Skip to content

Blog

CentOS8 の firewalld で ICMP だけをブロックする

Linux で Ping (ICMP) の応答をブロックしたい場合、firewall-cmd --add-icmp-block=echo-request を設定する方法があります。 これでも ICMP をブロックすることは出来ますが、送信元に対して「ICMP をブロックしている」旨のメッセージが返されます。 こういった場合は ICMP だけ DROP ゾーンで処理し、残りの TCP/UDP 通信は許可することで回避出来ます。 今回は CentOS8 で設定しました。

Cisco ACI で EndPoint を確認 / 削除する

2017 年に Cisco ACI の EndPoint の確認 / 削除の方法について以下のメモを書きました。

現時点では ACI もバージョン 5.1(1h) までリリースされている為、EndPoint の確認 / 削除方法について改めて最新の 5.1(1h) ベースでメモを書いておきます。

RLogin から WSL へログインする

RLogin から WSL (非 WSL2) が利用出来るように設定した際のメモです。

なぜか公開鍵方式ではうまくいかなかったので止む無く、パスワード認証方式にしています。 /etc/ssh/sshd_config の設定を修正します。 幾ら「自分しか利用しない」とは言え、TCP/22 を利用するのは心理的 (?) に抵抗があるので、「ポート番号は 20022 へ、Listen するアドレスは 127.0.0.1 だけ」に変更した上でパスワード認証を有効化します。

ACI で Preferred Group を設定した際の通信許可 / 拒否パターン

以前に ACI で Preferred Group 設定時の Zoning-Rule というメモを書きました。 自分の理解を整理する為に Application EPG と External EPG を組み合わせ、Preferred Group での通信テストを実施したので結果をメモしておきます。 検証は 5.0(2h) で実施しました。

下記は「各々の設定時、Contract 未設定でも通信出来たか?否か?」をまとめたものです。 結論としては「AppEpg や ExtEpg 関係無く、お互いが Include の時は Contract 不要で通信可能」「どのパターンでも、いずれか一報が Exclude あれば Contract が必要」という結果でした。

No. Src Preferred Group Dst Preferred Group Result
1 AppEpg exclude AppEpg exclude
2 AppEpg exclude AppEpg include
3 AppEpg include AppEpg exclude
4 AppEpg include AppEpg include
5 ExtEpg exclude AppEpg exclude
6 ExtEpg exclude AppEpg include
7 ExtEpg include AppEpg exclude
8 ExtEpg include AppEpg include
9 AppEpg exclude ExtEpg exclude
10 AppEpg exclude ExtEpg include
11 AppEpg include ExtEpg exclude
12 AppEpg include ExtEpg include

ACI で Intra EPG Isolation を設定し、同一 EPG 内の通信を拒否する

Cisco ACI では通常、同一 EPG に所属している EndPoint 同士は通信出来てしまいます。 従来のネットワークで言うところの「Private VLAN」と近い感覚で「同一 EPG に所属する EndPoint 同士の通信を 拒否する」には Intra EPG Isolation の設定を行います。 今回は 5.0(2h) 環境で Intra EPG Isolation 無効時 / 有効時を比較してみました。

Cisco ACI では Primary Subnet しか DHCP Relay 出来ない

以前に ACI で DHCP Relay を設定する というメモを書きました。 Bridge Domain にひとつしか Subnet を設定していない場合は問題が無いのですが、複数の Subnet を設定する場合は様々な注意が必要です。 そのひとつに「BD に複数 Subnet が設定されていても、DHCP Relay 可能なネットワークはひとつだけ」という点が挙げられます。 ACI では BD Subnet を作成した場合、デフォルトでは Make this IP address primary はチェックされていません。