図 - みる会図書館

1. UNIX MAGAZINE 2002年10月号

図 4 オプジェクト object を表示 File Edit Text W ⅲ do 、、 HeIp ロロ匚丘ロ回可日を EI 口一園」 et's PIay with UNIX ④ オシレータからの出力図 8 File Edit Text Windows HeIp 05 ( ・・ 440 d ” ddin New Obje 代図 5 440HZ を出力するオシレータ・オプジェクト File Edit Text Windows 図 9 オシレータから scope object に出力 E 山を T を WindOWS Help Help 庫庫新第回阿区区所庫 0 ・・ 440 0 ; ( ” 440 図 6 パッチ接続用のアンカー 05 い 440 図 7 オシレータの出力先をサウンドカードに言聢 FiIe E 山を Te Windows ロ「 , ロ丘ーロ回日を・ロロロ門火 Help 手のアイコンも、、パー " から、、グー " に変化する。これでプログラムか夫行可能になる。この状態で File メニューから、 Activate-DSP" を選択すると、サウンドカードから 440HZ の音が出るはすである。音カ咄ると、直線だったパッチコードか 1 杉に変わる ( 図 8 ) 。こバ杉が正強皮であることを不忍するために、オシレータの出力先を、、 scope object" にしてみたのか図 9 である。 0 ・・ 440 ている。上が入力、下が出力である。今度は、オシレータの出力先を作ってみよう。サウンド jMax の取得とインストールカードに信号を送るには、 dac- jMax に興未をもったら、ぜひインストールして使ってというコマンドを入力する。さきほどと同様にして新しいみよう。起動させるまでの作業はごく簡単である。 object を引っ張りだし、そこに dac ~ と書き入れると、オさきはど述べたように、 jMax は JavaVM 上で動くのプジェクトの上部に 2 つのアンカーか現れる。これとオシで、 JDK (Java Development Kit) または JRE (Java レータの出力をパッチコードで結べばいい ( 図 7 ) 。 Runtime Environment) が必要になる。 jMax 本体についてはバイナリの RPM パッケージも配布されており、そして、オプジェクト・パレットの左端にある手の形 mamalala. de という Web サイトから入手できる。をしたアイコンをクリックする。するとパレットか隠 139 UNIX MAGAZINE 2002.10

2. UNIX MAGAZINE 2002年10月号

特集・ RTA55i のフィルタリング設耳図 8 動的フィルター胸 . ルールイル用アクセス制御ルールの一込信元番号ツロトユレ 0 図 10 動的フィルタ用イルの一通用送信元プロトユレ番号入出監視逆方向 , 方向炉アドレス・クライアント← SYN サーバークライアント→ SYN 十 ACK →サーバー・クライアント← ACK ←サーバーの 3 つのバケットと、これ以降に送受信されるバケットは、 1 つの、、逆方向制脚ルール " で扱うことになります。番号図 8 刎列では 1 番なので 1 を記します。番号最後の、順方向制御ルール " は、トリガーの接続以外番号浦除「 5- ヨに、クライアントからサーバーへの接続がある場合に設定最後に、これらのルールを用いて新しい重加勺フィルタをします。たとえは、作成します。クライアント→サ→ヾー ( 7000 / TCP ) 重加勺フィルタの定義は、上記のルールを定義したところ・クライアント ( 7001 / TCP ) ←サーの上にある罰第勺フィルタの設定 " でおこない、以下の 3 ・クライアント→サーバー ( 7000 / UDP ) つの頁を設定します ( 図 9 ) 。・始点 IP アドレスのように、さらに UDP で通信をおこなうような場合は順・終点 IP アドレス方向制御ルールを設定します。ただし、内部から外部への・トリガー / 逆方向 / 順方向ルール接続をデフォルト許可のフィルタリング・ルールで設定している場合は、順方向制御ルールを設定しなくてもかまい、、始点 IP アドレス " と、、終点 IP アドレス " の意味は文字ません。順方向缶ルールが必要になるのは、デフォルトどおりです。アクセスするサーバーやクライアントカ墹定拒否のポリシーでフィルタを設定している場合です。的に決まっているのであれは、 IP アドレスを設定しておルール番号 0 と 1 を図 9 のように入力して、曇後に [ 追いたはうがよいでしよう。とくにアクセスを制限しないの加 ] ボタンをクリックします。であれば、、、 * " のままでもかまいません。なぜか、、メモ " のフィールドに文字列を言己しても無視こで重要なのは、されてしまうようですが (' ヾグ ? ) 、フィルタは当求される監視用アクセス制御ルールので問題ありません。・逆方向制御ルール動的フィルタを適用する・順方向制御ルーノレこれまでの操作で、動的フィルタが作成されたはすでの 3 つのフィーノレドです。す。、監視用アクセス缶卩ルール " のフィールドには、トリガ最後に、作成したフィルタを適用すれば操作は終りですーのルール番号を設定します。図 8 の例では 0 番なので ( 図 10 ) 。ただし、トリガールールにマッチするバケット 0 をします。がフィルタリング・ルールで許可されるかどうかを、かな次の、、逆方向制御ルール " は、サーバーからクライアンらす石忍しましよう。この例では、トに向けて接続するバケットを許可するルール番号です。クライアント→サーバー ( 7000 / TCP ) こて注意が必要なのは、このルールは、クライアントからサ→ヾーへ送り返される返イヤヾケットにも適用されるこのバケットを許可するフィルタリング・ルールか存在するとです。つまり、ことを確かめます。内部から外部への接続をデフォルト許受信先アドレス - 受信先 7000 7001 tcp 1 .COm れ一 tcp 図 9 勺フィルタの新規定義送信元田アドレロト静合ょフィルタ定義の番号リストでアクセス制師ルールを登録するを監視ス制レール達方向制ルールイルの。受信先アドレス方向刈師ルル 53 UNIX MAGAZINE 2002.10

3. UNIX MAGAZINE 2002年10月号

特集・袞 TAS のフィルタリング設定 ~ 図 2 なネットワーク構成図 1 RTA55iTDMZ を構成ことも可能かもしれませんが、履歴書の迎未欄に、ネット防ぐということは、言い換えれば、サーバーホストを内部ワーク " と書く人を除けば、 ISDN か WAN ポートのどへの侵入の足掛かりにさせないということです。そのためちらか一方だけを使ってインターネットに接続するのカには、 DMZ から内部ネットワークへの接続はすべて拒否通でしよう。します。一方、内部ネットワークから DMZ への接続はそんな WAN ポートを遊ばせておくのはもったいない許可してもかまいません。ので、 WAN ポートのコネクタを LAN 用に設定し、こ Web サーバーのように、サーバーホストからクライれを利用して図 1 のような DMZ を構成することができアントへ接続することのないサーノヾーを運用する場合は、ます。 DMZ から外部への接続も拒否するほうがよいでしよう。このように構成した場合、インターネットと内部ネットこれは、サ→ヾーホストがはかのサイトへの攻撃の踏み台ワークとのあいだのフィルタリング・ルールは、 DMZ をとして利用されるのを防ぐためです。設けていないときと同様に設定します。図 1 のように DMZ を構成できない場合は、インター公開サーバーを運用するときは、ネットに対してサーバーを公開してはいけません。稀に、図 2 のようにして公開サーバーを内部ネットワー・サーパーホストに侵入されても内部へ被害がおよばないクに接続しているのを見聞きしたり、同様な構成を紹介しように言 f するている文献をみかけることがあります (RTA55i のマニュアルにもそのような言当があります ) 。また、さきはど触を基本方針とすべきです。つまり、サーバーに侵入されたれたプロードバンド・ルータの、、 ( 似非 ) DMZ 機能 " でことを想定してフィルタリング・ルールを設定します。もも、これと同様な構成をとります。ちろん、これはサーバーへの侵入を許容するという意味でこういったネットワーク構成は、、、単純でお金がかからはありません。サーバーホストにしつかりとセキュリティない " というメリットとともに紹介されることが多いよう対策を施し、そのうえで、ルータにもセキュリティ対策をですが、たいへん危険なので糸寸にしてはいけません。講しるわけです。この構成では、サーバーへの侵入を許してしまった場サーバーホストに侵入されても内部へネ皮害がおよぶのを 48 UNIX MAGAZINE 2002.10

4. UNIX MAGAZINE 2002年10月号

特第・ Linux2.4 の netfilter 図 1 0 0 u 」〇図 2 ipchains におけるフィルタリング里 (a) バケットの受信 ⑧上位層へ ⑦旧 demasquerade 1 ⑥宛先を調べる ③ source Routed バケットのチェック ② INPUT チェーン・①旧ヘッダのチェック ⑤ (b) バケットの転送 →① FORWARD チェーン ②旧 masquerade ・ MASQ ④下位層へ ③ OUTPUT チェーン ℃ MP を返送 routing : de-masq ・ ↑ ↑ 上位層 ipchains ~ 里の充オ旧バケット → INPUT 図 3 iptables ~ 里の充れ 26 →ド de-masq → →ー routing → FORWARD ↑ INPUT 上位層 (c) / ヾケットの送信上位層より ① OUTPUT チェーン ②下位層へ上位層 →ー上位層 ↓ OUTPUT routing ↓ masq → UNIX MAGAZINE 2002 ユ 0

5. UNIX MAGAZINE 2002年10月号

・ RTA5 のフィルタリング設定図 5 FTP の動的フィルタを適用する適用 99 广广 98 广「 84 广广 83 「「 82 「广 80 「マ番号づロトコル入出監視逆方向、 ; 魎方向 sm ゆ p 叩 3 tcp udp 図 6 トリガールールの定義動ワイルタ用アクセス制御ルールの設定ゴロトコル CP 信元ポート番号番号メモ図 7 5 魴向ルールの定義、フィルタ用アセス制御ルールの設定づロトコルを cp 送信元ポート番号番号メモの CO 受先ポート番号間 00 受信先ポート番号 7001 静的フィルタと動的フィルタの適用」竺更」チ = ックされている静的フィルタとルタの適用 " の [ 適用 ] 、ボタンをクリックするだけです。デフォルトでは、このほかにもいくつかの重加勺フィルタが定義されていますが、 IP masquerade を利用している環境では使うことはないでしよう。もしかすると、デフォルトで定義されている測酌フィルタを利用するよりも、独自にフィルタを定義して使う可能性のほうか高いかもしれません。そこで、自分て新加勺フィルタを定義する手順を説クライアント←サーバーの接続に引き続き、クライアント→サーバーフィルタカ喊力を囎軍するのは、 IP masquerade を利用している場合、 RTA55i の重加勺動的フィルタの定義明しましよう。 52 かは知りません ) 。このところ、流行の兆しをみせている使ってこのような接続をおこなうプロトコルがあるかどういう数字はたんなる例です。現実に、これらのポートをフィルタの定義手順を説明します ( この 7000 と 7001 と TCP で接続しなおしてくるようなプロトコルを例に重加勺で接続すると、サーバーからクライアントの 7001 番に以下では、たとえはサーバーの 7000 番ポートに TCP ルールを追加してもおもしろくありません。うにルールが定義されているので、あらためて FTP の FTP か有名ですが、 FTP についてはすでに説明したよこのような形態の接続をおこなうプロトコルとしてはするときです。のような逆方向の接続が必要なサーピスをフィルタリング P2P (peer to peer) アプリケーションのなかには、この例のようにピアどうしで相互に接続するものがあるようです。この種の P2P アプリケーションを使いたいのであれは、実際に使われるポート番号を詩ヾ、以降の説明に出てくるポート番号と置き換えながら読み進めてください。トリガールールの定義まず、ー ( 7000 / TCP ) クライアント→サーバのルールを定義します。この接続は、重加勺フィルタか動き始めるきっかけとなるため、 RTA の用語ではトリガーと呼ばれています。また、 Web インターフェイスでは、、監視 " と表記されています。重加勺フィルタのトリガールールは、ページの一番下にある、、重加勺フィルタ用アクセス制御ルールの設定 " で定義します。トリガールールで定義できるのはポート番号だけなので、図 6 のように入力して日助日 ] ボタンをクリックします。逆方向ルールの定義・クライアント ( 7001 / TCP ) ←サーのルールを定義します。同様に、図 7 のように入力して [ 追加 ] ボタンをクリッルか表示されているはすです ( 図 8 ) 。図 6 ~ 7 の操作か終ると、設定ページには定義したルー動的フィルタ乍成クします。 UNIX MAGAZINE 2002.10

6. UNIX MAGAZINE 2002年10月号

特集・ Linux2.4 の netfilter iptables コマンドて斤しいチェチェーンの作成と削除・ DROP ・ ACCEPT きません。だけで、はかのターゲットをポリシーに言殳定することはで iptables —X c んれ (b) 削除 iptables —N c んれ (a) 作成図 14 チェーンの作成と削除ーンを作成する書式をしてみたところ、 iptables はきちんとループを検出して登で、次のようにループしたチェーンを篇図的に作って実験ープしたチェーンを作ってしまう場合があります。そこまた、チェーンを駆使することに熱くなりすぎると、ル揮するのはやめておきましよう。カヾ替んでいるか分からないので、妙なところで冒険心を発ているようにみえます。しかし、どこにどのような不具合も、バケット・フィルタリングはとくに問題なく機能し英数字以外の文字列を含む名前のチェーンを作成して区別されます ) 。 ( 英数字 ) にしたほうがよいと思います ( 大文字と小文字は複しなけれはなんでもいいようです。ただし、無難な文字名前は 29 文字以下の文字列で、すでにある名前と重前です。図 14 ー a に示します。引数 c んれは作成するチェーンの名 UNIX MAGAZINE 2002.10 ことが必要です。・ほかのルールのターゲットに指定されていない・ルールが当求されていない b のようにします。ただし、チェーンを削除するには、ューザーが作成したチェーンを削除する場合は、図 14- iptables : Loop found in table # iptables -I INPUT —j 100P1 # iptables -1 100P2 —j 100P1 # iptables —1 100P1 —j 100P2 # iptables —N 100P2 # iptables —N 100P1 録を拒否しました。アドレス変換の設定アドレス変換ルールを追加 / 編集するには、 iptables コ —t nat" オプションを指定して実行します。マンドに IP masquerade ルールの編集 IP masquerade のルールを登録 / 編集する書式を図 15 に示します。インターネットに出ていくすべてのバケットを IPmas- querade の対象とするには、次のように書きます。 iptables —A POSTROUTING —t nat , ・ー 0 外側 -j MASQUERADE 「フィルタリング・ルールの設定」の節で説明したオプションを駆使すれば、 IP masquerade の対象とする / しないバケットの不頁を細かく指定できます。ただ、現実にそのようなルールを書くことはほとんどないと思うので、図 15 の書式は簡略化してあります。 Destination NAT ルールの編集図 16 は、バケットがインターフェイスから出ていく直前に、バケットの終点アドレスを書き換える NAT ルールの書式です。 netfilter では、このタイプの NAT を、、 DNAT (Destination NAT)" と呼び、プライベート・ネットワーク上のサーバーをインターネットに公開するときに使用します。たとえは、グローバル・アドレスが 1 つしかないネットワークてサーバーを外部に公開するには、外部からのアクセスを内部ホストへ中継する必要があります。この場合、特定のポートへ送られてきたバケットを内部ネットワークに転送するときに、バケットの終点アドレスをサーバーホストのアドレスに書き換えます ( 同時にポート番号を書き換えることもあります ) 。 ipchains では、このようなパケット転送機能をポート・フォワーディングと呼んでいましたが、 netfilter では DNAT と呼びます。内部の Web サーバー ( アドレス 192.168.1.2 ) を外部 —to—destination 192. 168 . 1 . 2 —dport 80 —i 外側 -j DNAT iptables —A PREROUTING —t nat —p tcp に公開する場合は、以下のように設定します。 37

7. UNIX MAGAZINE 2002年10月号

連載 JavaServer Pages—@ 図 3 txt:style タグ吏った JSP ファイル (style ・ jsp) く %@ page contentType="text/htm1 ; charset=EUC—JP" % > く %@ taglib prefix="txt" uri="http://www.astec.co ・ jp/text" % > く ! DOCTYPE HTML PUBLIC "—//W3C//DTD HTML 4.0 Transitiona1//EN" > く html> く head> く meta http—equiv="Content—Type" content="text/html ; charset=EUC¯JP"> く tit1e>TextSty1e く /title> く /head> く body> く txt : sty1e text= く txt : style text¯ く /body> く /html> ー " 普通の文字列 " " 大きな文字列” ド T “にに - に「叩に€ 図 4 style. jsp の表示 size="9"> く /txt : style> く br> size="5"/> く br> - ファイルの編集表示検索ジャンプ 0 プマーグ印タスりヘルプ ( 印第本を普通の文字列大きな文字列働は一ム複常ーロカりマグ騫一物“。、新着、お第め、メンバーズいト発癶 4 了タグが別々に言己されていても、 1 つのタグとして言己 2 不頁のタグをくらべれば分かるように、開始タグと終さが、 size 属性の値に応して変わっています。うな画面になります。 text 属性で指定した文字列の大き図 3 の style. jsp をプラウザて表示すると、図 4 のよの表示をみてみましよう。さきに TextStyle タグハンドラで作った txt:style タグ必要になりますが、具体的な手順の説明は後回しにして、タグハンドラを利用するにはこのあといくつかの準備が txt :style タグの表示をそのまま続けることかて、きます。ソッドを抜けています。これにより、 JSP ページの処理 doEndTag() の最後では、 EVAL-PAGE を返してメでおこなってもプラウサ上の表示は同しになります。メインの処理を doStartTag() と doEndTag() のどちら本体をもたないタグの場合は、カスタムタグを変換するく fo 取 t size="9"> 大きな文字列く / f0 Ⅱ t > ます。タク冽の例では、次の文字列が write() メソッドに渡され 100 図 5 style ・ jsp をプラウサで表示したときのソース ( カスタムタグの部分のみ ) く font size = " 9 " > 大きな文字列く / fo Ⅱ t > く br > く font size = " 5 ” > 普通の文字列く / fo Ⅱ t > く br > されていても表示結果は同しです。タグハンドラをテストするときは、プラウザに表示された内容だけでなく、 JSP ファイルのコードがどのような HTML コードに変換されたのかも不忍してください。図 5 は、プラウサのメニューから、、ページソース " などお尺して表示させたソースコードのうち、カスタムタグに対応する部分だけを取り出したものです。 JSP ファイルの 2 不頁のタグが、いずれも font タグを使って書き換えられていることカ蔀忍できます。 txt:style タグのさまざまな表示図 3 と図 4 で、カスタムタグの正常な動列をみてみました。次に、カスタムタグの仕様とは違う使い方をしたり、通常の使い方からすこし外れたことをした場合に何が起きるのか試してみましよう。誤った使い方をしたときにどのようなエラーか起きるのかが分かっていると、テンヾッグの際に役立ちます。タグや JSP ページを開発する場合は、よくあるエラーについて知っておいたはうがよいでしよう。こではいくつかの実列を紹介しますが、仕様に合わないタグをみつけたときの JSP 工ンジンの振舞いやエラーメッセージは環竟によって異なります。できれば、自分 UNIX MAGAZINE 2002.10

8. UNIX MAGAZINE 2002年10月号

連載 / シェルの魔術ー⑩ 図 4 /usr/bin/netstat のパーミッション $ ls ー 1 /usr/bin/netstat —r—xr—sr—x 1 root kmem 108644 Aug 12 17 : 21 /usr/bin/netstat* 図 5 他人のパスワードを変更しようとすると $ passwd ohm passwd: Permission denied 実効グループを変えるよって異なる場合があります。詳しくは図 6 ~ 7 と、次ページ実効グループとグルーフ・アクセスリストの扱いは、 OS にノート 6 ID と呼びます。詳しくは intro(2) を参照してください。ことができるイ督目みがあります。これを Saved Set Group クループを変更されたプロセスも、もとの実効グループに戻る実効ューサーの変更と同じように、 SetGID ビットで実効ノート 5 を実行した場合、もとの実効グルーフ。の権限はなくなります。のようなプロセスが SetGID ヒ、ツトの言殳定されているコマンドグループ・アクセスリストに含まれていない場合があります。 SetGID ヒ、ツトて変更されたプロセスで、実効グルーフ。がくなりません。グループか変更されても、もとの実効グルーフ。の権限はなプはグループ・アクセスリストに含まれているので、実効クセスリストは変更されません。多くの場合、実効グルーした場合、実効グループは変更されますが、グループ・アいます。 SetGIDE ットか設疋されているファイルを実行グループとグループ・アクセスリストの二本立てになって前項で説明したように、プロセスのグルーフ権限は実効ットが定されている場合には大文字の、 S " か表示されます。これも SetUID と同様に、実行可能ではなく、 SetGID ピ定されていることを表しています。は、実行可能 (x) であると同時に、 SetGID ヒ、ツトか設ルーフ。の実行可能を表す部分が、、 s " になっています。これドの例を挙げます。 SetUID のときと同じように、所有グットで変更することができます。図 4 に、 netstat コマンました。これと同じように、実効グループも SetGID ビ実効ユーサーは SetUID ヒ、ツトで変更することができ UNIX MAGAZINE 2002.10 のコラムを参照してください。 ←このシェルの実効ューサーが moley だとすると・ ←変更できない図 6 NetBSD におけるグループ・アクセスリスト non-set-Group-ID moley wheel s ね幵 EGID Group Access List set-Group-ID staff wheel moley 図 7 FreeBSD におけるグループ・アクセスリスト non-set-Group-ID set-G rou p- 旧 moley moley wheel staff EGID EGID Group Access List operato r moley wheel s ね幵 Group Access List List Access Group ほんとは誰が実行したのさ ? 123 たかということを (SetUID ビットに景グされすに ) 言当求べることができます。また、誰がどんなコマンドを利用しマンドのように本当に実行したユーサーか誰であるかを調景グを受けません。実ューサーを利用すると、 passwd コ UID ビットによって実効ユーサーか変更されたとしても、この謎を解くのか実ユーサーです。実ユーザーは、 Set- ているのでしようか。 passwd コマンドはどうやって実行したユーサーを見分けトによって実効ユーザーが ro 。 t になっているはすなのにスワードは変更できないようです。しかし、 SetUID ビッ図 5 を見てください。やはり、 ( 当然ですか ) 他人のパね ? やってみましよう。のパスワードを勝手に変更できるというのは、何か変ですドを変更することもできます・・・・・・つと、ほかのユーザードを変更しますが、ユーサー名を指定して他人のパスワー passwd コマンドは引数なしで実行すると自分のパスワーところで、 passwd コマンドは実行してみましたか ?

9. UNIX MAGAZINE 2002年10月号

聞着】ブログラミ / グ⑨ 図 11 子音の位置からしかできない Suffix Array 図 9 Suffix を辞書順にソートして Suffix Array を作る Suffix Suffix lndex a b : 8 : r a a b a d a b : 1 : r a C r a : 4 : a d a b a C て a 三 6 : a d a b r a : 9 : b r a : 2 : a d a b b r a r a C a d a b r a C : 7 : d a b r a : 10 : r a a d a b : 3 : て a r a C Suffix Array 10 3 : 1 1 8 1 4 6 9 2 ミ 7 lndex : 9 : : 2 : b c a d a b r a a a d a b r a : 5 : . C : 7 : d ・ a b r a 三 10 : a d a b r a : 3 : a C Suffix Array 9 2 5 7 10 3 辞書順にソート辞書順にソートもとのテキスト : abracadabra ・ Suffix Array: [ 11 , 8 , 1 , 4 , 6 , 9 , 2 , 5 , 7 , 10 , 3 ] の 2 つのデータだけがあれはいい。すべての Suffix は、もとのテキストとインデックス・ポイントだけで表現でき adabra" という Suffix にアクセスするる。たとえば、には、、 abracadabra の 6 文字目から始まる文字列 " というように表せばいい。 mksary コマンドの説明のなかで、インデックス・ポイントとは、、テキスト中の検索可能な位置 " のことだと述べた。上の例では、すべての文字にインデックス・ポイントを割り当てているが、子音のみに割り当てると、テキストの子音の位置からしか検索できない Suffix Array が作れる ( 図 11 ) 。 Suffix Array の言田は、文献 [ 1 , 2 ] を参照していただきたい。サンプル・プログラムプログラムを読むほうが、図解よりも分かりやすいとい、、れ文字目からこれらの Suffix を辞書順にソートし、う読者も多いと思うので、 C で書いたサンフ。ル・プログラの Suffix" のれの部分 ( 図 8 では lndex の部分 ) を並べムをリスト 3 に示す。これは、テキスト、、 abracadabra' ると Suffix Array かて、きあがる。の Suffix Array を作成するコードである。テキストの検索は、 Suffix が辞書順にソートされていサンフ。ル・プログラムのコンパイル方法と実行結果は次るという性質を利用して 2 分探索のアルゴリズムでおこなのとおりである。、、 ra " て験索する過程を図 10 に示す。数字付きの矢 % cc ー 0 samp1e3 samp1e3 . C 印は、 2 分探索の順序を表している。 % . /samp1e3 array [ 0 ] 0 abracadabra 0 , この図では、 abracadabra 、 bracadabra 、 racadab- text array[ 1 ] 1 bracadabra 1 , text ・・ bra 、 ra 、 a とたくさんの Suffix か並んでいる array [ 2 ] ra 、 2 racadabra 2 , text array [ 3 ] 3 acadabra 3 , text が、プログラムを書くときには、 array [ 4 ] 4 cadabra 4 , text 図 10 2 分探索て検索 Suffix Array Suffix rQ rQ rQ (d rQ (d rd (d rQ (d rd (d rd rQ S-4 S--4 (d (d (d cd rQ ,-Q rQ O rd S--I (d (d (d (d 2 3 114 UNIX MAGAZINE 2002.10

10. UNIX MAGAZINE 2002年10月号

特集 0 フィルタリングで守る S 0 H 0 環境 n び x2.4 のれ etf te ′ 白崎博生ノヾージョン 2.4 でソヾケット・フィ Linux カーネルは、ルタリングのイ督はみを大きく変えました。以下では、バージョン 2.4 から採り入れられた netfilter というイ督はみと、その上に実装された iptables について説明します。カーネル 2.2 には、 ipchains というノヾケット・フィルタリングのイ督はみと、バケットの IP アドレスを変換する IP masquerade かま装されていました。これらは、どちらも IP のバケットを処理するため、プログラムは同し IP 層に組み込まれています。しかし、もともとは別々に開発されたこれらのプログラムをカーネルに組み込んだ結果、 IP 層の部分が、読みにくく、拡張しにくい " コードになってしまいました。コードだけでなく、図 1 に示すようにデザインの面からみても複雑です。そのため、どの順番でどの処理がおこなわれるのかを理解していないと、適切なフィルタリング・ルールか書けなくなっていました。要するに ipchains は、、見通しの悪いシステム " だったのです。これらの点を考慮し、、、すっきりしていて、かっ拡張しやすいシステム " を目指して netfilter と呼ばれるフレームワークカ鯛発されました。そして、そのフレームワークの上に実装されたフィルタリング・システムが iptables です。カーネル 2.2 では、図 2 のような過程をたどって IP のバケットが処理されていました ( この図は、 iptables と対比するために図 1 を並べ替えたものです ) 。この場合、チェーンと Masquerade ()P masquerade) の処理の順番が憶えにくく、とくにいったん上位層にいくとみせかけて、やつばり FO VARD チェーンに入ってくるバケットな概要 UNIX MAGAZINE 2002.10 どをみると頭か混乱しそうです。一方、カーネル 2.4 の iptables では、ノヾケットの処理は図 3 のようにおこなわれます。この図からも分かるとおり、その計算機が受信するバケットは INPUT チェーンその計算機が送信するバケットは OUTPUT チェーン中幻医するバケットは FORWARD チェーンと叫屯化されています。さらに、中幻医するバケットをチェックするとき、 ipchains では INPUT 、 FORWARD 、 OUTPUT の 3 つのチェーンを通るのにヌ寸し、 iptables では FORWARD チェーンしか通らないのが大きな特徴です。これらの変更によって、柔軟なフィルタか書きやすい・バケット転却のパフォーマンスか 1 ヒするといった利点カ碍られます。 netfilter のメリットはほかにもあります。構成が単純になったため、処理ルーチンのモジュール化が容易になり、モジュールの開発や追加が簡単におこなえるようになりました。事実、カーネル 2.4 にはさまざまなモジュールが用意されています。これらをカーネルに読み込むと、以下の機能力硬えるようになります。・ステートフノレ・インスペクション中幻医するバケットの内容を角財斤することにより、バケットフィルタ・システムが、、コネクション " を角眷尺し、コネクションに必要なフィルタルールを重加勺に j 助日 / 削除してくれる機能です。単純なバケット・フィルタリングでは、コネクションの、、戻りバケット " であるかのよ 25