図 - みる会図書館

1. UNIX MAGAZINE 2001年3月号

いつでも使えるインター図 16 なんちゃって DMZ ネット者から、、攻撃された " と誤解される場合もあります。その未でも、設定しておくことをお勧めします。設疋の手順は、、、 Block TCP or UDP Service" をクリックし、図 15 のように入力したあと、 [Submit] ボタンをクリックするだけです。ロ問題点 110 2 もちろん、をめヨ手に新ナた名称てす。ように物理的に接続したネットワークを図 16 ー b のように、、なんちゃって DMZ " 2 の機能を使用すると、図 16 ー a のはない」と書かれています。ンターフェイスにも「危険生を重視するのなら使うべきでこの機能の使い方に関する説明はなく、図 17 の Web イり、ただのハプになってしまいます。ューサーガイドにはから、Ⅵ石 SOHO はファイアウォールとして働かなくななってしまいます。つまり、この機能を有効にした時点効にすると、万一侵入された場合に害の拡大が防げなくこの機能は第寸に使ってはいけません。この機能を有なんちゃって DMZ ます。いくつかあります。以下では、それぞれについて説明し WSOHO には、単体で使用する場合に重大な間題がみせることができます。分かりやすいように、具イ勺な IP アドレスを使って説明しましよう。たとえは、各ホストに次の IP アドレスを割り当てたとします。 WSOHO 外側 : 10.0.0.2 WSOHO 内側 : 192.168.111.1 ホスト A ホスト B : 192.168.111.2 : 10.0.0.3 ファイアウォールの内側のネットワーク・アドレスが 192.168.111.0 / 24 なのに、アドレスのまったく異なるホスト B ( 10.0.0.3 ) を内側のネットワークに接続するのはおかしいと思うかもしれません。しかし、違和感には目をつって、とりあえずコネクタにケープルを接続します。次に、 WSOHO の管理用 Web インターフェイスにアクセスし、、 System Administration ・→、、 DMZ Set- tings" をクリックします。すると、図 17 の画面か表示されます。ここで、、、 Enable IP DMZ Pass Through をチェックし、その下にホスト B の IP アドレスを入力します。入力か終ったら、 [Submit] ボタンをクリックしてから WSOHO を再起動してください。 WSOHO か起動すると、なんとホスト B がファイアウォールの外側に接続されているように動きます。つまり、図 16- b のような構成になるのです。 UNIX MAGAZINE 2001.3

2. UNIX MAGAZINE 2001年3月号

0 図 3 vCaIendar データ列 BEGIN : VCALENDAR PRODID: -//Microsoft Corporation//Out100k 9.0 MIMEDIR//EN VERSION:I . 0 BEGIN : VEVENT DTSTART : 20010119T060000Z DTEND: 20010119T063000Z LOCATION ; ENCODING=QUOTED-PRINTABLE : CSL U 工 D : 040000008200E00074C5B7101A82E00800000000306D8BB77989C0010000000000000000100 00000DBCF75884DB4094180225F2A58E3BD8D SUMMARY ; ENCODING=QUOTED-PRINTABLE: PDA=89=EF=8Bc PRIORITY : 3 END : VEVENT END : VCALENDAR 図 4 名簿テータ列 Name: Yomi : Organization : Zip: Address : Emai1 : Te1: 増井俊之ますいとしゆきーコンピュータサイエンス研究所 141 ー 0022 品川区東五反田 3 ー 14 ー 13 高輪ミューズビル masui@csl . sony. CO ・ JP masui@acm. 0 て g 03—XXXX—XXXX ()3—XXXX—xxxx http: //www. csl . sony ・ co ・ jp/person/masui/ この図を見れは分かるように、 vCard のデータでは BEGIN:VCARD" と、、 END:VCARD" のあいだに各種の属生を言当します。 vCalendar 形式 vCalendar 1.0 の形式は、 RFC2445 ~ 2447 [ 3-5 ] で定義されています。図 3 に、 vCalendar の言己例を示します。 vCard によるテータ共有 C406S では、アドレス帳データの閲覧中に、、機能 " キーを押して表示したメニューから、 vCard " を選択すると、〕尺したアドレス帳データの vCard データを添付ファイルとしたメールカ噺たに作成されます。これをデスクトップ PC のメールアドレスに送れは、 vCard データをデスクトップ P C に入っているメーラーのアドレス帳に読み込むことができます。これとは逆に、 vCard データをメールに添付して ezweb のメールアカウントに送ると、送られた vCard データを携帯電話のアドレス帳に登録できます。残念ながら、私自身はアドレス帳をまったく異なる形式 186 て管理していて、 vCard に対応したメーラーも利用していないため、このような標準的な手法は使えません。しかし、 vCard の形式は上交的単純であり、手持ちのデータを vCard 形式に変換して携帯電話に送信するのも難しくありません。私は、図 4 のようなテキスト形式で名簿データを管理しています。これは、メールのヘッダや文献管理システム refer6 でイ吏われている由緒正しい形式で、私はいまでもこの形式を愛用しています。より新しい方式が好みなら、 XML などで管理するのもよいかもしれません。図 4 の形式は、図 5 のプログラムで Perl の連想配列に読み込み、図 6 のような vCard 形式に変換することができます ( プログラム末尾のファイル名にの例では My ー NameCard) は適当に変更してください ) 。さらに、変換したデータ本を mimencode で base64 形式にエンコードして添付ファイルとし、 metasend で携帯電話に送れは携帯電話のアドレス帳に登録できます。 vCard では、写真も定義することができます。 C406S 6 かって、 UNIX の文書響釜形システム troff と一 - 絲者によく使われていた文帯にデータベース管理システムです。 UNIX MAGAZINE 2001.3

3. UNIX MAGAZINE 2001年3月号

特集・ VMware で UNIX 図 5 VMware 上の Samba サーパーヘアクセス司 , 朝一 0 も朝一〆幻アイコンを択すると、その説明が表示さ Anagovm アドレス 0 当¥¥ Anagov m 図 7 簡単にゲスト OS へファイルを車医 *%RARC•M く鋼 spl トに解凍 ) 物解凍住 ) ーコビー 0 ツョート加トの作成鄰 ( 0 ) 名前の変更幽 ) 。プロバティ⑧ 1 こを ) 物 [ リ me ′心 : デスりトップ ( ショートカットを作図メ受信者ーコーカルディスク (E) へのショートカットれます。使ってみる図 6 Samba サーパーからパスワ乃セスすこはバスワードおよ V, ユーサー名も第要です料 1 弊 0 、パスワードネトワー ) 苡スワードの入力 masa ードを要求 Ok 図 8 ショートカットを SendTo ディレクトリ上に作成い。ラトしス 0 」 c 、 Docu 。 and tt , T 。ワすま A な 0 m ・・山。 0 も 3 ー当 X をつ」ファイルの編集 0 表〒お知こ入りツール SendTo たル受信巻ヘルプリンク」アドレス 0 習 Anagovm ロ 0 : m80 smb. conf による設定力院了したら、 Samba サーバーを起動します。サンプルの起動スクリプトが /usr/pkg/ etc/rc. d/samba ・ sh ・ sample にあります。まずこれをコ # ps 剌 grep nmb # . /samba. sh # cd /usr/pkg/etc/rc. d そして、次のように起動します。 # chmod a + x samba. sh # cp samba. s . sample samba. sh # cd /usr/pkg/etc/rc. d ピーします。 Get—Hostbyname : Unknown host anag02 みてください。ありがちなエラーとして、 nmbd か動作しない場合は、 /etc/log/log. nmbd を 2169 ? ? Ss 0 : 00.06 /usr/pkg/sbin/nmbd -D 場合、 /etc/hosts にホスト名と IP アドレスを、たとえアドレスが分からないために発生しています。このようななどが考えられます。このエラーは、ホスト名に対する IP ば次のように追加します。 name" を、知頁に、¥¥ " を付けて図 5 のように入力します。この場合は、、 **Anagovm ' です。すると、図 6 に示すようにパスワードの入力が要求されるので、 smbpasswd で設定したパスワードを入力します。なお、 Windows 2000 上のパスワードと smb- passwd で設定したパスワードが一致する場合は、パスワードのプロンプトは表示されません。これで、 NetBSD ( ゲスト (S) 上のホーム・ディレクトリを Windows ( ホスト (S) からアクセスできる竟ができました。 Samba のデーモンは NetBSD と同時に起動するようにしておきましよう。これは、 /etc/rc. local に if [ —f /usr/pkg/etc/rc . d/samba. sh ] ; /usr/pkg/etc/rc . d/samba. sh を追加すればよいでしよう。ついでに、、送る then 192 . 168.0. 1 192. 168.0.3 w2k anag02 起重圻、ホスト OS の Windows ーヒで適当なフォルダを開き、アドレス欄に smb. conf で指定した、、 host- 48 ついでに、 Windows 上の、、送る " メニューに Samba により提供されるホーム・ディレクトリを」助日しておくと、 UNIX 側 , 云送したいファイルを右クリックで送れるの上で見えるホーム・ディレクトリのフォルダを、、、送る " にホーム・ディレクトリを」助日するには、 Samba てイ甦リです ( 図 7 ) 。、 *Doc- UNIX MAGAZINE 2001.3

4. UNIX MAGAZINE 2001年3月号

ータの基礎 ( 6 ) 図 7 port オ諚列 203 . 178. 153. 18 203. 178. 153.18 203 . 178. 153.18 tcp host 203.178.153.18 any eq 554 ! (Rea1) 203. 178. 153.18 1ist —list —list 1ist 1ist 1ist 1ist 1ist 1ist 1ist acceSS— acceSS— C e S S ー access— acceSS— access— acceSS— access acceSS access— 100 100 100 100 100 100 100 100 100 100 permit permit permit permit permit permit permit permit permit permit tcp any host tcp any host tcp any host tcp any host tcp host 203.178.153 udp host 203.178.153 Cisco) レ WWW eq 22 ! (ssh) 1755 ! (Windows Media) eq 554 ! (Rea1) eq 7070 ! (ReaI) eq 7070 ! (Rea1) eq tcp any host 203.178.153.18 tcp host 203.178.153.18 any eq 1755 ! (Windows Media) . 18 any udp host 203 .178.153.18 any range 6970 7170 ! (Rea1) 図 8 established キ諚の例 access—list 100 permit 図 9 in と out access-list 100 permit tcp any 203.178.153.0 0.0.0. . 18 any range 1024 5000 ! (Windows Media) 255 established tcp any 202 . 244.160.0 0 . 0.31.255 established Router#configure terminal Router (config—if) #no ip access—group 100 in Router(config)#interface ethernet 0 / 0 Enter configuration commands , line . Router#configure terminal 図 10 Ⅱ 0 ip access-group の実彳デ列 Router(config—if)#AZ Router(config—if)#ip access—group 100 out Router(config—if)#ip access—group 100 in Router(config)#interface ethernet 0 / 0 Enter configuration commands , one per 1ine . End with CNTL/Z . End with CNTL/Z . RST ピットの状態を石忍します。こ窈旨定により、内部ネットワークから外部ネットワークへの通信は許可し、外部から内部ネットワークへの通信は禁止する設定か可能になります。インターフェイスへのアクセスリストの適用 UNIX MAGAZINE 2001.3 ip access-group コマンドによる設定を無効にするにトに対するものがあります ( 図 9 ) 。と、そのインターフェイスから出力される (out) バケッンターフェイスに入力される ( ⅲ ) バケットに対するものインターフェイスへのアクセスリストの適用は、そのイアクセスリスト番号を指定します。イスを指定し、その後に ip access-group コマンドで用するには、 configure モードで設定対象のインターフェ設定したアクセスリストをインターフェイスに対して適は、インターフェイスの拓疋で no ip access-group コマンドに続けて無効にするアクセスリスト番号を指定します ( 図 10 ) 。アクセスリストの状態表示 75 アクセスリストのカウンタだけをゼロに戻すことができます。引数としてアクセスリスト番号を指定すれば、特定のは、 clear access-list counters コマンドを夫彳丁しまト数がカウントされています。この値をクリアしたいときアクセスリストの表示には、リストに一致したバケッ意されています。トだけを表示する show ip access-list コマンドも用行します ( 図 11 ) 。このほかに、 IP 関連のアクセスリスは、 EXEC モードで show access-list コマンドを実現在設定されているアクセスリストを確認したいとき

5. UNIX MAGAZINE 2001年3月号

個人の常時接続環境を考える ( 8 ) 図 3 プロキシーの設定使用するプロキシのアドレス OXY. 可 4 は 3.2 べての加詞元芽ジ世ヨトを堙用する ( の冫大で始まるアドレスにはプロキシを使用しない但 ) : 192168.111.1 セミコロン : ) を使用してエントリを分けてください。図 5 、 VAN 側インターフェイスの言聢い E 5 をこ u は一 0 ( ー、こ 5 農 90 1 0 5 5 U P ÜR ー SOHO 物洋い、 [ 0 Y 、鱸Ⅵ ( ー Confiquration : pub\ic Network 1 e 00 浦“社 on 砿 yo pubhc れ e 0 卍 & p 印士叩 onyo 町 tS をⅣに 0 。Ⅵ d 改正 yourISP 3 叩 po ホ D 日 CP. 出” 3 缸 m 。れこ観 be 。ト t に d m 曲 c ・ IfDHCPis n 。い叩 p 。 d. 止印 yo リ m リ切【山 0 0m1 ぬ onm 衄リ心 y PPPoEis aprotocolusedmplace ofDHCPbymanyDSLsemcepromdersto dehver co 浦 g 血 0 れ缸。 rma 日。な正 y 。リ ha ” beena 0da10 い皿 andpassword, dyo リ have DSLs ⅵ ce. 出 e れ you 0 ob けⅡ場 PPPoE. rÜseDHCPto obtam ( 0 浦 g 0 れ IPAddress SubnetMask DefaultGateway 102030 40 Secondary DNS Dornam ComputerNarne PPPoE Client r¯UsePPPOEto 。いい 0 、 a は。 n LognName P 郎 3 響 ord OK raccoon.adjp 図 4 WSOHO にアクセスできた続すれば、 WAN 側インターフェイスに IP アドレスが自動的に設定されます。設定された IP アドレスは、図 4 の画面から、 System lnformation ' → Features and Version lnformation ・をクリックす川忍できます。 ISP からあらかし旨定されたアドレスを設定する場合ます。は、図 4 の画面から、、 Public Network" をクリックするインターネットへの接続に CATV や xDSL を利用しと、 WAN 側インターフェイスの設定画面が表示されまている場合は、接続サービスの形態によって IP アドレスす。こで、、 Use DHCP to obtain configuration" のの取得ガ去か以下のように異なります。チェックを外し必要な↑帯長を入力します。入力カ鮗ったら、 [Submit] ボタンをクリックし ( 図 5 ) 、さらに次に表・ ISP によってあらかじめ決められたアドレスを指定す示される石忍ページの [REBOOT] ボタンをクリックしる。ます。すると、 WSOHO の再起動力始まり、図 5 に設定・ DHCP で測第勺に取得する。した内容が反映されます。 ISP によっては PPPoE (PPP over Ethernet) を使インターネットへのアクセ不うこともありますが、私自身まだ目にしたことがなく、この方式を利用している ISP を知らないので ( 米対ではよく以 E でとりあえすの設定は終りです。テストするためあるようです ) 、説明は省略します。ここでは、 WSOHO に、 Web プラウサにインターネット上の適当な Web サは PPPoE に対応しているとだけ記しておきます。イトの URL を入力し、正常にアクセスできるかを石忍し DHCP で IP アドレスを取得する場合は、何もする必ます。このとき、 web プラウサのプロキシーの設定はそ要はありません。デフォルトで DHCP を使用するようにのままでかまいません。つまり、プロキシーを WSOHO 設定されているので、 CATV/xDSL モデムと WSOHO ( の LAN 側アドレス ) に設定する必要はありません。の WAN 側インターフェイスを Ethernet ケープルて接 WSOHO を越えるアクセスは、ステートフル・インスペ A80U! uS 5 U P P OR T H をし P SO 日 0 W い V ー、ロ蹶 YSE 長Ⅵこを Con れ gu 「 a on ys 塰 rn 02 を阯 N 地当 wo 3 にい 0 をミ鰰年 A に当乢Ⅱ朝亜鰻当をⅢ厦ⅡⅡ独良乢リ引にきい処嶇上鷦Ⅱ図亜四劇」皿目 Q.m 凵にⅡ印Ⅱ独し ] 103 UNIX MAGAZINE 2001.3

6. UNIX MAGAZINE 2001年3月号

Cisco ル図 1 標準アクセスリストの書式 access—list access-list-number { deny ー permit } 図 2 拡張アクセスリストの書式 access—list access-list-number { deny ー permit } 7 ℃カ ocol so 几 e so 社尾 e -3 〃 dca des れ 0 0 れ des 佖 0 れ一を ca 、 [ 盟7 、 ecedence . 図 3 →殳的なアクセスリスト (a) 言聢作業列 so 社几 e [ so 社尾 e - 社 dc 佖 ] Router#configure terminal Enter configuration commands , one per line. End with CNTL/Z. Router(config)#access—1ist 100 permit tcp any 202.244.160.0 0.0.0.255 Router(config)#exit Rout e r# (b) 標準アクセスリスト access—list 10 permit any access—list 80 permit 0 . 0 . 0 . 0 access—list 90 permit 202 .244.160.0 0.0.31.255 (c) 拡張アクセスリストータの基礎 ( 6 ) 1ist 1ist 1ist —1ist 1ist 1ist —list acceSS acceSS— access access— access— acceSS— しか使えません。 permit permit 110 deny permit 110 permit deny permit 110 110 110 110 110 ICIIIP any a-ny udp 203.178.152.0 0.0.0.255 202.244.160.0 0.0.0.255 udp any any tcp any 202.244.160.0 0.0.31.255 established tcp host 202.244.160.10 202.244.160.0 0 . 0.31.255 eq telnet IP any any tcp any any 図 4 標準アクセスリストでの deny 効果標準アクセスリストでは 1 ~ 99 か 1300 ~ 1999 のあいだの数字が、由長アクセスリストでは 100 ~ 199 か 2000 ~ 2699 のあいだの数字がアクセスリスト番号として利用できます。つまり、設定されているアクセスリストの番号をみれは、それカ材票準アクセスリストか拡張アクセスリストかを区別することもできるわけです。 deny と permit アクセスリスト番号に続く、 {deny ー permit}" では、これ以降の条件に一致するエントリに対し、禁止 (deny) または許可 (permit) のいすれかを指定します。アクセスリストは指定された順番に言叫面されるため、インターフェイスに対するフィルタリングの設定などでは、まず許可 (permit) するものを列挙し、最後にその他すべて (any) を禁止 (deny) するガ去がよく使われます。 UNIX MAGAZINE 2001.3 access—list 1 permit 192 . 5 .34.0 0.0.0.255 access—list 1 permit 128 .88 . 0.0 0.0.255.255 access—list 1 permit 36 . 0.0.0 0.255.255.255 注 : 何も書かなくても、はかのすべての組合をは deny になる標準アクセスリストの場合は、とくに何も指定しなくても、許可されていないすべてのアクセスを禁止したのと同し効果か碍られます ( 図 4 ) 。 protocol 長アクセスリストの protocol の部分では、 elgrp 、 gre 、 lcmp 、 lgmp 、 lgrp 、 IP 、 1P1mp 、 ospf 、 tcp 、 udp などのプロトコル名カ甘旨定できます。 nos 、あらかしめ登録されていないプロトコル (RSVP ( プロトコル番号 46 ) など ) を指定したい場合は、 0 ~ 255 のあいだの IP プロトコル番号を茁欝旨定します ( 図 5 ) 。 73

7. UNIX MAGAZINE 2001年3月号

0 連載 UNIX Communication Notes— 図 3 U Ⅱ iso Ⅱの GTK インターフェイス S 第一こ・ uo れ A 山 0 れ , 地れ 0 ” So 日・蟠 ÅeUon ト靆 us Path 0 0 のい靆 filel file2 こト d file di 日 at 19 : 11 on ロし引 size 9 0 〔ト d file modified at 川 : ⅱ on ロ . 取し 2 囲 1 引 ze 9 QuiE やー・ R ←、→ Skip ー付 r い - r - ゴ・一ファイルの比較 ( di 幵の出力 ) 同期処理をしない左側から右側へファイルをコピー右側から左側へファイルをコピー図 5 リモートの root の尺処理の終了同期処理指定の実行同期処理指定のクリア図 4 root の尺 RM)tsetection Ple ・ 0 れ一出を受 00 れ d い一 y 収齲驫 rn ro こ 0 ・ 0 0 0 0 0 0 ROOt s ec 0 れ W 00m2 収れ 0 ! Youc まれ収収ⅲ 0 れ s 18a1 田総れ 0 18 も or ま m 1 ( 8u0 ンÜ・い Co れ u を Bro 供。。 Co ti れ・ QuiI の指定などかて、きる。らである。一方、 GTK インターフェイスの Unison では、標準のプロファイルとして ~/. unison/default. prf が使われる root を指定せずに起動した場合は、最初にローカルの ( 複数のプロファイルがある場合は、〕尺するように求められシステムにある root をウインドウの指示どおり指定しる ) 。このように、インターフェイスによって動作が多少違う ( 図 4 ) 、その後にローカルまたはリモートの root を指定ので注意しよう。する ( 図 5 ) 。 GTK インターフェイスの Unison ☆ 今回は、ディレクトリ間でファイルを同期させるツーこまで、コマンドライン・インターフェイスの U ⅲ - ル Unison を紹介した。 Unison は可愛らしいツールだ son の使い方を説明してきたが、 GTK インターフェイスが、ラップトップ PC とデスクトップ PC とのあいだのの Unison では、より直勺なガ去でファイルの同期処理ファイルの同期も簡単にできる。ぜひ、一度使っていただかできる。起動方法は、コマンドライン・インターフェイきたい。スの場合とまったく同しである。 ( やまぐち・すぐる奈良先端科物支術大完大学 ) % unison a b [ 赭文献 ] とすると、図 3 のようなウインドウが表示される。この [ 1 ] F. Dawson and D. Stenerson, lnternet C e れ da ロれ 9 画面では、コマンドライン・インターフェイスの処理をそ佖れ d Sc ん記 9 Co 0 り ec カ S c 第 ca 0 れ (iCaIen- da り , RFC2445 , November 1998 のままマウスで実行できる。同期させるファイルは、マウ [ 2 ] Jeffrey D. Ullman 著、神林靖訳『プログラミング言語スか上下のカーソルキーを使っで尺する。 ML 』、アスキー、 1996 年メニューに甦リな項目が用意されており、ファイルのソート (Sort) や、処理から除外する (lgnore) ファイル 71 UNIX MAGAZINE 2001.3

8. UNIX MAGAZINE 2001年3月号

ータの基礎 ( 6 ) 図 13 アクセスリストの更新 Router#configure terminal Enter conf iguration commands , one per line . Router (config) #show running—config interface EthernetO/O Cisco) レ End with CNTL/Z . description UN 工 X magazine sample configuration ip address 202.244.164.13 255 . 255.255.0 ip broadcast—address 202.244.164.255 IP access¯group 100 in IP access-group 100 out Router(config)#access—1ist 101 icmp any any ( 新たなアクセスリストをリスト番号 101 で作成 ) Router(config)#interface ethernet 0 / 0 Router(config—if)#ip access-group 101 in Router(config—if)#ip access-group 101 out Router(config—if)#AZ Router (config) #show running—config interface EthernetO/O ←リスト 100 からリスト 101 に変更 description UN 工 X magazine sample configuration ip address 202 . 244.164.13 255 .255.255.0 ip broadcast—address 202 .244.164.255 ip access¯group 101 in ip access—group 101 out 図 14 アクセスリストの削除 Router#configure terminal Enter configuration commands , one per line . Router(config)#no access—list 100 Router(config)#exit Router#show access—list 100 Router# End with CNTL/Z . セスリスト (extended)) を指定し、作成するグループの名前を入力します。すると、アクセスリスト専用の入力モードになるので、適切なエントリを指定していきます ( 図 15 ) 。仮想ターミナルへのアクセス制限 ■ UNIX MAGAZINE 2001.3 class コマンドて指定します。として作成しておき、そのアクセスリスト番号を access- あらかじめ許可するネットワークの情報をアクセスリストります。これには、 access-class コマンドを使います。対するネットワークからのアクセスを制御したいことがあセキュリティ上の理由により、イ瓦想ターミナル ( vty ) に図 16 の例では、ます、標準アクセスリストて許可するネットワークはたはホスト ) を指定します (a-l)o そして、 vty の 0 ~ 4 に対し、アクセス番号 12 に指定したネットワークからのアクセスだけを許可しています (a-2)0 現在のイ反想ターミナルの状態は、 show line コマンドて市忍できます。図 17 の、、 AccI " のカラムが、アクセスあんかリスト番号を示しています。ティー ) をよく飲んでいるのですが、先日重大な事件が発研究室の学生のうち、何人かが缶入り糸工茶食炸ト ( ミルク生しました。 77

9. UNIX MAGAZINE 2001年3月号

特集・ VMware で UNIX 図 18 セミコロンと C:*gs*gs6.50*kan.ji を追加印刷の充れ図 20 G 局山口 DLL: こ、 0365 供、 gs 引 32 引 Cancel GhostscriptIncIude Path: CAg 036 50 、施℃ Ag 山 s.C 、 gs 地 . 、 k ぉ神旦 ef 転図 19 Ghostscript 十 GSview で表示日 Edit 3 Yiew Qr 当 d 海出い仮想プリンタ出力先ポート REDMON. REDMON 2artclegps-GSviest* Ghostscript + GSview 印刷実プリンタは 0 は威平第嚇和九前永スを条日れ項久は誠①第・ http://www.cs.wisc.edu/-ghost/redmon をのに武実の本目こ力に日徴 index. htm 的れの希本章国な違放使長民カ憲不争法です。それではインストールを始めましよう。ます Red- Mon を入手します。 2001 年 1 月現在の最新バージョン p ら . “当 1 0 F : 物阯 3. P$ は 1.5 で、下記の URL から入手できます。インストールが完了したら、 GSview を起動します。 Option" メニューから、 Advanced Configure" を開・ ftp://ftp.cs.wisc.edu/ghost/ghostgum/ き、、、 Ghostscript lnclude Path: - 欄に redmon15. zip ;C: \gs\gs6.50\kanji 入手した redmon15. zip を展開し、 setup. exe を実行を追加してください ( 図 18 ) 。してインストールしてください。これで、、、 Redirected 以 - ヒの作業か終ったら、日本語 PostScript ファイノレ port " がシステムへ追加されます。そして、 redmon. exe が正しく表示されるカ蔀忍してください。これには、などの里ツールを手動で適当なディレクトリにコピーします。ここでは、 redmon15. zip を展開して作成された C:*gsYgs6.50*kanji*artic1e9. ps redmon15 フォルダを、 C : ¥に配置したという前提で説が GSview 上で正しく表示されるかどうかが目安になる明します。と思います ( 図 19 ) 。表示できないときは、 gs650-j-wapi 次に、イ應プリンタをインストールします。のファイルが正しくコピーできていない可能匪が高いで、、スタート " →、設定 " →、、プリンタ " の、、プリンタの追す。あらためて、コピーし忘れたファイルがないかどう加 " を開きます。、、次へ " をクリックし、、、ローカルまたか、上書きし忘れていないかどうかを石忍しましよう。はネットワークプリンタ " の質問メニューで、、、ローカル以 - ヒで、日本語対応 Ghostscript 環竟のインストールプリンタ ( L ) " を選び、、、プラグアンドプレイプリンタをカ絲冬りました。次は、 RedMon です。自重加勺に検出してインストールする ( A ) " のチェックポッ RedMon のインストールクスを外し、、、次へ " に進みます。、、プリンタポートの選択 " の質間で、、、新しいポートの RedMon は、 Windows のプリンタポート上に Ghost- 作成 (C) " を選び、種類は、、 Redirected Port" を選択 script ヘリダイレクトするポートを作成します。これによして、、次へ " に進みます。、、 Add Redirected Port' って、プリンタの設定で、出力ポート先として RedMon で、、 port Name " の指定を要求されます。、、 RPTI:" とリダイレクト・ポートを指定すると、その出力は Ghost- して、、 OK" をクリックします。なお、このリダイレクト・ script ヘリダイレクトさオ・し Ghostscript から Windows ポート RPT は複数作成することもできます。上のプリンタへ出力できます ( 図 20 ) 。次に、、 RPTI: Properties" が表示されるので、以下の RedMon の公式ページは、 56 UNIX MAGAZINE 2001.3

10. UNIX MAGAZINE 2001年3月号

図 17 DMZ もどきの言聢 [ 0 C ′、 L 日、 0 5 い V を、い」村はイ SOHO W トいを、を ( ル、 E 第Ⅵぐ第、 P 0 員 T E 0 し一し 5 Confiquraüon: 週 ! ! 当型匹 ! 0 ÜMZ pass 第し吶に Addtess は” S ”ⅷ目 oms Ⅱ C 処リ Qn 上凵い : ⅡなⅡは第 ] マ ableIPD) a ”窘′は一 enab 厄 tl a れを正 en 止 concem & yo 江誕ヴ , d ー gl b にに d hac stoneg 亜ツ pa は yo 皿 20 ⅸ c 町一ツ Do れ ot fO ! 師 dedo 斌 0Y0 lo こ載 n に 20 。飛 W にト D142C0 れ駅砠れ otb ぐ 0 Ⅳ d 丘 0 れ tof 出 e 丘 0 Ⅳ凪 c 印 t 山 at p を om 山 epu 阯 c n02 。ⅸ此 5 mac 恤肥“ ⅳ rn 5 聞こ - 窘” acbo 辷 eq 山印い oplac g 山 0 W 山 D ~ み comp リ旧、 0 れ a btn に n 心 sop 0 れ観 dco 0 0 ofyo い叩ーな閉山山 e 北 co れ d Ⅳ d es 0h0 靆 y 。リ ha ” mo 化衄 0 ”まね . 」 eIPad 士 0 “ asstgnedtoyoubyyourISPyoucan ノヾ「お互いのネットワーク・アドレスが違うのに、簡単にアセスできてしまうのです。き、ホスト B に侵入した攻撃者は簡単にホスト A にアクて、その言置にミスがあって侵入されたとします。このとたとえは、ホスト B 上で Web サーバーを運用していのがない ( 守れない ) ことです。それは、ホスト B に侵入された場合、ホスト A を守るもところで、この機能の何が、、いけない " のでしようか。の主目的なのではないかと思います。ので、、、ハプを置く手間か省けます " というのがこの機能って DMZ " の機能を使うと図 16- a のように接続できる DMZ ネットワークを作ります。しかし、この、、なんちゃウォールのあいだにハプを置き、図 16 ー b のような構成のーを運用します。このとき、通常はモデムとファイアう 1 つをホスト B に割り当てて、ホスト B 上で公開サーつは WSOHO の外側インターフェイスに割り当て、もを割り当てられているときに使用できます。そのうちの 1 この機能は、 ISP から 2 個のグローバル IP アドレスリティ対策を施さなければなりません。く適用されません。このため、ホスト B では独自にセキュ通信では、ファイアウォールのフィルタルールはまったり返しますが、インターネットとホスト B とのあいだのネットとホスト B のあいだは、、スカスカ " なわけです。繰に接続されているような乍をします。つまり、インターに接続していますが、言軸勺にはファイアウォールの外側は、物ま軸勺にはファイアウォールを介してインターネットファイアウォールで守られていないことです。ホスト B このとき、注意しなければならないのは、ホスト B は UNIX MAGAZINE 2001.3 クセスできるわけないやんか」個人の常時接続環境を考える ( 8 ) と思うかもしれません。しかし、よけいなお世話というべきか、 WSOHO はホスト B とホスト A のあいだの通信をうまく中継してしまうのです。つまり、ホスト B とホスト A とのあいだの通信は、ホスト B - = - WSOHO - = - ホスト A のように WSOHO が中継するため、 ping も telnet もごく普通にアクセスできてしまいます。ファイアウォールの彳難リは、外部と内部のネットワーク間のアクセスを卸するだけではありません。万一、公開サーバーのような外部からのアクセスを許可しているホストに侵入された場合には、その被害の拡大を防ぐ、すなわち内部ネットワークに霰害が皮及しないように言妬 1 ・すべきです。そして、そのように言したネットワーク本がファイアウォールとなります。この、、なんちゃって DMT の機能は、ファイアウォールの肝腎の働きを無効にしてしまうものです。繰り返しますが、系寸にこの皀を使用してはいけません。んつ、なし、の ? WSOHO には、レポーティングの機能がありません。おそらく、前述のリモート管理ソフトウェアには含まれているのではないかと思いますが、 WSOHO 自体にはありません。図 2 の Network Statistics がそれらしくみえますが、これで得られるのはたんなる送受信バイト数とパケット数の糸 t だけです ( 図 18 ) 。これにも、ちょっとがっかりしました。さらに、 WSOHO のシステムログをほかのホストに syslog で送信する機能もありません。システムログをはかのホスト上のログサーバーに送る機能はあるのですが、 WatchGuard 独自のプロトコルを用いて独自のログサーバーに送信します。これも、前述のリモート管理用ソフトウェアには含まれているのかもしれません。しかし、 SOHO ューサーは Web インターフェイスでアクセスするしかないようです。図 19 にログの例を示します。この図は、ポートスキャンをおこなった言当求と WAN 側のネットワーク・ケープルを抜き挿ししたときに DHCP がそれを本鎹日した言当求が残されています。図の 1 列目の日該リらしき数値カ舸をどう 111