このブログを検索

この記事の内容は、個人の見解、検証の範囲のものであり、誤りがある可能性があります。
個人の責任において情報活用をお願いします。


2018年3月29日木曜日

【VyOS】VyOSでWebプロキシサーバーを設定してみた その3 ブラックリストを利用してみよう 準備編 その1


だいぶ時間が経ってしまいましたが、私が検証でよく使うVyOSを使ったWebプロキシをいろいろと試してみたいと思います。

~VyOSでWebプロキシを設定してみた~
1.Webプロキシを試してみた
2.ホワイトリストを試してみた
3.ブラックリストを試してみた 
  準備編 その1:ブラックリストをダウンロード ←今回



今回から数回に渡り、Webプロキシのブラックリストを試してみます。
今回は準備編です。VyOSに手動でブラックリストを設定することもできますが、用意されているブラックリストファイルをダウンロードして利用することもできます。今回は、用意されているブラックリストファイルをダウンロードしてVyOSでブラックリストを利用できるようにします。ダウンロードは以下のコマンドを実行します。

update webproxy blacklists
実際に実行すると下記のようにブラックリストのファイルがダウンロードされ、VyOSに展開されます。
ファイルはヨーロッパにある大学のFTPサーバーからダウンロードされます。

vyos@vyos:~$ update webproxy blacklists
Would you like to re-download the blacklist? [confirm][y]
Connecting to ftp.univ-xxxx.xx (xxx.xx.xx.xxx:21)
blacklists.gz        100% |**********************************************************| 10858k 00:00:00 ETA
Uncompressing blacklist...
Checking permissions...
Skip link for   [ads] -> [publicite]
Building DB for [adult/domains] - 1926933 entries
Building DB for [adult/urls] - 67608 entries
Skip link for   [aggressive] -> [agressif]
Building DB for [agressif/domains] - 324 entries
Building DB for [agressif/urls] - 36 entries
Building DB for [arjel/domains] - 69 entries
Building DB for [associations_religieuses/domains] - 1 entries
Building DB for [astrology/domains] - 28 entries
Building DB for [astrology/urls] - 1 entries
Building DB for [audio-video/domains] - 3237 entries
Building DB for [audio-video/urls] - 162 entries
Building DB for [bank/domains] - 1698 entries
Building DB for [bitcoin/domains] - 252 entries
Building DB for [bitcoin/urls] - 3 entries
Building DB for [blog/domains] - 1469 entries
Building DB for [blog/urls] - 2 entries
Building DB for [celebrity/domains] - 636 entries
Building DB for [celebrity/urls] - 39 entries
Building DB for [chat/domains] - 213 entries
Building DB for [chat/urls] - 17 entries
Building DB for [child/domains] - 68 entries
Building DB for [child/urls] - 2 entries
Building DB for [cleaning/domains] - 170 entries
Building DB for [cleaning/urls] - 3 entries
Building DB for [cooking/domains] - 16 entries
Building DB for [cryptojacking/domains] - 2522 entries
Building DB for [dangerous_material/domains] - 28 entries
Building DB for [dangerous_material/urls] - 21 entries
Building DB for [dating/domains] - 3563 entries
Building DB for [dating/urls] - 10 entries
Building DB for [ddos/domains] - 232 entries
Building DB for [download/domains] - 51 entries
Building DB for [download/urls] - 15 entries
Building DB for [drogue/domains] - 591 entries
Building DB for [drogue/urls] - 464 entries
Skip link for   [drugs] -> [drogue]
Building DB for [educational_games/domains] - 8 entries
Building DB for [educational_games/urls] - 2 entries
Building DB for [filehosting/domains] - 825 entries
Building DB for [filehosting/urls] - 8 entries
Building DB for [financial/domains] - 79 entries
Building DB for [financial/urls] - 1 entries
Building DB for [forums/domains] - 189 entries
Building DB for [forums/urls] - 20 entries
Building DB for [gambling/domains] - 1116 entries
Building DB for [gambling/urls] - 4 entries
Building DB for [games/domains] - 9557 entries
Building DB for [games/urls] - 1592 entries
Building DB for [hacking/domains] - 268 entries
Building DB for [hacking/urls] - 33 entries
Building DB for [jobsearch/domains] - 385 entries
Building DB for [lingerie/domains] - 65 entries
Building DB for [lingerie/urls] - 6 entries
Building DB for [liste_blanche/domains] - 239 entries
Building DB for [liste_blanche/urls] - 2 entries
Building DB for [liste_bu/domains] - 2743 entries
Building DB for [liste_bu/urls] - 94 entries
Building DB for [local-ok-default/domains] - 1 entries
Building DB for [local-ok-url-default/urls] - 1 entries
Skip link for   [mail] -> [forums]
Building DB for [malware/domains] - 3478 entries
Building DB for [malware/urls] - 11365 entries
Building DB for [malware/expressions] - 1 entries
Building DB for [manga/domains] - 542 entries
Building DB for [manga/urls] - 194 entries
Building DB for [marketingware/domains] - 819 entries
Building DB for [marketingware/urls] - 2 entries
Building DB for [mixed_adult/domains] - 145 entries
Building DB for [mixed_adult/urls] - 7 entries
Building DB for [mobile-phone/domains] - 44 entries
Building DB for [mobile-phone/urls] - 2 entries
Building DB for [phishing/domains] - 63502 entries
Building DB for [phishing/urls] - 6 entries
Skip link for   [porn] -> [adult]
Building DB for [press/domains] - 4451 entries
Building DB for [press/urls] - 1 entries
Skip link for   [proxy] -> [redirector]
Building DB for [publicite/domains] - 1123 entries
Building DB for [publicite/urls] - 306 entries
Building DB for [publicite/expressions] - 1 entries
Building DB for [radio/domains] - 484 entries
Building DB for [radio/urls] - 10 entries
Building DB for [reaffected/domains] - 7 entries
Building DB for [reaffected/urls] - 1 entries
Building DB for [redirector/domains] - 129148 entries
Building DB for [redirector/urls] - 292 entries
Building DB for [remote-control/domains] - 41 entries
Building DB for [remote-control/urls] - 1 entries
Building DB for [sect/domains] - 143 entries
Building DB for [sect/urls] - 1 entries
Building DB for [sexual_education/domains] - 11 entries
Building DB for [sexual_education/urls] - 8 entries
Building DB for [shopping/domains] - 36401 entries
Building DB for [shopping/urls] - 3 entries
Building DB for [shortener/domains] - 262 entries
Building DB for [social_networks/domains] - 641 entries
Building DB for [social_networks/urls] - 1 entries
Building DB for [special/domains] - 1 entries
Building DB for [special/expressions] - 1 entries
Building DB for [sports/domains] - 2277 entries
Building DB for [strict_redirector/domains] - 129148 entries
Building DB for [strict_redirector/urls] - 21 entries
Building DB for [strict_redirector/expressions] - 1 entries
Building DB for [strong_redirector/domains] - 129148 entries
Building DB for [strong_redirector/urls] - 21 entries
Building DB for [strong_redirector/expressions] - 1 entries
Building DB for [translation/domains] - 166 entries
Building DB for [translation/urls] - 4 entries
Building DB for [tricheur/domains] - 27 entries
Building DB for [tricheur/urls] - 19 entries
Building DB for [update/domains] - 5 entries
Skip link for   [violence] -> [agressif]
Building DB for [warez/domains] - 885 entries
Building DB for [warez/urls] - 14 entries
Building DB for [webmail/domains] - 332 entries
Building DB for [webmail/urls] - 9 entries

The webproxy daemon must be restarted
Would you like to restart it now? [confirm][y]
Restarting Squid HTTP Proxy 3.x: squid3 Waiting.....................done.
.
vyos@vyos:~$
ダウンロードしたブラックリストには何が含まれているのか確認します。
まず、VyOSでブラックリストを確認するコマンドを確認します。
vyos@vyos:~$ show webproxy blacklist まで入力しタブキーを押します。

vyos@vyos:~$ show webproxy blacklist 
Possible completions:
  categories    Show webproxy blacklist categories
  domains       Show webproxy blacklist domains
  log           Show contents of webproxy blacklist log
  search        Show webproxy blacklist search
  urls          Show webproxy blacklist urls


vyos@vyos:~$

ブラックリストのカテゴリ、ドメイン、ログ、検索、URLを確認できるようです。
今回は、カテゴリーを確認します。下記コマンドを実行します。

show webproxy blacklist categories
下記カテゴリを利用できることが確認できます。

vyos@vyos:~$ show webproxy blacklist categories
ads
adult
aggressive
agressif
arjel
associations_religieuses
astrology
audio-video
bank
bitcoin
blog
celebrity
chat
child
cleaning
cooking
cryptojacking
dangerous_material
dating
ddos
dialer
download
drogue
drugs
educational_games
filehosting
financial
forums
gambling
games
hacking
jobsearch
lingerie
liste_blanche
liste_bu
local-ok-default
local-ok-url-default
mail
malware
manga
marketingware
mixed_adult
mobile-phone
phishing
porn
press
proxy
publicite
radio
reaffected
redirector
remote-control
sect
sexual_education
shopping
shortener
social_networks
special
sports
strict_redirector
strong_redirector
translation
tricheur
update
violence
warez
webmail
vyos@vyos:~$
どんなカテゴリを利用できるのかわかりました。
では、カテゴリにはどんなドメインが入っているのか?
次回、確認してみます。それでは。

【VyOS】VyOSでWebプロキシサーバーを設定してみた その2 ホワイトリストを試してみた


だいぶ時間が経ってしまいましたが、私が検証でよく使うVyOSを使ったWebプロキシをいろいろと試してみたいと思います。

~VyOSでWebプロキシを設定してみた~
1.Webプロキシを試してみた
2.ホワイトリストを試してみた ← 今回



前回はVyOSにWebプロキシを設定し、Webプロキシが利用できることを確認しました。
今回はホワイトリストを設定して許可したドメイン以外へアクセスできないことを確認します。
今回は下記ドメインへのアクセスは許可し、他のドメインはすべて拒否します。

<許可ドメイン>
  • yahoo.co.jp
  • www.blogger.com
  • google.com
  • techblog-cidept.blogspot.jp
  • google.co.jp
以下のコマンドを設定します。

set service webproxy url-filtering squidguard default-action 'block'
set service webproxy url-filtering squidguard local-ok 'yahoo.co.jp'
set service webproxy url-filtering squidguard local-ok 'www.blogger.com'
set service webproxy url-filtering squidguard local-ok 'google.com'
set service webproxy url-filtering squidguard local-ok 'techblog-cidept.blogspot.jp'
set service webproxy url-filtering squidguard local-ok 'google.co.jp'
VyOSでWebプロキシを有効にするには、以下のコマンドを設定します。

set service webproxy default-port '3128'
set service webproxy listen-address 192.168.129.133 port '3128'
ブラウザのプロキシをVyOSに設定し、実際に動作を確かめます。
ブラウザからYahoo!JAPANのWebサイトへアクセスします。


ページは表示されましたが、画像などは表示されません。
ブラウザの機能を利用して、ページのソースを表示を確認します。


yimg.jpから画像などのコンテンツを取得しているようです。
VyOSに設定を追加します。

set service webproxy url-filtering squidguard local-ok yimg.jp
commit
今度は画像や広告を含め正常にページが表示されました。


許可したドメインのWebサイトに設定されているリンク先ドメインがVyOSプロキシの許可リストに含まれていない場合、ページは表示されません。Yahoo!JAPAN上のFacebookページへのリンクをクリックすると、下記のように表示されます。


Yahoo天気などVyOSに登録したドメインと一致していれば下記のようにWebサイトを表示できます。


今回は、VyOSのWebプロキシでホワイトリストを設定し確認しました。
『set service webproxy url-filtering squidguard default-action 'block'』コマンドでホワイトリストに設定していない通信を全て拒否し、『set service webproxy url-filtering squidguard local-ok』コマンドで閲覧を許可するドメインを設定しました。
最近ではWebサイトで表示するコンテンツの一部をAWSS3などクラウド上のオブジェクトストレージから取得してホームページを形成しているサイトが多くなっています。そのため、Webプロキシをホワイトリストで設定したい場合、表示したいサイトのソースを確認する必要があります。次回は、ブラックリストを設定します。今回の全体Configは下記となります。参考まで。

vyos@vyos# run show configuration commands
set interfaces ethernet eth0 address 'dhcp'
set interfaces ethernet eth0 duplex 'auto'
set interfaces ethernet eth0 hw-id '00:0c:29:02:82:5f'
set interfaces ethernet eth0 smp_affinity 'auto'
set interfaces ethernet eth0 speed 'auto'
set interfaces ethernet eth1 address '10.0.0.1/24'
set interfaces ethernet eth1 duplex 'auto'
set interfaces ethernet eth1 hw-id '00:0c:29:02:82:69'
set interfaces ethernet eth1 smp_affinity 'auto'
set interfaces ethernet eth1 speed 'auto'
set interfaces loopback 'lo'
set nat source rule 1 description 'Internal-to-External-NAPT'
set nat source rule 1 outbound-interface 'eth0'
set nat source rule 1 source address '10.0.0.0/8'
set nat source rule 1 translation address 'masquerade'
set service dhcp-server disabled 'false'
set service dhcp-server shared-network-name dhcp-pool-1 authoritative 'disable'
set service dhcp-server shared-network-name dhcp-pool-1 description 'lab-1-dhcp'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 default-router '10.0.0.1'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 dns-server '10.0.0.1'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 domain-name 'lab.local'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 domain-search 'lab.local'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 lease '86400'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 start 10.0.0.64 stop '10.0.0.223'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 static-route destination-subnet '172.16.0.0/24'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 static-route router '10.0.0.2'
set service dns forwarding cache-size '150'
set service dns forwarding listen-on 'eth0'
set service dns forwarding listen-on 'eth1'
set service dns forwarding name-server '8.8.8.8'
set service ssh port '22'
set service webproxy default-port '3128'
set service webproxy listen-address 192.168.129.133 port '3128'
set service webproxy url-filtering squidguard default-action 'block'
set service webproxy url-filtering squidguard local-ok 'yahoo.co.jp'
set service webproxy url-filtering squidguard local-ok 'www.blogger.com'
set service webproxy url-filtering squidguard local-ok 'google.com'
set service webproxy url-filtering squidguard local-ok 'techblog-cidept.blogspot.jp'
set service webproxy url-filtering squidguard local-ok 'google.co.jp'
set service webproxy url-filtering squidguard local-ok 'yimg.jp'
set system config-management commit-revisions '20'
set system console device ttyS0 speed '9600'
set system host-name 'vyos'
set system login user vyos authentication encrypted-password '$1$[password]'
set system login user vyos authentication plaintext-password ''
set system login user vyos level 'admin'
set system name-server '8.8.8.8'
set system name-server '8.8.4.4'
set system ntp server 'ntp.nict.jp'
set system package auto-sync '1'
set system package repository community components 'main'
set system package repository community distribution 'helium'
set system package repository community password ''
set system package repository community url 'http://packages.vyos.net/vyos'
set system package repository community username ''
set system syslog global facility all level 'notice'
set system syslog global facility protocols level 'debug'
set system time-zone 'Asia/Tokyo'
[edit]
vyos@vyos#
[edit]
vyos@vyos# run show version
Version:      VyOS 1.1.8
Description:  VyOS 1.1.8 (helium)
Copyright:    2017 VyOS maintainers and contributors
Built by:     maintainers@vyos.net
Built on:     Sat Nov 11 13:44:36 UTC 2017
Build ID:     1711111344-b483efc
System type:  x86 64-bit
Boot via:     image
Hypervisor:   VMware
HW model:     VMware Virtual Platform
HW S/N:       VMware-56 4d ae 3d f9 2d 50 57-ff 4a 2f 72 c5 02 82 5f
HW UUID:      564DAE3D-F92D-5057-FF4A-2F72C502825F
Uptime:       01:14:59 up 1 day,  3:03,  2 users,  load average: 0.08, 0.03, 0.05

[edit]
vyos@vyos#
[edit]
vyos@vyos# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0:  mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:02:82:5f brd ff:ff:ff:ff:ff:ff
    inet 192.168.129.133/24 brd 192.168.129.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe02:825f/64 scope link
       valid_lft forever preferred_lft forever
3: eth1:  mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:02:82:69 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/24 brd 10.0.0.255 scope global eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe02:8269/64 scope link
       valid_lft forever preferred_lft forever
[edit]
vyos@vyos#



2018年3月27日火曜日

【VyOS】ファイアウォールでグループアドレスを利用してみた

VyOSでファイアウォールを設定することがあります。
VyOSのファイアウォール設定では下記のようにファイアウォールを設定します。
ファイアウォール設定例

set firewall name fw-test rule 1 action 'accept'
set firewall name fw-test rule 1 destination address '0.0.0.0/0'
set firewall name fw-test rule 1 source address '192.168.0.0/24'
set firewall name fw-test rule 2 action 'accept'
set firewall name fw-test rule 2 destination address '0.0.0.0/0'
set firewall name fw-test rule 2 source address '192.168.1.0/24'
set firewall name fw-test rule 2 
・・・
同じようなルールを適用する対象ノードが多くなるとその分ルール数も増え、設定する行数も増えていきます。グループ機能を使うことで設定をまとめることができます。グループとして設定できるのは下記3種類です。

vyos@vyos# set firewall group
Possible completions:
+> address-group
                Firewall address-group
+> network-group
                Firewall network-group
+> port-group   Firewall port-group


[edit]
vyos@vyos# set firewall group
今回はアドレスグループを設定します。
使用するパラメーターは下記とします。
  • アドレスグループ名:node-fw-lab.local
  • 対象アドレス:10.0.0.64/32

set firewall group address-group node-fw-lab.local address '10.0.0.64'
set firewall group address-group node-fw-lab.local description 'FW-Grp-test'

設定したアドレスグループを利用してファイアウォールを設定します。
使用するパラメーターは下記とします。
  • ファイアウォール名:fw-lab.local
  • ルール番号:1
  • 動作:accept
  • 宛先アドレス:ANY
  • 送信元アドレスグループ:node-fw-lab.local
  • サービス:ANY

set firewall name fw-lab.local default-action 'drop'
set firewall name fw-lab.local rule 1 action 'accept'
set firewall name fw-lab.local rule 1 description 'FW-Grp-test'
set firewall name fw-lab.local rule 1 destination address '0.0.0.0/0'
set firewall name fw-lab.local rule 1 log 'enable'
set firewall name fw-lab.local rule 1 protocol 'all'
set firewall name fw-lab.local rule 1 source group address-group 'node-fw-lab.local'

設定した10.0.0.64を持つWindowsサーバーからインターネットへ通信できるか確認します。ブラウザからYAHOO!ニュースを閲覧します。閲覧できました。


VyOSのファイアウォール設定でlogオプションを有効にすると下記のように該当ファイアウォールルールを通過するトラフィックログを確認できます。

show log firewall name fw-lab.local


VyOSでファイアウォールを設定する場合、最初にアドレスグループの利用を検討しても良いかと思います。それでは。
下記は今回の設定Configです。参考まで。

vyos@vyos# run show configuration commands
set firewall all-ping 'enable'
set firewall broadcast-ping 'disable'
set firewall config-trap 'disable'
set firewall group address-group node-fw-lab.local address '10.0.0.64'
set firewall group address-group node-fw-lab.local description 'FW-Grp-test'
set firewall ipv6-receive-redirects 'disable'
set firewall ipv6-src-route 'disable'
set firewall ip-src-route 'disable'
set firewall log-martians 'enable'
set firewall name fw-lab.local default-action 'drop'
set firewall name fw-lab.local rule 1 action 'accept'
set firewall name fw-lab.local rule 1 description 'FW-Grp-test'
set firewall name fw-lab.local rule 1 destination address '0.0.0.0/0'
set firewall name fw-lab.local rule 1 log 'enable'
set firewall name fw-lab.local rule 1 protocol 'all'
set firewall name fw-lab.local rule 1 source group address-group 'node-fw-lab.local'
set firewall name fw-test default-action 'drop'
set firewall name fw-test rule 1 action 'accept'
set firewall name fw-test rule 1 destination address '0.0.0.0/0'
set firewall name fw-test rule 1 source address '192.168.0.0/24'
set firewall name fw-test rule 2 action 'accept'
set firewall name fw-test rule 2 destination address '0.0.0.0/0'
set firewall name fw-test rule 2 source address '192.168.1.0/24'
set firewall name fw-test rule 3 action 'accept'
set firewall name fw-test rule 3 destination address '0.0.0.0/0'
set firewall name fw-test rule 3 source address '192.168.0.0/16'
set firewall name fw-test rule 4 action 'accept'
set firewall name fw-test rule 4 destination address '0.0.0.0/0'
set firewall name fw-test rule 4 source address '10.0.0.0/8'
set firewall receive-redirects 'disable'
set firewall send-redirects 'enable'
set firewall source-validation 'disable'
set firewall syn-cookies 'enable'
set firewall twa-hazards-protection 'disable'
set interfaces ethernet eth0 address 'dhcp'
set interfaces ethernet eth0 duplex 'auto'
set interfaces ethernet eth0 hw-id '00:0c:29:02:82:5f'
set interfaces ethernet eth0 smp_affinity 'auto'
set interfaces ethernet eth0 speed 'auto'
set interfaces ethernet eth1 address '10.0.0.1/24'
set interfaces ethernet eth1 duplex 'auto'
set interfaces ethernet eth1 firewall in name 'fw-lab.local'
set interfaces ethernet eth1 hw-id '00:0c:29:02:82:69'
set interfaces ethernet eth1 smp_affinity 'auto'
set interfaces ethernet eth1 speed 'auto'
set interfaces loopback 'lo'
set nat source rule 1 description 'Internal-to-External-NAPT'
set nat source rule 1 outbound-interface 'eth0'
set nat source rule 1 source address '10.0.0.0/8'
set nat source rule 1 translation address 'masquerade'
set service dhcp-server disabled 'false'
set service dhcp-server shared-network-name dhcp-pool-1 authoritative 'disable'
set service dhcp-server shared-network-name dhcp-pool-1 description 'lab-1-dhcp'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 default-router '10.0.0.1'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 dns-server '10.0.0.1'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 domain-name 'lab.local'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 domain-search 'lab.local'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 lease '86400'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 start 10.0.0.64 stop '10.0.0.223'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 static-route destination-subnet '172.16.0.0/24'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 static-route router '10.0.0.2'
set service dns forwarding cache-size '150'
set service dns forwarding listen-on 'eth0'
set service dns forwarding listen-on 'eth1'
set service dns forwarding name-server '8.8.8.8'
set service ssh port '22'
set system config-management commit-revisions '20'
set system console device ttyS0 speed '9600'
set system host-name 'vyos'
set system login user vyos authentication encrypted-password '$1$[password]'
set system login user vyos authentication plaintext-password ''
set system login user vyos level 'admin'
set system name-server '8.8.8.8'
set system name-server '8.8.4.4'
set system ntp server 'ntp.nict.jp'
set system package auto-sync '1'
set system package repository community components 'main'
set system package repository community distribution 'helium'
set system package repository community password ''
set system package repository community url 'http://packages.vyos.net/vyos'
set system package repository community username ''
set system syslog global facility all level 'notice'
set system syslog global facility protocols level 'debug'
set system time-zone 'Asia/Tokyo'
[edit]
vyos@vyos#

【VyOS】VyOSでDHCPサーバを設定してみた その2 スタティックルート配布


VyOSでDHCPサーバーの設定を利用することが多いです。
VyOSでDHCPサーバー/クライアント、DHCPリレーを利用できます。
VyOSにDHCPサーバーを設定する方法は、下記VyOSのユーザーガイドに載っています。
VyOS ユーザーガイド
https://wiki.vyos-users.jp/index.php/
今回は、VyOSのDHCPサーバー機能を利用してスタティックルートが割り当てられるか確かめてみたいと思います。
以下に分けて記載します。
  1. 基本設定
  2. スタティックルート ← 今回

前回はDHCPサーバーの基本的な設定をしました。
今回はDHCPサーバーからDHCPクライアントへスタティックルートを設定します。
今回は下記パラメーターを設定します。
  • 宛先ネットワーク:172.16.0.0/24
  • ゲートウェイ:10.0.0.2
VyOSに下記設定を追加します。

  set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 static-route destination-subnet '172.16.0.0/24'
  set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 static-route router '10.0.0.2'

WindowsサーバーのNICをDHCPクライアントに設定し、VyOSに設定したDHCPサーバーからスタティックルートが割り当てられるか確認します。コマンドプロンプトよりroute printコマンドでルーティングを確認します。前回のブログでDHCPサーバーを設定した時に取得したルーティング情報が設定されています。デフォルトルートがVyOSに設定されていますが、スタティックルートの設定は反映されていません。


Windowsサーバーでipconfig /releaseを実行後、ipconfig /renewを実行します。


再度ルーティングを確認します。
VyOSに設定したスタティックルート172.16.0.0/24が追加されました。


DHCPクライアントに対してデフォルトゲートウェイ以外にルーティングを設定したい場合、簡単に設定できて良いですね。参考までに全体のConfigを記載します。それでは。

vyos@vyos# run show configuration commands
set interfaces ethernet eth0 address 'dhcp'
set interfaces ethernet eth0 duplex 'auto'
set interfaces ethernet eth0 hw-id '00:0c:29:02:82:5f'
set interfaces ethernet eth0 smp_affinity 'auto'
set interfaces ethernet eth0 speed 'auto'
set interfaces ethernet eth1 address '10.0.0.1/24'
set interfaces ethernet eth1 hw-id '00:0c:29:02:82:69'
set interfaces loopback 'lo'
set service dhcp-server shared-network-name dhcp-pool-1 description 'lab-1-dhcp'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 default-router '10.0.0.1'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 dns-server '10.0.0.1'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 domain-name 'lab.local'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 domain-search 'lab.local'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 lease '86400'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 start 10.0.0.64 stop '10.0.0.223'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 static-route destination-subnet '172.16.0.0/24'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 static-route router '10.0.0.2'
set service dns forwarding cache-size '150'
set service dns forwarding listen-on 'eth0'
set service dns forwarding name-server '8.8.8.8'
set service ssh port '22'
set system config-management commit-revisions '20'
set system console device ttyS0 speed '9600'
set system host-name 'vyos'
set system login user vyos authentication encrypted-password '$1$gQKpAFcp$ob1UcUoaavF1/5cA2l7f2/'
set system login user vyos authentication plaintext-password ''
set system login user vyos level 'admin'
set system name-server '8.8.8.8'
set system name-server '8.8.4.4'
set system ntp server 'ntp.nict.jp'
set system package auto-sync '1'
set system package repository community components 'main'
set system package repository community distribution 'helium'
set system package repository community password ''
set system package repository community url 'http://packages.vyos.net/vyos'
set system package repository community username ''
set system syslog global facility all level 'notice'
set system syslog global facility protocols level 'debug'
set system time-zone 'Asia/Tokyo'
[edit]
vyos@vyos#

【VyOS】VyOSでDHCPサーバを設定してみた その1 基本設定


VyOSでDHCPサーバーの設定を利用することが多いです。
VyOSでDHCPサーバー/クライアント、DHCPリレーを利用できます。
VyOSにDHCPサーバーを設定する方法は、下記VyOSのユーザーガイドに載っています。
VyOS ユーザーガイド
https://wiki.vyos-users.jp/index.php/
今回は、VyOSのDHCPサーバー機能を利用してスタティックルートが割り当てられるか確かめてみたいと思います。以下に分けて記載します。
  1. 基本設定
  2. スタティックルート

下記パラメーターを設定します。
  • 適用インターフェース:Eth1 10.0.0.1/24
  • DNSフォワ-ディング:有効
  • ネットワーク名(プール名):dhcp-pool-1
  • デフォルトゲートウェイ:10.0.0.1
  • DNSサーバー:10.0.0.1
  • IPアドレス範囲:10.0.0.64 ~ 10.0.0.223
  • ドメイン名:lab.local
  • 検索ドメイン名:lab.local
  • リース期間:86400秒(24時間)
DHCPサーバーの設定のみ下記に抜粋します。

  set service dhcp-server shared-network-name dhcp-pool-1 description 'lab-1-dhcp'
  set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 default-router '10.0.0.1'
  set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 dns-server '10.0.0.1'
  set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 domain-name 'lab.local'
  set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 domain-search 'lab.local'
  set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 lease '86400'
  set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 start 10.0.0.64 stop '10.0.0.223'
 commit 

Windowsサーバーで動作を確認します。


DHCPサーバーのリース情報は下記コマンドで確認できます。
show dhcp server leases pool dhcp-pool-1

vyos@vyos:~$ show dhcp server leases pool dhcp-pool-1

IP address       Hardware address   Lease expiration     Pool                      Client Name
----------       ----------------   ----------------     ----                      -----------
10.0.0.64        00:0c:29:3f:42:e5  2018/03/27 14:26:26  dhcp-pool-1               WIN-99NE1Q8OG7R
vyos@vyos:~$

下記コマンドでDHCPサーバーの統計情報を確認できます。
IPPoolに割り当てられたIPアドレスの総数、リースされているアドレス数、未使用IPアドレス数を確認できます。
show dhcp server statistics

vyos@vyos:~$ show dhcp server statistics

Pool                      Pool size   # Leased    # Avail
----                      ---------   --------    -------
dhcp-pool-1               160         1           159

vyos@vyos:~$

今回はDHCPサーバーを設定しました。
次回はDHCPサーバーからスタティックルートを割り当てます。
全体のConfigは以下となります。参考まで。

vyos@vyos# run show configuration commands
set interfaces ethernet eth0 address 'dhcp'
set interfaces ethernet eth0 duplex 'auto'
set interfaces ethernet eth0 hw-id '00:0c:29:02:82:5f'
set interfaces ethernet eth0 smp_affinity 'auto'
set interfaces ethernet eth0 speed 'auto'
set interfaces ethernet eth1 address '10.0.0.1/24'
set interfaces ethernet eth1 hw-id '00:0c:29:02:82:69'
set interfaces loopback 'lo'
set service dhcp-server shared-network-name dhcp-pool-1 description 'lab-1-dhcp'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 default-router '10.0.0.1'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 dns-server '10.0.0.1'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 domain-name 'lab.local'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 domain-search 'lab.local'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 lease '86400'
set service dhcp-server shared-network-name dhcp-pool-1 subnet 10.0.0.0/24 start 10.0.0.64 stop '10.0.0.223'
set service dns forwarding cache-size '150'
set service dns forwarding listen-on 'eth0'
set service dns forwarding name-server '8.8.8.8'
set service ssh port '22'
set system config-management commit-revisions '20'
set system console device ttyS0 speed '9600'
set system host-name 'vyos'
set system login user vyos authentication encrypted-password '$1$[password]'
set system login user vyos authentication plaintext-password ''
set system login user vyos level 'admin'
set system name-server '8.8.8.8'
set system name-server '8.8.4.4'
set system ntp server 'ntp.nict.jp'
set system package auto-sync '1'
set system package repository community components 'main'
set system package repository community distribution 'helium'
set system package repository community password ''
set system package repository community url 'http://packages.vyos.net/vyos'
set system package repository community username ''
set system syslog global facility all level 'notice'
set system syslog global facility protocols level 'debug'
set system time-zone 'Asia/Tokyo'
[edit]
vyos@vyos#

2018年3月25日日曜日

【VyOS】VyOSでDNSフォワーディングを設定してみた その2 特定ドメインを指定DNSへフォワーディング


私は検証でよくVyOSを利用します。VyOSは必要なコンピュートリソースも少なく、インストールに利用するイメージサイズも小さい為、色々な場所で簡単に利用できてとても便利です。今回はDNSフォワーディングを設定してみます。VyOSにDNSフォワ-ディングを設定しておくとクライアントノードのDNS参照先をVyOSにすることができます。今回は2回に分けて下記内容をご紹介します。


<VyOSでDNSフォワーディング>
  1. DNSフォワ-ディング:基本設定
  2. DNSフォワ-ディング:特定ドメインを指定DNSへフォワーディング ← 今回

前回は、DNSフォワ-ディングの基本設定をしました。
今回は、特定のドメインを指定したDNSへフォワーディングする設定を追加します。
今回は以下を追加します。

  • フォワーディングするドメイン:lab.local
  • フォワーディング先:AD・DNS
AD情報は下記となります。


設定は簡単です。下記を設定し、Commitするだけです。

  set service dns forwarding domain lab.local server 192.168.129.135
 commit 

DNSをVyOSに設定したノードからad.lab.localへPingするとReplay応答が返ってきます。


今回はこの辺で。それでは。

【VyOS】VyOSでDNSフォワーディングを設定してみた その1 基本設定

私は検証でよくVyOSを利用します。VyOSは必要なコンピュートリソースも少なく、インストールに利用するイメージサイズも小さい為、色々な場所で簡単に利用できてとても便利です。今回はDNSフォワーディングを設定します。VyOSにDNSフォワ-ディングを設定しておくとクライアントノードのDNS参照先をVyOSにすることができます。今回は2回に分けて下記内容をご紹介します。


<VyOSでDNSフォワーディング>
  1. DNSフォワ-ディング:基本設定 ← 今回
  2. DNSフォワ-ディング:指定ドメインを指定DNSへフォワーディング


今回は、DNSフォワ-ディングの基本設定をし、DNSフォワ-ディングを有効化します。
DNSフォワ-ディングの設定は、Web Proxyの設定と同様にとても簡単です。
以下、2行を設定しCommitするだけです。
  set service dns forwarding listen-on 'eth0'
  set service dns forwarding name-server '8.8.8.8'
 commit 

今回、PCにVMware Workstation Playerをインストールし、VyOSをインストールしています。


作業端末のDNS設定をVyOSに変更し、名前解決できるか確認します。


まず、VyOSのIPアドレスを確認します。

 vyos@vyos:~$ ip addr
  1: lo:  mtu 65536 qdisc noqueue state UNKNOWN group default
      link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
      inet 127.0.0.1/8 scope host lo
         valid_lft forever preferred_lft forever
      inet6 ::1/128 scope host
         valid_lft forever preferred_lft forever
  2: eth0:  mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
      link/ether 00:0c:29:02:82:5f brd ff:ff:ff:ff:ff:ff
      inet 192.168.129.133/24 brd 192.168.129.255 scope global eth0
         valid_lft forever preferred_lft forever
      inet6 fe80::20c:29ff:fe02:825f/64 scope link
         valid_lft forever preferred_lft forever
 vyos@vyos:~$
VyOSのIPアドレスは192.168.129.133です。
作業端末のDNS設定をVyOSに設定します。


作業端末のブラウザでWebサイトを閲覧できるか確認します。


nslookupコマンドより名前解決の際にVyOSを利用していることを確認します。


DNSフォワ-ディングに関する2つのshowコマンドがあったので試しに実行してみました。

show dns forwarding nameservers
show dns forwarding statistics
実行した結果は下記となります。
vyos@vyos:~$
vyos@vyos:~$ show dns forwarding nameservers
-----------------------------------------------
   Nameservers configured for DNS forwarding
-----------------------------------------------
8.8.8.8 available via 'statically configured'

-----------------------------------------------
 Nameservers NOT configured for DNS forwarding
-----------------------------------------------
8.8.4.4 available via 'system'
192.168.129.2 available via 'system'

vyos@vyos:~$ show dns forwarding statistics
----------------
Cache statistics
----------------
Cache size: 150
Queries forwarded: 152
Queries answered locally: 5
Total DNS entries inserted into cache: 233
DNS entries removed from cache before expiry: 0

---------------------
Nameserver statistics
---------------------
Server: 8.8.8.8
Queries sent: 152
Queries retried or failed: 21

vyos@vyos:~$
今回はVyOSにDNSフォワ-ディングを設定して利用できることを確認しました。
次回は特定のドメインのみ指定したDNSサーバーへフォワーディングします。
今回利用したVyOSの全設定内容は以下となります。参考まで。

vyos@vyos:~$ show configuration commands
  set interfaces ethernet eth0 address 'dhcp'
  set interfaces ethernet eth0 duplex 'auto'
  set interfaces ethernet eth0 hw-id '00:0c:29:02:82:5f'
  set interfaces ethernet eth0 smp_affinity 'auto'
  set interfaces ethernet eth0 speed 'auto'
  set interfaces loopback 'lo'
  set service dns forwarding listen-on 'eth0'
  set service dns forwarding name-server '8.8.8.8'
  set service ssh port '22'
  set system config-management commit-revisions '20'
  set system console device ttyS0 speed '9600'
  set system host-name 'vyos'
  set system login user vyos authentication encrypted-password '$1$[password]'
  set system login user vyos authentication plaintext-password ''
  set system login user vyos level 'admin'
  set system name-server '8.8.8.8'
  set system name-server '8.8.4.4'
  set system ntp server 'ntp.nict.jp'
  set system package auto-sync '1'
  set system package repository community components 'main'
  set system package repository community distribution 'helium'
  set system package repository community password ''
  set system package repository community url 'http://packages.vyos.net/vyos'
  set system package repository community username ''
  set system syslog global facility all level 'notice'
  set system syslog global facility protocols level 'debug'
  set system time-zone 'Asia/Tokyo'
  vyos@vyos:~$
  vyos@vyos:~$ show version
  Version:      VyOS 1.1.8
  Description:  VyOS 1.1.8 (helium)
  Copyright:    2017 VyOS maintainers and contributors
  Built by:     maintainers@vyos.net
  Built on:     Sat Nov 11 13:44:36 UTC 2017
  Build ID:     1711111344-b483efc
  System type:  x86 64-bit
  Boot via:     image
  Hypervisor:   VMware
  HW model:     VMware Virtual Platform
  HW S/N:       VMware-56 4d ae 3d f9 2d 50 57-ff 4a 2f 72 c5 02 82 5f
  HW UUID:      564DAE3D-F92D-5057-FF4A-2F72C502825F
  Uptime:       12:53:49 up 13:42,  2 users,  load average: 0.06, 0.03, 0.05
  
vyos@vyos:~$

2018年3月24日土曜日

【IDCFクラウド】Zabbix Web + App + DB構成で作成してみた その6.Zabbix Webコンソールへアクセス


検証でZabbixを構築することがあります。毎度、手順を調べる時間を削減したいのでここにやってみた時の内容をまとめることにしました。私は家に利用できるコンピュートリソースがないので、1時間1円から利用できるIDCFクラウドを利用します。キャプチャも多くなるので6回に分けて記載します。

前回はDBサーバーを設定しました。
今回はZabbix WebサーバーへアクセスしてZabbixの初期設定を行います。
  1. 参考になったサイト、ブログ
  2. 仮想マシン作成
  3. Zabbix Webサーバー設定
  4. Zabbix Appサーバー設定
  5. Zabbix DBサーバー設定
  6. Zabbix Webコンソールへアクセス ←今回


操作端末のブラウザよりIDCFクラウドで設定したゲートウェイのIPアドレスにアクセスします。Zabbixの初期セットアップ画面が表示されます。”Next step”をクリックします。


必要要件を満たしているか確認します。下へスクロールします。


すべてOKと表示されていることを確認し、”Next step”をクリックします。


Zabbixで利用するDBサーバーの情報を設定します。DBサーバーのIPアドレス、データベース名、データベースユーザー名、パスワードを入力し、”Nextstep”をクリックします。


Zabbixサーバーを設定します。IPアドレス、サーバー名を入力し、”Next step”をクリックします。


内容に間違いが無いか確認し、”Next step”をクリックします。


セットアップが完了すると下記画面が表示されます。”Finish”をクリックします。


ログイン画面が表示されます。デフォルトのID、パスワード、Admin/zabbixを入力し、Sign inをクリックします。


ログインすると下記のように表示されます。
日本語表記へ変更します。右上の人型のアイコンをクリックします。


LanguageのプルダウンメニューよりJapaneseを選択し、”Update”をクリックします。


日本語表示になりました。


試しにディスカバリを設定します。上部メニューより設定→ディスカバリの順番でクリックします。Local networkをクリックします。


IPアドレスの範囲、更新間隔、チェック項目を変更します。

 IPアドレスの範囲:10.11.0.1-254
 更新間隔:1s(今回は時短のため短くしています)
 チェック:ICMP pingを追加

最後にディスカバリルール有効のチェックボックスをオンし、更新をクリックします。


ディスカバリルールが更新されました。


しばらくすると、監視データ→ディスカバリに検出されたノードが表示されます。


今回は6回に分けて、ZabbixをWeb + App + DB構成で作成してみました。
Zabbixを初めて設定する場合は、このように分離して作成した方が理解しやすいかと思います。

余談ですが、Zabbixを構築したら最初に保存期間の設定を変更しておいた方が良いかと思います。デフォルトで365日保存なので。DBのディスク容量を小さく作るとDBのディスクがいっぱいになってZabbixが止まります。変更方法は、上部メニューより管理→一般設定を表示し、右上のプルダウンメニューより”データの保存期間”をクリックします。


デフォルトではデータ保存期間が365日になっているので好きな値に変更します。


それでは。

2018年3月23日金曜日

【IDCFクラウド】Zabbix Web + App + DB構成で作成してみた その5.Zabbix DBサーバー設定


検証でZabbixを構築することがあります。毎度、手順を調べる時間を削減したいのでここにやってみた時の内容をまとめることにしました。私は家に利用できるコンピュートリソースがないので、1時間1円から利用できるIDCFクラウドを利用します。キャプチャも多くなるので6回に分けて記載します。


前回はZabbixサーバーを設定しました。

今回はZabbix DBサーバーを設定します。
  1. 参考になったサイト、ブログ
  2. 仮想マシン作成
  3. Zabbix Webサーバー設定
  4. Zabbix Appサーバー設定
  5. Zabbix DBサーバー設定      ← 今回
  6. Zabbix Webコンソールへアクセス


SELinuxは事前にDisabledへ変更しています。
Webサーバー、Zabbixサーバーの時と同様アップデート、EPELリポジトリを追加します。
  yum -y update
  yum install -y epel-release
  yum -y update
zabbix-releaseを追加し、mariadb-server、zabbix-server-mysqlをインストールします。
  rpm -ivh http://repo.zabbix.com/zabbix/3.5/rhel/7/x86_64/zabbix-release-3.5-1.el7.noarch.rpm
  yum -y install mariadb-server zabbix-server-mysql
/etc/my.cnf.d/server.cnfを編集します。

  vim /etc/my.cnf.d/server.cnf
  [mariadb]
  character-set-server = utf8
MariaDBを有効化し、起動します。
  systemctl enable mariadb
  systemctl start mariadb
MariaDBにデータベース"zabbix"、ユーザー"zabbix"を作成します。
  mysql -u root
  create database zabbix;
  grant all privileges on zabbix.* to zabbix@"%" identified by 'zabbix' with grant option;
  flush privileges;
  show databases;
  select user, host from mysql.user;
/usr/share/doc/zabbix-server-mysql-4.0.0/create.sql.gzを利用してMariaDBに作成したデータベース"zabbix"にデータベース設定を流し込みます。流し込んだ後、MariaDBを再起動します。
  zcat /usr/share/doc/zabbix-server-mysql-4.0.0/create.sql.gz | mysql -u root zabbix
  systemctl restart mariadb
MariaDBへの通信を許可するファイアウォールを設定します。
  systemctl start firewalld
  firewall-cmd --add-service=mysql --zone=public --permanent
  firewall-cmd --reload
Zabbixエージェントをインストールし、Zabbixエージェントを設定します。Zabbixエージェントの設定はzabbix_agentd.confを編集します。設定の詳細は省略します。
  yum -y install zabbix-agent
  vim /etc/zabbix/zabbix_agentd.conf
Zabbixエージェントを有効化し、起動します。
  systemctl enable zabbix-agent
  systemctl start zabbix-agent
ZabbixサーバーからZabbixエージェントへの通信TCP10050を許可するファイアウォール設定を追加します。
  firewall-cmd --add-port=10050/tcp --zone=public --permanent
  firewall-cmd --reload
次回はWebサーバーへ接続し、Zabbixの初期設定を行います。
それでは。 

【IDCFクラウド】Zabbix Web + App + DB構成で作成してみた その4.Zabbix Appサーバー設定


検証でZabbixを構築することがあります。毎度、手順を調べる時間を削減したいのでここにやってみた時の内容をまとめることにしました。私は家に利用できるコンピュートリソースがないので、1時間1円から利用できるIDCFクラウドを利用します。キャプチャも多くなるので6回に分けて記載します。


前回はZabbix Webサーバーを作成しました。

今回はZabbix サーバーを設定します。
  1. 参考になったサイト、ブログ
  2. 仮想マシン作成
  3. Zabbix Webサーバー設定
  4. Zabbix Appサーバー設定     ← 今回
  5. Zabbix DBサーバー設定
  6. Zabbix Webコンソールへアクセス


今回は事前にSELinuxをDisabledへ変更しています。
Webサーバーを設定した時と同じようにアップデート、EPELリポジトリを追加します。

yum install -y update
yum install -y epel-release
yum install -y update
Webサーバーを設定した時と同じように”zabbix-release”を追加します。

rpm -ivh http://repo.zabbix.com/zabbix/3.5/rhel/7/x86_64/zabbix-release-3.5-1.el7.noarch.rpm
下記2つのパッケージをインストールします。

yum -y install zabbix-get zabbix-server-mysql
zabbix_server.confにZabbixのIPアドレス、DBサーバーの情報を設定します。

  vim /etc/zabbix/zabbix_server.conf

## 簡単に動かしてみるための設定なので下記項目のみ設定しています。
##  ちゃんと使いたい場合は利用する環境に合わせて他のパラメーターもチューニングした方が良いです。
    SourceIP=10.11.0.12
    DBHost=10.11.0.13
    DBName=zabbix
    DBUser=zabbix
    DBPassword=zabbix
Zabbixを有効化し起動します。

  systemctl enable zabbix-server
  systemctl start zabbix-server
ファイアウォールを有効化し、起動します。

  systemctl enable firewalld
  systemctl start firewalld
ZabbixエージェントからZabbixサーバーへの通信TCP10051を許可するファイアウォール設定を追加します。

  firewall-cmd --add-port=10051/tcp --zone=public --permanent
  firewall-cmd --reload
Zabbixエージェントをインストールし、Zabbixエージェントを設定します。Zabbixエージェントの設定はzabbix_agentd.confを編集します。設定の詳細は省略します。

  yum -y install zabbix-agent
  vim /etc/zabbix/zabbix_agentd.conf
Zabbixエージェントを有効化し、起動します。

  systemctl enable zabbix-agent
  systemctl start zabbix-agent
ZabbixサーバーからZabbixエージェントへの通信TCP10050を許可するファイアウォール設定を追加します。

  firewall-cmd --add-port=10050/tcp --zone=public --permanent
  firewall-cmd --reload
次回はDBサーバーを設定します。それでは。

【IDCFクラウド】Zabbix Web + App + DB構成で作成してみた その3.Zabbix Webサーバー設定


検証でZabbixを構築することがあります。毎度、手順を調べる時間を削減したいのでここにやってみた時の内容をまとめることにしました。私は家に利用できるコンピュートリソースがないので、1時間1円から利用できるIDCFクラウドを利用します。キャプチャも多くなるので6回に分けて記載します。


前回はIDCFクラウド上に仮想マシンを作成しました。

今回はZabbix Webサーバーを設定します。
  1. 参考になったサイト、ブログ
  2. 仮想マシン作成
  3. Zabbix Webサーバー設定    ← 今回
  4. Zabbix Appサーバー設定
  5. Zabbix DBサーバー設定
  6. Zabbix Webコンソールへアクセス

今回は事前にSELinuxをDisabledへ変更しています。
IDCF上の仮想マシンへSSH接続し、下記コマンドを実行します。

  yum -y update

EPELリポジトリを追加します。下記コマンドを実行します。

  yum install -y epel-release

再度アップデートします。

  yum -y update

Apacheをインストールします。
 
  yum -y install httpd

Apacheを有効化します。

  systemctl enable httpd

下記URLへアクセスし、利用したいバージョンのzabbix-releaseのファイル名を確認します。

今回はZabbix 4.0(3.5)を作成します。


zabbix-releaseを追加します。下記コマンドを実行します。

  rpm -ivh http://repo.zabbix.com/zabbix/3.5/rhel/7/x86_64/zabbix-release-3.5-1.el7.noarch.rpm

zabbix-web-japanese、zabbix-web-mysqlをインストールします。下記コマンドを実行します。PHPは”zabbix-web-japanese”に含まれるPHP5.4を利用します。


  yum -y install zabbix-web-japanese zabbix-web-mysql

下記コマンドを実行し、/etc/php.iniファイルを変更します。

  sed -i -e "s/;date.timezone =/date.timezone = Asia\/Tokyo/g" /etc/php.ini
  sed -i -e "s/;always_populate_raw_post_data/always_populate_raw_post_data/g" /etc/php.ini
  sed -i -e "s/post_max_size = 8M/post_max_size = 16M/g" /etc/php.ini
  sed -i -e "s/max_execution_time = 30/max_execution_time = 300/g" /etc/php.ini
  sed -i -e "s/max_input_time = 60/max_input_time = 300/g" /etc/php.ini
Apacheを起動します。

  systemctl start httpd
ファイアウォールを起動します。

  systemctl start firewalld
ファイアウォールを有効化します。

  systemctl enable firewalld

ファイアウォールにHTTP通信を許可する設定を追加し、リロードします。

  firewall-cmd --add-service=http --zone=public --permanent
  firewall-cmd --reload
ファイアウォール設定を確認します。

  firewall-cmd --list-all --permanent
Zabbixエージェントをインストールします。

  yum -y install zabbix-agent
Zabbixエージェントを設定します。

  vim /etc/zabbix/zabbix_agentd.conf
ファイアウォールにZabbixエージェントの通信TCPポートを許可する設定を追加し、ファイアウォールをリロードします。

  firewall-cmd --add-port=10050/tcp --zone=public --permanent
  firewall-cmd --reload
ファイアウォール設定を確認します。

  firewall-cmd --list-all --permanent
Zabbixエージェントを起動します。

  systemctl start zabbix-agent
操作端末のブラウザよりIDCFクラウド上のWebサーバーへアクセスします。 
Zabbixの初期セットアップ画面が表示されます。


次回はZabbixサーバーを設定します。
それでは。