ダイアルアップ - みる会図書館

1. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

接続 ()n Demand ダイアルアップ接続 ) 制的に終了させたい場合は、単純に IP ⅱ lter に含まれる ipnat というコマンドの設定が可能である。この場合も基本 pppd のプロセスを ki Ⅱすればよい。たとを使用することで実現できる。 IPfilter 的な設定は手動ダイアルアップとほとえばテレホーダイの時間帯だけを On を利用するためには、んどの部分は共通である。違うのは、 Demand ダイアルアップするように設定 options GATEWAY peers/—ファイルで On Demand 用の接するためには、 cron で pppd の起動 / 強制 pseudo—device ipfilter 続設定を追加するだけなので、たとえ終了を行うようにシェルスクリプト等ば前述の ispdialup と同じところに対しを実行すれば良いだけである。の二つが記述された c 。 nfig ファイルをて 0n Demand 接続するための接続名を使用して作ったカーネルを使用する必て着信の設越 ispdialup-demand とするとリスト 2 のよ要があるので、ますはこの点を確認しうな設定を行えばよい。たほうがいいだろう。特に前者は demand オプションを指定する場合、自動発信が可能になったところで、 GENERIC カーネルではコメントアウト何らかの接続先の IP アドレスが必要とついでに外部からの接続も可能となるされている。その状態であってもなるため、仮の値 ( 192.168.2.1 ) を指ようにしておこう。 pppd を着信用に設定し接続時のネゴシェーションによっ定しておくことで、外出先等から自分 sysctl —w net . inet ・ ip. forwarding=l て接続後に利用するアドレスで上書きのサーバーへダイアルアップすることする。ダイアルアップ先から IP アドレもできる。ただし、この場合は対象ととすれば rebo 。 t 等しない間であれば利スが指定される場合には、 ipcp-accept- なるマシンが予め起動されていなけれ用できるが、できればカーネルを作りばならないと言う問題がある注 2 。ダイ 10Ca1 、 ipcp-accept-remote の二つカ必要直しておいたほうが良いと思う。となる。このような設定を行っておけアルアップ着信の設定は発信のときと IP filter の実行は /etc/rc. conf 中で指定同様に行った後、 options. tty00 等の着ば、することができる。信用のポート設定を用意する。最後に ipfi1ter=NO /etc/ttys で getty の代わりに pppd を使用 pppd call ispdialup-demand ipnat=NO するようにしておけば良い。たとえば ipmon=NO と予め実行しておくことによって、外 tty00 を着信用に使用するのであれば、部へのバケットを検出して自動的にダ tty00 の行をリスト 3 のように変更してと記述されている部分があるので、イアルアップ ppp 接続を行うようになおく。れらを YES に変更すればよい 0 lpmon る。この設定を行う際に注意する点と着信と OnDemand ダイアルアップをに関しては NAT を利用するだけであれしては、予期しないバケットによって組み合わせて次に紹介する NAT の設定ば不要であるが、バケットログを監視知らないうちに何度もダイアルアップを行うことで、その気になれば技術的する場合に使用することができるので、してしまうという状態を避けることでにはミニプロバイダもどき的な利用も YES にしておくといいだろう。 NAT をあ ( ' このため、ダイアルアップのき可能となる注 3 。利用するにはこれらを YES にするだけかけとなるバケットを制限するためではだめで、他にもいくつかの設定フ (active-filter 等 ) も用意ァイルを用意する必要がある。使用した ppp 接続を強マリスト 3 /etc/ttys の一部いイツ定の NetBSD で NAT の設定を行う場合、 "/usr/sbin/pppd" dialup 0 Ⅱ ttyOO 注 2 w 朝が 0 、使用、きれば外出先からダイアルアップしたときに自動的に起動して、接続するという芸当もできると思われるが、残念ながら今のと亟ぎ U On 他等を利用でる OS は筆者の知る限りでは Wind 。 ws 系のみである。よプな接続を認めそいるプロバイダが世の中にどの程度存在するかに関しては筆者はまったく確認していない。恐らくほとんどのプロバイダ三 .3 禁止していふ、ないとしても好印象を持っということはないのではないかと思う ; - p 。 58 B magazin 20 C) N 5

2. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

マリスト 1 1 /etc/rc. conf 修正・追加分 network—interfaces=" 100 ed0 tun0" ifconfig—tunO= マリスト 1 2 /etc/start_if. tun() ・ /usr/sbin/ppp の場合 : /usr/sbin/ppp —auto —nat ispdialup ・ ports/net/ppp-nt (PREFIX=/usr/locaI) の場合 : /usr/local/sbin/ppp -auto ispdialup マリスト 13 タイムスケジュールの設定を抜いたエントリの起動手順と auto モード ppp の復帰手順 # ki11 、 cat /var/run/tunO. pid 、 # /usr/local/sbin/ppp ispdialup—no—time—schedule Working mode Using interface : tunO ppp> dial PPP> close ppp> quit # /usr/local/sbin/ppp ispdialup のように設定する。こでは、サーバーの時計の誤差を最大 2 分までとみなして、開始・終了時間をテレホーダイ枠の内側にずらしている。実際の設定は、リスト 9 、 10 のようになる。最終設定およびその他以上が ppp の設定だが、このままでは接続するために、毎回ダイアルアップサーバーマシンにログインして、 # ppp ispdialup Vork ng in interactive mode sing ・ nter ace : tunO のよイアル Ppp> PP 続ドで動か magaz-ln いけないよ常時 demandV ダ 5 ・、要がある。ーめとこ ppp を 20 0 N て、 FreeBSD では、 /etc/rc. conf の network interfaces 変数に列挙されているネットワークインターフェイスは、 /etc/start if. <interface-name> というスクリプトで実行されるような仕組みになっている ( 詳細は /etc/rc. network 参照のこと ) 。のスクリプトで、 os の起動時に ppp を auto モードで動かすように設定しよう。 /etc/rc.conf への修正・追加 network_interfaces 変数に tunO を追加修正する。また、 ifconfig_tun0 変数を追加する ( リスト 1 1 ) 。 /etc/start_if. tunO スクリプトの作成 /usr/sbin/ppp の場合と ports/net/ppp-nt の場合とで、 ppp コマンドのパスが違うので、それぞれについて設定例を挙げておく ( リスト 12 ) 。上記の設定では、 tun0 デバイスの活性化 (ppp の起動 ) は sendmail の起動よりも前になるので、ダイアルアップサーバーの sendma ⅱが起動するときにダイアリングに行く場合がある。で、タイムスケジュール機能を使っている際に、ダイアリング以外の時間にシステムを起動すると、 sendmail はタイムアウトがかかるまで固まってしまう。これを避けるために、 tun0 デバイスの活性化 (ppp の起動 ) を sendmail の起動よりも後のスタートアップスクリプトで実行するようにする。以上が、 On demand ダイアルアップサーバーの設定例である。 FLET'S ISDN を利用した常時接続の場合は、ダイアルアップ無通信時のタァイルを参照してほしい。 ppp ( 8 ) のマニュアルやサンプル設定フ制御することはできない。詳細は、ル機能のようにバケット到着の時間で御できる。ただし、タイムスケジューはバケットの種類でダイアリングを制るのもよいだろう。このフィルタ機能の標準機能であるフィルタ機能を用いダイアルアップ抑制方法として、 ppp 動で auto モード ppp を起動しておく。いだろう。接続が終わったら、再度手のエントリで手動でダイアルするとよ schedule) をもうひとつ用意して、そ ( リスト 13 の例では、 ispdialup-no-time- ケジュールの設定を抜いたエントリている ppp プロセスを殺して、タイムスで、その際には、 aut 。モードで動作しに接続したい際にまったく使えないのこのままではテレホーダイ以外の時間この機能を使うとよいだろう。しかし、のダイアル制御を簡単に行えるので、利用すると、テレホーダイ以外の時間の際には、タイムスケジュール機能をまた、テレホーダイを利用した接続としておくのがよいかもしれない。 set timeout 0 と思うので、 ppp の設定ファイルでイマ監視による切断はしなくてもよい au 5 イ、 B

3. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

集物明 0 作るプダイアルアップサー←の構築 NetBSDC- 大石勲 / ao Ohishi ohishi@hf.rim. 0舅P NetBSD によるダイアルアップ接続をるための pppd とバケットフィルタリンに削除していなければ特に問題ないだ行う場合においても、 FreeBSD 編で書グを行うための IPfilter である。ろう。参考までにⅡ J - PPP では ppp ではかれているように大きく分けて pppd はカーネル ppp とも呼ばれ、そなく tun を使用する。また後半の NAT / の名の通りカーネルモードで動作するファイアウォールの実現の部分で紹介・ダイアルアップルータと併用して ppp ソフトウェアである。 pppd はしている IPfiIter を利用するためには、 FreeBSD 等にも標準で付属しており、 NAT はそちらに任せ、 NetBSD はフ同様に ipfilter pseudo-device が必要であァイアウォールとしての役割のみと設定ファイルに関してもバージョンのる。こちらも NetBSD の GENERIC カーする差異や OS の違いによるデバイス名等のネルにも含まれているものなので、特・ NetBSD をダイアルアップルータ化し影響を除けば、設定ファイル等は同じに問題になることはないだろう。てすべて自前で設定するものを使うことができるはずである。 Ⅱ J - PPP のコマンド名が ppp であるこという方法がある。もちろんダイアルと等から、Ⅱ J - PPP がクライアントでのアップルータですべてを設定するとい発信用で pppd がサーバーでの着信用等以降の記述は FreeBSD 編の解説とほう方法もあるが、基本となる知識は同と誤解している者もいるかもしれないとんど同様の環境を想定しているが、じであり具体的な設定内容が多少異なが、どちらも発信 / 着信ともサポートし NetBSD 環境に合わせて若干変更してる程度である。またダイアルアップルている。残念ながら NetBSD の場合、いる ( 表 1 ) 。 Ⅱ J - PPP は標準で付属していないうえ、ータの製品間の違いもあるため、一般論としての設定を ( 特定の ) ダイアル FreeBSD での拡張機能を使用するにはアップルータを前提せすに行うことはソースの入手等面倒な部分がある。 pppd 自体に関して言えば、 IIJ-PPP に対 pppd の動作に関する設定は実行時に困難であると思われるため、こではして性能が低いわけでも、機能が少な NetBSD によるダイアルアップルータの引数で与えることもできるが、通常は構築を行う方法を紹介する。ダイアルいわけでもないのでもっと pppd が利用設定用のファイルに記述する。 pppd のアップルータを使用した設定でも基本されてもいいのではないかと思う。な設定ファイルは / etc ゆ pp / ~ に置かれて的な考え方は同じなので、必要に応じおり、基本的には表 2 のような内容をお、 NetBSD-current では pppd か IPv6 にて参考にするといいだろう。記述する ( 主要なもの ) 。も対応しているようである。これらがすべて必須というわけではないが、これらに適切な設定を行うことで複数の接続設定の共存等を簡単に pppd を使用するためにはカーネル内行うことができる。 NetBSD にはダイアルアップルータを構築するのに必要なソフトウェアが標次にいくつかのケースを想定して、に PPP pseudo-device が存在しなければ準で付属している注リ今回紹介するの設定例を挙げて見ることにする。設定ならない。 NetBSD 等では GENERIC カは、ダイアルアップ PPP 接続を実現すに使用している各種 pppd オプションのーネルでも含まれているので、意図的注 1 もちろんこれは NetBSD に限ったことではなく、 FreeBSD や OpenBSD でも同様である。を 0 メ” 続境の一 55 BSD magazine 2000 No. 5

4. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

今回は、 FLET'S ISDN やテレホーダ自宅で運営することは困難である。イを使って、個人のローカルネットワのため、 ISP のダイアルアップのネットークが、一般の ISP ( インターネットサワーク ( 外側 ) と個人のネットワーク前述したように、ファイアウォールービスプロバイダ ) にダイアルアップ ( 内側 ) とを外向きには完全に遮断すの構築には、そのセキュリティレベルで接続する環境に対する比較的簡単なるという方法が最適となる。の設定、セキュリティポリシーから、ファイアウォール構築について考える次に、内部から外部への接続についいろいろな構築方法が考えられる。ことにする。て考えてみる。インターネットの利用まずは、実際の運用において、何か企業や大学などのように、ダイアルが限られたアプリケーションのみであら何を守りたいか、というセキュリテアップ接続ではなく固定の IP アドレスれば、それらのアプリケーションをすィポリシーを明確にし、設計することを持ったネットワークの場合は、利用べてカバーするような proxy サービスをが必要となる。者が多く管理者の目の届く範囲にないファイアウォールで用意してやるのがまた、セキュリティポリシーとして、こと等の違いがあるため、より明確なよいだろう。今回は、内部ネットワーバケットの通過を、デフォルトで許可運営方針やセキュリティポリシーが必クからは比較的ゆるやかなフィルタリするのか、デフォルトで遮断するのか、要となる。ングを考えることにする。といった選択も重要である。こで、バケットフィルタリングを次に、設計したセキュリティポリシセキュリティポリシーの決定行うにあたって、注意すべきことがあーを実現するのに最適なファイアウォセキュリティポリシーの決定を行うる。広く利用されているサービスのうールの形態はどのようなものかを決定にあたって、まず、外部から内部へのち、 FTP 、 X11 の 2 つのサービスは単純する。こで、ファイアウォールの構接続について考えてみよう。ダイアルなバケットフィルタリングはうまく処築にあたって、設備コストや管理コスアップで接続する場合は、通常 ISP か理できない。トも考慮しなければならない。同じセら毎回同じ IP アドレスをもらえるとい日 ' P サービスは、 FTP コントロールとキュリティポリシーが実現できるなら、う保証はない。このため、この種のサ FTP データフローのコネクションから構設備の費用や管理の手間は少ないにこービスでは、外界 (The lnternet) のど成される。 FTP クライアントから FTP したことはない。こからでもアクセスできるサーバーをサーバーに接続する際には、クライアントからサーバーに向けて FTP コントロールコネクションを張り、その後にサーバーからクライアントに向けて、 FTP データフローコネクションが張られる。このため、 FTP サービスを使用するには、外部からの FTP データフローコネクションのコネクション開始要求を受け付けるようにしなければならない。これを回避する方法として、 FTPPassive モードを使うという方法もあるが、すべての FTP サーバーが passive モードに対応しているとはかぎらないので、今回は、 FTP データフローのセッション要求を受け付けるようにする。これを許可するためには、 20 番ポートからくる TCP のコネクション開始要求を許可するように設定する。 X11 サービスも、 FTP サービス同様の築 △ インターネット外部スクリーニングルータ匚こコ要塞ホストク 2 界内部スクリーニングルータ △ ワロロロ図 6 スクリーンドサプネットアーキテクチャの例 28 2 B magamn 0 N 5

5. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

使用する。デュアルホームホストアーあるいは、図 10 のような構成も考えタにバケットフィルタリングをまかせキテクチャでは、 DeleGate などの proxy てしまい、 *BSD Box は proxy サービスられる。サービスが対応するアプリケーションを行うという構築方法がある。ダイアこの場合、境界ネットワークを作っのみしか中継されないので、使いたいて構築していて安全そうに見えるが、ルアップルータの機能として、バケッサービスが使えない可能性があるので FW と内部の Router が同じになっているトフィルタリングがない、あるいは不十分な場合は、図 10 のようなネットワ注意が必要となる。ので、スクリーンドホストアーキテクチャ相当のファイアウォール構築になーク構成にして、 *BSD B 。 x でバケッダイアルアップルータ + * BSD Box の場合トフィルタリングを行うとよいだろう。り、境界ネットワークを利用したスク以上のように、機材の組み合わせ方ダイアルアップルータと * BSDBox のリーンドサプネットアーキテクチャのファイアウォール構築 ( 図 1 1 ) と同じによって、いろいろな構築方法が考え場合は、図 9 のような構成で構築可能安全性とはいえない。られるが、セキュリティ方針や管理方である。針を考慮し、それぞれの利点を生かし、この構成は、スクリーンドホストアダイアルアップルータと * BSDBox の場合の構成では、ダイアルアップルーそれぞれの欠点を把握して、構築するーキテクチャになる。とよいだろう。 ISP Dialup Network ppp I/F ダイアルアップルータネットワークサーバを運営する上では、以上のようにファイアウォールを構築してセキュリティレベルを高めても、それぞれのサーバープログラムのセキュリティに関しては注意深く意識しておく必要がある。 DARPA ( 国防総省高等研究計画局 ) によって設立された C E RT/ C C (Computer Emergency Response Team Coordinat10n Center) と呼ばれる、コンピュータセキュリテイや侵入行為を監視し、ユーザーに危険を知らせるための機関があります (http://www.cert. こでは、セキュリティ情報・資源の供給センターとして、情報セキュリティの一般の評価やコンピュータセキュリティの問題への対策・警告・分析などの情報を提供している。 CERT Security Advisory として、インターネットサーバープログラムのセキュリティホールに対する技術報告が正式に提供されているので、 OS のアップグレードまで解決されない問題は、この報告を参考に即時に対応することが望まれる。 LAN I/F Personal LAN ロロ *BSD Box 図 9 ダイアルアップルータと * BSDBox の場合 ( 1 ) ISP Dialup Network ダイアルアップルータ ppp I/F 00 ' ダイアルアップルータと * BSD Box の場合 ( 2 ) org/) 。象第 DMZ Network *BSD Box Personal LAN 一ゞし / 30 B magazin 20 0 N 5

6. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

集皀 SU で物明を作るプダイアルアップサハの構築 FreeBSDC 福島茂之 /Shigeyuki Fukushim shige@ FreeBSD. 0「g ノを、ネルを再コンパイルする必要がある。装された ipfirewall(4) と呼ばれる IP バケットフィルタリングやリダイレクティングなどの処理を行う機構をコントロ a) options IPF 旧 EWALL バケットフィルタリングのためのコこでは、 FreeBSD の PC で ISP ( イールするコマンドである。ードをカーネルに組み込むンターネットサービスプロバイダ ) にこの ip ⅱ rewa Ⅱを使って、ファイアウォールを構築していく。ダイアルアップ接続をするためのサー b) options IPF 旧 EWALL VERBOSE 今回構築するファイアウォールのネバケットフィルタリングの syslogd バーを構築する際の設定方法について ( 8 ) を通じたロギングを有効にする。ットワーク構成を図 1 に示す。 FW ホス解説する。ダイアルアップルータとこの設定を有効にした後に、フィトでは、バケットの転送を行い、ファ FreeBSD マシンを併用し、ダイアルアルタリングのルールにログを取るよイアウォール機能は、バケットフィルップルータで NAT/IP Masquarade を行うに指定をすれば、ルールごとのロタリングを用いて実現する。い、 FreeBSD マシンでファイアウォーギングが可能となる。 FreeBSD の場合、バケット転送機能ルを構築する際には、「 IPFW を用いたを有効にするには、 /etc/rc. conf に以下ファイアウォールの設定」のみを参照 c) oprions IPF 旧 EWALL_VERBOSE の設定を追加する ( リスト 1 ) 。してもらいたい。凵 M = 1 OO バケットフィルタリングのロギング以下、 IPFW の設定について述べる。のバケット数を制限する。この指定により、バケットフィルタリング旧 FW を有効にするのロギングをついた D 。 s 攻撃 FreeBSD でこの IPFW を有効にするに FreeBSD には ipfw(8) (/sbin/ipfw) と (Denial of S ervice Attack) を防ぐこは、以下のオプションをカーネルコンフ呼ばれるコマンドが標準で附属していとができる。ルールごとのログがこィグレーションファイルに追加し、カーる。この ipfw は、 FreeBSD kernel に実こで指定された制限数に達すると、そのルールに関するロギングは停止する。ロギングを再開するには、 ipfw ( 8 ) を使って、はしめにこでは、マリスト 1 /etc/rc. conf 追加分 gateway—enab1e="YES" ISP DiaIup Network X. Y. Z. x / 24 # ipfw zero く丿レー丿レ番号 > としてカウンタをリセットする。以上のカーネルコンフィグレーションオプションをカーネルコンフィグレーションファイルに追加して、カーネルの再構築を行ってもらいたい。 FreeBSD Box FW ( フィルタ十ゲートウェイ ) Personal Network 192.168.0. x / 24 図 1 ネットワーク構成 BSD magazine 2000 No. 5

7. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

集皀 SU で物了を作るプの方式になっているが、ダイアルアップでリモートの XI 1 クライアントをローカルの X11 サーバーに接続して利用するのは、帯域的にも無理があると考えられるため、今回は X11 サービスは使わないことにする。また、外出時にネットワークに接続された家のホストにインターネット経由でアクセスし、ホストにある情報を入手したい場合がある。このような場合のために、以上の TCP コネクション以外に、 SSH と HTTP に関して外からアクセスできるようにしておく。外部からの、 22 番ポート (SSH) と 80 番ポート (HTTP) に対する TCP コネクション開始要求を許可するように設定する。以上に挙げらた以外の外部からの TCP コネクション開始要求に関しては、すべて拒否するようにし、すでに確立 ppp I/F LAN I/F されている TCP コネクションは許可するようにする。さらに、 S unRPC や NFS のような UDP を用いたコネクションレスプロトコルのサービスはセキュリティ上脅威となるので、基本的にすべてプロックする。また、 NTP ( Network Time protocol) により、サーバーの時計を合わせをするためには、 123 番ポートからくる UDP バケットを許可するようにする。さらに、 Archie (Prospero Directory service) サービスを使用するには、 191 番ポートと 1525 番ポートからくる UDP バケットを許可するようにする。最後に、内部ネットワークからのパケットに関してはすべて許可するようにし、それ以外のバケットに関しては、すべて拒否するようにする。 ISP Dialup Network ダイアルアップルータ Personal LAN 図 7 ダイアルアップルータのみの場合 ISP Dialup Network *BSD Box Personal LAN 図 8 ターミナルアダブタと * BSD Box の場合 LAN I/F ppp I/F ファイアウォールの構築今回、ファイアウォールの構築に用意できる機器として、ダイアルアップルータまたはターミナルアダブタ、さらに、 *BSD Box マシンを考える。これらの機材を使って、ファイアウォールのいろいろな構築パターンについて考えてみよう。ダイアルアップルータのみの場合ダイアルアップルータのみの場合は、一番シンプルな構成になる。ダイアルアップルータにバケットフィルタリングの機能がある場合は、図 7 のような構成で構築可能である。この構成では、ルータが外界にさらされた部分なので、ルータの設定などのセキュリティを高めておかなければならない。外から中のマシンへの接続については、ダイアルアップルータがポートフォワーディングの機能を持っていれば、ルータのポートに接続してきた要求を内部のあるマシンのポートにマッピングすることで実現できる。ターミナルアダブタと * BSD Box の場合ターミナルアダブタと * BSDB 。 x の場合は、図 8 のような構成で構築可能である。この構成では、 *BSD Box の使い方として、 2 種類の方法が考えられる。 1 つはバケット転送機能を有効にしてルータ的に使用し、バケットフィルタリングを行って、ファイアウォールを構築する方法である。もう 1 つは、 *BSD B 。 x のバケット転送機能を無効にして、デュアルホームホストアーキテクチャでファイアウォールを構築する方法である。この場合、 DeIeGate などの proxy サービスを * BSD B 。 x で提供する必要がある。また、外からの *BSDBox の防御には、バケットフィルタリングを BSD magazine 29 2000 No. 5

8. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

寺集皀 SU で My を作るプドを発行する必要があるかもしれない。たとえば、 IO-DATA 製の PCINSII-128 を使用して 64KB 通信を行う場合は「 ATZEOX2&Q2 」を発行する必要がある。その場合は以下のような記述を行っておけばよい。に置くことにする。こでは /etc/ppp/chat/— けば良いが、ァイル内で指定された位置に置いてお chat スクリプトに関しては peers / ~ フ /etc/ppp/chat/ スクリプトの設定 ABORT "BUSY" 述する。ている。次に chat スクリプトの例を記こでは ispdialup という名前を流用し chat ファイル名は自由に付けていいが、し、 chat コマンドで制御を行っている。 /etc/ppp/chat/ispdialup ファイルに用意ム /TA 制御用の AT コマンド設定はを使用している。また接続の際にモデこの場合、接続の際の認証には PAP が行われるようになる。 ispdialup 」と実行するだけで ppp 接続 ABORT ABORT "NO ANSWER" ABORT "NO DIALTONE" ABORT "ERROR" "NO CARRIER" AB ORT AB ORT ABORT ABORT ABORT "NO CARRIER" "ERROR" "NO DIALTONE" "BUSY" "NO ANSWER" " at " OK " atdt (OX) AAAA—BBBB C ONNECT *r*n 接続先の電話番号は「 (OX)-AAAA- BBBB 」と仮定している。この部分は適宜設定する必要があるだろう。また環境によっては最初に特殊な AT コマン "atzeOx2&q2" OK " atdt (OX) AAAA—BBBB" C ONNECT *r*n /etc/ppp/pap-secrets の設定 pap-secrets ファイルには PAP 認証の際に使用するユーザー名 / パスワードの情報を記述する。たとえばユーザー foo 、パスワード : bar で接続する場合には以下のような記述を行う。 f00 * bar を使用することで接続先サーバーを特名」「パスワード」となっており、「 * 」左から順に「ユーザー名」「サーノヾーー意することで複数の接続用ユーザー / パ中には接続に用いる設定を 1 行毎に用定しないことができる。このファイルスワードを記述することもできる。 /etC/PPP/iP-UP の設定接続に成功した際に自動的に処理するスクリプトを記述する。たとえば r 。 uting 設定を変更したり、 POP でメールを取得したり、 rsync で外部のファイルと同期を取ったり等、シェルスクリプトに記述することで自動実行が可能となる。 /etc/ppp/ip-down の設定接続が切れた際に自動的に処理するスクリプトを記述する。特に外部ネットワークへの問い合わせを行わないようにするための設定変更等を行うことが多いだろう。こまでの設定を行えば、手動で ISP へダイアルアップ PPP 接続を行うことはできるようになるが、今回の目的は " ダイアルアップルータ " の構築である。ダイアルアップルータというからには利用者がダイアルアップ作業を意識せすに接続 / 切断できて欲しいものである。 pppd を使用した場合でも、外部へのバケットをトリガとした自動 PPP マリスト 2 /etc/ppp/peers/ispdialup-demand の設定 /dev/dty03 demand : 192. 168.2. 1 ipcp—accept—local ipcp¯accept—remote noipdefault defaultroute idle 90 noauth connect 'chat —v -f /etc/ppp/chat/ispdialup' papcrypt netmask 255.255.255.0 user f00 2000 No. 5 BSD magazine 57

9. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

無事起動したら、 sw 叩の動作確認をしてみよう ( 画面 2 ) 。マリスト 8 /etc/remote たら、次はこれをダイアルアップルーディスクレスクライアントが起動しタとして機能するように設定を行おう。 TA と DN アダブタカードの接続 ISDN アダブタカードのケープルを TA の s 点端子に接続した後、 ISDN アダブタカードをカードスロットに挿入し、カードが com ? として自動認識されるの thunder : dv=/dev/ttyOI : br # 115200 : pa=none : dc : マリスト 9 /etc/ppp/options debug lock マリスト 1 0 115200 crtscts modem マリスト 1 1 ttyOI /etc/ppp/options. tty01 /etc/ppp/peers/biz_ip8 defaultroute connect ー /usr/sbin/chat noauth user hoge@xxx.sphere.ne 210.136.4.81 : ( 注 2 ) netmask 255.255.255.248 persist は 3 ) —v -f /etc/ppp/peers/biz-ip8—chat' ( 注 1 ) 注 1 ”フレツツ・ ISDN " 利用の場合、 ISP 名まで必要。注 2 "BIZIP8" の場合、 local 側 IP アドレスだけルータのグローバル IP アドレスで決め打ちする。ダイアルアップ環境の場合は n 。 ipdefault を用いる。注 3 切断された場合に再接続を試みる。常時接続でない人には禁断のオプション。マリスト 12 /etc/ppp/peers/biz_ip8_chat ECHO ON ABORT "BUSYtt ABORT "NO**sCARRIER" ABORT "ERROR" OK "AT!C0=4!P=1" ( 注 1 ) OK " ATD 18603xxxxxxxx " TIMEOUT 40 CONNECT ( 注 2 ) 注 1 利用する ISDN アダブタカードによって異なる。注 2 フレツツ・ ISDN の場合、 NTT に指定されたアクセス用電話番号。マリスト 13 /etc/ppp/chap-secrets hoge@isp ・ ne ・ JP * xxxxxxxx を確認したら、 # cd /dev # . /MAKEDEV t t y 1 と、 ISDN アダブタカード用にシリアルデバイス tty01 を作成する。次に、接続テスト用に /etc/remote にリスト 8 のような行を追加し、 tip コマンドを実行する。こで AT コマンドが *d する ) (tip コマンドから抜けるには、 ~ を押したあと OK connected # tip thunder : 利用できれば OK である。そちらも参考にして設定などをチェップタカードとの交信ログが残るので、は、 /etc/ppp/connect-errer に ISDN アダどうか試してみる。もし失敗した場合として、ダイアルアップ接続できるか # pppd call biz—ip8 こまで設定できたら、からは見ることができないようにする。ンを 600 などにして r 。。 t 以外のユーザーッショこのファイルは、必ずパートとパスワードの組を記述する注 17 。スト 1 3 ) には、プロバイダのアカウン CHAP 認証ファイル ch 叩 -secrets ( リ記述するのである。イアルアップするための AT コマンドをのマニュアルに従い、初期化およびダ述する。これは、 ISDN アダブタカードイアルアップするための接続手順を記 chat スクリプト ( リスト 1 2 ) にはダト 9 ~ 11 のようになる。ダイアルアップのための設定はリス DN アダブタカードの設定注 6 の認証方式カ B magazin 20 0 N 5 0

10. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

集 00 で M)YJ 衂 0 霧ツ等を使用して、 NTP サーバーへの TCP / IP レベルでの接続が可能なことを確認したら、 ntpd なり xntpd なり存在するほうを r 。。 t で実行してみる。もし時刻のずれがあまりに大きい場合は時刻の同期ができないので、あらかじめほぽ正しい時刻に合わせておくとよい。動作確認を行ったら、次に ntpd/ xntpd の自動起動を設定する。 NetBSD-current であれば、 /etc/rc. conf にリスト 2 のような行があるので、変更する。 NetBSD 1.4. x の場合はリスト 3 のようになる。 FreeBSD での設定に関マリスト 2 /etc/rc. conf (NetBSD-current の場合 ) xntpd—flags= 回構築した NTP サーバーと時刻の同期で、同一ネットワーク内のマシンを今ンは NTP サーバーとして利用できるのこうして ntpd/xntpd を起動させたマシうに設定すれば良いはずである。するスクリプトを起動時に実行するよ様な方法を取るか、 ntpd/xntpd を起動他の OS に関しては未確認だが、同しては、 / etc / rc. conf に次の一行を追加すればよい。 xntpd—enab1e="YES" nt pd=NO nt pd=YES ntpd—flags= ntpd—flags= 変更する v リスト 3 /etc/rc. conf (NetBSD 1 .4. x の場合 ) xntpd=NO xntpd=YES ・変更する xntpd—flags= -P /var/run/xntpd ・ pid" -p /var/run/xntpd. pid" を行うようにすると良い。その場合は /etc/ntp. conf の server の行の記述を変更するだけで済む。他が Windows 系や Mac 等で構築されたネットワークでも Windows や Mac で動作する NTP クライアント等が存在するので、そういうものを利用して同期を取っておくと良いだろう ( 図 1 ) 。 ntpd/xntpd はサーバーに対して polling しながら時刻の同期を取るため、インターネットへ専用線等で繋いでいる場合は何も考える必要がないが、ダイアルアップ環境の場合はいくっか注意する必要がある。たとえば外部へのバケットを検出して自動ダイアルを行うような設定を行っている場合は、 NTP の polling バケットでダイアルしたりといった事が起こるので、意図しない接続を行わないようにダイアルアップ環境全体の設定を十分考えておく必要があるだ ( 外部の ) NTP サーバーこのマシンのみ外部の NTP サーバーと同期を取る自前の NTP サーバー ( A ) Windows Mac FreeBSD Solaris HP-UX NetBSD Linux これらはすべて「自前の NTP サーバー ( A ) 」と時刻同期をとる図 1 起動した NTP サーバーと同期を取る 2000 No. 5 BSD magazine 709