利用 - みる会図書館

1. BSD magazine No.11 BSDでルータを作ろう! ; システムコールプログラミング入門

フロジェクト短信 PA 〇 Report 先日 BSD な友人たちと宴会をしました。やつばり宴会っていいものですね。 : - ) 今月は 4.5 ー RELESE 情報に加えて NEWCARD 情報もお伝えします。 FreeBSD 4.5-RELASE FreeBSD 4.5-RELASE がリリースされました。ノート PC に関して言えば、 4.4-RELEASE から 4.5-RELEASE への変更点にあまり大きなものはありません。対応する PCIC が増加していますが、あまり日本では見かけないもののようです。認識機構に関する更新・東芝の T 。 P ℃に関する修正 ToPIC PC カードコントローラに関するコードにいくつかの改良が加えられ、より適切な方法で pc カードを認識し取り扱うことができるようになりました。これにより、いくつかの T 。 PCI 使用ノート PC において使い勝手が向上すると予想されます。・ CirrusLogic の CL-PD67[12]x に関する修正 CL-PD67[12]x PC カードコントローラに関してもいくつかの改良が加えられ、 3.3V カード対応の修正などが行われました。また、 CL - PD6729 を搭載したノート pc では、 2 つ目の pc カードスロットが利用できなくなってしまっていましたが、これが正しく利用できるようになっています。もちろん、 2 つめのスロットで 3.3V pc カードを利用することも可能です。・ Omega 82C094 チップ対応 Omega82C094PC カードコントローラに対応しました。・ ncv 、 nsp 、 stg のモシュールイヒドライバに関する更新注 1 http ://www.j p. FreeB SD. org/cgi/cvsweb.cgi/src/etc/defaults/pccard.conf an ドライバが monitor m 。 de に対応しました。詳細は・ an の monitor mode 対応分 (scsi-low) がモジュール化されました。ライバと、これらが共通して使用する下位レイヤー部 PC カード SCSI ドライバである、 ncv 、 nsp 、 stg の各ドのだまさひで / M 勧 / NODA mac@clave.gr.jp mac@jp.FreeBSD.org ancontrol ( 8 ) を参照してください。対応する PC カード最近の F A Q に「 p c カードの動作確認リスト (SUPPORTERD CARDS) はありませんか」というものがあります。残念ながら、 4. x に対応した s UPPO RTERD CARDS はありませんが、それに近いものはみなさんの pc の中にも存在しています。そう、 pccard. conf です。 cvsweb. cgi 注 1 などを利用することで、 WEB 経由でも pccard. conf を見ることができますので、 pc カードの購入の際はぜひ参考に注 2 してみてください。 NEWCARD on 5-CURRENT NEWCARD の PCMCIA カード対応は、ここ数か月のあいだに an 、 awi 、 ata などのドライバの対応が完了し、執筆時点 ( 2002 年 2 月 ) 現在では、リスト 1 のドライバが NEWCARD 対応になっています。 OLDCARD ( 現在の pc カード認識機構 ) で利用可能なカードの多くが、 NEWCARD でも問題なく利用可能です。また、これに加えて CardBus カードの利用ももちろん可能です。筆者は dc ドライバで利用可能なネットワークカードを所有していますが、問題なく利用できています。リスト 1 NEWCARD で利用可能な PCMCIA カード無線 LAN カードドライバ LAN カードドライバ scs 工カードドライバ ATA カードドライバモデムカードドライバ an 、 aWI 、 1 cs 、 ed 、 ep 、 fe 、 sn aIC at a S10 ジョイスティックカードドライバ」 OY とはいえ、完成度という意味ではまだまだ十分ではなく、今後も開発を進めていかなければならないでしよう。 5-CURRENT のリリースは 1 年延びましたが、その 1 年を貴重なものにしていきたいですね。注 2 参考にして動作するものを買うのもよいですが、動作しないものを敢えて買うのもおすすめです 198 BSD magazine 2002 No. 1 1

2. BSD magazine No.11 BSDでルータを作ろう! ; システムコールプログラミング入門

B 5 0 でルータを作ろう ! らアクセスするのは性能的にも安全 SeriaI ConsoIe を利用し、ディスプレ性からいっても好ましくないので、イなどは接続しないようにしよう。運用に使うための Netw 。ⅸをここになお、今回のように近隣でシリアル設置する。コンソールを利用する場合、図 2 のようにシリアルを接続して運用することなお、 TerminaI Server とは、シリアルを介して他の機器に接続するためも考えられるが、今回は Router2 がシのものと考えてほしい。 terminal リアルポートを使用するので、この構 server から各機器の se ⅱ al に無手順で成は採用できない。接続し、 serial console から制御するなどしておくと便利である。本稿では、詳しい説明は割愛する。折角なのでちょっとだけ複雑な Network を定義してみることにする。今回の Network では・ IPv4 address として xxx. xxx. xxx. 0/28 が割り当てられている (xxx には適当なアドレスを入れてほしい ) ・ IPv6 address として foobar: : / 48 が割り当てられている (foobar には適当な IPv6prefix を入れてほしい ) ものとする。 NetBSD-1.5.2 を stall する複雑に見えるトボロジーだが、実は今回の構成では、すべてのルータはこれは 3 つの部分に分割できる。 NetBSD を使用する。今回採用するの本稿では、サーバーの作り方などを扱は NetBSD-1.5.2 Release である。 OS の lnstall のしかたは割愛するので、わないのでゾ Router1 、 Router2 、 1. BackBone Network 今回は、 IPv4 アドレスに xxx. xxx. xxx. Router3 の構成のみを挙げることにする。過去の記事を参照していただきたい。表 1 のような構成を仮定する。注意する点としては、 0 / 29 、 IPv6 アドレスに BackBone::/64 を割り当てた。さて、 Router とはいえ、今回作成するインターネットとは R 。 uterl を介して・インストールするアプリケーションのは Unix による PC / AT でのルータで。ここで、各ルータに Display とキ接続されており、各サーバーなどのは最小で良い。その代わりに I 。 g を貯ある収容を行う。ーポードをつけつばなしで動かすとすめるべき / var ディレクトリを大きく確保するべきである。ると、そのためにディスプレイなどが 2. Home Network 自宅である。 128Kbps の専用線を介必要になる。今回は 3 台なので、ディ・電源断などのトラブルからできるだして接続されている。スプレイを 3 台、キーボード 3 台というけ早く復旧するため、あまり書き換ーこに、監視運用に使う host を設置大きな構成になり、設置場所によってえる必要のないパーティションははスペースが無駄になってしまうことするものとする。 ReadOnly で mount するべきである。も考えられる。・したがって、 1 パーティションで運用 3. Operation Network 今回は、 TerminaI Server を設置しするようなことはせす、 / 、 /var 、 /usr 、運用用のネットワークである。サーバーの面倒を見るのに BackB 。 ne 側かてあるので、コンソールにはすべて / h 。 me 辺りは分離すべきであろう。なお、 /tmp は、 MFS にするか、別 part ⅲ。 n を利用するのが良いだろう。・ R 。 uter 上でしばしば利用するアプリケーションとしては、 ntp 、 syslog 、 ipf 、 ssh 、 (dhcpd) 、 rtadvd 、 snmpd 、経路制御ェンジン ( ルーティングエンジン ) がある。また、ルータは攻撃対象になりやすいので、 accounting 機構を利用したり、 Kernel の security Level を上げておくことが望ましい。・逆にルータ上では、 MTA (sendmail や p 0 s t fi x など ) 、 N F S 、 N I S 、 NetBSD の install 各機器の構成 1 : coml 2 : com2 すべて RS -232C Cross Cable Router1 Router2 2 1 図 2 日 outer 間のシリアルコンソール接続の例表 1 各機器窈冓成機器 Arch NIC lntel EtherExpressPRO x2 t EtherExpressPRO, NE2000 DEC DE500AD Router1 日 oute 「 2 Router3 i386 i386 i386 2002 No. 1 1 BSD magazine 023

3. BSD magazine No.11 BSDでルータを作ろう! ; システムコールプログラミング入門

国際化 / フォント関連・ CTEXT とマルチバイト文字の処理に関する XIib の問・ bcftpcf に起因するフォントの重なり問題が解消されました。・ X11R6.6 の 118N サポートが XIib に追加されました。・多くの locale / 国際化キーボードが追加サポートされました。されました。・ Luxi スケーラブルフォント (TrueType 、 Typel) が追加題が解消されました。トールされるようになりました。他のアプリケーショ・ fontenc レイヤが更新され、 fontenc ライプラリがインス OS 固有タが追加されました ( 実験的 ) 。・ Unicode 端末に IS02022 や locale を提供する "luit" フィルが変更されました。・ UTF-8 locale 用に Xlib の入力メソッドフレームワークンからの利用も可能です。・ XDarwin で Xinerama に対応しました。されました。・ rootless モード (Aqua 上に x client を表示する ) が追加の修正が行われました。・ Mac OS x 対応のために以下に代表されるような多くポートがなくなりました。・すでに動作できなくなっていた Am 。 eba と Min ⅸへのサ・ Linux/mps サポートが更新されました。・ Linux / m68k でも x サーバーカ u ⅱ d できるようになりました。側がサポートされました。・ Sparc64 用の NetBSD や OpenBSD についてクライアント・ OpenBSD/powerpc をサポートしました。・ cygwin サポートが大幅に修正されています。うになりました。・ Linux/arm32 や IBM S / 390 用の Linux でも build できるよるようになりました。・リアルタイム OS QNX(QNX4 、 QNX6) でも build できい問題を解消しました。・ gcc のバージョンによって mod ⅲ e をコンパイルできな仮想コンソール切り替えできるようになりました。・ FreeBSD で i810 ドライバを使用したときにも間題なくフロジェクト短信・ XDarwin のフルスクリーンモードでは色数 / サイズ / リフレッシュレートを Aqua 上の設定とは独立に設定できるようになりました。・ GLX サポートが追加されました。・ XDarwin のキーマップ設定が改良されました ( 特に国際化キーボード等 ) 。・英語 / 日本語に加えて、オランダ語 / フランス語 / ドイツ語 / スペイン語 / 韓国語の UI が追加されました。モジュールについてすでに大分前の話になりますが、 Trident 社がポリシーを変更して新しいチップ (BIadeXP 以降 ) に関しては技術資料を外部に提供しないようにするという話が出ていました。そのため BladeXP に関しては他のチップと共通のコードで動作する部分のみで、 ( 既存のチップと制御が異なるため ) アクセラレーションが効かない ( つまり遅い ) 状態になり、将来のチップが従来のものと互換性が低下していくにつれてサポートできなくなってしまうというわけです。 4. x 系のモジュール形式で Trindet からドライバを提供することで Linux でも利用できるとのことだったようです。確かに Linux 用のドライバとして提供されたものを FreeBSD で使用することはできます。しかしモジュールが OS には依存しなくても CPU には依存するため、たとえば Linux / i386 用のドライバを Linux/Alpha では使用できません。恐らくべンダが提供するのは intel 系のみの可能性が高いでしようから、それ以外では使えなくなってしまうということになりかねません。各べンダが自社の製品の性能を最大限利用できるドライバを提供してくれることはありがたいことですが、情報を隠蔽されると不幸になるユーザーも多少は発生するでしよう。またサーバーとのバージョンの違い等による問題が発生したりしても調査も対策もできなくなる可能性が高くなるはずです。べンダの意向次第でサポートを打ち切られることもあるでしよう。結局今回の Trident の件に関しては、方針転換が XFree86 にはあまり影響のない範囲に落ち着いたように ( 筆者の乏しい英語力では ) みえたのですが、今後の各ビデオチップべンダの動向次第によってそういう製品を避けるということも必要になるかもしれません。 2002 No. 1 1 BSD magazine 217

4. BSD magazine No.11 BSDでルータを作ろう! ; システムコールプログラミング入門

3 5 0 でルータを作ろう ! ルータにおけるフィルタリングについて近年では、インターネットへの接続がかなり常識となってきており、誰もがインターネットに接続されているようになった。インターネットとは社会の基盤の「 1 つ」となり得るものだと筆者は信じているが、それは道路と同様モラルが守られているべきだ思う。しかしながら、現実のインターネットでは、モラルの低い ( ない ) 一部のユーザーによるクラッキング行為が日常と化し、ウイルスや DoS / DDOS などが横行する状態になっているのも否定し難い状況である。個人的にはこのようなモラルのないユーザーには死刑や追放を宣告したいところだが、現在のところ有効にそのような馬鹿者を追い出す方法はない。もちろん、 CERT なども努力されているし、さまざまな開発者達もできるだけ攻撃に強いシステムを作り、運用者達も攻撃を防ごうと日夜努力をしているが、基本的には、とにかく自衛あるのみという状態である。本誌のセキュリティ特集の号汨にも記載されているし、さまざまなセキュリティ関係の書籍などにも記載されていること・セキュリティを厳しくすると利便性か下がる login 画面が出て、ユーザー名とパスワードの入力を行うようにするだけでも「不便だ ! 」と苦情が来るようになる。また、強制的にパスワードを変えなければならないようにシステムを設定すると、「面倒だ冂と苦情が来る。・セキュリティを緩くすると攻撃される smtp のリレーを許すと UCE の踏台にされるし、 telnet を許すとパスワードを奪われてしまう場合がある。しかも、 root を乗っ取られてデータも壊されてしまうというような状態が発生する。セキュリティの世界には、「まさか家の子だけは」という論理はまったく通用しないし、しかもその攻撃されている事実を掴めない場合もしばしは有在するのである。さて、ルータにおけるフィルタリングだが、ルータでフィルタリングを行わなければならないのは、以下の理由による。 1. 端末が安全であることを仮定できない Windows は、案外開いているポートが多く、またその閉じもちろん、ルータでフィルタリングを行ってもすべての攻撃に対する影響は最小限にとどめられる。ルータで可能な限り攻撃を止めておけば、内部ネットワーク 3. 一般的な攻撃による内部ネットワークの混乱を防止するーはネットワークの専門家ではないからである。うなるのかわからないで行う場合が多い。なぜなら、ユーザされてしまうことがある。しかし、ユーザーは、「なぜ」その利用ができるように設定されたがゆえに外部からアクセス新しいアプリケーションが提供された際にネットワークから 2. ユーザーが何を行うか予想できないポートあったり、そこにセキュリティホールがある場合もあ方がわからない。 BSD や Linux などでも、標準で開いているいかを冷静に考えていただき、必要に応じて道具として利用えている方はぜひ考えを改め、 NAT で何ができて何ができな場合もあるので一概にはいえないが、 NAT があれば安全と考 NAT は万能ではない。もちろん、 NAT である程度楽ができるは結局 NAT の内側にまで影響を与えてしまうことを考えると、また、 NAT があっても Mail Virus や CodeRED のような攻撃半は、バケットフィルタでも防ぐことができる。があるようだが、 NAT を利用することで保護できる攻撃の大なお、 NAT を利用すればセキュリティが保てるという議論ると良いだろう。を行えるので、本誌のバックナンバー注 2 を参照の上設定され利用してフィルタリングを行えば十分バケットフィルタリング BSD システムでルータを作成した場合、 ipfilter や ipf などをきるので、ぜひ活用してほしい。 p 「 otoc 引に応じた制御などは、 ALTQ などで処理することがで被害を与えないようにすることは可能である。このようなはルータで止めることができれば、少なくとも LAN の内側に析を行わなければならない ) が、℃ MP を利用した DDoS などされるようなウイルスなどはルータでは止め難い ( データの解が止められるわけではない。たとえばメールに添付されて配送していただきたいと思う。注 1 BSDmagazine2000No.6 、特集「セキュリティと暗号技術を考える」注 2 BSD magazine 2000 No. 5 、特集「 BSD で My Se Ⅳ e 「を作ろう ! 」 BSDmagazine2001 NO. 7 、特集「ファイアウォールを考える」 BSD magazine 2001 No. 10 、特集「ネットワーク管理者虎の巻」 2002 No. 1 1 BSD magazine 021

5. BSD magazine No.11 BSDでルータを作ろう! ; システムコールプログラミング入門

FreeBSD(98) プロジェクト 4.5R-RevO 1 フロジェク短信下保敏和 / K 。加 kaho@elam.kais.kyoto-u.ac. JP 4.5R ー Rev01 が 2002 年 2 月 15 日にリリースされています。アナウンスは以下の URL で参照することができます。 http ://home.jp.FreeBSD.org/cgi-bin/showmail/ announce-jp/93 kern の変更点新たに pmc ドライバが追加されました。これは、以前 unoff. patch として提供されていたもので、本家のソースツリーにマージされました。したがって、 cvsup 等で 4.5-stabeI にアップデートした場合も利用可能です。機能としては、 APM をサポートしていないような古い 98note で shutdown -p で電源を切れるようにします。画面表示用のドライバ sysc 。 ns が高速化されました。漢字対応化により描画座標の計算量が多くなっていたところを、 ASC Ⅱの場合は計算を簡略化することにより計算量を減らしています。 CPU が高速な場合はあまり体感できないかもしれません。 fe ドライバに C-NET(98)P2 の pnp ID が登録されました。 4. OR から、 ISAPnP が自動的に使われるようになって、 c- NET ( 98 ) P2 が利用できなくなっていたようです。 pnp—般に言えることですが、 kernel に fe ドライバが組み込まれていれば、 p 。 rt や irq を指定しなくても自動的に認識します。 sysres ドライバが 4.4R ー Rev01 でエラーを出していたのが修正されました。 sysres は、ドライバによってリソースの確保がされていないが、実際には未使用ではない領域のリソースの確保を行います。たとえば、 DMA コントローラの利用している IO 空間は、リソースの利用を宣言せずに使用されています。 sysres を組み込まずに、 pnp で空いている領域を検索すると、本来使えない領域を使えると認識し、 pnp カードに利用してはいけない領域を割り当ててしまうことになります。 pnp を使わない場合は、 sysres を組み込まなくても、特に問題は発生しません。 unoffical patch FreeBSD ( 98 ) の配布物中の tooIs98/unoff. patch-4.5 以下に、非公式パッチという形でいくつかのファイルが含まれています。新たに増加したパッチはありません。変更点は以下の通りです。 canBe シリーズを shutdown ー p により電源を切れるようにする canbepm で、利用する IRQ を検索する方法に問題があり、 IRQ がコンフリクトしてしまう可能性がありました。この点が修正されています。 c 。 I の日本語化パッチが、べースシステムの変更に追い付いてなく、 4.4R ー Rev01 でコンパイルできなくなっていました。また、 blue. console パッチも 4.4R - Rev01 では 4.3R - RevO 1 用になっていました。これらのパッチが、 4.5R - Rev01 用に更新されています。 /boot/loader が bzip2 で圧縮された kernel をロードできるようになったのを受けて、 PicoBSD(98) の kernel も bzip2 で圧縮できるようになっています。 AT 互換機用の PicoBSD は b00t2 から kernel をロードするので、 /boot/loader から kernel をロードする Pic 。 BSD ( 98 ) 固有の変更点となっています。ドキュメントの整備 FreeBSD ( 98 ) 用のドキュメントは、 FreeBSD98-doc ML 注 1 にてメンテナンスされています。最近話題がなく淋しい ML 注 2 となっていましたが、そこそこの人手が必要になりそうな作業が始まりそうになっています。現在のリリースに含まれているドキュメントには、 98readme と handbook98 と FAQ. 98 があります。 98readme はテキスト形式で、あとの 2 つは sgml でメンテナンスされており、 html とテキスト形式に変換したものをリリースに含めています。この 98readme を sgml 化しようという話が出ています。半機械的にタグを追加していくことになると思われますが、あまりに作業する人が少ないと計画倒れになりかねません。 FreeB SD ( 9 8 ) を使ってなくてもかまいませんので、 FreeBSD98-doc に参加してみませんか。注 1 メールアドレスは FreeBSD98-doc@jp.freebsd.org/ どこからのメールでも受け付けます。 http://home.jp.FreeBSD.org/mail-list/FreeBSD98-doc/ でアーカイプが参照できます。注 2 281 年 12 月は 2 通、 2g2 年 1 月は 1 通のみ。 2002 No. 1 1 BSD magazine 197

6. BSD magazine No.11 BSDでルータを作ろう! ; システムコールプログラミング入門

ロ 0 3 5 0 でルータを作ろう ! として ppp を設定する必要がある。己載すれば OK である。で pppoe の設定方法を説明したので、 IPfilter や NAT 、 IPsec などは、まず筆者が昔利用していたシリアルポー簡単に触れるにとどめる。最小限の設定を行った後に順番に設定ドは RISCOM 社のもので、このカードし、問題の切りわけを楽に行えるようを利用していたときには ppp を利用せ 128k 回線に ppp を仕掛けるにするべきであろう。ずとも HDLC で通信できたわけだが、 ppp での接続には、今回認証を行わ今 RISCOM のカードはほとんど入手でないものとする。これは、 128k 専用線 uses /var/account/acct きない ( 高価ということもあるが ) のを仮定しているためである。 NetBSD で、いわゆる com port ( シリアルポーでは標準で pppd が含まれているので、ト ) から TA を利用して相互接続し、これを利用する。 pppd をシリアルポー DataLink Layer では ppp を用いることトに用いる場合、そのシリアルポート ppp の設定を行おう。今回のネットにする。は getty が起動されていてはならない。ワークでは、自宅とバックポーンの接また、対外回線は今しばしは利用さしたがって、 /etc/ttys で status を OFF 続には専用線を利用して ppp で接続すれている ADSL や FIet's を利用すると仮にしておく必要がある。また、通信速るようになっている。その両端の定して、 ppp 。 e を利用する場合を考え度の設定もあるので、 /etc/ttys の利用ることにする。ただし、 pppoe は前号する port の設定を書き換えておく必要 Router2 、 Router3 に DataLink Layer がある。書き換えたら、 kill -HUP 1 (init プロセスに HangUp 信号を送る ) を実行しておこう。 pppd の設定は、認証を行わなければ非常に簡単で、 /etc/ppp/peers/ router2 や /etc/ppp/peers/router3 を作成し、 rc. conf で ppp_peers を呼ぶようにするだけである。記載すべきは、 /etC/PPP/Peers/ 下にあるファイル名である ( リスト 4 ) 。あとは ppp lnterface に ifconfig コマンドを利用して IP アドレスを割り当てれば OK である。起動時にこの処理を行う場合、 ifconfig. ppp0 に IP アドレスを記載しておけば良い。 1.5M 回線に pppoe を仕掛ける pppoe としては、 NetBSD の pkgsrc/ net に rp-pppoe がある。筆者は、これを利用しているが、とりあえす問題は出ていない。なお、 Ne tBS D の pkgsrc / Ⅱ et には他にもいくつかの pppoe のツールがあるので、好みに応じて利用していただきたい。このパッケージを Router1 にインストールする。インストール方法に関してはここで詳しく述べないので、一三ロ pppd and PPPOe まをマリスト 2 /etc/rc. conf の内容 if [ ーて /etc/defaults/rc . conf then /etc/defaults/rc . conf fi rc— c onf igured=YES ac c ount ing=YES newsys10g=YES ip6mode=router inetd=NO ntpd=YES s shd=YES "Router2" PPP-Peers= rt advd=YES rtadvd—flags= マリスト 3 / etc / ℃ . conf に必要に応じて記載する内容 # /etc/ipf . conf を利用する # /etc/ipnat. conf を利用する # /etc/ipsec. conf を利用する # IKE daemon # ipfilter の出力を syslog に # /etc/altq. conf を参照する ipfiIter=NO ipnat=NO ipsec=NO racoon=NO i pmon=NO a1tqd=NO -flags= xpmon altqd-flags= マリスト 4 ppp に関する設定 /etc/ttys の設定 %grep tty01 /etc/ttys "/usr/libexec/getty std tty00 . 115200 " unknown off Router2 の pppd 設定 # cat /etc/ppp/peers/router3 /dev/tty01 115200 passive Router3 の pppd 設定 # cat /etc/ppp/peers/router2 /dev/tty01 115200 2002 No. 1 1 BSD magazine 027

7. BSD magazine No.11 BSDでルータを作ろう! ; システムコールプログラミング入門

0 2 蚯 136.204.21 を A Q ー BSD ルータによる十ラフィック制御株式会社ソニーンとユーダサネ工ンス研究所長健ニ朗 / Cho Kenjiro kjc@csl.sony.co.jp ドロッパーは、 TCP 等の上位層と連廃棄される。しかし、キュー構造、パ動して輻輳回避を行う目的で、選択的ケットスケジューリング、バケット廃にバケットを廃棄する。通常の FIFO 棄方法を工夫することによって、帯域キューではキューが溢れて初めてバケ割り当て、遅延制御、輻輳回避などが ALTQ (Alternate Queueing) 卩可能となる。これらの仕組みは総称しットを廃棄するが、輻輳の始まりを検は BSD プラットフォームで利用できる出して限界に達する前に能動的にバケてキューイング方式 ( q u e u e i n g トラフィック制御機構である。 ALTQ ットを廃棄することで、 TCP がより効は、もともと QoS (Quality of Service) discipline) と呼ばれる。図 1 は一般的なキューイング方式の構率的に利用可能な帯域を検出できる。研究の実験プラットフォームとして開キューイングの機構は処理能力の低成を示す。キュー制御は出力インター発され、その後も多くの機能追加と改いルータへの実装や高速ルータでのハ良が加えられている。現在は、運用ネフェイスで行われ、一クラシファイア、キードウェア化を考慮した簡単な構造がットワークでもトラフィック制御に広ュー構造、スケジューラ、ドロッパーなどから構成される。クラシファイアは、望ましい。しかし、その設計は処理のく利用されるようになってきた。バケットヘッダ内のアドレスやポート番負荷、メモリ消費、制御の精度等のトレードオフとなるため、さまざまなキ号などの情報をもとに到着バケットを事前に定義されたクラスにマップする。ューイング方式が提案されてきている。また、 QoS の考え方自体も、回線のキュー構造は、キューイング方式に依インターネットで使われているバケッ広帯域化と価格下落に伴い、狭帯域で存した内部構造で、通常クラスに対応ト交換の基本は、回線で繋がれたルーのタイトな制御から広帯域でのラフなした内部キューの組み合わせで構成さタ群がバケットをバケツリレーすること制御へと変化してきた。高速なアクセである。各ルータは、入ってきたバケれる。ス回線の普及によって、定常状態ではスケジューラは次にバケットを送出ットの宛先アドレスから経路表を引き、回線容量に余裕があり、優先制御の必次のルータを決定してバケットを渡す。すべきクラスを選ぶ。バケットスケジューリングによって、各クラスの使用要がないとしても、トラフィックが集バケットは非同期に入ってくるので、中すれば容易に輻輳が発生する環境に帯域を保証したり、優先クラスバケッ送出すべき回線に対してその容量を越トのキュー内での待ち時間を制御するなっている。 QoS 技術を使うことによえたバケットが入ってきた場合、バケって、たとえ DoS 攻撃を受けていてもことが可能である。ットはキューに貯められる。バケットロスは、ポトルネックとなる部分でキューが溢れてバケットが捨てられるために起こる。また、通信遅延のゆらぎは、キューの待ち時間に起因する部分が大きい。通常使用されるキューは FI F O (First-In First-Out) キューである。バケットは到着順に送出され、キュー長が制限値を越えると到着バケットがはじめにキューイング〇 packet device driver packet scheduler queuemg discipline classifier 図 1 キューイング構成 038 BSD magazine 2002 NO. 1 1

8. BSD magazine No.11 BSDでルータを作ろう! ; システムコールプログラミング入門

フロジェクト短信日本 FreeBSD Java プロジェクト日本 FreeBSD Ja a プロジェクト発足 2001 年 11 月半ば、 FreeBSD 友の会運営委員会から「日本 FreeBSD Java プロジェクト」が公認プロジェクトとして認定されました ( 参考文献 [ 1 ] ) 。これまで FreeBSD Java に関する情報はjava@freebsd.org で広く議論されてきました ( 参考文献 [ 2 ] ) 。しかし、日本語に関する問題をこのメーリングリストで行うことは少々問題がありました。英語のメーリングリストとあって、日本の方の積極的な参加が見込めない点と、場的な問題からそこからの積極的な情報交換が難しかった点を挙げることができます。メーリングリストで同じ状況を知った方が、個人々々でメールのやり取りを行うという状況に陥りがちでした。そこで、 FreeBSD Java 日本人開発者およびユーザーの情報交換や、日本語問題に関する開発の場および問題の解決と検討・報告をより円滑に行うため日本 FreeBSD Java プロジェクトを発足しました。日本 FreeBSD Java プロジェクトでは FreeBSD Java 日本人開発者およびユーザーの情報交換、問題の解決と検討、報告などを行います。日本 FreeBSD Java プロジェクトメーリングリストへの参 java@jp.freebsd. org 加は換試験を通過した FreeBSD JDK および JRE を packages に凸これにより、次期 FreeBSD メジャーリリース以降から互表しました ( 参考文献 [ 4 ] ) 。 Java 実行環境の FreeBSD における使用許諾を得たことを発 [ 3 ] ) は sun Microsystems 社との間で Java 開発環境および日本時間で 2001 年 12 月 22 日、 FreeBSD 財団汨( 参考文献 FreeBSD Java ライセンスザーの参加をお待ちしております。情報交換を行いたいと思います。多くの FreeBSDJava ユーールや利用方法に関するエンドユーザーの議論まで、広く FreeBSD Java に関する技術的な議論から、 JDK インストをご覧ください。 http://www.jp.freebsd.org/ml.html むことができるようになります。 Java2 以降変更されたライセンスの影響を受けて、これまでコンパイルされた package の状態で Java2 以降の JDK および JRE を提供することができませんでした。このため、 FreeBSD および Java を用いてサーバーサイドシステムの開発を行っている場合でも、納品する段階で他の OS に載せ変える作業を行う必要がありました。こうした間題を受け、これまで Nate WiIIiams 氏が sun Microsystems 社との間で交渉に力を注いできましたが、長い間資金の問題や法的な問題などを解決することができませんでした。 FreeBSD プロジェクトは法人格を持ちません。これまで法人と契約を結ぶことが FreeBSD プロジェクトでは困難でした。今回 Nate Williams 氏の努力もあり、 FreeBSD プロジェクトを支援することを目的とする非営利社団法人「 F r e e B s D 財団」が、 2 0 0 1 年 8 月に s u n Microsystems 社との間で JDK および JRE の FreeBSD における使用に関する交渉を始め、同年 12 月に使用許諾を得ました。これにより、今後 FreeBSD に package 状態の JDK および JRE を含めることができ、 FreeBSD を利用した Java サーバーシステムの開発販売を行うことができるようになりま後藤大地 / G 。仇 / daichi@jp.FreeBSD.org を考慮し、 FreeBSD はこれまで利用してきた商用 UN Ⅸやステムの実効性能にそのまま影響します。予算および性能能性があります。カーネルスレッドの有効な稼働は Java シ機能は、これまでのこうした間題を解決する糸口になる可存になっているため、 FreeBSD5.0 で提供されるこれらのながります。現段階ではスレッドの優先度や動作が実装依ネルスレッド関連機能が Java の性能を引き上げることにつこれに加え、 FreeBSD 5.0 から提供が予定されているカー Java の重要度は高まり、提供する機能は増え続けています。つあります。特に近年サーバーサイドシステムにおけるサイドシステムに至るまで開発に欠かせない環境になりつ Java はハイエンドデスクトップから組み込み、サーバートです。くありません。特に中小企業にとってこれは大きなメリッイドシステムを FreeBSD と Java で開発している企業は少ななったということは大きなアドバンテージです。サーバサす。 FreeBSD に JDK を搭載して製品の開発 / 販売が可能に注 1 FreeBSD プロジェクトを支援する非営利社団法人「 FreeBSD Foundation 」 ( 参考文献 [3]) をここでは foundation の翻訳の慣例に従い「 FreeBSD 財団」と呼びこで「 FreeBSD 財団」は「 FreeBSD Foundation 」を示す単語であって、「 FreeBSD Foundation 」の正式な日本語名ではありません。ます。しかし、 204 BSD magazine 2002 NO. 1 1

9. BSD magazine No.11 BSDでルータを作ろう! ; システムコールプログラミング入門

3 5 0 でルータを作ろう ! なおしてみると、リスト 2 のようになる。これで準備は整ったので、 altqd 用の設定ファイルを記述することにしよう。ま $man altq してみる。すると、こには設定ファイルに関する記述がないことがわかる (NetBSD current の場合。 NetBSD ならすべて同じであろうと思われる ) 。しかし、設定ファイルとして、標準では、 /etc/altq. conf が参照されるとある。また、末尾の SEE ALSO を見ると、 altq. conf ( 5 ) を参照のこととあるので man 5 altq. conf してみよう。すると、 altq. conf に関する説明が記載されている ( 手元で試していただきたい ) 。今回のポリシーを元に、 man page を参照しながら、 CBQ/RED で制御を行うための設定を記載してみると、リ a q. conf の命令スト 3 、 4 、 5 のようになる。定ファイルでしばしば用いられるようます、他の UNIX 系のコマンドの設リスト中の命令の説明をしよう。マリスト 2 ALTQ のホリシーに # の後ろはコメントとして扱われる。最初はⅲ terface 命令である。 CBQ におけるⅲ terface 命令の構文はリスト 6 のようになっている。 bandwidth で指定するのは、指定インターフェイスにおいて ALTQ で制御する帯域である。したがって、 fxp0 が 100Mbps で通信できる場ム bandwidth で指定する値は Obps から 100Mbps までの間の値となる。本設定例では、 ALTQ ですべてのトラフィックを制御することを基に考えているので、最大帯域を指定している。 tbrsize (Token Bucket Regurator size) は今回は指定していない。これは、指定しなければシステム側で帰納本的なクラス分けを行い、必要に応じ今回の設定は基本的に CBQ によって基キュー制御方式は、今回 CBQ とした。ていない理由の 1 つである。ータのように見えるというのも指定し実装を理解した上で設定すべきパラメの例でこの値は設定されていないので、 altq. conf の man page を見てもすべて的に決定してくれるからである。また、て RED を利用する方式を採用した。したがって、キュー制御方式はすべて CBQ となっている。なお、 CBQ によるキュー制御には CBQ-WRR と CBQ- PRR があるが、こでは、 CBQ-WRR ・ Router1 hostl To The lnternet Server1 The lnternet Router1 The 工 nternet http I CMP The lnternet The I nt ernet The lnternet ・ Router2 The lnternet hostl hostl Operation ・ Router3 hostl hostl The 工 nternet Operation Rout er 1 hostl hostl Operation The lnternet To hostl Operation The lnternet hostl To Server1 MyNetworks Prot ssh I CMP 64kbps 50 % of ssh ssh ssh ssh Proto s sh ssh ssh ssh Pr Ot 0 http I CMP Bandwidth 64kbp s 工 nterface speed 64kbp s 64kbps 50% of 工 nterface Bandwidth 64kbp s 64kbp s 64kbp s 64kbp s Bandwidth 64kbps speed 64kbps (Host1->Internet の設定と共有 ) 64kbp s 64kbps ( 工 nternet->HostI の設定と共有 ) (CBQ と指定するとこちらが選択される ) を利用している。今回は efficient モードは利用しない。このモードの詳しい説明は、マニュアルを参照するか、ソースコードを参照してほしい。次に class 命令を説明しよう。 class 命令も interface 命令と同じくキュー制御方式によって変化するが、こでは CBQ の場合を考える。 class 命令の構文はリスト 7 のようになっている。このうち今回使用したもののみで構文を表現するとリスト 8 のようになる。それぞれの内容を説明する。スケジューリングタイプは CBQ の場合、 cbq となる。インターフェイス名は、その名の通り、そのクラスで利用するインターフェイス名を記載する。クラス名は、定義したクラスの名前であり、親クラス名は、そのクラスが所属している親クラスの名前である。もし親クラスが存在しないならば、 NULL と明示的に記載する必要がある。 borrow キーワードを設定すると、そのクラスは、もし自身の利用している帯域が足りなくなった場合に、自身の所属する親クラスから余っている帯域を借り受ける。逆に指定しない場合、指定帯域をこえたバケットはキューに溜って処理を先伸ばしされるか、もしくは捨てられることになる。今回の設定では、 ICMP による DoS 攻撃を軽減するために、 ICMP の帯域を 64kbps に制限するため、 RouterI の icmp—class では borrow を指定しない。これで、 ICMP バケットは「最大で」 2002 NO. 1 1 BSD magazine 045

10. BSD magazine No.11 BSDでルータを作ろう! ; システムコールプログラミング入門

ー。、 BSD で使えるルーティングエンジン ( 株 ) インターネッ下総合研究所主任研究員 Japan NetBSD UsersI G 「 oup 事務局長許先明 / Heo SeonMeyong seirios@jp.netbsd.0「g 。巫 136.204.21 この動せるための ) 一連の手続きのことをル本特集で宮川氏がルータに関する概ルーティングエンジンとは、ーティングプロトコルと呼ぶのである。的経路制御を行う経路制御用の一連の念やルーティングプロトコルの基礎を現在一般に利用されているルーティプログラムのことを言う。説明してくださっている。そこで本稿ングプロトコルを表 1 に挙げる。では BSD ( に限らないが ) で利用でき EIGRP は CISCO 社製ルータで実装るルーティングエンジンに関して URL されているプロトコルだが、現状などを示しながら解説してみることに CISCO 社製ルータでしか利用できないする。のでそれほど広まっているとは言えないかもしれない。 IS-IS は、近年米国などで利用されて protocol. - 名詞 - いるリンクステート型経路制御プロトコ 3 実験 [ 剖検などの ] 計画案 [ 記録 ] ; lnternet への接続性が一般に手の届【電算】ブロトコル《対話に必要なルである。まだ日本ではそれほど利用さく形で提供され始めて以来、 lnternet のれているとは言えないが、 ISP の内側で通信規約 ; メッセージの頭か末尾にユーザーは普段から Network を利用でつける》 ; 利用されている例もあると聞いている。きるようになった。インターネットに接本稿では、経路制御プロトコルの詳続する上で重要なのは、目的地までパ細には触れない。宮川氏がディスタンとあるが、これに従うと、ルーティンケットを到達させるための情報と、目的グプロトコルとは、経路制御 ( ルーテスペクタやリンクステートに関する説地からバケットカ唳ってくるための情報明をされているのでそちらを参照いたイング ) のために必要な経路情報をやだが、この情報を経路情報と呼ぶ。り取りする際に必要となる通信規約とだきたい。ダイアルアップ ppp や PPPoE 、 DHCP いうことになる。などを利用している場合、経路情報はこれでは何が何だかわからないと思ユーザーから隠蔽されている ( アプリケうので簡単に説明すると、ある機器がーションが勝手に設定する ) が、ちょっ表 2 に各ルーティングエンジンと、そ保持して、いる経路情報を他のルータとしたネットワークを作ろうとしたとき ( 経路制御を行う機械 ) に通知し、他の対応している経路制御プロトコルに「必ず」問題になるのがその経路制のルータからの経路情報を受け取るた (Routing Protocol) の対応を記載する。御である。表 2 を見るとわかる通り、現在フリ経路制御には sta ⅱ c な ( 静的に設定すめの ( そして自身の経路情報に反映さる ) ものと dynamic な ( 動的に設定する ) ものがあるが、ネットワークのトボロジーが変化したり少し複雑なトボロジ RIP ーだったりした場合、人が手動でネット RlPng ワークの変化状態を認知して設定して OSPF BGP 回るのは、管理の上からも非常にコストのかかる不便な作業である。そこで、動的経路制御が活躍するのである。ルーティンクプロトコル研究社発行のリーダーズ + プラスによると、ルーティングエンシンとは ? 各ルーティングエンシン表 1 現在良く利用されているルーティングプロトコルアルゴリズム P 「 0t0C6 備考 v6 〇 X 〇〇〇〇 1 ワ」 X 〇※※ X 〇 DistanceVentor DistanceVentor LinkState PathBector 旧 v6 対応は OSPFv3 から旧 v6 対応は MultiprotOCOI Extension によって追加された CISCO 社の提案したプロトコル OSI で規定されているプロトコル DistanceVentor Li n kState EIGRP IS-IS 2002 No. 1 1 BSD magazine 019