NAT - みる会図書館

1. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

寺集皀 SU で My Se 内 0 了を作るツら外部 ( インターネット ) へのアクセたり、 ppp 接続以外でも NAT を使用で図 1 のような構成を仮定すると、 pc きるように汎用的な natd を用意したりスが可能となる。しかしながら NAT のから外部ネットワークへのアクセスは仕組み上、一般に外部から内部の特定 192.16.1.254 をゲートウェイとして利用している。 NetBSD では pppd に組み込のマシンへの接続については困難であまれてはいないが、 IP filter の中の ipnat する。通常のネットワークであれば、コマンドを使用することで NAT を実現る。これに関しては外部からアクセス 192.16.1.1 というアドレスが外部へ流れさせたいケースよりも、むしろ逆に外できる。これは OpenBSD でも同様で、てしまうが、 NAT を経由したアクセス部からアクセスさせたくないというケ BSD / OS での状況は確認していないが、の場合は、グローバルアドレスである IP filter は利用できるはずなので恐らくースのほうが多いだろうから、この点 A. B ℃ . D という値に変換されてバケッ ipnat の利用もできるはすである。それが必ずしも弱点とは言えないのかもしトカ毓れる。外部の接続先から見ると、ぞれの具体的な設定はオンラインマニあたかも A. B ℃ . D ( つまり NAT BOX) れない。ュアル等を参照するか、本誌の特集に今後 128bit という広大なアドレス空からの接続に見える。またこの仕組み参間を持っ IPv6 への移行が完了すれば、もいくつかの例が載っているので、をさらに利用すると、グローバルアド考にするといいだろう。 NAT の必要性はなくなっていくのではレスを一つ取得するだけで、プライベートアドレスを持っ複数の環境から外ないかと思われるが、現状の IPv4 べースの TCP / IP 環境で外部ネットワークと部へのアクセスが可能となる。たとえの接続を行う場合には当面必須とも言ば PCI ( 192.16.1.1) と PC2 ( 192.16. える機能であろう。 1.2 ) の 2 台から外部向けのバケットに最後に NAT の実装に関して簡単に触関してアドレス変換を行うこともできれておくことにする。 NAT の実装例にるのである ( 図 2 ) 。はいろいろなものがある。 Linux におけこの機能を利用すれば、ダイアルアる IP Masquerade 等は NAT の代名詞といップ環境で IP アドレスを一つしか取得できないようなケースでも技術的には注 3 える程有名である。 FreeBSD では IIJ- ppp を機能拡張して NAT 機能を持たせ複数の異なる IP アドレスを持つ端末か 192.16.1. x ネットワーク A. B. C. D NAT BOX PC2(192.16.1.2 ) ※ 192.16.1. x ネットワーク上から外部ネットワーク向けのバケットは NAT BOX にて A. B. C. D に変換されて外部へ出て行く。図 2 NAT によるアドレス変換注 3 プロバイダ等によってはこのような接続を禁止している場合もあるため、「技術的には」と書いている。 BSD magazine 2000 No. 5

2. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

集でうが可能であるが、 ppp の nat 機能では、もあるように、 ppp に対して NAT 機能 6000 番に変更してローカルネットワー一組のホスト間の転送しかできない。を追加 / 拡張された方である。なぜ、クに送り出している。 HostA では 6000 ポートを使ってコネクションを張って RealAudio などを扱うことができないサより多くのサービスを natd で扱うためにービスが存在するのかは、佐藤氏のきたことから、 HostA ではディスプレイ番号 0 の x サーバーに HostB の x クライこまでの説明でまったく触れてい「 iij - ppp を NAT 対応にする技術情報とアントを張り付けることになる。詳細」のページなかったが、実は natd によって、ネッもし、別のホスト Hostc ()P アドレトワークを介したすべてのサービスを http : //configure. sh/FreeBSD/NAT/ ス : 192.168.0.3 ) に対しても同様な設中継できるわけではない ( これは他の nat2. html 定をしたければ、 /etc/natd. conf に NAT を実現する方法でも同様である ) 。一部の特殊な通信形態を持っサービを参照すると良いだろう。これを読むス、たとえば、 RealAudio の通信形態と、 ppp の NAT 機能の拡張に苦労され redirect-port tcp 192.168.0.3 : 6000 6011 などは現状の natd では扱うことができているのがわかる。このときの経験をを追加し、 natd を再起動する。そして兀に、 libalias の NAT 機能の拡張を試みない。そこで、佐藤淳一氏は、 natd ( 実際外部のホスト上でのディスプレイ番号られていて、その第一段が、この Real は libalias というライプラリ ) を ReaI は 11 を使うことになる。 system の対応なのである。ちなみにこの方法は、 ssh を使う方法と比べ、 system (ReaIAudio 、 RealVideo の rtsp 、佐藤氏によって ppp で利用可能になっ pna の UDP 転送 ) 対応にするためのパ転送先のホストを増やしたり変更するていたサービスは、 CU-SeeMe 、 ReaI たびに、 H 。 stGW の設定を変更する必ッチを作成し、それを次の URL で公開 Audio 、 VDO Live Video 、 DiabIo 、要があることが欠点である。また、当 QuickTime4 であり、今後は、これらのされている。サービスが natd でも順次利用可能にな然であるが、この方法では、 HostA か http : //configure. sh/FreeBSD/ ることであろう。なお、佐藤氏の NAT ら H 。 stB の経路がすべて信頼できる extend—libalias—j . html ( 盗聴されていない ) という保証のある機能は、 4. O-RELEASE 以降では ppp への改造は行われず、ⅱ ba ⅱ as への対応の場合に使うべきである。佐藤淳一氏と言えば、「ダイアルアッちなみに、 IPFiIter でも同様な設定みにするそうである。プサーバーの構築」の節に FreeBSD の旧 F ⅱ te 「による NAT の実現方法 FreeBSD には、 ipfw と natd を組み合わせた方式以外にカーネルの再構築「ダイアルアップサーバーの構築 NetBS D 編」 ( 以後、旧 F ⅱ te 「を利用可能に「 NetBSD 編」と略すことにする ) で紹介された旧 FiIter も標ンフィグファイルに加え準でインストールされている。もちろん、これによって、ゲ構 natd のところで kernel のートウェイに NAT 機能を持たせることも可能である。また、らを参照してもらいたい。旧 F ⅱ ter は多くの OS に移植されているので、 FreeBSD でもこ再構築すること以外 ( れを利用することがあるだろう。そこで、ここでは旧 Filter をール ipl.ko を用いた NAT 機能の実現方法を簡潔に示す ( 詳しくは NetBSD 編を参照 ) 。なお、ここで示す実例は、「 FreeBSD の ipfw と # kldload modules/ip natd による NAT の実現方法」の図 1 の環境を想定し、また、その設定により「 NetBSD 編」と同じように基本的な機能のとしてロードすることでみ実現している。ーめに、リスト 1 のエントリをコーネルを再構築する。 ipfw と、を簡単に示したのでそちこめのローダブルモジュ 00 ハになる。リイ 7 BSD magazine 2000 NO. 5

3. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

、」 0 0 z て 0 E CO ー大の空間には「プライベートアドレス」る際にバケット内の IP アドレスやポー最近のダイアルアップルータにはと呼ばれるアドレスが予約されており、ト番号等を変換するのであるが、この NAT (Network Address TransIation) と外部のネットワークにバケットを流し機能がなぜそれほど重要となっている呼ばれる機能が用意されていることがたりしなければ自由に利用できるため、のであろうか ? 多い。これはそもそもどういうものこのアドレス空間を使用することで必か ? またこのような機能が利用されその理由の最大のものとして、 IP ア要な IP アドレスを割り当てるケースがドレス空間の枯渇が挙げられる。 1Pv4 るようになった背景にはどういうもの多い。しかしながらこの空間のアドレが設計された時点では 32bit の空間といがあるのだろう注 1 。スを使用している限り、外部のネットうのは途方もなく広い空間であったか NAT 機能が流行りだしたのは比較的ワークとの接続を行うことはできない。もしれないが、現在のように pc が普及最近である。しかし最近のルータであこの問題を解決するために NAT を使れば、この機能は当たり前のように付しネットワーク接続が一般的になり、用することができる。外部接続向けのさらに従来は IP アドレスを付与しなか属している。 NAT とは一言で言えばったような機器でさえ遠隔管理用にグローバル IP アドレスを取得しておき、 TCP/IP 通信を行うような時代である。外部接続時にはプライベートアドレス甲アドレスを変換してしまう機能のことをそのアドレスへ変換することで対応当然 32bit の空間での破綻は目の前にあるといえるかもしれない注 2 。この 32bit する。である。ルータ等がバケットを中継す内部ネットワーク ( 192.16.1. x) A. B. C. D ( グローバルアドレス ) te 「 net ( 外部ネットワーク ) グローバル旧アドレスを使用 NAT BOX したネットワーク 192.16.1.254 ー PC ( 192.16.1.1 ) 同様上社れ名称に灯 IP Ma 、 querade 」というものがある。これは Li 。。、で実装された NAT 機能の名称であるが、実装される時期が早か。たこ注 1 N の名称を NAT 同義語として使用したりする人もいる。に破綻していう意見もあるかもしれない。注イ 0 B magazine 20 C) N 図 1 ここで仮定するネットワークの構成 5

4. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

集皀 SID で M ッ明作るツ (ISP との接続部分 ) と外部向けサーバーとの通信をフィルタリング処理をしっっさばければよい。ここは * BSD を搭載するならば、複数枚の PCI タイプのイーサネットカードをさした lntel pc を用意するのが低コストで簡単である。複数枚の ISA タイプのイーサネットカードの場合は、それぞれを利用するためにカーネルの再構築が必要となることが多く、 IRQ や IO 空間リソースの配分を注意深く考える必要がある。 PCI スロットの 2 つ以上をイーサネットカードで塞がれるので、 BookPC や IU や 2U クラスの薄いラックマウント型ケースの pc などを利用する場合、 PCI スロット数が不足することがある。マルチボートイーサカードである PLANEX 社 FXP- 4AT 注 14 は * BSD から使用できる数少ないカードであったが、どうやら販売終了したようで非常に残念である。当然内部ルーター部分でも、 ipfil のようなフィルタ機能は必須である。さらに、内部利用者計算機から The lnternet へのアクセスを行う場合、内部ネットワークが Private IP Address であれば、なんらかの中継作業が必要となる。この中継手段には、上で挙げた NAT 、 delegate の他に、 socks 注 15 、 squiclm6 などが利用できる。機器間接続装置各計算機やルーター同士を繋ぐネットワーク接続としては、ほとんどが IOOBASE-TX か IOBASE-T によるものになるだろう。古いワークステーションなどを利用していると、 10BASE-2 や IOBASE-5 の場合もあるが、 10BASE-2 ポートを持つ HUB や MAU を使用し、一基本的には IOBASE - T に変換して接続するとよい。・ PLANEX EH ー 802a 注 17 ・ ContreCOM 210T series 近年、 IOOBASE-TX/IOBASE-T 自動切替機能付ィーサネットスイッチングハプが非常に低価格化している。ある二つの計算機間の通信が別の計算機から観測しにくくなることもあり、できる限りスイッチングハプを導入するほうがよい。ただし、 8 ポートクラスのイーサネットスイッチングハプでも、意外と消費電力が大きく、 AC アダブタタイプの場合、かなり大型のアダブタに注 18 CATV インターネット地域系 NTT に関係なく 24 時間繋ぎつばなしにできる CATV インターネットは、その低価格と高帯域ゆえに爆発的にユーザーが増加している。ケーブルモデムは、基本的にはブリッジでありルーターではないが、旧しか通さないなどのちょっとしたフィルタ機能がついているようである。しかし、 ISDN ルーターのようにユーザーが自由にコントロールできるフィルタ機能があるわけではない。さて、このような CATV インターネットの場合、ケーブルモデムに接続した計算機は、大抵の場合 CATV 会社の DHCP サーバーか引 P address をもらって通信を行うようになってこで、与えられる旧 address が、いわゆる GloballP いる。 address の会社 (ZAQ など ) と、 CATV 会社に NAT が導入されていて各ユーザーには P 「ⅳ ate 旧 address が割り振られる会 http: ″ www.allied-telesis.co.jp/products/product/trans/21 Ot/ http://www.planex.co.jp/product/hub/eh802a.html http://www.squid-cache.org/ http: ″ www.socks.nec.com/ http: ″ www.planex.cojp/product/adpter/fxp4at.htm 社 ( 東急 CATV など ) があるようだ。特に後者の場合、 NAT のため、 The ternet からのアクセスを受け付けるのが困難しかし、 DTCP ( 1 1 0 が発展してきており、そスを提供することがでに際しては、したりすることをただし、ので林 CAT る。、、、参照 ) のような tunneling 技術なでも、外部向けサービてきている。立ロ 0 サービスを提供ろもあるので、契約きちんと読む必要がある。残念ながら、 CATV 会社也域社なので、困った規約があっても契約する会社択る自由はほとんどないのが注 14 注 15 注 16 注 17 注 18 実情なのが残念なところ。あ 2000 No. 5 BSD magazine 23

5. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

集 M ッ了を作るプ collection で用意されている ports/net/ 適用するには、 ipfw(8) コマンドで、 ppp-nt の ppp である。標準コマンドの # ipfw —f flush /usr/sbin/ppp では、現在、 -nat オプショ # ipfw /etc/ipfw. conf ターミナルアダブタを使って、 ISP にンにより、 Iibalias(4) を用いた NAT 機能が拡張されている。 ports/net/ppp-nt ダイアルアップ接続する際には、 Free とする。 ( 以下 ppp-nt) は、 2.2.7-RELEASE に付 BSD Box にターミナルアダブタをシリ実際は、 OS の起動時に直ちに有効属していた ppp ( 8 ) (/usr/sbin/ppp) をベになるように、 /etc/rc. conf に設定してアル接続し、 ppp ( 8 ) を使ったダイアルースに、 NAT 機能とタイムスケジューアップ接続の設定をする必要がある。おくのがよいだろう。そのようにするル機能を加えた ppp である。この頃の ppp ( 8 ) コマンドは、大野俊治さんには、リスト 5 の設定を /etc/rc. conf に追 (tony-o@ii.」.ad.jp) の IIJ-PPP と呼ばれリリースに付属している ppp(8) では加する。 NAT 機能が十分に追加されていなかっる、トンネルデバイスを使ったユーザ firewall_enable は ipfirewall を有効にたため、佐藤淳一さん (junichi@con ーランドの PPP プログラムをベースに機するかどうかの指定である。この値が能追加・改良を加えていったものであ " YES " であれば、以降の設定が有効に figure. sh 、 http://configure.sh/FreeBSD/ NAT/nat. html) によって、 NAT 機能がる。なる。拡張されたものだ。また、 NTT のテレ FreeBSD では 2 つの種類の ppp コマン firewall—script は ipfirewall の設定を口ホーダイサービスの普及に伴い、山本ードするためのスクリプトの指定であドが選択可能である。標準コマンドと茂さん (shigeru@bremen.or.jp 、 http. して付属している /usr/sbin/ppp と ports る。特に特殊なことをしたい場合でない限りは、 FreeBSD 標準で用意された /etc/rc. firewall を使用するとよいだろう。 firewa11_enab1e="YES" firewall—type は、 firewall—script で指 firewall—script="/etc/rc. firewall" 定されたスクリプト中で使用される変 firewall—type="/etc/ipfw. conf " 数だ。 /etc/rc. firewall スクリプトでは、 firewa11—quiet="YES " open/client/simple/closed/UNKNOWN/ ファイル名のいずれかのタイプになる。上記の例では、ファイル名のタイプで使用している。 firewall—quiet は、 ipfw でフィルタリングルールをロードしたときにコンソールに表示しないかどうかを指定する。この値が、 " YES " であれば、コンソールに表示しない。 /etc/ipfw. conf のセキュリティ配慮と同様にこではコンソールに表示しないという設定にする。上記のとおり設定した後にマシンを reboot すると、バケットフィルタリングが有効になる。現在、設定されているフィルタリングルールは、 an タ : ルマリスト 5 /etc/rc. conf 追加分表 1 ネットワーク環境接続工ントリ名 ispdialup COMI (si00) n0 ISDN 同期 64K ( B チャンネル ICH ) OX-AAAA-BBBB 、 OX-CCCC-DDDD f00 bar PAP ℃ HAP 両方サポート TA を接続するシリアルポート使用するトンネルデバイス接続速度旧 P アクセスポイント旧 P アカウント名旧 P パスワード名旧 P アカウント認証方法 ISP Dialup Network X. Y. Z. x / 24 tunO COM 1 (sioO) FreeBSD Box edO: 192.168.0.1 192.168.0. x / 24 Personal Network Ethernet # ipfw —a list で確認できる。図 2 57 BSD magazine 2000 No. 5

6. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

追加したい処理を記述できる。標準のもしくは設定ファイル内に //www.bremen.or.jp/shigeru/FreeBSD/pp p. html) によって、 ppp 接続の時間をサンプル設定ファイルは、 /usr/share/ 制限できるタイムスケジュール機能が examples/ppp 以下に用意されている。 enable nat yes 拡張された。 Ondemand ダイアルアップの設定は、これらの 2 つの ppp コマンドの設定はと記述することで使用できる。実際の /usr/share/exmaples/ppp/ppp. conf の若干違うので、こでは両方の設定に pmdemand 工ントリの設定を参考にす設定は、リスト 6 、 7 のようになる。ついて簡単にふれることにする。る。 ports/net/ppp-nta ppp ( 8 ) を使う前に /usr/sbin/ppp 編 Ports/Packages Collections で提供されトンネルテパイスの構築これは、標準で付属している / usr / る ports/net/ppp-nt の ppp コマンドを使用 ppp コマンドはカーネルのトンネルデ sbin/ppp コマンドを使用する際の設定する際の設定である。 N 酊機能は、設バイス (tun) を用いてユーザーランドである。 NAT 機能は - nat オプション、定ファイルに以下の書式で設定する。で実装されたプログラムなので、使用するためにはカーネルにこのデバイスが組み込まれている必要がある。そこで、カーネルコンフィグレーションファイルに、次のカーネルオプションを追加して、カーネルの再構築を行う。マリスト 6 /etc/ppp/ppp. conf default : device /dev/cuaa0 set timeout 180 set redial 10 set openmode active set speed 115200 set 10g Phase Chat LCP IPCP CCP tun command set dial "ABORT BUSY ABORT NO**sCARRIER TIMEOUT 5 \ " \ " AT \ set OK—AT—OK ATEIQO OK **dATDT**T TIMEOUT 40 CONNECT" # Syncronized PPP ( 64K ) for NEC Aterm (AT$NI=I) set dial "ABORT BUSY ABORT NO**sCARRIER TIMEOUT 5 \ " \ " AT \ OK—AT—OK ATEIQO$NI=I OK **dATDT**T TIMEOUT 40 CONNECT" pseudo—deviced tun 1 カーネルを再構築した後に、トンネルデバイスの作成を行う。 # cd /dev # . /MAKEDEV tun0 トンネルデバイスの確認は、以下のようにする。 # ifconfig tun0 tunO 診・f1agS=8010 く POINTTOPOINT , MULT 工 CAST> mtu 1500 # # # ISP Dia1up ispdialup. set phone OX—AAAA—BBBB IOX—CCCC—DDDD set timeout 0 enable predl deny lqr # NAT enable nat yes # PAP/CHAP set login accept pap accept chap set authname f00 set authkey bar # Dynamic IP for aut0 mode set ifaddr 10.0.0.1 / 0 10.0.0.2 / 0 255.255.255.0 0 . 0 . 0 . 0 add default HISADDR 、や p すンドを使う準備がで以き 9 環境、、上うよ環境とする。構成な図 2 の通りである。 p ) 設定フィル、 /etc/ppp/ た /etc/ppp ゆ pp ・でコネクンクが確された際に 20 0 N 5 マリスト 7 /etc/ppp/ppp 」 inkup YADDR : delete ALL add 0 0 HISADDR PPP ・ co linkup シ 52 、 B magazin

7. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

マリスト 3 dtcpc を起動するスクリプトはない。筆者が自宅の LAN をこの環境に移行して約二ヶ月たった。使い勝手は良好である。現在、 jp.FreeBSD.org などいくつかのメーリングリストが IPv6 で配送されるようになってきているので、プロバイダのメールサーバーを利用していたときよりも使い勝手が上がっている。職場で IPv6 が使えるか、あるいは IPv6 接続されたサーバーにアカウントがある方ならば、ぜひともお勧めしたい。そうでない場合には実用よりも趣味的な要素が強くなってしまうが、趣味と割りきって試してみてはどうだろ 0 # ! /bin/sh export PATH=/usr/10ca1/bin : /usr/bin : /usr/sbin : /bin: /sbin export LANG=C log=/var/log/dtcpc ・ 10g host=servername . hoge ・ jp while true do 、 date 、 > > $ 10g echo ruby /usr/local/sbin/dtcpc —n $host > > $ 10g tunnelroute 2 > & 1 sleep 120 done マリスト 4 DNS の設定 mx. f00. bar . jp mx. f00. bar ・ jp どこか別の場所にあるサーバー IPv6 でのみ見えるサーバー 5 〒亠〒上ャ亠 H www. f00 . bar . jp f00. bar. jp mx. f00. bar ・ jp NAT 環境の場合本文で書いたように、 DTCP は NAT 環境下では基本的に使うことはできない。ただし、 NAT のインプリメントによっては、ま tFreenet6. net でのトンネル設定、 Web で入力する "your lPv4address" には、 globa ーアドレスを入力しておく。その後、通常は Freenet . et でくれる設定スクリプトを使えばトンネルが設定されクリプトを使わずに手 NAT の下で private アドレスを持ったマシンか、外部からは動設定しなけれはならな et6. net ではリストのようある g ba Ⅱ P アドレスを持っているように見えるな情報がもらえ面のように手動設定すればよい。 pi て : e ーが応答するか . et のことがある。外部からの接続を特定の pr ⅳ ate 旧 v4 アドレスにどうか確認して、応答しオン、レ作成成功である。振る機能が NAT にある場合は、これを有効にしてみるといいに寸応するためのパッチを作 DTCP については、だろう。成してあるので、パッチラ tcpc を -n オプションっきで起動筆者環境も実はこれで、多少工夫する必要があった。すればよい。 0 ~ Ⅱ マリスト Freenet6. net でもらえる情報 3ffe:XXXX:XXXX:XXXX:0:0:0:XXXX Your IPv6 addre s s Freenet6 IPv6 address (server side) 3ffe:XXXX:XXXX:XXXX:O:0:0:XXXX Freenet6 工 Pv4 address (server side) : XXX. XXX. XXX. XXX Your 工 Pv4 addre s s : XXX . XXX . XXX . XXX # gifconfig gif0 く my private lPv4 address> く Freenet6 IPv4 address> # ifconfig gif0 inet6 く my 工 Pv6 address> く Freenet6 工 Pv6 address> prefixlen 127 # route add —inet6 default く my IPv6 address> 画面手動設定する 20 0 N 5 B magaztn

8. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

FreeBSD の ipfw とのa記による田岡智志 / TAOKA Satoshi NAT の実現方法 taoka@FreeBSD.org は・め「企業や大学にインターネットなどのグローバルなネットワークが十分整備されてきたが、最近は、 OCN 工コノミ手を画期的に向上させるために、フ勝手悪くな。てしまう。結局、使いイアウォール内に入れた計算機は使い入れることになるのだが、通常、ファ構築し、そのローカルネットワークにの軽減のために、ファイアウォールをそこで、資源の節約や管理者の負担安全対策を施さなければない。があり、そして、それぞれの計算機にするには、 IP アドレスを確保する必要多くの計算機をグローバル空間に接続る場面がずいぶん増えてきた。しかし、カードを介してネットワークに接続すでなく家庭においても、ネットワークできている。よって、企業、大学だけグローバルなネットワークが入り込んサービスが普及したことで、家庭にも、ケープル TV などの安価な常時接続紹介する。なお、これ以外にも前節 ( または FreeBSD の場合だと後述のコラム参照 ) の 1PFi1ter を用いて構築することも可能である。なお、本稿では natd は FreeBSD 以外の 0 s には移植されていないので FreeBSD のみを対象とし、また、 OS のバージョンは 4.1 ー RELEASE とする。ただし、最近のバージョンならば同様に設定することが可能であろう。 td ご 0 NA 能の機能が注 1 pp 4 ーレゲートウェイに NAT になる。この構成ーの両方を満足さなるであみう 6 そこで、 ~ 機能を持 , せるためのゲ本稿では図 1 ( 1 ) のようなネットワーク ( デュアルホームホストアーキテクチャ ) を想定して注 1 、これに対する設定例を示す。ただし、グローバルアドレスによる実例では問題の起こる恐れがあるので、外界もローカルアドレスにしている。それでは、最初に図 1 を使って natd の動作の概要を述べる。図 1 の ( 1 ) では、ゲートウェイのホスト名が HostGW で、これが NAT 機能を使ってバケットを中継している。 HostGW は、ネットワークインターフェイス ed0 とⅸ p0 をもっており、それぞれが内部および外部ネットワークに接続している。また、この図では内部ネットワークの HostA から外部ネットワークの H 。 stB への通信の様子を示しておた、図 1 の ( 2 ) の太線は ( 1 ) の返信が通る経路を示している。これらの経路の中で、注目すべき点は、 divert 注 2 ソケットと natd デーモンである。図 1 ( 1 ) および ( 2 ) それぞれの場合に、 HostGW が ed0 またはⅸ p0 で受け取ったバケットがⅸ p0 を通るまたは通ったものならば、それを divert ソケットを経由して、 natd デーモンに渡している。そして、 natd によりバケット内の IP アドレスを変換するなどの作業が行われ、外部または内部のネットワークに送り出している。もう少し詳しく見ていこう。図 1 ( 1 ) では、 ( 始点 : HostA 、終点 : HostB) のバケットを H 。 stA が送り出し、 Host GW がそれを受け取っている。このとき、 HostA のデフォルトルータは Host GW を指定しておく必要があるので注意してもらいたい。これは、ファイアウォール内のすべての計算機も同様である。これにより、外部に流す必要のあるすべてのバケットを HostGW が受け取ることになるからである。そして、 HostGW はこのバケットが、 fxpO を経由して外に送り出す必要があることを知る。あらかじめグローバル空間への出入り口であるⅸ p0 を経由するバケットは、 divert を経由して natd に渡すことにしているので、このバケットを natd に渡し、その内部の始点を H 。 stA から ee 、不ルアの節の ipfw と、 natd をデ ) い構築方法をり、その経路を太線で示している。まの意味は「注 magazin ・続する場合でも natd による NAT 機能を利用することが可能だが、この場合、本誌の福島氏による「ダイアルアップサーバーの構築 5 、方向転換する」。示した、・ p と NAT 機能付 ppp を用いるのが一般的である。 O N 2 きに

9. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

接続 ()n Demand ダイアルアップ接続 ) 制的に終了させたい場合は、単純に IP ⅱ lter に含まれる ipnat というコマンドの設定が可能である。この場合も基本 pppd のプロセスを ki Ⅱすればよい。たとを使用することで実現できる。 IPfilter 的な設定は手動ダイアルアップとほとえばテレホーダイの時間帯だけを On を利用するためには、んどの部分は共通である。違うのは、 Demand ダイアルアップするように設定 options GATEWAY peers/—ファイルで On Demand 用の接するためには、 cron で pppd の起動 / 強制 pseudo—device ipfilter 続設定を追加するだけなので、たとえ終了を行うようにシェルスクリプト等ば前述の ispdialup と同じところに対しを実行すれば良いだけである。の二つが記述された c 。 nfig ファイルをて 0n Demand 接続するための接続名を使用して作ったカーネルを使用する必て着信の設越 ispdialup-demand とするとリスト 2 のよ要があるので、ますはこの点を確認しうな設定を行えばよい。たほうがいいだろう。特に前者は demand オプションを指定する場合、自動発信が可能になったところで、 GENERIC カーネルではコメントアウト何らかの接続先の IP アドレスが必要とついでに外部からの接続も可能となるされている。その状態であってもなるため、仮の値 ( 192.168.2.1 ) を指ようにしておこう。 pppd を着信用に設定し接続時のネゴシェーションによっ定しておくことで、外出先等から自分 sysctl —w net . inet ・ ip. forwarding=l て接続後に利用するアドレスで上書きのサーバーへダイアルアップすることする。ダイアルアップ先から IP アドレもできる。ただし、この場合は対象ととすれば rebo 。 t 等しない間であれば利スが指定される場合には、 ipcp-accept- なるマシンが予め起動されていなけれ用できるが、できればカーネルを作りばならないと言う問題がある注 2 。ダイ 10Ca1 、 ipcp-accept-remote の二つカ必要直しておいたほうが良いと思う。となる。このような設定を行っておけアルアップ着信の設定は発信のときと IP filter の実行は /etc/rc. conf 中で指定同様に行った後、 options. tty00 等の着ば、することができる。信用のポート設定を用意する。最後に ipfi1ter=NO /etc/ttys で getty の代わりに pppd を使用 pppd call ispdialup-demand ipnat=NO するようにしておけば良い。たとえば ipmon=NO と予め実行しておくことによって、外 tty00 を着信用に使用するのであれば、部へのバケットを検出して自動的にダ tty00 の行をリスト 3 のように変更してと記述されている部分があるので、イアルアップ ppp 接続を行うようになおく。れらを YES に変更すればよい 0 lpmon る。この設定を行う際に注意する点と着信と OnDemand ダイアルアップをに関しては NAT を利用するだけであれしては、予期しないバケットによって組み合わせて次に紹介する NAT の設定ば不要であるが、バケットログを監視知らないうちに何度もダイアルアップを行うことで、その気になれば技術的する場合に使用することができるので、してしまうという状態を避けることでにはミニプロバイダもどき的な利用も YES にしておくといいだろう。 NAT をあ ( ' このため、ダイアルアップのき可能となる注 3 。利用するにはこれらを YES にするだけかけとなるバケットを制限するためではだめで、他にもいくつかの設定フ (active-filter 等 ) も用意ァイルを用意する必要がある。使用した ppp 接続を強マリスト 3 /etc/ttys の一部いイツ定の NetBSD で NAT の設定を行う場合、 "/usr/sbin/pppd" dialup 0 Ⅱ ttyOO 注 2 w 朝が 0 、使用、きれば外出先からダイアルアップしたときに自動的に起動して、接続するという芸当もできると思われるが、残念ながら今のと亟ぎ U On 他等を利用でる OS は筆者の知る限りでは Wind 。 ws 系のみである。よプな接続を認めそいるプロバイダが世の中にどの程度存在するかに関しては筆者はまったく確認していない。恐らくほとんどのプロバイダ三 .3 禁止していふ、ないとしても好印象を持っということはないのではないかと思う ; - p 。 58 B magazin 20 C) N 5

10. BSD magazine No.5 BSDでMy Serverを作ろう! ; Mr.McKusick特別インタビュー

dtcp を使って IPv6YeachabIet&l 環境を実現する今野元之 /Motoyuki Konno motoyuki@FreeBSD.org IPv6 over IPv4 トンネルを掘れば、自メールサーバーや web サーバーなど好宅 LAN の各マシンに IPv6 アドレス注 2 をきなことができるのだ。振って外からアクセスすることができ NTT 地域会社の IP 定額接続サービスるじゃない、そう考えたのがこの話の「フレツツ・ ISDN 」や CATV インター始まりである。さて、何が可能になるのだろうか ? ます、 IPv6 に対応した * BSD サーバネットによって、インターネットへの一言でいうと、ーを用意する。この記事では FreeBSD 常時接続がかなりの勢いで普及してきている。しかし、固定した IP アドレス 4. I-RELEASE を用いるカゞ、 NetBSD 1.5 ・自分の各マシンに世界中からアクセを振ってくれない業者は多い。 CATV ( この秋にリリース予定 ) 、 OpenBSD インターネットなどでは業者の選択の 2.7 などを使っても良いだろう。スできる。余地はほとんどないので、「出先から自次にネットワーク接続だが、サーバ宅のマシンにアクセスしたい」と思っとなる。世界中 ( 1Pv6 な世界に限られーとなるマシンに IPv4 のグローバルアても不可能汨なユーザーは多いだろう。てしまうが ) から自宅 LAN の各マシンドレスが振られていることが必要となる。その IPv4 アドレスが固定している筆者もその一人である。にアクセスすることができるのだから、は・めにものインターネットプロバイダインターネットプロバイダ IPv4 グローバルアドレス図 1 今回の記事で想定している環境 NAT サーバー lPv4 グローバルアドレス ( 非固定 ) 旧 v4 プライベートアドレス手元のサーバー図 2 NAT 環境の例当てらた IP アレを定期的にどこかの web に載せるといった工夫をしている人は結構いるようだ。ではグローノ、レ IPv レスという意味で使っている。注 1 注 B magazin 20 0 N 5