プロキシー - みる会図書館

1. UNIX MAGAZINE 1998年9月号

図 2 逆プロキシーによる、 veb サーバークラスタ ( 1 ) 逆プロキシーによる方法図 3 DNS インターネット ① Q:www.f00.dom? WWW 逆プロキシールールを書換え用 a 「 / uux/ → http;www2 f00 . dom/bar/quux/ GET/bar/quux/ Web サイトの負荷分散・逆プロキシーによる Web サーパークラスタ ( 2 ) DNS サーバーインターネット Q.www.f00.dom? 3 GET/bar/quux/ WWW 逆プロキシー www 1 バックエンド・サーバー www2 バックエンド・サーバー wwwN バックエンド・サーバー ② GET/bar/quux/ ルールを書換え GET/bar/quux/ 3 Dedicated Subnet http;www2 f00 dom/bar/quux/ a 「 / uux/ → www 1 バックエンド・ www2 バックエンド・サーバー wwwN バックエンド・サーバー DNS にもとづく方法は単純で分かりやすいが、いくっかの欠点もある。 DNS データのキャッシュと単純な BIND のラウンドロビンでは実用性カ氏い。たとえは、バックエンド・サーバーのどれか 1 つがクラッシュすれば、このバックエンド・サーバーを利用していたユーザーは、すくなくとも設定した TTL のあいだは www.foo.dom を使えない。いったんある特定のバックエンド・サーのアドレスカ吏われると、アドレス情報の期限が切れるまで同しアドレスが使われ続けるので、プラウサの Reload ボタンをクリックしても無駄である。また、ラウンドロピンはすべてのサーバーを平等に扱う。たとえは、リクエストされた URL によってバックエンド・サーバーお尺するといったことができない。 CPU への負荷の高い CGI プログラムなどのジョブを特定のバックエンド・サー上で実行したい場合にはどうすれはよいだろうか。その解決法が、、逆プロキシー " である。その名のとおり、通常とは逆方向て漣用される HTTP プロキシー・サーバーのことだ。通常、 HTTP プロキシー・サーバーは、リクエストをまとめたり ( ファイアウォールを利用する場合 ) 、帯域幅の無駄を減らすためにデータをキャッシュするといった働きをする。プラウサが http://www.foo.dom /bar/quux/ という完全 URL を呼び出すと、プロキシーがこのリクエストを親プロキシーに伝えるか、 www.foo. dom に相対 URL (/bar/quux/) を要求する。つまり、 UNIX MAGAZINE 1998.9 プロキシーは完全 URL を転送するか、それを相対 URL に置き換える。これに対し、逆プロキシーは www.foo. d 。 m サーバーとして振る舞い、相対 URL をそのバック工ンド・サーバーの完全 URL に書き換える。図 2 は、逆プロキシーとバックエンド・サーバーの位置と、 ( プラウサ他のプロキシーに対する ) Web サーーとしての重川乍を示したものである。逆プロキシーはそれ自体がリクエストを処理するのではなく、バックエンド・サーバーを決定してリクエストを渡し、その応答を転送すこでは DNS の小細工は必要ない。 www.f00.dom る。は逆プロキシー自体の IP アドレスになる。セキュリティと速度を考えて、バックエンド・サーバーを逆プロキシーの背後に位置する別のサプネット上に置くこともできる ( 図 3 ) 。こうすると、逆プロキシーとそのバックエンド・サーバー間の通信トラフィックが分離さバックエンド・サーバー用に正式に割り当てられた IP アドレスや DNS 工ントリを使う必要もなくなる。さらに、バックエンド・サーバーを企業のファイアウォールの内側に置くこともできる。逆プロキシーを使うと、十分な柔性をもったネットワーク・トボロジーの構成が可能になる。ネットワークとマシンのトボロジーを確立することでもたらされる利点は多い。第 1 に、アクセスポイントカ芍プロキシーのみになる。このため、 Web クラスタを用いて 57

2. UNIX MAGAZINE 1998年9月号

ファイアウォ = ルの作り方 . ~ 白崎博生 - HTTP プロキシー 78 による通信を成立させるように言 t 、構築する必要がありの場合、ファイアウォールの内と外とのあいだで HTTP 来どおりに使える " 環境を実現しなけれはなりません。討しているネットワーク管理者は、、、導入後も、 Web か従このような状兄のもとで、ファイアウォールの導入を検ることも珍しくありません。になりつつあり、仕事に必要な情報を Web 経由で入手すどまっていました。しかし、現在の Web はピジネスの場それらを提供する側の意識も迎未の域を越えない程度にと以前は、 web で得られる情報の多くかな未的なもので、こなわれます。ロトコルで定められた手順に従ってデータのやりとりがお HTTP (HyperText Transfer Protocol) と呼ばれるプびます。 Web サーバーと Web プラウザとのあいだでは、がありますが、これらを総称して、、 Web プラウサ " と呼 Navigator/Communicator や lnternet Explorer などするプログラムが必要です。代表的なものには Netscape にアクセスするためのユーサー・インターフェイスを提供ます。したがって、情報の検索や閲覧には、 Web サーバーターネットに接続された Web サーバー上に登録されていインターネット上で公開されている↑帯にの多くは、イン手に入るようになりました。きなかった情報が、いまではインターネット経由で簡単にんで調べたり、場合によってはお金を払わなければ入手でソフトウェアのバグ清報・・・・・・、以前はあちこちに足を運ニュース、辛府リ書や CD の新青報、レストランの情報、天気予報、交通機のダイヤ、宝くじの当選番号、時事ます。たとえば、 HTTP の通信だけを通す、、抜け穴 " や、 HTTP の通信だけを中継する、受渡しサーバー " などが考えられます。これら以外の手法もあると思いますが、の連載では、 HTTP のプロキシー・サーバーを導入するガ去を紹介します。 HTTP のプロキシー・サーノヾーと聞いて、 Squid や Delegate を思い浮カべる人もいるでしよう。これらのプロキシー・サーバーカ鯛発された目的の 1 つは、インターネットに流れる HTTP のトラフィックの軽減にあり、そのために、、キャッシュ " などの機能を備えています。 FWTK にも、 http-gw という HTTP のプロキシーサーバーカ唸まれています。 http-gw は、、シンフ。ルであること " を ; 頁において作られているので、上に挙げたプローとは違い、ホストべースのアクセス制御キシー・サーと、通信中の Java や ActiveX をフィルタリングする機能しかありません。 SSL と Secure HTTP の中継もできるようです ( 1997 年 12 月号で、 FWTK には SSL のフロキシー・サーバーがないという未のことを書きましたが、間違いでした。ごめんなさい ) 。フィルタリングの仕組みが単純なせいか、日本語の Web ページを表示させると、うまく動かすに文字化けを起こすことが ( たまに ) あります。その場合は、「はつはつは、人生楽あれはありゃなあ」と笑ってごまかすか、自分で日本語パッチを作るか、あるいは FWTK の製品版である Gauntlet を購入してください (FWTK と GauntIet の違いについては、 1997 年 12 月号を参照してください ) 。 http-gw の動イ乍 http-gw は、一殳にファイアウォール・ホスト上で 80 番のポートを受け付けるデーモンとして動作させます。 UNIX MAGAZINE 1998.9

3. UNIX MAGAZINE 1998年9月号

Web サイトの負荷分散・リスト 5 apache-rproxy. conf-servers # # apache—rproxy. conf—servers # 1ist of back—end servers which serve static # pages (HTML files and lmages , etc. ) wwwl . f00 . dom ー w w2. f00 . dom ー www3. f00. dom ー www4. f00. dom static # list Of back—end servers which serve dynamically # generated page (CGI programs 0 て mod-perl scripts) Apache/mod—rewrite selection table dynamic www5. f00. dom ー www6. f00. dom 完全な逆プロキシーを作成することにした [ 9 ] 。このパッチはノヾージョン 1.3b6 で公式の Apache ソースに組み込まれる予定だが 1 、現在利用できるのは Apache 1.3b5 である。そのため、まずオリジナルのソースコードとパッチから Apache バイナリを作る必喫がある。リスト 4 はそのバイナリを自測吽成するためのスクリプトである ( 対応するパッチと設定ファイルのサンフ。ルは URL[9] を参照のこと ) 。このスクリプトを実行すると、 apache-rproxy というバイナリが得られる。これは Apache から不要な機能を除外し、同時に欠けていた機能を追加したものである。これで逆プロキシーを作るための用意ができた。 wwwl. f00. dom ~ www6.f00.dom という 6 つのノヾックエンド Web サーノヾーのフールがあるとする。 www5.foo.dom と www6.foo.dom は CPU への負荷が大きいサービス専用とし、 wwwl.f00.dom—www4.foo.dom はおもに静的なコンテンツの処理に用いられる。これらのバックエンド・サーバーのあいだでバランスのとれたトラフィック 0 縣合かできなくてはならない。では、バックエンド・サーバーの構築を始めよう。ます、 apache-rproxy. conf-servers ファイノレ ( リスト 5 ) を作る。 static キーて清勺なコンテンツを提供するサーバーを、 dynamic キーて加勺なコンテンツ専用サーバーを指定する。 apache-rproxy バイナリを制御する実際の Apache の設疋ファイル ( 末尾のリスト 6 ) も必要である。 apache- rproxy は、ます実行時のパラメータを設定する。いくっかのログファイルを設定して、逆プロキシーのログを残しはかのファイルは作らないようにする。そして 1 調主 : しに版の Apache 1.3.0 がすでに公用されている。 1.3.0 では、 mod-proxy モジュール中の ProxyPassReverse 命令としてこの機自劼まれるようになった。 UNIX MAGAZINE 1998.9 www.f00.dom/rproxy-status という URL でアクセスできるプロキシーのオンラインステータス・モニターを起動する。そのあとに実際の逆プロキシーの設定か読く。ます、ロギングなしで URL 書換え工ンジンを起動し、次に、成疋ファイルとして apache-rproxy. conf-servers を拓疋している。そして、ステータス・モニターがバックエンド・サーバーではなく口一カルで処理されることを石忍し、インターネット上の第三者がこの逆プロキシーを標準プロキシーとして用いるのを禁止する。こまでで逆フロキシーの実装の準備か整った。ます、 CGI プログラムと SSI ページへのすべての URL を dy- namic キーにもとづいて書き換える。 www5.f00.dom か www6.foo.dom のいずれかのサーバーである。どちらを利用するかは mod-rewrite によりランダムに選択される。残るすべての URL は static キーに書かれたサーバーで処理される。書き換えた内容は、 Apache プロキシーモジュール mod-proxy から URL を送ることで有効になる。また、ログファイル用の環境変数、、 SERVER" を設定する。さらに、すべての URL か書き換えられるようにする。キャッシングなしのプロキシーとして mod-proxy か起動される。次に、 mod-proxy を逆プロキシーとして設疋する。 HTTP Location ヘッダにあるすべての URL を自分のところに迂回させるようにする。これにより、ックエンド・サーバーには妾アクセスできなくなる。サーバープロセス最後に、逆プロキシー用に必要なサーバー数 (NOS) とメモリの量 (MBR) を計算する。これらの値の算出には、 3 つの入力パラメータが必要となる。予想される HTTP の 1 分ごとの最大リクエスト数 ( RPM ) 、 HTTP リクエ 59

4. UNIX MAGAZINE 1998年9月号

・ Web サイトの負荷分散リスト 4 Apache パイナリ自動生成スクリプト # ! /bin/sh # # apache—rproxy. mk V=I .3b5 Bui1d the apache-rproxy binary echo "Unpacking Apache $V distribution tarball" 1 > & 2 gunzip く apache-$V. tar. gz ー tar xf cd apache—$V echo "Patching sources for Reverse Proxy support " 1 > & 2 patch -pl く .. /apache-$V. patch—rproxy >/dev/null 2 > & 1 Cd src echO "Configuring sources for Reverse Proxy usage" 1 > & 2 cat Configuration. tmpl ー \ sed —e 's/AAddM0du1e/# AddM0duIe/g' ー \ sed -ep 'sF [ # ] *$AddModu1e. *mod-rewrite . 。 \ ) / \ 1 / g ' ハ sed -e 'sF [ # ] *\(AddModu1e. *libproxy. ($/\l/g' ハ sed -e 'sP [ # ] *$AddModu1e. *mod-mime . 。 \ ) / \ 1 / g ' ハ sed -e ' s/* [ # ] *\(AddModu1e. *mod-status . 。 \ ) / \ 1 / g ) ハ sed -e ' sF [ # ] *\(AddModu1e. *mod-log-config. ($/\l/g' ハ sed —e ' s ;*EXTRA_CFLAGS=. * ; EXTRA_CFLAGS=DSERVER_SUBVERSION= \\"rproxy\/l . 0 \ \ " —DBUFFERED-LOGS -DDYNAMIC—MODULE_LIMIT=O ; g' 八 cat >Configuration . /Configure >/dev/null 2 > & 1 echo "Bui1ding runtime binary" 1 > & 2 make >/dev/null 2 > & 1 strip httpd cp httpd .. /.. /apache-rproxy echo "CIeaning up" 1 > & 2 rm —rf apache—$V いても Web サイトのトラフィックのロギングやモニタリングは屯になる。第 2 に、各リクエストを逆プロキシーが代表して扱うため、クラスタへのアクセスをローカルで完全に管理できる。振分けの設定は逆プロキシーのなかでおこなわれるため、設定の変更を即座に有効にすることができる。たとえは、バックエンド・サーバーのどれか 1 つがクラッシュしても、逆プロキシーの構成を変更すれば、クラッシュしたバックエンドかユーザー側でエラーとなることはなくなる。停止のときと同様に、イ夏後も簡単に再起動させることができる。逆プロキシーを実装するのに、どのようなハードウェアやソフトウェアを用いるかという問題が残されている。選才尺肢は多い。 Squid lnternet Object Cache[2] 、 Netscape[3] と Microsoft [ 4 ] の Proxy Server 、 Sun の Netra Proxy Cache Server[5] などの専用プロキシーソフトウェア・パッケージを使ったり、 CiscoSystems の LocalDirector[6] や Coyote point Systems の Equal- izer[7] など、ハードウェア・べースのシステムを逆プロ 58 キシーに利用することもできる。私は、 Apache[8] チームの一員として、実用的で安価だか柔車幻生のある高性能なシステムを開発した。バックエンド・サーバーへの大量の相対 URL リクエストを完全 URL リクエストに書き換えなくてはならないため、強力な URL 書換え工ンジンと HTTP プロキ・エンジンをもった刻鳳生のあるサーバーが必要である。 Apache の場合、フレフォーク・プロセスモデルと mod-rewrite 、 mod-proxy モジュールとして、すでにその機能が備わっている。 Apache モジュールから必要な機能を選んて組み立てなおせばよい。ランダムに URL を選ふ機能が mod-rewrite にないことか問題になった。さらに、 mod-proxy が HTTP への応答を自分自身に向ける機能も必要だった。逆プロキシーには高い性能力球められるので、もっともよく使われている専用プロキシーの Squid か雎ーの代替〕尺肢である。だが、このプログラムを逆プロキシーとして使うのはそれほど容易ではない。そこで、我々は Apache を強化して UNIX MAGAZINE 1998.9

5. UNIX MAGAZINE 1998年9月号

クライアント (Web プラウサ ) から、 http-gw 経由 # http—gw に対するルール permit—hosts 192.168.255. * http-gw : でファイアウォール外部のサーバーにアクセスするには、 Web プラウザで、、プロキシー " を使うように設定しますファイルの修正か終ったら、次のコマンドを実行して ( 設定方法は、それぞれのマニュアルを参照してくださ http-gw を起動します。い ) 。最近リリースされている Web プラウサのほとんど # /usr/local/etc/http—gw —daemon http & は、プロキシーに対応しているはすです。次に、実験用計算機上で Web プラウサを起動してプ http-gw は、このポートから HTTP リクエストを受ロキシーの成疋を変更します。 Netscape Communica- け取ると、クライアントの IP アドレスを調べます。次 tor でのプロキシーの設疋例を図 1 ー b に示します。 FTP 、に、 netperm-table に設定された内容と上交し、そのク Gopher 、 HTTP 、 SSL のプロトコルのそれぞれに対しライアントに対してプロキシー・サービスを提供するかどて、ファイアウォール・ホストの IP アドレスと 80 番うかを決定します。サーピスを拒否する場合は、ログに記ポートを設定してください ( 現在は 192.168.255.1 に名録してコネクションを切断します。一方、サービスを提供前を付けていないため、とりあえす IP アドレスを指定しする場合は、受け取った HTTP リクエストの文字列を解ています ) 。析し、リクエストを中継する先のサーバーのホスト名を調以 - ヒの準備か終ったら、実験用計算機七の Web プラべます。ここで再度 netperm-table に設定された内容とウザから、ファイアウォール外部の Web サーバーや上交し、そのサーバーにアクセスしてよいかどうかを決定 anonymous FTP サーバーにアクセスしてみます。たとします。アクセスを拒否する場合は、ログに言求してコネえは、図 1 ー a の salt 上の Web ページにアクセスすると、クションを切断します。ファイアウォール・ホスト上に次のようなログカ求されサーバーへのアクセスを許可するときは、 HTTP リクます。工ストの文字列から使用するプロトコルの種類 (HTTP や FTP 、 Gopher) を角斤し、適切なサーバーに接続し Ju1 12 12 : 00 : 28 sugar http—gw [ 2275 ] : permit host=exp. raccoon. doubutsu. CO. jp / 192.168.255.2 ます。そして、クライアントから受け取った HTTP リ use 0f gateway ( V2.1 ) クエストを適切な形式に変換したうえでサーバーへ送信し Ju1 12 12 : 00 : 40 sugar http—gw[2275] : 10g host=exp ・ raccoon. doubutsu. co. jp / 192.168.255.2 ます。その後、サーバーからデータが送り返されてくる protoc01=HTTP cmd=dir と、 http-gw はデータを受け取ってクライアントに中継 dest=salt . raccoon. doubutsu ・ CO ・ JP path=/ Ju1 12 12 : 00 : 42 sugar http-gw[2275] : します。 content—type= text/html 中継か終了すると、 http-gw は次のデータをログに記 Ju1 12 12 : 00 : 42 sugar http—gw [ 2275 ] : exit 録します。 host=exp. raccoon. doubutsu ・ CO ・ jP/192.168.255.2 cmds=l in = 2486 out=O user=unauth duration=14 クライアントのホスト名と IP アドレス次に、中継先を制限する実験をしてみます。さきはど中継先のホスト名 netperm-table に追加したルールを図 2 のように変更し中継に使用したプロトコル名ます。中継したファイル名 ( またはディレクトリ名 ) ファイルの修正を終えたら、 Web プラウザから rac- 中継したデータのバイト数 coon. doubutsu. co. jp ドメイン内のサーノヾーと、それ以外のサーバーにアクセスしてみましよう (http-gw を再動かしてみよう起動する必要はありません ) 。このように設定を変更するいつものように、 http-gw の重川テストをしてみましと、 raccoon ドメイン内のサーバーにはアクセスできますが、それ以、タ ) ドメインのサーバーにアクセスしようとます、前回作成した netperm-table ファイルに次のすると、図 3 のようなメッセージが表示されて拒否されルールを」助日します。ます。 79 UNIX MAGAZINE 1998.9

6. UNIX MAGAZINE 1998年9月号

・ Web サイトの負荷分散 FreeBSD 上の Apache の性能調整 FreeBSD 上で Web サーバーとして Apache を使っているなら、最大限の性能を得るためにさまざまなパラメータか利用できる。ほとんどのオペレーティング・システムと同様に、最初に直面する制約は、 TCP/IP の listen キューである場合が多い。これは一判勺にイ尉寺できる TCP リクエストの上限である。 2 番目に重要なパラメータが mbuf クラスタ数である。これは増やしておくべきだ。さらに、許容できる子プロセスとオープンできるファイルの最大数を増やすことができる。したがって、負荷の大きなマシンであれば、リスト A のように、カーネルの設定でこれら刎直を増やせばよい。また、カーネル構築の段階で GCC コンパイラ・フラグ -mpentium 、一 02 、 -fexpensive-optimizations 、 -fomit- frame-pointer を用いて、最大限の最適化をすることも考えられるし、最斤の EGCS による Pentium 用の GCC を使ったカーネルのコンパイルも可能た : オペレーティング・システムの整後、 Apache の生能強化もできる。以のカーネル・パラメータ設定力冬ったら、ます、リスト B-I のように、対応する Apache のパラメータ値を増リスト A 負荷の大きいマシンのカーネル最適化やしてから構築する。次に、 Apache の成疋ファイルをリスト B-2 のように調整する。リスト B Apache 生肯 —DHARD_SERVER_LIMIT=256 —DDYNAMIC_MODULE_LIMIT=O ( 1 ) —DBUFFERED_LOGS MinSpareServers StartServers MaxSpareServers MaxC1ients MaxRequestsPerChi1d KeepAIive KeepA1iveTimeout MaxKeepAIiveRequests Timeout IdentityCheck HostnameL00kups 256 256 256 256 10000 15 64 400 off off maxusers opt i ons options options options 256 SOMAXCONN=256 NMBCLUSTERS=4096 CHILD_MAX=512 OPEN_MAX=512 ストか完全に転送されるのに必喫な平均秒数 (SPR : 1 リクエストあたりの秒数 ) 、 apache-rproxy プロセスをオペレーティング・システム上で実行するのに必要な最大メモリ量 (SPS : サーバープロセス・サイズ ) である。次の式は、ソケットの処理の遅延のためにサーバーの 20 % がっねに利用できないことを前提としている。 NOS = cei1(RPM * SPR * ( 1 / 60 ) * ( 100 / 80 ) ) MBR = cei1((SPS * NOS * ( 100 / 70 ) ) / 16 ) * 16 さらに、これらの式は、逆プロキシーか利用可能なメモリのうちの 70 % しか使わず、利用可能なメモリのうちの 16MB ぶんだけを割り当てることを前提としている。たとえば、 FreeBSD 上で逆プロキシーを実行する場合 ( コラム参照 ) 、 ps か top コマンドを使ってみると、各サーノヾープロセスに 700 ~ 900KB のメモリが必要なことが分かる。そのため我々は SPS を 0.9MB とした。また、毎分ほは、 1 , 000 のリクエストがあるため、 RPM は 1 , 000 とした。 HTTP のべンチマーク 60 " \ . (htmllcgi)$> く Fi1es HostnameLookups on く \Fi1es> く Directory / > Options F0110wSymLinks A110wOverride None く /Directory> などによると、 1 リクエストあたりの処理時間は 0.5 ~ 4 秒である。そこで、 SPR を 2 秒とした。その結果、 NOS = ceil ( 1000 * 2 * ( 1 / 60 ) * ( 100 / 80 ) ) = 42 であることから、 42 台のサーバーが必要であり、 MBR=ceil ( ( 0.9 * 42 * ( 100 / 70 ) ) / 16 ) * 16 = 64 であることから、本で 64MB のメモリが必喫だと分かった。まとめ低コストのサーバーを何台か使って負荷を分散させる 2 つのガ去を紹介した。 DNS 法はオ剽勺だが、 DNS データのキャッシングの間題とクラスタ内のマシンに障害が発生した場合に対処できないという欠点がある。逆プロキシー法は、管理者か特定タスク専用のクラスタを設けることで信頼性と制彳卸のしやすさを高めている。さらに改善を試みることもできる。たとえは、逆プロキシーのスクリプトを書いて、 rsh か ssh を通じてノヾックエンド・マシンの定 UNIX MAGAZINE 1998.9

7. UNIX MAGAZINE 1998年9月号

UNiX 1998 年 9 月 1 日発行 ( 毎月 1 回 1 日発行 ) 第 13 巻第 9 号通巻 143 号昭和 63 年 9 月 5 日第三種郵便物認可 Gigabi Ethertiet 月 1998 ー 22-2.0 のシステム構成と設定 H すす P プロキシーのインストールと設定 Web サイトの負荷分散 SIackware 33.0 のインストール標準入出力を扱うプログラムの書き方

8. UNIX MAGAZINE 1998年9月号

CONTENTS 98 / 9 連載 10 16 40 63 66 78 87 95 104 107 123 134 4 UNIX Communication Notes ・・・・・山口英ネットワーク管理 ( 7 ) Network Techno gy " ・・・・播ロ陽ー Ethernet の技術 Daemons & Dragons ・・・・••WiIIiam LeFebvre デバイスドライバの作成 ( 5 ) F 「 eeBSD ノート・・・・・・浜田直樹 Socks CIient 遠隔オフィスとの接続・・・・・・荒井美千子 HTTP プロキシー・サーバーファイアウォールの作り方・・・・・・白崎博生 SIackware 3 .0 のインストールし inux でリラックス・・・・・・大崎博之テキストの操作 PERL ADV OR ・・・・・・ Rand し . schwartz N -2.0 のインストール ( 2 ) コミュニケーション用サーバーのインストールと運用・ cat コマンドプログラミング・テクニック・・・・・・多治見寿和 Windows NT のシェルコマンド ( 2 ) INTEGRATION ・・・・・・ Tom Yager Sun のアップグレード NET WORTH ・・・・・・ M. steven Baker ログインの記録・ " 小山洋一 4 COVER, CONTENTS DESIGN ・ MORIYA, KAZUO & SONOBE, MAMI (AUDREYTHE DESIGN) ILLUSTRATION ・ SONOBE, MAMI

9. UNIX MAGAZINE 1998年9月号

図 1 てきるかな ? (a) ネットワーク 192.168.1.22 192.168.1.21 192.168.1.20 192.168.1.100 ロロロファイアウォール sugar chili salt pepper 192.168.255.1 実験ネットワーク 192.168.255.2 ロ実験用計算機 exp (b) Communicator のプロキシーの言例い 1 ね yconf ′を 3 Ⅳ oxy 聞臧い員 m 物催 0 h 可社田 n をド猷 oc 載お c 日第一 P 冖 y : 、 192 .168 . 255 . 町日れ円 xy : 一ー y 師 xy 192.168.255. 町 W 用 S Y ・ t•a 社田′物田一はせ 30 引 t : う = 督 080 図 2 中継先を制限するルール —dest * . raccoon. doubutsu. CO. JP permit—hosts 192.168.255. * http—gw ・図 3 アクセスを拒否するメッセージ Access denied tO host www. 1i0Ⅱ . doubutsu. CO ・ JP Access denied tO destination www. 1i0Ⅱ . doubutsu ・ CO ・」P:80 ファイアウォール・ホスト上には、次のようなログが求されているはすです。 Ju1 15 12 : 11 : 26 sugar http-gw[2293] : permit host=exp. raccoon. doubutsu. co. 」 p / 192 .168.255.2 use 0f gateway ()2 . 1 ) Ju1 15 12 : 11 : 37 sugar http-gw[2293] : deny host=exp. raccoon. doubutsu. co . jp / 192 . 168.255.2 connect tO www. lion. doubutsu. CO ・」 p Ju1 15 12 : 11 : 37 sugar http-gw[2293] : deny host=exp. raccoon. doubutsu. co. jp / 192 . 168.255.2 connect tO www. lion. doubutsu. CO. 」 p : 80 us er=u.nknown Ju1 15 12 : 11 : 37 sugar http-gw[2293] : exit host=exp ・ raccoon. doubutsu. co. jP/192.168.255 . 2 cmds=l in=O out=O user=unauth duration=ll 導入の手順 http-gw 導入の判断セキュリティ・プランを参照し、 HTTP の通信を中継するかどうかを石価忍します。 HTTP の通信を中継すると決めている場合は、 http- gw を導入します。一方、 HTTP の通信を中継するという言己がない場合は、 http-gw は導入しません。うつかり実行してセキュリティの穴を作らないように、 http- gw をディスクから一三ロ 80 UNIX MAGAZINE 1998.9

10. UNIX MAGAZINE 1998年9月号

表 1 http-gw のパラメータ属性パラメータ属性 permit—hosts IPaddT ℃ ss permit—hosts ん OSt れ 07 e deny-hosts lPaddT ・ ess deny—hosts hostname browser を赤れ 9 default—policy policy groupid gro ? を d userid 社、を d directory d 加 ect0T 、リ t ime out S econ d,S UNIX MAGAZINE 1998.9 url—filter charsets ftp-proxy se ロ肥震 xcon—source 社 7 ・ I default-httpd server [ 挈 07 、 t ] default—gopher se 理礎・ [ 挈 0 ] オプション —j avascript ー no 」 avascript ¯safej avascript —safej ava —safeJ avascript —safeactivex ¯nOJ —safeJ ava —activex —noactivex —safeactivex ーⅡ 0 output ーⅡ 0 input —auth —authall -gopher -ht tpd -dest 佖れ —safej ava ー」 avascript ー no 」 avas cr ipt —safej avascript —activex —noactivex —safeactivex 説明 /P祠市・ ess からの孑を許可ん os 腕佖 me からの接続を許可 Java の使用を許可 Java の使用を拒否 browser によって許可された Web プラウザのみ、 Java の使用を JavaScript の使用を許可 JavaScript の使用を拒否 browser によって許可された Web プラウザのみ、使用を許可 ActiveX の使用を許可 ActiveX の使用を拒否 browser によって許可された Web プラウサのみ、 ActiveX の使 JavaScript の hostname からの孑売を拒否 IPaddress からの接続を拒否孑を先を制限デフォルトの HTTP サーノヾー ( とポート番号 ) を指定デフォルトの Gopher サー / ヾー ( とポート番号 ) を指定ューザー認証を要求ューサー認証を要求ファイルの取得を禁止データの送信を禁止用を許可 83 アクセスを禁止するファイル名やディレクトリ名を指定 ftp-gw プロキシー・サーバーを指定 Gopher 用アイコンイメージを↑タした URL を指定デフォルトの HTTP サーノヾー ( とポート番号 ) を孑定デフォルトの Gopher サー / ヾー ( とポート番号 ) を指定孑切断までのアイド判りを言殳定ディレクトリ directory に chroot(2) プログラムをユーサー ID userid の権限で実行プログラムをグループ ID gro 記の権限で実行 ( 各オプションの未は permit-hosts の場合と同し ) Java 、 JavaScript 、 ActiveX の使用に関するポリシーを成正ーを設定 Java 、 JavaScript 、 ActiveX の使用に関するデフォルトのポリシ ActiveX の使用を許可 JavaScript の使用を許可 Java の使用を許可 Web プラウサごとに使用の可否を指定