Case1 ping（疎通確認）

言わずと知れた疎通確認に使うコマンドping。
クライアントからサーバに、接続しようとした時に（SSHやHTTPSなんでもいいけど）、なぜか繋がらない！と言う時に使うことが多い。

ネットワーク的にそもそも到達可能か？的な観点で使うけれども、WindowsOSではファイアウォール機能のデフォルトで破棄されるはず。

なので、ping応答しないんだけど。。。。となったらまずは相手のサーバのファイアウォール設定を確認した方が良い。

なお、試しに”qiita.com”のWEBサーバにpingを打つと、何も帰ってこない。
”www.google.com”とかに向けてping打つと帰ってくる。

$ ping www.google.com
PING www.google.com (216.58.197.132): 56 data bytes
64 bytes from 216.58.197.132: icmp_seq=0 ttl=51 time=47.465 ms
64 bytes from 216.58.197.132: icmp_seq=1 ttl=51 time=64.642 ms
・・・
$ ping qiita.com
PING qiita.com (13.114.166.234): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
・・・

ちなみに、ping応答を無条件に許可すると言うのはセキュリティ上の論争があるようで、組織のセキュリティポリシーに準じたほうがよさそう。

Case２ HTTPS,SSH,DB接続（よく使うやつら）

ここら辺んは頻出するので、大体見落とされることはやや少なめだと感じています。
なお、ポート番号はデフォルトの値を書いてます。

■HTTP/HTTPS：80/443port
WEBサービスを動かそうと思ったら、該当ポートを解放する必要があります。
そういえば、先日もできたばかりのWEBサービスを導入したけど接続できないと言う問い合わせを受けた。（若手メンバーから）
普通にWindows Firewallで443port空いてなかったよ！

■SSH：22port
SSH接続しようと思ったら、該当ポートを解放する必要があります。

■DB接続:1521/5432/3306port
DBへ接続しようと思ったら、該当ポートを解放する必要があります。
なお、ポート番号は製品によって違います。
Oracle DB（1521）
PostgreSQL（5432）
MariaDB/MySQL（3306）

Case３ FTP、SMB接続（珍しいやつら？）

業務上では時々しか扱うことがなかった、プロトコル達。
■FTP
ファイル転送とかしたい時に、該当ポートを解放する必要があります。
FTPでは２つの接続モードがあって、以下のサイトがとてもわかりやすいです。
http://naoberry.com/tech/ftp-active-pasv/

まとめると、サーバ側はこんな感じです。
・Active
　21port
　*ただしクライアント側の任意のポートへ接続しに行く

・Passive
　２１port + 1024以上の任意のポート

とてもややこしいので要注意です。

■SMB：４４５port
Windowsファイル共有したい場合、該当ポートを解放する必要があります。
プロトコルのバージョンが低いと、UDPの137、138、TCPの139portも解放する必要があるみたいです。

話を戻してクラウドサービスの場合

前の記事では記載したが、仮想マシンを作成するにあたり、主要なクラウドサービスを利用する場合、OSレベルでのファイアウォールだけでなく、サブネットやインスタンス毎にもファイアウォールが存在する。

要はファイアウォールの設定は２回必要だよと言うことになる。

じゃあ、２回作業すればイイじゃん！と言う話ではあるが、手順が増えたりした場合、都度整理しておかないと作業ミス・作業漏れが発生することが多いです。

また、ファイアウォールの設定に限らないが、自動化できるものは自動化して、人の手がいるものは手順書の作成などに注力しましょう。

終わりに

今の時代はファイアウォールの設定１つだけやればいいというのはあまりないと思うので、読んだ人が混乱しないようになることを祈ります。

ワイは混乱したんや・・・。

以上。

ワイ「ファイアウォール...?#後編」

Case1 ping（疎通確認）

Case２ HTTPS,SSH,DB接続（よく使うやつら）

Case３ FTP、SMB接続（珍しいやつら？）

話を戻してクラウドサービスの場合

終わりに