prefix - みる会図書館

1. UNIX MAGAZINE 2002年10月号

図 15 1627 1628 1629 1637 1638 1639 1640 図 16 1651 1663 1664 1665 1666 1667 1668 1669 連載 / IPv6 の実装ーのプレフィックスの鑠 VOid pfxlist—onlink—check ( ) for ()r = nd-prefix. lh_first ; pr ; pr = pr—>ndpr—next) { if (pr—>ndpr—raf—onlink & & find—pfxlist-reachable—router (pr) ) break; ルータがリンク上にある / ない場合 ~ 里 fo て ()r = nd-prefix. lh—first ; pr ; pr = pr—>ndpr—next) { if if ( (pr->ndpr—stateflags & NDPRF—DETACHED) find—pfxlist—reachable—router (pr) = = NULL) pr—>ndpr—stateflags ー = NDPRF—DETACHED ・ ( (pr->ndpr—stateflags & NDPRF-DETACHED) ! = 0 & & find—pfxlist—reachable—router(pr) ! = 0 ) pr—>ndpr—stateflags & = &NDPRF—DETACHED ; 1 , 638 行目の find-pfxlist-reachable-router() は、引数で渡されたプレフィックスを通知しているルータがリンク上に存在するかどうかをチェックします。具イ勺には、該当ルータがノードの近隣キャッシュに存在し、データリンク層アドレスか海夬済みであるとき、リンク上に存在するとみなします。 1641 if ()r ! = NULL Ⅱ TAILQ_FIRST(&nd—defrouter) ! = NULL) { オンリンク状態のプレフィックスが最低 1 つ存在する ()r ! = NULL) か、あるいはデフォルトルータか存在する場合、各プレフィックスのオンリンク状態をそれらを通知してきたルータの状態に従って設定します。プレフィックスを通知しているルータがリンク上に存在するかどうかは、 ndpr-stateflags に設定されます。ルータがリンク上に存在しない場合、 ndpr-stateflags に NDPRFDETACHED カ寸き、存在する場合はフラグが外れます。図 16 の 1 , 663 ~ 1 , 665 行目では、プレフィックスを通知していたルータがリンクから消えたため、 NDPRF-DETACHED フラグを付けています。 1 666 ~ 1 , 668 行目はその逆です。どのプレフィックスもオンリンク状態ではなく、かっデフォルトルータも存在しない場合、すべてのプレフィックスから NDPRFDETACHED フラグを外します ( 図 17 ) 。これは、近ド爾架索のイ士様で、リンク上にルータが 86 存在しない ( すなわち、他のリンク / 妾続していない ) 場合は、すべての宛先をオンリンクであるとみなす必要があるためです ( RFC2461 [ 2 ] の 5.2 節 ) 。次に、各プレフィックスごとに、通知してきたルータの状態とオンリンク状態が一致しないものについて、オンリンク状態を更新します ( 図 18 ) 。つまり、通知しているルータがリンク上から消えた (NDPRF-DETACHED フラグカイ寸いている ) にもかかわらず、プレフィックスがオンリンク状態になっている (NDPRF-ONLINK フラグカ寸いている ) 場合、 nd6-prefix-offlink() でオフリンク状態にします。逆の場合も同様です。 nd6-prefix-onlink()/nd6-prefix-offlink() の彳齬リは、プレフィックス宛の糸響各情報の追加と削除です。あるプレフィックスがオンリンク状態である場合、ノードはそのプレフィックス宛のバケットを、直接自分のインターフェイスに出力できます。オフリンク状態だったプレフィックスがオンリンク状態に変化した場合には、プレフィックスが示すネットワークへのネットワーク経路を追加します。逆に、オンリンク状態だったプレフィックスがオフリンク状態に変化した場合、バケットはデフォルトルータを経由して中幻逶してもらわなければなりません。このとき、プレフィックスが示すネットワークへのネットワーク糸齧各を、経路表から削除します。 UNIX MAGAZINE 2002 ユ 0

2. UNIX MAGAZINE 2002年10月号

図 17 1670 1672 1679 1680 1681 1682 図 18 1692 1701 1702 1703 1709 1710 1711 1712 1713 1714 1720 1721 1722 1732 1733 1734 連載 / IPv6 の実装ー⑩ すべてのプレフィックスからフラグを外す } else { for ()r = nd-prefix. lh—first ; pr ; pr = pr—>ndpr—next) { if ( (pr—>ndpr—stateflags & NDPRF—DETACHED) ! = 0 ) pr—>ndpr—stateflags & = &NDPRF—DETACHED ・オンリンクの更新 for ()r = nd—prefix. lh—first ; pr ; pr = pr—>ndpr—next) { if if ( (pr—>ndpr—stateflags & NDPRF-DETACHED) ! = 0 & & (pr—>ndpr—stateflags & NDPRF-ONLINK) ! = 0 ) { if ((e nd6—prefix—0ffIink(pr) ) ! ( (pr—>ndpr—stateflags & NDPRF-DETACHED) (pr—>ndpr—stateflags & NDPRF—ONL 工 NK) pr— >ndpr—raf— 0 Ⅱ 1 ink) { 0 & & if ()e = nd6—prefix—on1ink(pr) ) ! = 0 ) { for (ifa = in6—ifaddr; ifa—>ia—next) { if ( ! (ifa—>ia6-f1ags & ifa; ifa C011tim.le ; IN6_IFF_AUTOCONF) ) では、ますアドレスがインターフェイスに割り当てらそのあとにプレフィックスカワ。レフィックス・リストに追加されます。この過程で、アドレスか存在するにもかかわらす、そのもととなるプレフィックスがまだリストに存在しない状態が一印判勺に発生します。 1 , 736 ~ 1 , 743 行目では、こ刎列外を処理しています。プレフィックスのオンリンク状態は、アドレスの状態に景グします。オフリンク状態のプレフィックスに由来するアドレスは、間違って通信に利用されないように印を付け 1745 1746 1747 } if (find—pfxlist—reachable router(ifa—>ia6—ndpr)) break; る必喫があります。 1736 if (ifa—>ia6_ndpr = NULL) { 1742 1743 } continue ; ifa->ia6-ndpr は、アドレスか参照しているプレフィックスを示します。ステートレス・アドレス自動設疋のみを利用しているかぎりにおいて、プレフィックスへの参照が NULL になることはありません。しかし、場合によっては手動でアドレスを付けつつ、プレフィックスをステートレス・アドレス自動言殳定に従って管理してもらいたいことがあります。手動でアドレスを付けるとき、 KAME の実装 UNIX MAGAZINE 2002.10 1 , 732 ~ 1 , 747 行目は、プレフィックスを通知しているルータがすくなくとも 1 台リンク上に存在するかどうかの石裔忍です。ルータが 1 台も存在しなければ、仕様に従いすべてのアドレスをオンリンクなアドレスとして利用できます。 1748 if (ifa) { 1 , 732 ~ 1 , 747 行目のチェックでルータがみつかれば、 ifa にアドレスを示すポインタの値が入ります。リンク上にルータが存在する場合、各アドレスの状態 87

3. UNIX MAGAZINE 2002年10月号

特集・ロnびX2.4 の netfilter ー 1 ー 1 iptables —A FORWARD -i $DMZ—INTERFACE —s ! $DMZ—LAN —j DROP -log-prefix "ingress filtering iptables —A FORWARD -i $DMZ—INTERFACE —s ! $DMZ—LAN —j LOG \ # # 拒否したバケットのログも記録する # # lngress フィルタリング ( RFC2827 ) # # FORWARD チェーンの設定 ( デフォルト拒否 ) # # 始点 / 終点アドレスがプライベート工 P アドレスのバケットを拒否する iptables —A FORWARD -i $INTERNAL—INTERFACE —s ! $INTERNAL—LAN —j DROP ¯log¯prefix "ingress filtering iptables —A FORWARD —i $INTERNAL—INTERFACE —s ! $INTERNAL—LAN —j LOG \ # # プロバイダからプライベート工 P アドレスを割り当てられる場合は、該当工ントリを削除する iptables iptables iptables iptables iptables iptables —A FORWARD ー 1 —A FORWARD ー 1 —A FORWARD —A FORWARD ー 1 —A FORWARD ー 1 —A FORWARD $EXTERNAL_INTERFACE —s $EXTERNAL_ 工 NTERFACE ー s $EXTERNAL_ I NTERFACE ー s $EXTERNAL—INTERFACE —d 10 . 0 . 0 . 0 / 8 $EXTERNAL—INTERFACE -d $EXTERNAL—INTERFACE -d 192 .168.0.0 / 16 172 . 16 . 0 . 0 / 12 192 .168.0.0 / 16 ー」 172.16.0.0 / 12 10 . 0 . 0 . 0 / 8 DROP DROP DROP DROP DROP DROP # # 内部ネットワークから送った ( ようにみえる ) バケットを外部インターフェイスから受信するはずはない # # 拒否したバケットのログも記録する iptables —A FORWARD —i $EXTERNAL—INTERFACE -s $INTERNAL—LAN -j LOG \ —log-prefix- "spoofed packet iptables —A FORWARD —i $EXTERNAL—INTERFACE -s $INTERNAL—LAN -j DROP # # 自分が送った ( ようにみえる ) バケットを外部インターフェイスから受信するはすはない # # 拒否したバケットのログも記録する iptables —A FORWARD —i $EXTERNAL_INTERFACE —s $IPADDR —j LOG \ —log¯prefix "spoofed packet iptables -A FORWARD —i $EXTERNAL—INTERFACE -s $IPADDR -j DROP # # Windows DCE RPC 、 NetBIOS 、 Direct Hosting SMB/€ケットを拒否する iptables iptables iptables iptables —A FORWARD —p tcp -A FORWARD —p udp -A FORWARD —p tcp -A FORWARD —p udp —m multiport —m multiport —m multiport —m multiport -source—port 135 , 137 , 138 , 139 , 445 —j DROP -source—port 135 , 137 , 138 , 139 , 445 —j DROP -destination—port 135 , 137 , 138 , 139 , 445 —j DROP -destination—port 135 , 137 , 138 , 139 , 445 —j DROP # # # インターネット DMZ 間のフィルタリング # # サーパーへの接続を許可する iptables -A FORWARD —i $EXTERNAL-INTERFACE ー 0 $DMZ—INTERFACE \ # # ポート番号を指定すること # # サーパーがグローバル IP アドレスの場合は、許可するプロトコルとこでは指定しなくてよい # # 許可するポート番号は DNAT で決まるので、 42 UNIX MAGAZINE 2002 ユ 0

4. UNIX MAGAZINE 2002年10月号

図 14 1460 1461 1463 1464 1465 1466 1467 1481 ます。連載 / IPv6 の実装ーの = 0 ) 重複アドレス検出の開始 (ifra->ifra-flags & IN6—IFF—NODAD) if (hostIsNew & & in6if—d0—dad (ifp) & & nd6—dad—start ( (struct ifaddr * ) ia, NULL) ; return(error) ; ・ prelist-update() プレフィックス情報を含むルータ通知を受信したときに呼び出されます。ノードか着理しているプレフィックス情報の更新喇助日をおこないます。・ pfxlist-onlink-check() ことのないプレフィックスを受信した場合など力げらルータ・リストの状態か変化したり、これまで受信したわれる場合に呼び出されます。たとえば、デフォルトク上のルータの状態になんらかの変更か加えられたと思をチェックします。 pfxlist-onlink-check() は、リンノードがイ尉寺しているプレフィックスのオンリンク状態オンリンク状態の考察指定したプレフィックスをオフリンク状態にします。・ nd6-prefix-offlink() 指定したプレフィックスをオンリンク状態にします。・ nd6-prefix-onlink() れます。ステートレス・アドレス自重垢又疋の仕様では、リンク上 UNIX MAGAZINE 2002.10 推奨有効時間は 7 日です。つまり、ノードがリンク上をれています。とくに変更しなければ、有効時間は 30 日、を設定します。通常、こ刎直にはかなり長い嗤間カ甘旨定さ定では、割り当てられたアドレスか無効になるまでの日計こで問題が生します。ステートレス・アドレス自重垢殳ます。いプレフィックスを受信し、適切なアドレスを自動注成しるリンクに移動すると、移動先のリンクのルータから新しス識別子から固有のアドレスを生成します。ノードが異なのルータから受信したプレフィックスとインターフェイ次々に移動していくと、過去に接続していたリンクでのアドレスか無効にならないまま残ってしまいます。以ⅱ妾続していたリンクで自動言されたアドレスは、現在接続しているリンクでは使えません。ところが、ノードはインターフェイスに付いているアドレスか有効かどうかを有効時間でしか判断しません。間違って以前のリンクのアドレスを使うと、当然ながら通信できません。 KAME では、プレフィックスがオンリンクであるかオフリンクであるかを管理することで、そのプレフィックスから生成されたアドレスカリ用可能かどうかを判断できるように実装されています。プレフィックスがオンリンクであるためには、そのプレフィックスを通知しているルータが同一リンク上に存在する必要があります。オフリンクであるプレフィックスに由来するアドレスは印を付けら通信に利用されなくなります。オンリンク状態のチェック pfxlist-onlink-check() は、リンク上のルータか変わったと考えられるときに呼び出されます。ます、ノードが管理しているプレフィックスのなかから、オンリンクフラグカ寸いており、かっそのプレフィックスを通知していたルータがリンク上に存在すると思われるプレフィックスを検索します ( 図 15 ) 。注意しなければならないのは、プレフィックス情報自体がもっているオンリンクフラグと、プレフィックスが実際にオンリンクであるかどうかは関係がないということです。オンリンクフラグは、プレフィックスを通知するルータカワ。レフィックス情報の一にとして静的に決定します。これに対し、オンリンク状態はリンクの状態に依存して変化します。 85

5. UNIX MAGAZINE 2002年10月号

旧 v6 の実装アドレス自動設定の実装 ( 3 ) リンクローカル・アドレスが自動設疋されるため、 IPv6 8 月 1 日、ついにアッカ・ネットワークスと OCN がノードは起動直後からリンク上の他のノードと通信する PD (Prefix Delegation) サービスを開始しました。 PD ことができます。を利用すると、ルータは ISP から IPv6 アドレスプロッ 2. ステートレス・アドレス自動設疋クを自珥得できるようになります。これまで、 IPv6 のサービスを利用するためには IPv6 ルータの設定に関するルータから送信されるルータ通知 (Router Advertise- ment) に含まれているプレフィックス情報を受信し、サ知識が必要でしたが、 PD を使えは、はとんど匁丿ゞなくイトローカル / グローバル・アドレスを自動設疋します。ても IPv6 ネットワークに接続できます。 IPv6 でアドレスの自動設疋といえば、はとんどの場合 IPv4 に対応した家庭 . 用ルータ製品 ( いわゆるプロードステートレス・アドレス自動設疋を指します。バンド・ルータ ) のほはすべてには、あらかじめ PPP と NAT の設定が含まれています。ューザーは、プロバイダ 3. 手動設定 IPv4 と同じように、 IPv6 アドレスを手動で設定するの情報を入力するだけで、 (NAT ではありますが ) 簡単こともできます。に IPv4 ネットワークを構築できます。この点で、むしろ IPv6 は IPv4 に負けていたといえるでしよう。しかしな KAME におけるアドレス設定の実装では、上記のそれがら、 PD がその間題を解決しました。これからは、 PD ぞれが異なるコードバスを通ります。各方式で呼び出され対応のプロードバンド・ルータを設置するだけで、 NAT る関数を図 1 に示します。を介さない完全にグローバルな IPv6 ネットワーク竟が図を見川ま分かるように、どのコードバスを通っても、手に入るようになります。最終的には in6-update-ifa() にたどり着きます。この関 PD は、とくに家庭に IPv6 を普及させるための重要な数は、アドレスの追加や更新に関する共通の処理を担当し技術です。サポートしている ISP や対応しているルータます。コメントを含め 533 行にもおよ」臥きな関数で、以はまだ多くありませんが、今後標準になっていくことは確下の手順に従ってアドレス設定か進みます。かでしまう。・引数の正当性チェック・アドレスの追加処理・プレフィックス長の設定・対向ノード糸各清報の削除有効日日 / 推奨有時間の設定・ IPv6 関連のインターフェイス・ノヾラメータのネノ琪月・化・アドレスフラグの成疋・マルチキャスト・アドレスへの参加・重複アドレス検出の開始アドレス設定のおさらい IPv6 ノードにアドレスを割り当てるガ去は以下の 3 種類に大別されます。 1. リンクローカル・アドレスの自重嬬リ当てリンクローカル・アドレスは各インターフェイスに自動的に割り当てられます。この機能はステートレス・アドレス自動設定の手続きの一部として定義されています。 75 UNIX MAGAZINE 2002.10

6. UNIX MAGAZINE 2002年10月号

特集・リn社X2.4 の netfilter c んれ : チェーン名 (INPUT 、 OUTPUT 、 iptables —P c んれ図 13 ポリシーの言聢 iptables —L [ c ん司図 12 フィルタの新 —line—numbers] FORWARD のみ ) target : ターゲット (ACCEPT 、 DROP のみ ) ます。・—log—level level : ログのレベル TCP のシーケンス番号を記録にとることを指定しま・—log—tcp—sequence : TCP シーケンス番号の言求索するときにイリでしよう。攻撃名などを言当剥こ残すようにしておくと、 grep て検師ェに設定できる文字列の最大長は 29 文字です。文字列世師が追記されます。このオプションを指定すると、言当求されるログの知寬こ・—log—prefix 2 五 : プレフィックス文字列テ。フォノレトのレベノレは warning です。ニュアルを参照してください。定できるプライオリティについては、 syslog. conf のマ syslog のプライオリティ (priority) を指定します。指フィルタを表示する録されます。の場合、オプションの内容は HEX ( 16 進表記 ) で記 TCP のオプションを言当求にとることを指定します。・—log—tcp—options : TCP オプションの言求す。ンについては、チェーンに入ってきたバケットとバイト数のカウンタも表示されます。とくにピルトイン・チェなく、そのルールにマッチしたバケットの数と糸をヾイト数定します。このリストでは、フィルタルールの内容だけでての情報を表示するには、 -L の後ろに一 v オプションも指ただし、こて表示されるのはルールの一碚にです。すべのチェーンのルールだけが表示されます。方、 -L オプションの引数にチェーン名を指定すると、そンを含むすべてのチェーンのルールが表示されます。 -L オプションだけを指定すると、ユーザー定義チェーを図 12 に示します。 iptables コマンドでフィルタのリストを表示する書式 36 ポリシーの設定チェーンに、、ポリシー " を設定する書式を図 13 に示します。ポリシーとは、どのフィルタルールにもマッチしなかった場合、デフォルト動作として働くターゲットのことです。ただし、ポリシーを設定できるのはビルトイン・チェーンだけです。ューザー定義チェーンのデフォルト動作は、そのユーザー定義チェーンを呼び出したチェーンに戻ることです。ューザー定義チェーンにポリシーを設定したい場合は、すべてにマッチするルールを末尾に追加します。ポリシーに設定できるターゲットは以下のどちらか 1 つも表示されます。 -v オプションで表示されるバイト数は、数字の桁数が大きくなってくると自重加勺に K ( 1 , 000 ) 、 M ( 1 , 000K ) 、 G ( 1 , 000 ) のように丸められていきます。これは、おおまかな量さえ分かればいいときにリですが、糸をとるといった目的で正確な数字を知りたい場合には不便です。そこで、さらに一 x オプションも同時に指定すると、正確な数字か表示されるようになります。ところで、 -I オプションや -D オプションでルール番号を指定してルールを挿入したり削除するとき、知頁から「いち、に、さん、・・・」と数えていくのはひどく面倒です。ルールを数えるのに飽きたら、 —line—numbers 2 ・プションを使うといいでしよう。このオプションを付けると、各行の地直にルール番号が表示されます。 - L オプションを付けると、デフォルトでは自重加勺に IP アドレスからホスト名、ポート番号からサービス名へと変換したうえで表示されます。これはこれでイリかっ親切な機能なのですが、場合によっては IP アドレスやポート番号を直接見たいこともあります。そんなときは、一Ⅱを指定して実行すると、変換せすにそのまま表示されます。 UNIX MAGAZINE 2002.10

7. UNIX MAGAZINE 2002年10月号

連載 JavaServer Pages—@ 図 3 txt:style タグ吏った JSP ファイル (style ・ jsp) く %@ page contentType="text/htm1 ; charset=EUC—JP" % > く %@ taglib prefix="txt" uri="http://www.astec.co ・ jp/text" % > く ! DOCTYPE HTML PUBLIC "—//W3C//DTD HTML 4.0 Transitiona1//EN" > く html> く head> く meta http—equiv="Content—Type" content="text/html ; charset=EUC¯JP"> く tit1e>TextSty1e く /title> く /head> く body> く txt : sty1e text= く txt : style text¯ く /body> く /html> ー " 普通の文字列 " " 大きな文字列” ド T “にに - に「叩に€ 図 4 style. jsp の表示 size="9"> く /txt : style> く br> size="5"/> く br> - ファイルの編集表示検索ジャンプ 0 プマーグ印タスりヘルプ ( 印第本を普通の文字列大きな文字列働は一ム複常ーロカりマグ騫一物“。、新着、お第め、メンバーズいト発癶 4 了タグが別々に言己されていても、 1 つのタグとして言己 2 不頁のタグをくらべれば分かるように、開始タグと終さが、 size 属性の値に応して変わっています。うな画面になります。 text 属性で指定した文字列の大き図 3 の style. jsp をプラウザて表示すると、図 4 のよの表示をみてみましよう。さきに TextStyle タグハンドラで作った txt:style タグ必要になりますが、具体的な手順の説明は後回しにして、タグハンドラを利用するにはこのあといくつかの準備が txt :style タグの表示をそのまま続けることかて、きます。ソッドを抜けています。これにより、 JSP ページの処理 doEndTag() の最後では、 EVAL-PAGE を返してメでおこなってもプラウサ上の表示は同しになります。メインの処理を doStartTag() と doEndTag() のどちら本体をもたないタグの場合は、カスタムタグを変換するく fo 取 t size="9"> 大きな文字列く / f0 Ⅱ t > ます。タク冽の例では、次の文字列が write() メソッドに渡され 100 図 5 style ・ jsp をプラウサで表示したときのソース ( カスタムタグの部分のみ ) く font size = " 9 " > 大きな文字列く / fo Ⅱ t > く br > く font size = " 5 ” > 普通の文字列く / fo Ⅱ t > く br > されていても表示結果は同しです。タグハンドラをテストするときは、プラウザに表示された内容だけでなく、 JSP ファイルのコードがどのような HTML コードに変換されたのかも不忍してください。図 5 は、プラウサのメニューから、、ページソース " などお尺して表示させたソースコードのうち、カスタムタグに対応する部分だけを取り出したものです。 JSP ファイルの 2 不頁のタグが、いずれも font タグを使って書き換えられていることカ蔀忍できます。 txt:style タグのさまざまな表示図 3 と図 4 で、カスタムタグの正常な動列をみてみました。次に、カスタムタグの仕様とは違う使い方をしたり、通常の使い方からすこし外れたことをした場合に何が起きるのか試してみましよう。誤った使い方をしたときにどのようなエラーか起きるのかが分かっていると、テンヾッグの際に役立ちます。タグや JSP ページを開発する場合は、よくあるエラーについて知っておいたはうがよいでしよう。こではいくつかの実列を紹介しますが、仕様に合わないタグをみつけたときの JSP 工ンジンの振舞いやエラーメッセージは環竟によって異なります。できれば、自分 UNIX MAGAZINE 2002.10