,Gi2/0/4
Destination Ports : Gi1/0/24,Gi2/0/24
Encapsulation : Native
Ingress : Disabled
#show monitor detail
Session 1
---------
Type : Local Session
Description : -
Source Ports :
RX Only : None
TX Only : None
Both : Gi1/0/1,Gi1/0/4,Gi2/0/1,Gi2/0/4
Source VLANs :
RX Only : None
TX Only : None
Both : None
Source RSPAN VLAN : None
Destination Ports : Gi1/0/24,Gi2/0/24
Encapsulation : Native
Ingress : Disabled
Filter VLANs : None
Dest RSPAN VLAN : None
IP Access-group : None
MAC Access-group : None
IPv6 Access-group : NoneリモートSPAN(RSPAN)というのもあるらしいが、検証ベースじゃまず使わん
〔参考〕
パケットキャプチャ - Catalystスイッチの設定 1(SPAN / RSPAN)(めちゃめちゃわかりやすい)
CentOS 7でのIPv6設定
CentOS 6と7でぜんぜん違うので注意。6は文献・資料多いが、7は少ない
- v6有効やデフォゲ設定(2箇所)
・/etc/sysconfig/network-scripts/ifcfg-eno16777984
TYPE="Ethernet" BOOTPROTO="none" DEFROUTE="yes" IPV4_FAILURE_FATAL="no" IPV6INIT="yes" # IPv6を有効にする IPV6_AUTOCONF="no" IPV6_DEFROUTE="yes" IPV6_FAILURE_FATAL="no" NAME="eno16777984" UUID="c22605a4-4cec-4c1b-9382-090d1db46fd1" DEVICE="eno16777984" ONBOOT="yes" DNS1=10.1.11.13 DNS2=10.1.11.1 IPADDR=10.1.33.158 PREFIX=24 GATEWAY=10.1.33.254 IPV6ADDR=2400:4010:427:33::158/64 IPV6_DEFAULTGW=2400:4010:427:33::10 IPV6_PEERDNS=yes IPV6_PEERROUTES=yes IPV6_PRIVACY=no
・/etc/sysconfig/network
# Created by anaconda NETWORKING_IPV6=yes # IPv6を有効にする IPV6FORWARDING=yes IPV6_AUTOCONF=no # IPv6アドレスの自動設定を無効にする IPV6_AUTOTUNNEL=no #IPV6_DEFAULTGW=2003:6800:8345:1033:10:33:1:158%eno16777984 IPV6_DEFAULTDEV=eno16777984
- スタティックルートの追加(恒久的)(2箇所)
・/etc/sysconfig/static-routes-ipv6
eno16777984 2000:4010:0427:0033::/64 2400:4010:427:33:21b:17ff:fe00:110
・/etc/sysconfig/network-scripts/route6-eno16777984
2400:4010:427:3100::/60 via 2400:4010:427:33::10 metric 10
- スタティックルートの追加・削除(一時的)
# route add -A inet6 2001:db8:0:100::/64 gw 2001:db8::200 # route del -A inet6 2001:db8:0:100::/64 gw 2001:db8::200
- アドレスの追加・削除・確認
# ip addr add 2001:db8::80:1/64 dev eth0
# ip addr del 2001:db8::80:1/64 dev eth0
# ip -6 addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eno16777984: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
inet6 2003:6800:8345:1033:10:1:33:158/64 scope global
valid_lft forever preferred_lft forever
inet6 2400:4010:427:33::158/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::250:56ff:feae:5613/64 scope link
valid_lft forever preferred_lft forever・DNSサーバの設定
# nmcli connection modify eno1 ipv6.dns "2001:db8:0::1 2001:db8:0::2"
・NDの確認・追加
# ip -f inet6 neigh show 2400:4010:427:33::5 dev eno16777984 FAILED 2400:4010:427:33::6 dev eno16777984 FAILED 2400:4010:427:33::10 dev eno16777984 FAILED # ip -f inet6 neigh add 2400:4010:427:33::10 lladdr 00:1b:17:00:01:10 dev eno16777984
- 設定後のネットワーク再起動
# /etc/rc.d/init.d/network restart # service network restart # systemctl restart NetworkManager
- 確認
・ルーティングテーブルの表示(2通り)
# route -n -A inet6 Kernel IPv6 routing table Destination Next Hop Flag Met Ref Use If ::/96 :: !n 1024 0 0 lo 0.0.0.0/96 :: !n 1024 0 0 lo 2002:a00::/24 :: !n 1024 0 0 lo 2002:7f00::/24 :: !n 1024 0 0 lo 2002:a9fe::/32 :: !n 1024 0 0 lo 2002:ac10::/28 :: !n 1024 0 0 lo 2002:c0a8::/32 :: !n 1024 0 0 lo 2002:e000::/19 :: !n 1024 0 0 lo 2003:6800:8345:1033::/64 :: U 256 0 1 eno16777984 2400:4010:427:33::/64 :: U 256 0 1 eno16777984 3ffe:ffff::/32 :: !n 1024 0 0 lo fe80::/64 :: U 256 0 0 eno16777984 ::/0 2003:6800:8345:1033::253 UG 1 0 0 eno16777984 ::/0 2400:4010:427:33::10 UG 100 0 0 eno16777984 ::/0 :: !n -1 1 38 lo ::1/128 :: Un 0 1 3 lo 2003:6800:8345:1033::/128 :: Un 0 1 0 lo 2003:6800:8345:1033:10:1:33:158/128 :: Un 0 1 0 lo 2400:4010:427:33::/128 :: Un 0 1 0 lo 2400:4010:427:33::158/128 :: Un 0 1 12 lo fe80::/128 :: Un 0 1 0 lo fe80::250:56ff:feae:5613/128 :: Un 0 1 0 lo ff00::/8 :: U 256 0 0 eno16777984 ::/0 :: !n -1 1 38 lo # ip -6 route unreachable ::/96 dev lo metric 1024 error -101 unreachable ::ffff:0.0.0.0/96 dev lo metric 1024 error -101 unreachable 2002:a00::/24 dev lo metric 1024 error -101 unreachable 2002:7f00::/24 dev lo metric 1024 error -101 unreachable 2002:a9fe::/32 dev lo metric 1024 error -101 unreachable 2002:ac10::/28 dev lo metric 1024 error -101 unreachable 2002:c0a8::/32 dev lo metric 1024 error -101 unreachable 2002:e000::/19 dev lo metric 1024 error -101 2003:6800:8345:1033::/64 dev eno16777984 proto kernel metric 256 2400:4010:427:33::/64 dev eno16777984 proto kernel metric 256 unreachable 3ffe:ffff::/32 dev lo metric 1024 error -101 fe80::/64 dev eno16777984 proto kernel metric 256 default via 2003:6800:8345:1033::253 dev eno16777984 metric 1 default via 2400:4010:427:33::10 dev eno16777984 proto static metric 100
・ping
# ping6 2400:4010:427:33::158 PING 2400:4010:427:33::158(2400:4010:427:33::158) 56 data bytes 64 bytes from 2400:4010:427:33::158: icmp_seq=1 ttl=64 time=0.075 ms 64 bytes from 2400:4010:427:33::158: icmp_seq=5 ttl=64 time=0.089 ms 64 bytes from 2400:4010:427:33::158: icmp_seq=6 ttl=64 time=0.086 ms ^C --- 2400:4010:427:33::158 ping statistics --- 6 packets transmitted, 6 received, 0% packet loss, time 4999ms rtt min/avg/max/mdev = 0.075/0.088/0.104/0.008 ms ※Paloの場合 > ping inet6 yes host 2400:4010:427:33::158
〔参考〕
CentOSでIPv6アドレスの設定方法
CentOSでIPv6のスタティックルートの追加方法
CentOS7 IPv6の設定
これから始めるIPv6(3):3つの手順で実現、サーバOSのIPv6対応 (2/2) - @IT
Tera Termでの自動ログインショートカット
Tera Termでログインする際、常に同じ対象にしかログインしないのに、毎回毎回IP、ユーザ名、パスワード打ってて面倒だなと思い、ショートカットみたいなのないか探してみた
Tera TermでSSH接続する際に、自動ログインするショートカットを作成
これに従い、Tera Termのショートカットを右クリックしてプロパティを選択し、「リンク先」(「作業フォルダ」ではないので注意)を下記のように変更
"C:\Program Files\teraterm\ttermpro.exe" 192.168.11.4:22 /ssh2 /auth=password /user=root /passwd=パスワード
TTSSHオプションを適宜変更したい場合はTTSSH command lineを参考に
するとあら便利。ショートカットをダブルクリックするだけであっという間に自動ログイン
