【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.2】

2018年6月24日2019年2月11日

前回からの「【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.1】」の続きです。

【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.1】

【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Pa...

AWS でも「初心者にも使いやすく、且つ本格的な UTM である Sophos が利用できる」ということで早速使ってみました。「AWS Marketplace」より EC2 インスタンスに載せて利用することができます。【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.1】【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.2】【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.3】【AWS】AWS で Sophos インストール＆設定手順...

【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.2】

AWSに特化したインフラ技術活用ガイド

【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Pa...

https://go-journey.club/archives/8913

前回からの「【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.1】」の続きです。【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.1】【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.2】【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.3】【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.4】今回は「Part.2...

【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.3】

AWSに特化したインフラ技術活用ガイド

【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Pa...

https://go-journey.club/archives/8941

前回からの「【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.2】」の続きです。【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.1】【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.2】【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.3】【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.4】今回は「Part.3」にな...

【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.4】

AWSに特化したインフラ技術活用ガイド

【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Pa...

https://go-journey.club/archives/8980

今回の記事は Sophos 設定の備忘録です。【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.1】【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.2】【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.3】【AWS】AWS で Sophos インストール＆設定手順（ELBとWEBサーバ間に配置する）【Part.4】 (adsbygoogle = window.adsbygoogle || ).push({}); NAT の設定今回の NAT の設定で...

今回は「Part.2」になります。

今回は更に構成図の通りに Sophos ネットワーク環境を構築するために各サーバーでネットワーク設定をします。

Sophos ネットワーク構成例

■ Sophos ネットワーク構成例

「パブリックサブネット」と「プライベートサブネット」にネットワークを分けます。
Sophos は「ELB」と「Webサーバー」間に配置します。
Webサーバーのデフォルトゲートウェイを「Sophos（10.0.2.30）」に設定します。
インターネット経由で「TCP/80」と「TCP/3389（リモートデスクトップ接続）」にアクセスできます。
踏み台サーバーとWebサーバー間は「スタティックルート」を設定して通信します。

踏み台サーバーのネットワーク設定

踏み台サーバーは「パブリックサブネット」に位置し Sophos を利用しないためデフォルトのネットワーク設定で問題ありません。

Webサーバーを構築＆設定する

次に Webサーバーとなる EC2 インスタンスを構築します。

AWS 管理コンソール画面にログインし、「サービス」–「EC2」をクリックします。

「インスタンスの作成」ボタンをクリックします。

次に「AMI（Amazon マシンイメージ）」を選択します。

今回は「Red Hat」の「無料利用枠の対象」を選択します。

「インスタンスタイプの選択」画面で「無料利用枠の対象」の「t2.micro」を選択して「次の手順：インスタンスの詳細の設定」ボタンをクリックします。

以下のように EC2 インスタンスを設定します。

ネットワーク　←　今回作成した VPC「Sophos-test-vpc」を割り当てます。
サブネット　←　今回作成したプライベートサブネット（sophos-private-subnet）を割り当てます。
自動割り当てパブリックIP　←　「サブネット設定を使用（無効）」を選択します。←　グローバルIPアドレスが割り当てられません。
eth0　←　プライベートサブネットのIPアドレス（10.0.2.20）を入力します。

設定が完了したら「次の手順：ストレージの追加」ボタンをクリックします。

「ストレージの追加」画面に移動したらディスクサイズを設定して「タグの追加」ボタンをクリックします。

「タグの追加」画面でタグを追加します。

下図はキーに「Name」を設定し、「値」を「private-ec2-instance」に設定しています。

タグを接待したら「セキュリティグループの設定」ボタンをクリックします。

ちなみに、キーに「Name」と入れ、値にサーバー名（test）を設定すると下図のように EC2 インスタンス一覧に表示されます。

「セキュリティグループの設定」画面でファイアウォールの設定をします。

下図はインバウンドのファイアウォールの設定をしています。

踏み台（10.0.1.20）から ssh（TCP/22）でアクセスします。
Web サーバーを構築してインターネット経由では Sophos から TCP/80 にアクセスを受けるので下図のように TCP/80 を許可します。

※構築段階では動作確認のため「踏み台サーバー」からも TCP/80 へのアクセス確認をするのでセキュリティグループに追加しておきます。（動作検証が完了したら消します）

セキュリティグループの設定が完了したら「確認と作成」ボタンをクリックします。

「インスタンス作成の確認」画面で設定を確認して「作成」ボタンをクリックします。

EC2 インスタンスを作成する際に「既存のキーペア」を流用するか「新しいキーペア」を作成するか確認画面が表示されます。

「新しいキーペア」を作成する場合は下図のように「キーペア名」を入力して「キーペアのダウンロード」ボタンをクリックしてキーペアをダウンロードします。

「既存のキーペア」を流用する場合は、どのキーペアを流用するのか選択します。

※下図は「既存のキーペア」を選択しています。

キーペアを選択したら「インスタンスの作成」ボタンをクリックします。

「インスタンスの作成」ボタンをクリックすると下図のようにインスタンスの作成中画面が表示されます。

しばらくすると下図のように「インスタンスの状態」が「running」になります。

Web サーバーにログインし Update をする

Web サーバーにログインして Apache をインストールをします。

踏み台の Windows サーバーより Teraterm を起動します。

ホストに「プライベート DNS」もしくは「プライベート IP」を入力し「OK」ボタンをクリックします。

下図の「セキュリティ警告」画面が表示されたら「続行」ボタンをクリックします。

Web サーバーにログインしたら、sudo コマンドで root アカウントにスイッチし、yum update コマンドで全体を最新にアップデートします。

[ec2-user@ip-10-0-2-20 ~]$ sudo su –
[root@ip-10-0-2-20 ~]# yum update

アップデートが完了したら、一度OSを再起動します。

[root@ip-10-0-2-20 ~]# reboot

OS 再起動後に再度 Teraterm より Web サーバーへログインし、ディストリビューションの確認をします。

[root@ip-10-0-2-20 ~]# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.5 (Maipo)
[root@ip-10-0-2-20 ~]#

Web サーバーのネットワークの設定をする

■構成図

ネットワークの設定

IPアドレス　：　10.0.2.30
サブネットマスク　：　255.255.255.0
デフォルトゲートウェイ　：　10.0.2.30
スタティックルート　：　10.0.1.0/24 へは 10.0.2.1 を経由する

OS は Redhat 7.5 なので、ネットワークの設定は「nmcli」コマンドを使って設定します。

以下の記事は「nmcli」コマンドを使用してネットワークの設定をする方法の記事です。

【CentOS7】 nmcli コマンドを使用して複数NIC環境の設定をする手順

AWSに特化したインフラ技術活用ガイド

【CentOS7】 nmcli コマンドを使用して複数NIC環境の設定をする手順

https://go-journey.club/archives/4124

CentOS7になり、CentOS6 からかなりコマンドが変わっています。「chkconfig」→「systemctl」など、新しいコマンドに変わりました。 CentOS6 では、Network Manager は基本的に「停止」をしてファイルベースでネットワークを設定する運用をしていた方が多いと思いますが、CentOS7 からは Network Manager を利用して設定する運用方法が推奨されています。一応 CentOS7 でも Network Manager を「停止」して今まで通りファイルベースで設定することも可能ですが、Network Manager を利用する設定する方法が推奨されているので...

■初期の設定

AWS でネットワーク設定を自動でするので、以下のようになっています。

ここに手動で設定を入れていきます。

[root@ip-10-0-2-20 network-scripts]# cat ifcfg-eth0
# Created by cloud-init on instance boot automatically, do not edit.
#
BOOTPROTO=dhcp
DEVICE=eth0
HWADDR=06:d6:66:b2:70:1a
ONBOOT=yes
TYPE=Ethernet
USERCTL=no
[root@ip-10-0-2-20 network-scripts]#

■現在のデバイス名の確認

「nmcli device」コマンドで現在のデバイス名を確認します。

以下ではデバイス名は「System eth0」になっています。コマンドでは、この「System eth0」を指定します。

[root@ip-10-0-2-20 network-scripts]# nmcli device
DEVICE  TYPE      STATE      CONNECTION
eth0    ethernet  connected  System eth0
lo      loopback  unmanaged  —
[root@ip-10-0-2-20 network-scripts]#

■IPアドレスの設定

手動でIPアドレス「10.0.2.20」を設定します。

[root@ip-10-0-2-20 network-scripts]# nmcli connection modify “System eth0” ipv4.address 10.0.2.20/24
[root@ip-10-0-2-20 network-scripts]# cat ifcfg-eth0
# Created by cloud-init on instance boot automatically, do not edit.
#
BOOTPROTO=dhcp
DEVICE=eth0
HWADDR=06:D6:66:B2:70:1A
ONBOOT=yes
TYPE=Ethernet
USERCTL=no
PROXY_METHOD=none
BROWSER_ONLY=no
IPADDR=10.0.2.20
PREFIX=24
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
NAME=”System eth0″
UUID=5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03
[root@ip-10-0-2-20 network-scripts]#

■「DHCP」ではなく「手動（スタティック）」設定に変更

以下のコマンドで「DHCP」ではなく「手動（マニュアル、スタティック）」設定に変更します。

[root@ip-10-0-2-20 network-scripts]# nmcli connection modify “System eth0” ipv4.method manual
[root@ip-10-0-2-20 network-scripts]# cat ifcfg-eth0
# Created by cloud-init on instance boot automatically, do not edit.
#
BOOTPROTO=none ←　dhcp から none に変わっています。
DEVICE=eth0
HWADDR=06:D6:66:B2:70:1A
ONBOOT=yes
TYPE=Ethernet
USERCTL=no
PROXY_METHOD=none
BROWSER_ONLY=no
IPADDR=10.0.2.20
PREFIX=24
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
NAME=”System eth0″
UUID=5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03
[root@ip-10-0-2-20 network-scripts]#

■デフォルトゲートウェイの設定

nmcli コマンドでデフォルトゲートウェイを設定します。

[root@ip-10-0-2-20 network-scripts]# nmcli connection modify “System eth0” ipv4.gateway 10.0.2.30
[root@ip-10-0-2-20 network-scripts]# cat ifcfg-eth0
# Created by cloud-init on instance boot automatically, do not edit.
#
BOOTPROTO=none
DEVICE=eth0
HWADDR=06:D6:66:B2:70:1A
ONBOOT=yes
TYPE=Ethernet
USERCTL=no
PROXY_METHOD=none
BROWSER_ONLY=no
IPADDR=10.0.2.20
PREFIX=24
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
NAME=”System eth0″
UUID=5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03
GATEWAY=10.0.2.30 ←　デフォルトゲートウェイ（10.0.2.30）が追加されました。
[root@ip-10-0-2-20 network-scripts]#

■スタティックルートの設定

nmcli コマンドでスタティックルートの設定をします。

下記コマンドで「route-eth0」ファイルが作成され、スタティックルートが書き込まれます。

そのため OS を再起動してもスタティックルートの設定が消えません。

[root@ip-10-0-2-20 network-scripts]# nmcli connection modify “System eth0” ipv4.routes “10.0.1.0/24 10.0.2.1”

[root@ip-10-0-2-20 network-scripts]# cat route-eth0
10.0.1.0/24 via 10.0.2.1
[root@ip-10-0-2-20 network-scripts]#

■ネットワーク設定の反映

最後にネットワーク設定を反映させるために「network.service」を再起動します。

[root@ip-10-0-2-20 network-scripts]# systemctl restart network.service
[root@ip-10-0-2-20 network-scripts]#

ネットワークサービスを再起動しても設定が問題ないことを確認します。

[root@ip-10-0-2-20 network-scripts]# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.0.2.20  netmask 255.255.255.0  broadcast 10.0.2.255
        inet6 fe80::4d6:66ff:feb2:701a  prefixlen 64  scopeid 0x20

        ether 06:d6:66:b2:70:1a  txqueuelen 1000  (Ethernet)
        RX packets 4175  bytes 265997 (259.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2746  bytes 267532 (261.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 240  bytes 24252 (23.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 240  bytes 24252 (23.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@ip-10-0-2-20 network-scripts]#

デフォルトゲートウェイの確認をします。

[root@ip-10-0-2-20 network-scripts]# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.0.2.30       0.0.0.0         UG        0 0          0 eth0
10.0.1.0        10.0.2.1        255.255.255.0   UG        0 0          0 eth0
10.0.2.0        0.0.0.0         255.255.255.0   U         0 0          0 eth0
[root@ip-10-0-2-20 network-scripts]#

Web サーバーにログインし Apache をインストールする

続けて Apache をインストールします。

[root@ip-10-0-2-20 ~]# yum install httpd

httpd サービスの自動起動の設定をしてサービスを起動します。

[root@ip-10-0-2-20 ~]# systemctl list-unit-files | grep httpd
httpd.service disabled
[root@ip-10-0-2-20 ~]# systemctl enable httpd
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
[root@ip-10-0-2-20 ~]# systemctl list-unit-files | grep httpd
httpd.service enabled

httpd サービスを起動します。

[root@ip-10-0-2-20 ~]# systemctl status httpd
● httpd.service – The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
   Active: inactive (dead)
     Docs: man:httpd(8)
           man:apachectl(8)
[root@ip-10-0-2-20 ~]# systemctl start httpd
[root@ip-10-0-2-20 ~]# systemctl status httpd
● httpd.service – The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
   Active: active (running) since Fri 2018-05-04 01:34:01 UTC; 1s ago
     Docs: man:httpd(8)
           man:apachectl(8)
Main PID: 1229 (httpd)
   Status: “Processing requests…”
   CGroup: /system.slice/httpd.service
           tq1229 /usr/sbin/httpd -DFOREGROUND
           tq1230 /usr/sbin/httpd -DFOREGROUND
           tq1231 /usr/sbin/httpd -DFOREGROUND
           tq1232 /usr/sbin/httpd -DFOREGROUND
           tq1233 /usr/sbin/httpd -DFOREGROUND
           mq1234 /usr/sbin/httpd -DFOREGROUND

May 04 01:34:00 ip-10-0-2-20.ap-northeast-1.compute.internal systemd[1]: Starting The Apache HTTP Se….
May 04 01:34:01 ip-10-0-2-20.ap-northeast-1.compute.internal systemd[1]: Started The Apache HTTP Server.
Hint: Some lines were ellipsized, use -l to show in full.
[root@ip-10-0-2-20 ~]#