FTP - みる会図書館


検索対象: UNIX MAGAZINE 2003年6月号
22件見つかりました。

1. UNIX MAGAZINE 2003年6月号

特集 図 12 ルールの字 edit> 1ist ru1e 1 "dnsquery" " * ” "dns—www" ALLOW COMMENT "any host can access DNS" 2 "common" " * " ALLOW COMMENT "any NATed PC can access internet" 3 "www" " * " "dns—www" ALLOW COMMENT "any host can access WWW" 4 " smtp" " * " "mail—ftp" ALLOW PROXY—SMTP SunScreen 3.2 5 "ftp" " * " "mail—ftp" USER "ftpusers" ALLOW PROXY—FTP FTP—GET FTP—PUT FTP—CHDIR FTP MKDIR FTP RENAME FTP _REMOVE_D I R FTP _DELETE " "localhost" ALLOW COMMENT "localnet can access THIS" 6 "common" 図 13 ルール認と保存 1 2 3 4 5 6 7 8 edit> verify Configuration verified successfully (not activated) . Configuration activated successfully on exp. root@exp$ ssadm activate lnitial edit> quit Saved policy tO lnitial version 2 Saved common objects tO Registry version 2 edit> save 3 行目 :save コマンドで編集結果を保存する。保存せすに 終了する場合は、 quit コマンドを 2 回続けて実行する。 7 行目 : 工デイタを終了したら、 ssadm activate コマン ドを実行してルールをコンパイルし、有効にする。編集 結果は、このコマンドを実行するまで応央されない。 ルーティングと ARP テープルの ルーティング・モードの SunScreen は、当然ながら 一種のルータとして動作する。逆にいえば、 OS レベル で適切なルーティングをおこなうように設定されていなけ れば、 SunScreen は正常に機能しない。ルータとしての 動作の田については説明しないが、不審なところがあれ ば、次の点に注意してルータとしての動作も詩・ヾたほうが よい。 ・ルーティングか有効になっているか 静的ルーティングのために /etc/defaultrouter ファイ ルを使用すると、デフォルトではルーティンク饑能力嘸 効になる。、、 ndd /dev/ip ip-forwarding" コマンド を実行し、ルーティングか有効になっているかを不忍 ・ ARP テープルは正しいか プルが正しく構成されているかを石薩忍する。 netstat - r ' コマンドを実行し、ルーティング ・ルーティング・テープルは正しいか する。 UNIX MAGAZINE 2003.6 構成されているかを石忍する。 arp ー a " コマンドを実行し、 ARP テープルが正しく さて、 ARP である。 NAT を使う場合は、いくっかのアドレスが現実のイ ンターフェイスに割り当てられない、、イ瓦想 " アドレスにな る。図 5 の例では、 211.7.178.70 と 71 が一瓦想アドレス である。仮想アドレスは、なんらかのガ去て物理インター フェイスと対応づけなけれは、実際に通信をおこなうこと ができない。対応づけるガ去の 1 つが、イ反想アドレスに 対応する ARP 応答を物理インターフェイスから流すよ うに設定することである 7 。今回の例では、イ瓦想アドレス 211.7.178.70 ~ 71 への APR リクエストに対し、イン ターネット側の物理インターフェイス 211.7.178.69 の MAC アドレスを返せば、バケットか物理インターフェ イスに流れ込むようになる ( 図 14 ) 。 1 ~ 12 行目 : 物理インターフェイスの MAC アドレスを調 べる。 211.7.178.69 の MAC アドレスは 00 : 03 : ba : 19 : 01 : af であることが分かる。 13 ~ 14 行目 : イ反想アドレスに対する ARP テープルの工 ントリを追加する。 pub オプションの指定によりエン トリが公開さネットワークに ARP リクエストが 流れると、指定した MAC アドレスで応答するように なる。 15 ~ 28 行目 : ARP テープルにエントリが追加さオフ ラグに、、 P"(PubIish) が付いていることを石忍する。 7 想ネットワーク・インターフェイスを竹城し、それに仮想アドレスを 割り当てる去もある。 65

2. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 図 10 FTP プロキシーのユーサーとアクセスルールの定義 authuser add tsuru password={ } description="Proxy user' 1 edit> proxyuser add tsuru auth—user_name="tsuru" backend_user_name=" OP 2 edit> authuser add kame password={ "kame" } description="Proxy user 3 edit> proxyuser add kame auth—user—name=l'kame' 4 edit> proxyuser add ftpusers GROUP 5 edit> proxyuser addmember ftpusers tsuru 6 edit> proxyuser addmember ftpusers kame 7 edit> add rule ftp * mail—ftp ALLOW PROXY-FTP USER ftpusers FTP-ALL 8 edit> SMTP プロキシーとアクセスためのテーカレの定義 図 11 1 edit> add rule smtp * mail—ftp ALLOW PROXY—SMTP 2 edit> mail—spam add 0.0.0.0 .. 255 . 255.255.255 3 edit> mail—spam add wearethespammer.org 4 edit> mail—relay add nspl . com 6 ~ 12 行目 : ルールを確認してみる。匆期設定で定義され たルールか残っているので、これを消去する。 次に、 FTP プロキシーのユーサーとそのアクセスルー ルを定義する ( 図 10 ) 。 1 ~ 2 行目 : 単純なパスワード認証をおこなうプロキシー ューザーを定義するには、パスワードをもつ認証ューサ ーを作成し、プロキシーユーザーと関連づける。 back- end-user-name パラメータでは、ログインするサーバ ーでのユーザー名を指定する。このパラメータを指定し ない場合は、プロキシーユーサー名と同しューサー名で バックエンド・サーバーにログインすることになる。 3 ~ 4 行目 : 同しくパスワードによって認証をおこなうプ ロキシーユーサーを定義する。 5 行目 : FTP プロキシーの利用者を意眛するグループ仕 p ー users を作成する。 6 ~ 7 行目 : 作成したユーサーをグループにまとめておく。 8 行目 : FTP プロキシーを定義する。すべてのマシンか らの接続を受け付ける。プロキシー自体はバックエンド にあらゆるマシンを指定できるが、 ーで朝刃めているの は内部ネットワークの FTP サーバーだけである。プロ キシーはアプリケーション・レベルでの中継をおこなう ので、 FTP サーバーを使うために NAT を利用する必 要はない。 続いて、 SMTP プロキシーとアクセス制御のためのテ ーフルを定義する ( 図 11 ) 。 1 行目 : SMTP プロキシーを定義する。宛先アドレス には、内部ネットワークのメールサーバーを指定する。 RELAY オプションを付けていないので、 maiLrelay テープルによるチェックがおこなわれる。 2 行目 : spam-list にアドレス範囲を登録する。 SMTP プ ロキシーは、接続元の IP アドレスからドメイン名の逆 引きができなかったときにのみ、このリストのアドレス こではすべての IP アドレスを指定 範囲を参照する。 しているため、逆引きかできないアドレスからの接続は すべて拒否することになる 6 。 3 行目 : spam 」 ist にドメイン名を登録する。 SMTP プ ロキシーは、接続兀の IP アドレスを逆引きして得たホ スト名と、 MAIL FROM で示される発信者アドレス をこのリストから検索する。そして、いすれかがリスト に一致した場合は接続を拒否する。 4 行目 :mail-relay に宛先ドメイン名を登録する。 RCPT TO で示される受信者アドレスがこのリストに登録され ていない場合は、接続を拒否する。 最後に、ルールの適用順序を整理しておく。 SunScreen はフィルタルールを順番に適用して通過の可否を決定して いくので、適用頻度がもっとも高いと思われるルールを先 に書いておくとパフォーマンスが多少はよくなるはすであ る。ルールの ) を変更するには、、 move rule れ m" コ こでは図 12 のような ) 仰にした。 マンドを使用する。 定義か完了したら、石忍してからルールを保存し、有効 にする ( 図 13 ) 。 1 行目 : verify コマンドで、ルールに矛盾がないかを石忍 する。 6 DNS の一ヨ勺な動イ不良によって逆引きに失敗した場合も拒否されるの で、そ窈失をよく考えて指定する必要がある。 64 UNIX MAGAZINE 2003.6

3. UNIX MAGAZINE 2003年6月号

SunScreen 3.2 図 15 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 図 16 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 特集 FTP プロキシーの禾 root@ns$ ftp 211.7.178.69 Connected to 211.7.178.69. 220 ー 220 Name 331 ー 331 Proxy : SunScreen FTP Proxy Version 3.2—fcs Username tO be given as く proxy—user> ) ' く FTP—server—host> Password tO be given as く proxy—password> ' @ ' く FTP—server—password> Ready. ( 211.7.178.69 : op ) : kame@192.168.1.47 Proxy : Authenticate & connect : Password needed tO authenticate 'kame' Password : kame@naisyo 230 ー Proxy: Authentication mapped ) kame ' tO backend user ) op Connecting tO 192 .168 . 1 .47 ( 192.168.1.47 ) ー done . Server: 220 blade FTP server ready. proxy : 0 Ⅱ ) OP Server: 331 Password required for op. Proxy: Supp1ying password t0 server. 230 Server : User op logged in . ftp> SMTP プロキシーの利用 root@ns$ mconnect 211.7.178.69 connecting tO host 211.7.178.69 ( 211.7.178.69 ) , port 25 connection open 250 blade. localnet He110 fire. localnet [ 192 .168 . 1.83 ] , pleased to meet you helo konnichiwa 220 blade. localnet ESMTP SendmaiI 8 . 12.2 + Sun / 8 . 12.2 ; Tue, 18 Mar 2003 01 : 47 : 04 + 0900 (JST) COnneCti011 open connecting t0 host 211.7.178.69 ( 211.7.178.69 ) , port 25 root@ns$ mconnect 211.7.178.69 Ⅱ 0 , spam ! bac OII 455 Sme11s like MAIL FROM : foo@wearethespammer. org 250 blade . localnet He110 fire. localnet [ 192 . 168.1.83 ] , pleased to meet you HELO konnichiwa 220 blade . localnet ESMTP Sendmai1 8 . 12 . 2 + Sun / 8 . 12 . 2 ; Tue , 18 Mar 2003 01 : 19 : 36 + 0900 (JST) 454 Re1ay refused RCPT TO: hiro@example ・ co ・ jp Sender ok 250 2 . 1 . 0 foo@ascii ・ co ・ JP ・ MAIL FROM: foo@ascii ・ co. jp 1 行目 : 重堺乍の確認には telnet コマンドでもよいが、行 単位の入力になるので、 SMTP サーバーと接続するた めの mconnect コマンドのはうか扁集できるぶん楽で ある。 4 行目 : 接続元アドレスのチェックカ鮗ると、プロキシー 経由でバックエンドのメールサーバーか応答する。 6 行目 : バックエンドのメールサーバーは、接続兀を Sun- Screen のマシンであると認識している。 7 ~ 8 行目 : 送信元アドレスとして mail-spam に登録し たドメイン名を指定すると、ステータスコード 455 で 接続カしられる ( しかし、このメッセージはなんとか UNIX MAGAZINE 2003.6 ならないものだろうか・ 9 ~ 18 行目 : 今度は、宛先アドレスとして mail-relay に 含まれないドメイン名を指定してみると、ステータスコ ード 454 で接続が閉しられる。 ログの活用 SunScreen のログ機能 ファイアウォールを言置したら、その活動ログを定期的 に調べ、攻撃やスキャンからネットワークか正しく防御さ れているか、また、不適切なトラフィックが発生していな いかなどを定期的にチェックすべきであろう。ログを検査 しているときに不適切なトラフィックが発見され、原因を 67

4. UNIX MAGAZINE 2003年6月号

FTP-GET 、 FTP_PUT 、 FTP_CHDIR 、 FTP-MKDIR 、 FTP-RENAME 、 FTP-REMOVE-DIR 、 FTP-DELETE 、 FTP-ALL デフォルトではいすれのコマンドも実行できないが、 先頭に、、 NO - " を付けて明示的に禁止を指定するこ ともできる。 HTTP アクセス制御フラグ : HTTP プロキシーを通 過できるコンテンツを指定するフラグ似下のいすれ COOKIES 、 ACTIVE-X 、 SSL 、 JAVA 、 JAVA-SIGNATURE 、 JAVA-HASH 、 JAVA-SIGNATURE-HASH デフォルトではいすれのコンテンツも通過できない。 メーノレサーバー・アドレス : バックエンドの ( 実際に処 理をおこなう ) メールサーバーのアドレスを表すアド レス・オプジェクトの名前。ノヾックエンドのメール サーバーは複数指定できる。このサーバーへのコネク ションはアドレスの昇順におこなわれるが、これカ坏 適切な場合は複数のノレールを作成して対処する。 SMTP アクセス制御フラグ : 、、 RELAY" を指定する と、 mail-relay リストによる受信人アドレスのチェ ックはおこなわない。 ・アクセスを拒否するフィルタルールの追加 add rule サービス名送信元アドレス宛先アドレス DENY [LOG ログ種別 ] [SNMP] [COMMENT コメント ] CICMP 応答方法 ] insert ruIe - 番・・号・ サーピス名 : アクセスを拒否するサーピス・オプジェク トの名前。サービスと送信元・宛先のアドレスが一数 するセッションは拒否される。 送信元アドレス : 送信元アドレスを表すアドレス・オプ ジェクトの名前。 宛先アドレス : 宛先アドレスを表すアドレス・オプジェ クトの名前。送信元→宛先が、サーピスの定義でオ旨定 したステートエンジンの順方向になる。 LOG ロク重別 : 記録するログの不動リ ( 以下のいずれ か ) 。 NONE ( なしデフォルト ) 、 SUMMARY ( 要約ログ ) 、 DETAIL 信料田口カ SNMP : SNMP アラートを有効にする。 UNIX MAGAZINE 2003.6 特集 の文字列 ) 。 COMMENT コメント : ルールについての説明 ( 任意 SunScreen 3.2 変換後送信元変換後宛先 [COMMENT コメント ] insert nat 番号 STATIC 変換前送信元変換前宛先 変換後送信元変換後宛先 [COMMENT コメント ] add nat STATIC 変換前送信元変換前宛先 青勺 NAT の追加 応できる。 理がおこなわれるため、 1 つのルールで双方向の変換に対 不鶤頁が必要になる。一方、動的 NAT ではセッション管 を変換するルールと、宛先アドレスを変換するルールの 2 変換を定義するので、双方向の通信では、送信元アドレス 2 不頁を使用することができる。静的 NAT は一方向への るために変換後のアドレスを重加勺ロ尺する重加勺 NAT の 的 NAT と、 m 個のアドレスをれ個のアドレスに変換す SunScreen では、 IP アドレスを 1 対 1 に変換する静 NAT の操作 ルール番号 : 削除したいルールの ) 番号。 delete ruIe ノレーノレ : 番号 ・ルールの削除 様の書式て再定義する。 ルール定義 : 変更後のルールを add rule コマンドと同 ルール番号 : 変更したいルールの茅番号。 replace rule ノレーノレ : 番号ノレーノレ定義 ・ノレーノレの変ー更 号をもつルールは、順に下に送られる。 新番号 : 移動先の順序番号。指定した番号より大きな番 旧番号 : 元の茅番号。 move rule 旧番号新番号 ・ルールの ) 仰の変更 番号 : ルールを挿入する位置の頂序番号。 NET-FORBIDDEN 、 HOST-FORBIDDEN PORT-UNREACHABLE 、 HOST-UNREACHABLE 、 NET-UNREACHABLE 、 NONE ( 応答しない。デフォルト ) 、 れか ) 。 ICMP 応答力法 : ICMP への応答方法 ( 以下のいす 番号 : NAT を挿入する位置の砌番号。 57

5. UNIX MAGAZINE 2003年6月号

メンバー名 : サービスグループに追加するサーピスの名 ・サービスグループからのメンバーの削除 delete—member service サーヒ、スグノレープ名メンノヾ ・サーピス名への参照の変更 ( サービス名の変更にともな rename service 変更則の名則変更後の名則 ・サービス名の変更 名前。 メンバー名 : サービスグループから削除するサービスの サービスグルーフ。名 : サービスグルーフ。の名前。 renamereference service 変更前の名則変更後の名 い、旧い名前を参照していたオプジェクトを変更 ) 特集 NONE ( なし。デフォルト ) 、 SunScreen 3.2 ・サービスの削除 delete service 名月リ 名前 : 削除するサービス・オプジェクトの名前 ( 単一 サービス、サービスグループのどちらでもよい ) 。 フィノレタルールのキ果イ乍 具イ勺なアクセス制御を指定するのがルールであり、 の うまでもなく、この定義がもっとも重要である。指定可能 なルールは多岐にわたるため、いくつかの機能に分けて解 説する。 56 したステートエンジンの頂方向になる。 クトの名前。送信元→宛先が、サービスの定義で指定 宛先アドレス : 宛先アドレスを表すアドレス・オプジェ ジェクトの名則。 送信元アドレス : 送信元アドレスを表すアドレス・オプ するセッションは通過か許可される。 トの名前。サービスと送信元・宛先のアドレスかン一致 サービス名 : アクセスを許可するサービス・オプジェク 番号 : ルールを挿入する位置の頂序番号。 [COMMENT コメント ] 宛先アドレス ALLOW CLOG ログ種別 ] CSNMP] insert rule 番号サーヒ、ス名送信元アドレス CCOMMENT コメント ] ALLOW [LOG ログ種別 ] [SNMP] add rule サーピス名送信元アドレス宛先アドレス ・アクセスを許可するフィルタルーノレの追加 LOG ロク種別 : 記録するログの種別 ( 以下のいすれ UNIX MAGAZINE 2003.6 3 ステルスモードではプロキシーは使用できない。 て指定 ) 。 ド ( 以下のいすれか 1 つ、または複数を組み合わせ FTP アクセス制御フラグ : FTP で使用できるコマン Screen を指すように各する。 を利用する場合には、 DNS の MX レコードが Sun- パスワードの入力カ球められる。 SMTP プロキシー プロキシーでは、 Basic 認証を使用してログイン名と @ 目的サーバーのパスワード " を入力する。 HTTP スワードとして、、プロキシーユーサーのパスワード て、、プロキシーユーサー名@ 目的サーバー名 " を、 telnet または ftp でアクセスし 3 、ログイン名とし する場合は、 SunScreen が稼動しているマシンに キシーユーザー名。 TeInet/FTP プロキシーを利用 プロキシーユーサー名 : プロキシーを通過できるプロ したステートエンジンの順方向になる。 クトの名前。送信元→宛先が、サービスの定義で指定 宛先アドレス : 宛先アドレスを表すアドレス・オプジェ ジェクトの名前。 送信元アドレス : 送信元アドレスを表すアドレス・オプ 番号 : ルールを挿入する位置のルール番号。 insert rule : 番号、 [ SMTP アクセス制御フラグ ] メーノレサーノヾー・アドレス ALLOW PROXY_SMTP add rule smtp 送信元アドレス [ HTTP アクセス制御フラグ ] PROXY_HTTP [USER プロキシーユーサー名 ] add rule http 送信元アドレス宛先アドレス ALLOW [ FTP アクセス制御フラグ ] PROXY_FTP [USER プロキシーユーサー名 ] add rule ftp 送信元アドレス宛先アドレス ALLOW 名 ] ALLOW PROXY_TELNET [USER プロキシーユーサー add rule telnet 送信元アドレス宛先アドレス ・アクセスを許可するプロキシールールの〕助日 の文字列 ) 。 COMMENT コメント : ルーノレについての説明 ( 任意 SNMP : SNMP アラートを有効にする。 SESSION ( セッションのみ言剥 SUMMARY ( 要約ログ ) 、 DETAIL ( 言田口クつ、

6. UNIX MAGAZINE 2003年6月号

特集 表 2 定斉みのサービスグループ IP ノ、ケット不重別 IP ノ、ケット不重別 IP ノ、ケット不亜別 IP / ヾケット不亜別 SunScreen 3.2 rsh 、 サービスグループ daytime d iscard HA 1 mosa1C netbios nfs nfs readonly nlS time tsolpeerinfo common 含まれるサービス nis 、 pmap-nis 、 pmap-udp 、 pmap-tcp 、 rpc-tpc 、 rpc-udp 、 realaudio 、 ftp 、 tcp 、 tcpalls dns 、 udp-datagram 、 udp 、 udpall 、 ping 、 icmp 、 ipmobile tcp all 、 udp all 、 syslog 、 dns 、 rpc all 、 nfs prog 、 icmp all 、 rip 、 ftp 、 rsh 、 real audio 、 pmap udp alk pmap tcp all 、 rpc tcp all 、 nis 、 archie 、 traceroute 、 ping daytime 、 daytime-udp discard 、 discard-udp ech0 、 echo-udp HA heartbeat 、 HA administration esp 、 ah 、 isakmp www 、 ssl 、 gopher 、 ftp 、 archie netbios narne 、 netbios datagram 、 netbios session mountd 、 nfs prog 、 rquota 、 nlm 、 status 、 nfs acl mountd 、 nfs readonly prog 、 rquota 、 nlm 、 status 、 ypserv 、 yppasswd 、 ypupdate 、 ypbind time 、 time-udp tsolpeerinfo-tcp 、 tsolpeerinfo-udp 表 3 てきるステートエンジン ( 各項目末尾の [ ] 内はデフォルト nfs acl / ヾラメータ ステート 工ンジン名 dns ether ftp lcmp IP ipfwd ipmobile iptunnel 概要 指定されたバケット種別に属する IP バケッ 続のバケットは双方向に通す 最初の IP バケットを順方向にだけ通し、後 順方向にだけ IP バケットを通す か iptunnel 、 ipmobile をイ月 換性のために用意されており、現在は ipfwd 順方向にだけ IP バケットを通す。ード位カ : 順方向にだけ ICMP バケットを通す ドル嗤呂」でセッションを終了 データ・コネクションともに 600 秒のアイ フォルトでは、コントロール・コネクション、 ードと PASV モードの両方で解釈する。デ コネクションに含まれるポート番号を通常モ FTP サーヒ、スの定義で利用。コントロール・ ロトコルなどのためのルールを定義する際に の Type フィールドなどを識別し、 IPX プ ステルスモードにおいて Ethernet フレーム が一致しているかを石忍 クエリーに対する応答バケットを識別し、 ID DNS サーピスの UDP 部分に使用。 DNS トを双方向に通す 識別情報 ホート番号 [ 53 ] ポート番号 [ 21 ] ICMP 種別 UNIX MAGAZINE 2003.6 1 ) 応答がタイムアウトするまでの秒数 [ 60 ] 2 ) 1 つの要求に対して期待される応答の数 1 ) コントロール・コネクションがタイムアウ トするまでの秒数 [ 600 ] 2 ) データ・コネクションがタイムアウトする までの秒数 [ 600 ] 3 ) フラグ値 : 1 の場合はコントロール・コネ クションより 1 小さいポート番号からのもの を除き、 PASV モードのデータ・コネクショ ンを禁止回 1 ) トラフィック・情報をキャッシュに残す秒 数 [ 60 ] 2 ) 定数 1 1 ) トラフィック情報をキャッシュに残す秒 数 [ 36 叫 2 ) 定数 0 1 ) トラフィック情報をキャッシュに残す秒 数 [ 60 ] 2 ) 定数 0 43

7. UNIX MAGAZINE 2003年6月号

特集 図 7 不堋するアドレスの登録 SunScreen 3.2 edit> edit> edit> edit> edit> edit> edit> edit> add add add addre s s add address addre s s add address add address add address list address 192 .168.1.254 COMMENT "User PC (DHCP address) " address pc RANGE 192.168.1.129 dns—www HOST 192 . 168 . 1 . 120 COMMENT "DNS & Web Server" mail—ftp HOST 192 .168.1.121 COMMENT "Mai1 & FTP Server" 211.7.178.70 COMMENT "Dynamic NAT converted" ext-nat RANGE 211.7. 178.69 ext—dns—www HOST 211 . 7 . 178 . 71 COMMENT "Static NAT converted" localnet GROUP { "dmfeO . "localhost" } { } lnternet GROUP { " * " } { "dmfeO . net" "localhost" } " 10Ca1 五 ost " } "lnternet" GROUP { " * " } { "dmfe0. net" "dmfe0. net" RANGE 192. 168 . 1 . 0 192. 168. 1 . 255 " dmf e 1 . net " RANGE 211.7. 178.64 ー 211.7. 178.95 "dns—www" HOST 192. 168. 1 . 120 COMMENT "DNS & Web Server" "exp-dmfeO" GROUP { } { } "exp—dmfel" GROUP { } { } "ext—dns—www" HOST 211.7. 178.71 COMMENT "Static NAT converted" 211.7.178.70 COMMENT "Dynamic NAT converted" "ext—nat" RANGE 211.7. 178.69 "localhost" } { } "localnet" GROUP { "dmfeO . net" "mail—ftp" HOST 192.168.1.121 COMMENT "Mai1 & FTP Server" 192 .168.1.254 COMMENT "User PC (DHCP address) " "pc" RANGE 192 .168.1.129 PC dns—、 V 、 VW mail-ftp ext-nat ext—dns—VV 、 VW localnet lnternet 内部ネットワークの PC 本 DNS と WWW サーヒ、スを提信い - るサー SMTP と FTP サービスを提供するサー 重加勺 NAT のノ、ウ・リック側として使用するアドレス ( 1 つはインターフェイス本来のアドレス ) DNS/Web サーバーの NAT 変換後のアドレス (DNS て公開するアドレス ) 内部ネットワーク全体を表すグルーフ。の定義 (SunScreen か知力しているマシンも内部ネットワークに含めている ) 体」部ネットワークではないもの全体を表すグルーフの定義 図 8 1 2 3 図 9 1 2 3 4 5 6 7 8 9 10 11 12 NAT ルールの記述 edit> add nat DYNAMIC pc lnternet ext—nat lnternet COMMENT edit> add nat STATIC dns—www lnternet ext—dns—www lnternet edit> add nat STATIC lnternet ext—dns—www lnternet dns—www アクセスルールの記述 "PCs to lnternet" edit> add rule common pc * ALLOW COMMENT "any NATed PC can access internet" edit> add service dnsquery FORWARD udp PORT 53 PARAMETERS 5 1 0 edit> add rule dnsquery * dns—www ALLOW COMMENT "any host can access DNS " edit> add rule www * dns-www ALLOW COMMENT "any host can access WWW" edit> add rule common localnet localhost ALLOW COMMENT "localnet can access THIS" edit> 1ist ru1e 1 "common" " * ”” * " ALLOW " " * " ALLOW COMMENT "any NATed PC can access internet" 3 "commoll" PC 2 "dnsquery" ” * " "dns—www" ALLOW COMMENT "any host can access DNS" " * " "dns-www" ALLOW COMMENT "any host can access WWW" "localhost" ALLOW COMMENT "localnet can access THIS" 5 "common" "localnet' edit> delete rule 1 にのみ許可すべきものである。そこで、 こでは UDP の 53 番ポートを通して、 1 つの間合当こ対して 1 つの 応答を返すサービスを定義している。 3 行目、 9 行目 : インターネットからの DNS クエリーの 受付けを許可している。 NAT に関する注意点は前述の とおりである。 4 行目、 10 行目 : インターネットから Web サーバーへ UNIX MAGAZINE 2003.6 のアクセスを許可する。サーピス www の定義から、通 常の HTTP のみが使用できることになる。 5 行目、 11 行目 : 内部ネットワーク内での柑坊凾信は自 由におこなえるルールを定義する。このルールを追加し ておかないと、内部ネットワークに接続されているマシ ンから、 exp (SunScreen か稼重力しているマシン ) への アクセスができなくなってしまう。 63

8. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 exec finger ftp gophe r Port 3856 HA Port 3856 HA administration HA hertbeat icmp all icmp echo-reply i cmp echO- request i cmp exceeded icmp inf0 lcmp params icmp quench icrnp redirect 1Cmp unreach ip all i p forward ip mobile ip tunne13 i pv6 t unnel 1 rc isakmp klm lpd mount d netbios datagram netbios name net stat nfs acl nfs prog nfs readonly prog mcname nlm nntp ntp ntp-tcp ospf pcnfsd pmg pmap tcp all pmap udp all POP printer quote radius real audio remote administration rex r1P t cp tcp ftp tcp tcp t cp pmg lcmp lcmp ICIIIP 1Cmp lcmp lcmp ICITIP IC mp IC mp IP ipfwd ipmobile iptunnel iptunnel t cp udp udp rpc-udp 、 pmap-udp tcp rpc-udp 、 pmap-udp udp-datagram udp tcp rpc-udp 、 pmap-udp pmap-udp 、 tcp 、 Port 512 Port 79 Port 21 Port 7() Port 8 typ e 0 typ e 8 type 11 type 13 ~ 18 type 12 type 4 type 5 type 3 IP 41 Port 88 Port 500 Port 6670 、 6680 udp rpc-udp 、 pmap-udp tcp pmap-udp 、 nfsro tcp udp tcp IP p map -t cp 、 pmg pmap-tcp pmap-udp tcp tcp tcp udp realatldio tcp pmap-udp 、 rpc-tcp 、 rpc-udp rpc-udp 、 pmap-udp udp-datagram UNIX MAGAZINE 2003.6 RPC#100020 Port 2766 RPC # 100005 Port 138 Port 137 Port 15 RPC # 100227 Port 2049 、 RPC # 100003 Port 2049 、 RPC # 100003 Port 43 RPC#100021 Port 119 Port 123 Port 123 type 89 (broadcast) RPC # 150001 Port 8 * (broadcast) Port 109 ~ 110 Port 515 Port 17 Port 1645 Port 7070 Port 3852 ~ 3853 RPC # 100017 Port 520 (broadcast) 41

9. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 Solaris 9 でファイアウォールを作る 長原宏治 TeInet 、 FTP 、 HTTP (HTTPS) 、 SMTP の各プ ロトコルについて、コンテンツ・フィルタとの j 叫が・可 能なフロキシー機能をもっている。フロキシーはアプリ ケーション層でトラフィックを中継するプログラムで、 ューサー認証を強化するだけでなく、内部の IP アドレ スを隠蔽する効果もある。 ・ VPN (Virtual Private Network) SKIP (SimpIe Key-management for lnternet Pro- tocol) または IPsec/IKE による暗号イは支術を用いて、 セキュアな VPN を構築できる。暗号イ支術は、 Sun- Screen か稼動している複数のマシンを 1 台の管理ス テーションで制御する目的でも使用される。 ・ステノレスモード 通常のファイアウォール・システムは一重のルータとし て動作するが、 SunScreen には、ネットワーク・イン ターフェイスがそれ自体の IP アドレスをもたす、一一・種 のプリッジとして動くモードがある。マシンがサービス を受け付ける IP アドレスをもっていないため、セキュ リティが強化されるだけでなく、ネットワークをサプ ネットにうリする必要がないので IP アドレスを有効に 活用できる。ステルスモードに対して、通常の IP アド レスをもつモードを、、ルーティング・モード " と呼 ・ HA (High Availability) 構成への対応 HA 及とは、予備のマシンを用意しておき、下カ中の マシンがダウンしたら、その処理を引き継ぐ仕組みであ る。これに対応することで、 SunScreen システムの信 頼性は大幅に矼 E する。 ・ CMG (CentraIized Management Group) への対応 CMG とは、マスターマシンの設定内容を自重加勺にセカ ンダリマシンにコピーする機能である。これによって、 SunScreen とは何か SunScreen は、バケットレベルでアクセス制御をおこ なうファイアウォール・システムである。 SoIaris8 でも機 能制限版の SunScreen 3.1 Lite カリ用できたが、 Solaris 9 からはすべての機能が使える SunScreen 3.2 が付属す るようになった。 SunScreen には次のような機能がある。 ・ステートフノレのノ、ケットフィノレタ 送信元および宛先の IP アドレスをもとに、バケットの 破棄と通過を柔軟に設定できる。 IP アドレスと UDP/ TCP のホート番号にもとづく単純なバケットフィル タではなく、各セッションの内容を解釈して管理する ステートフルなエンジンを内蔵しており、 FTP のデー タ・コネクションや RPC など、ホート番号カ加勺に 変化するプロトコルにも対応している。 ・ NAT (Network Address Translator) バケットに付けられた IP アドレスを重加勺に変更するこ とで、プライベート・アドレスを使用しているネット ワークからインターネットにアクセスしたり、 ISP や ネットワークの変更によるリナンバー ()P アドレスの 付けなおし ) を最小限に抑えることができる。また、組 織内のネットワーク構造を隠蔽する刻保もある。 れ対 m のアドレス変換をおこなう重加勺な構成にも対応 しているが、 NAPT (Network Address Port Trans- lation) はサホートしていないため、多数のフライベー ト・アドレスを少数のグローバル・アドレスに変換する 場合はポート番号の衝突が発生するおそれがある。 プロキシー 38 UNIX MAGAZINE 2003.6

10. UNIX MAGAZINE 2003年6月号

3 第 ' ? / / 既 ? : 3 物 ' 冫な第第 ' 既等 : 第信冫日第袋信既 3 第信第信第信第信等 3 第既信工 3 : け既信 : 信等既エ : を既信第 巧で利用できるニュースグループー一覧の最新版てす。 ュースグループ名以外に、各ニュースグループの内容に 関する簡単な解説カ咐いています。この時点で 419 のニ ュースグループがあり、前回のリスト ( 2003 / 02 / 09 ) か ら 2 つ増えて 1 つ減っており、合言 fr では 1 つ増えていま す。なお、その後さらにいくつかのニュースグループカ噺 設されたり削除されたりしましたが、執筆点では更新版 のリストはまだ投稿されていません。 ・今月の fj. sources* Subject: FDclone 2.03 patch [ 0 / 5 ] Message-lD. く b5s2d5$qe6$1@nsvn01.zaq.ne.jp 〉 作者白井隆さん MS-DOS 用のファイルおよびディレクトリ管理ツー ル FD の UNIX 用クローンツールである FDcIone の機 能〕助日およびバグ修正パッチです。 Subject: openssh-3.6.1P1 patch for Linux 2 ℃ Message-lD: く b6mrpv$163$1@caraway.media.kyoto-u ac jp 〉 作者 . NIDE Naoyuki さん フリーの secure Shell ノヾッケージである OpenSSH の最辛斤片反 3.6.1P1 を Linux カーネル 2.0. x 工韆竟でコン パイルして正常に利用できるようにする非公式パッチの 公開のお知らせです。 ftp://hayabusa.ics.nara-wu.ac ・ jp/pub/nide/misc/ から入手できます。 ・今月の *. sources. * タイジェスト Newsgroups: comp.mail misc,comp. sourceS. wanted (0ー第P. answers,news. answers Sub 」 ect: Mail Archive Server software list Message-lD. く mail/archive-servers/faq-1049366438 @rtfm mit.edu 〉 者 Piero Serini さん メールを受け取り、それによってなんらかの処理をお こなう、、メールアーカイプ・サーバー " と呼はれるソフト ウェアの一覧です。代表的なメールアーカイプ・サー としてはメーリングリスト管理ソフトか挙げらオ L 、メール 自動応答ソフトやメール振分けソフトなども含まれます。 この一覧には、シェル・スクリプトを含む各種のプロ グラミング言語やスクリプト言語で書かれた 24 のソフト ウェアか載っています。ただし、海外である程度知られて いるものに限られるようで、国内でよく使われているメー リングリスト管理ソフトの fml やその他の日本製のソフ トウェアは含まれていません。 Newsgroups: comp. compilers,comp.lang. misc, comp archives. admin,news. answers,comp. Sub 」 ect: Catalog Of compilers, interpreters, and other language t00 [ P10f1 ] Message-lD. く freeblurb-Apr-03.com/.compilers 者 Bryan Miller さん Web 版作者 . David Muir Sharnoff さん プログラミング言語関係のフリーで入手または使用で きるソフトウェアー覧の山斤版公開のお知らせです。この 一覧は http://www.idiom.com/free-compilers/で見 ることができ、 ftp://ftp.idiom ・ com/pub/compilers- list/free-compilers から一覧ファイルを入手できます。 該当するソフトウェアは、コンパイラやコンパイラ生 成ツール、インタープリタ、コンバータ、重要なライプラ リ、アセンプラなどで、膨大な数の言語関係のソフトウェ アカ鼬載されています。 Newsgroups: gnu. emacs. sources semi-literate" programming Subject: elit. el 1.0 ー Message-lD: (lhe14exrq3.fsf@dodo.bluetail.com 作者 Luke Gorrie さん プログラムのソースコードを説明部分とコード部分に 分割して、画面で確認したりプリンタに印刷することが できる Emacs Lisp で書かれたツールです。 このツールを使うと、ソースコードに埋め込まれたタ グ ( 、、@doc" と、、@code") を識別して、それぞれ説明文 書部分とソースコード部分のページに分けたプレーンテ キストを生成します。ページの区切りには UNIX のプ レーンテキストでよく使われる、、 AL"(Ctrl-L) を利用す るので、テキストファイルをプリンタに出力するための 各種ツールで印刷することができます。また、プログラム 言言韶 ) 特定のキーワードを、、色づけ " するような特殊コー ドも埋め込まれるので、それらを解釈できるプリンタ出力 ツールを使うと、ソースコードがより見やすくなります。 このツールは、 http://www.bluetail.com/&luke/ misc/emacs/elit/elit. el からも入手できます。 ー 3 等島第仕仕 : 続霊島等第にい等島等を : , を : 島第に等島 33 第島 : 等島 : 新既日等等を第い UNIX MAGAZINE 2003.6 171