Sec and Net

Cyber Security とか Network とか

Pi-holeの設定でつまづいたこと

1.そもそもPi-holeとは?

インターネット上の広告やインターネットトラッカーをブロックするDNSサーバ。 Raspberry Piでの利用を想定して作成されているがほとんどのLinuxで動作する

2.ハマった内容

自宅のネットワークにPi-holeを導入した際に、特定のNWからはPi-holeで名前解決ができるが、別のNWからはPi-holeでの名前解決ができない

2.1.簡易NW構成

  • 192.168.0.0/24
    • Pi-holeが所属しているNW
    • ここに属する機器からはPi-holeで名前解決が可能
  • 192.168.1.0/24, 192.168.2.0/24 他
    • Pi-holeが所属していないNW
    • ここに所属する機器から名前解決ができない。
    • 名前解決ができない期間は、8.8.8.8で名前藍結

3.解決策

Pi-holeの初期設定では、自身の所属するNW以外からの名前解決は行わないため、ローカルIPアドレスからのアクセスからも回答を行わない。 Pi-holeの設定を変更し、Pi-holeの所属しているNW以外からの名前解決を許可する。

3.1.設定変更箇所

初期設定では、Allow only local requestが選択されているが、 Respond only on interface インターフェース名を選択することで 他のNWからの名前解決も行うことができる。

ただし、FWの設定を行い、インターネットからの名前解決などを制限する必要がある。 設定を行わないと、Pi-holeがオープンリゾルバになり、意図せずサイバー攻撃に加担する可能性があるため。

Pi-holeの設定箇所

公式HPの当該設定のページ

Cisco Business 150AXの設定ではまったこと(DHCPサーバの設定不備)

cisco

Cisco Business 150AXの管理IPアドレスを変更して再起動した後に、管理Webページにアクセスができなくなり、無線も吹かなくなった。 Ciscoのマニュアル等を確認しても具体的な解決方法を探すことができなかったため、備忘の意味も込めて作成

Cisco Business 150AXとは

小規模ネットワーク用のWi-Fi6に対応したアクセスポイント。Cisco製品だが、設定はWebUIか専用モバイルアプリからしかできないので、CUIでゴリゴリ設定したい人は注意。 また、無線コントローラーは必要とせず、150AXが無線コントローラーの機能を内包する。複数台設置する場合は、いずれか1台がプライマリーのアクセスポイントとして機能し、無線コントローラーとして他のAPの制御が可能

下記は、Ciscoのデータシートページより抜粋

Cisco Business 150AX アクセスポイントは、最新の Wi-Fi 6 標準規格である IEEE 802.11ax をサポートし、業界トップクラスのワイヤレスパフォーマンスを実現します

APの詳細な使用について気になる方は下記URLからデータシートを参照

データシート

設定変更と障害内容

  1. 150AXの初期設定が完了し利用できることを確認
  2. NW変更に合わせて、150AXの設定変更。問題なく利用可能
    1. 変更内容:管理IPのアドレスを変更(別のNWアドレス)
  3. 150AX再起動に伴い通信不可
    1. 管理Webインタフェースへのアクセス不可
    2. 150AXが無線をふかなくなる
    3. ステータスのLEDが青・緑・赤で高速に点滅
    4. 再起動しても改善無し
  4. ファクトリーリセットの実施
    1. 初期設定の実施
    2. ステータスのLEDが赤・緑・オフで点滅
    3. 管理Webインタフェースへのアクセス不可
    4. 150AXが無線をふかない

LEDステータス(青・緑・赤の点滅)

別の機種で同様のLEDステータス(青・緑・赤の点滅)の障害は、PoEの影響によるものとの記事を発見したが、150AXには該当しなかった。

9115AXI-D AP Blinking RED-GREEN-BLUE Continually.

LEDステータス(赤・緑・オフの点滅)

無線が初期化され、アップリンクIPで待機しています

CBW150AX APのLED通常ブートパターン

問題解決

DHCPサーバで150AXの所属するNWのIPアドレスの払い出し設定がされていなかったため、払い出すように設定

※150AXの管理IPアドレスを適切に設定していても、DHCPサーバで管理IPアドレスの所属するNWのIPアドレスの払い出しが行われていないと無線をふかない模様

ZabbixアラートのSlack通知設定する際のはまりポイント(User groupsでの権限設定)

Zabbix Slack

Zabbixアラートのslackへの連携

Zabbixで監視しているアラートをslackへ連携するときにハマった内容をメモ

ハマった内容

下記参考に設定を行ったが、うまくいかず3時間ほど時間を溶かした。

  1. ZabbixからSlackへのテスト投稿はOK
  2. 実際の障害ではSlackへ投稿されない
  3. DashBoardやProblemを確認するとTriggerが動いていない模様
  4. Usersの設定は問題なさそう
  5. User rolesの設定は問題なさそう
  6. User groupsの設定は... 問題あり!
    1. Permissionsの設定が none(初期設定) で許可がなくTriggerが発動していなかった模様

環境

  • Zabbixのバージョン
$ zabbix_server -V
zabbix_server (Zabbix) 6.0.12
  • Slackのバージョン
    • バージョン4.41.105

設定内容

User groupsの設定誤り(適切に設定できていなかった箇所)についてのメモ

Slackへの連携などについては下記を参照

【6.0対応済】ZabbixのアラートをSlackに通知する方法 ZabbixのアラートをSlackで飛ばす。

User groupsの変更

左側ペインより Administration から User groups を選択し、適当なユーザグループの内容を表示させたもの。Permissionsに none が設定されているため、triggerを設定しても権限がないため動作しない。

変更後内容:PermissionsをReadを追加

そこで、下記の通りSlackへ投稿するユーザが所属するグループのPermissionsの設定を read に変更。当該アラームの情報の読み取り権限のみでtriggerは発動可能。 設定する際は、Selectで対象を選んだ後に、どのpermissionを与えるかを選択したのちに add を押したのちに、Updateを行う必要があるため注意。この手順を踏まないとpermissionsに内容が適用されない。(はまりポイント)

初期設定状態:permissionsがNone

以上!

該当箇所設定の公式解説ページ

Zabbix公式Webページ:7章-設定 12項-ユーザーとユーザーグループ 3節-ユーザグループ