tcp - みる会図書館

1. UNIX MAGAZINE 2003年6月号

rlogin router announcement router discovery rotlter solicitation rpc all rpc tcp all rquot a rsh rst at rusers securid SecurID PIN securidprop skip smtp snmp snmp traps SPray sqlnet ssh ssl status StreamWorks syslog systat tcp all tcp-high-ports telnet tftp t ime time-udp traceroute tsolpeerinfo-tcp tsolpeerinfo-udp udp all udp-high-ports t1t1CP VDOLive Vosaic wa1S wall who WhOiS WWW X11 ypbind yppasswd YPServ ypupdate ypxfrd 42 特集 tcp 、 tcp-keepalive 61801 ~ 61820 SunScreen 3.2 tcp 、 tcp-keepalive lcmp lcmp lcmp rpc-udp rpc-tcp rpc-udp 、 rsh rpc-udp 、 rpc-udp 、 udp tcp tcp iptunnel tcp Port 513 type 9 (broadcast) type 9 、 type 10 (broadcast) type 1() (broadcast) pmap-udp pmap-udp pmap-udp RPC # 100011 Port 514 RPC # 100001 RPC # 100002 Port 5500 Port 3855 Port 5510 type 57 、 type 79 、 Port 25 Port 161 Port 162 RPC # 100012 Port 1521 Port 22 Port 443 RPC # 100024 Port 1558 Port 514 Port 11 * (broadcast) tcp 、 udp udp -datagram rpc-udp 、 pmap-udp sqlnet tcp-keepalive tcp rpc-udp 、 pmap-udp udp-datagram udp-datagram ud p tcp udp tcp tcpall tcp rpc-udp 、 pmap-udp IIIS 、 pmap—ms rpc-udp 、 pmap-udp rpc-udp 、 pmap-udp tcp 、 tcp-keepalive tcp tcp udp-datagram rpc-udp 、 pmap-udp tcp tcp 、 udp-datagram tcp 、 udp tcp ud p udpall pmap-udp 、 rpc-udp pmap-tcp 、 rpc-tcp udp-datagram 、 icmp Port 0 ~ 3850 、 3854 ~ 65535 Port 1024 ~ 65535 Port 23 Port 69 ( * ) Port 37 Port 37 Port 33430 ~ 34000 、 RPC#110002 RPC # 110002 type 11 、 Port 210 Port 1235 、 Port 7000 、 Port 540 Port 1024 ~ 65535 20000 ~ 20020 、 7010 、 32649 RPC # 100028 RPC#100004 RPC # 100009 RPC # 100007 Port 6000 ~ 6063 Port 80 Port 43 Port 513 (broadcast) RPC#100008 type 3 pmap-tcp 、 pmap-udp 、 rpc-tcp 、 rpc-udp RPC # 10069 UNIX MAGAZINE 2003.6 Ⅲ当リ : SunScreen 3.2 Administrator's Overview 一一 Appendix C : Services and State Engines)

2. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 exec finger ftp gophe r Port 3856 HA Port 3856 HA administration HA hertbeat icmp all icmp echo-reply i cmp echO- request i cmp exceeded icmp inf0 lcmp params icmp quench icrnp redirect 1Cmp unreach ip all i p forward ip mobile ip tunne13 i pv6 t unnel 1 rc isakmp klm lpd mount d netbios datagram netbios name net stat nfs acl nfs prog nfs readonly prog mcname nlm nntp ntp ntp-tcp ospf pcnfsd pmg pmap tcp all pmap udp all POP printer quote radius real audio remote administration rex r1P t cp tcp ftp tcp tcp t cp pmg lcmp lcmp ICIIIP 1Cmp lcmp lcmp ICITIP IC mp IC mp IP ipfwd ipmobile iptunnel iptunnel t cp udp udp rpc-udp 、 pmap-udp tcp rpc-udp 、 pmap-udp udp-datagram udp tcp rpc-udp 、 pmap-udp pmap-udp 、 tcp 、 Port 512 Port 79 Port 21 Port 7() Port 8 typ e 0 typ e 8 type 11 type 13 ~ 18 type 12 type 4 type 5 type 3 IP 41 Port 88 Port 500 Port 6670 、 6680 udp rpc-udp 、 pmap-udp tcp pmap-udp 、 nfsro tcp udp tcp IP p map -t cp 、 pmg pmap-tcp pmap-udp tcp tcp tcp udp realatldio tcp pmap-udp 、 rpc-tcp 、 rpc-udp rpc-udp 、 pmap-udp udp-datagram UNIX MAGAZINE 2003.6 RPC#100020 Port 2766 RPC # 100005 Port 138 Port 137 Port 15 RPC # 100227 Port 2049 、 RPC # 100003 Port 2049 、 RPC # 100003 Port 43 RPC#100021 Port 119 Port 123 Port 123 type 89 (broadcast) RPC # 150001 Port 8 * (broadcast) Port 109 ~ 110 Port 515 Port 17 Port 1645 Port 7070 Port 3852 ~ 3853 RPC # 100017 Port 520 (broadcast) 41

3. UNIX MAGAZINE 2003年6月号

特集 IIIS nt p pmg SunScreen 3.2 UDP セッションを通す ypbind サーヒ、スの定義で利用。 NIS の pmap-ms pmap-tcp pmap-udp realaud iO rpc-tcp rpc-udp rsh sqlnet 44 送信元、宛先の両方が UDP 123 番ポートになるバケットを通す。 ping サービスの定義で利用。順方向に対して ICMP の ping 要求バケットを、逆方向に対して ping 応答バケットを通す ypbind サービスの定義で利用。 NIS サーヒ、スのポートマッフ・プロトコルを解釈して通す。 NIS のポートマッフ。要求と応答を解釈し、ホストごとに NIS サーピスポートとの対施俵を管理する TCP べースの RPC サービスて利用。 TCP によるポートマップへの要求と応答を解釈し、ホストと RPC サービスの対応表を管理する。通常の TCP べースの RPC サーヒ、スでは、 pmap-tcp ステートエンジンと rpc-tcp ステートエンジンカゞ必要 UDP べースの RPC サービスで利用。 UDP によるポートマッフへの要求と応答を角物 ( し、ホストと RPC サービスの対施表を管理する。通常の UDP べースの RPC サービスでは、 pmap-udp ステートエンジンと rpc-udp ステートエンジンか、要 ReaIAudio サーヒ、スの定義てオリ用。 ReaI- Audio のコントロール・コネクションを監視し、音声トラフィックて使用される UDP ポート番号を解釈する TCP べースの RPC サービスて利用。ーヨ殳に、これらのサーヒ、スは pmap-tcp ステートエンジンと rpc-tcp ステートエンジンを必要とする UDP べースの RPC サーヒ、スで利用。ーヨ殳に、これらのサービスは pmap-udp ステートエンジンと rpc ー udp ステートエンジンを必要とする rsh サーピスの定義て利用。 RSH プロトコルで使用されるコントロール・セッションを解釈し、 stderr に送られるメッセージを含めて TCP コネクションを有効にする OracIe の SQL*Net サービスの定義に利用。 SQL*Net プロトコルを角物 ( し、マルチスレッド・サーバーにおけるポート番号のリダイレクトに対応する RPC プログラム番号 [ 100004 ] 要求バケットの ICMP 種別 ( 応答バケットも同し ) [ 8 ] RPC プログラム番号 [ 100004 ] RPC フログラム番号 RPC フログラム番号コントローノレ・コネクションにおける TCP ポート番号 [ 7070 ] RPC フログラム RPC プログラム番号番号ポート番号 [ 514 ] 番号 [ 1521 ] 待受け側のポート 1 ) 応答がタイムアウトするまでの秒数 [ 60 ] 2 ) 期待される応答の数 [ 1 ] 3 ) フラグ値 : 2 の場合は、要求先ポートとは異なるポートからの応答を許可 (NIS が DNS を参照して結果を返す場合の動作 ) [ 2 ] 1 ) 応答がタイムアウトするまでの秒数 [ 10 ] 1 ) 応答がタイムアウトするまでの秒数 [ 60 ] 2 ) 対応表にエントリを残す秒数 ( ー 1 は月限。 NIS クライアントは、プート時にホートマッフに関する情報を取り込んでしまうため ) [ ー 1 ] 1 ) 応答がタイムアウトするまでの秒数 [ 60 ] 2 ) 対施表にエントリを残す秒数 ( ー 1 は月限 ) [ 3600 ] 1 ) 応答がタイムアウトするまでの秒数 [ 60 ] 2 ) 刈 1 芯表にエントリを残す秒数 ( ー 1 は月限 ) [ 36 ⑩ 1 ) コントロール・コネクションがタイムアウトするまでの秒数 [ 3600 ] I)TCP べースの RPC セッションがタイムアウトするまでの秒数 [ 86400 ] 1 ) 応答がタイムアウトするまでの秒数 ( ー 1 は月限 ) [ 60 ] 2 ) 1 つの要求にヌ寸して期待される応答の数 [ 1 ] 3 ) フラグ値 : 0 ピットか立っている場合は異なるホストからの応答を、 1 ヒ、ツトか立っている場合は異なるポートからの応答を許可回 1 ) セッションがタイムアウトするまでの秒数 [ 86400 ] UNIX MAGAZINE 2003.6

4. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 ションを流れる PORT 命令や PASV 命令を解釈し、データ・コネクションに使われるポート番号を把握する。各ステートエンジンは、 1 つの識別情報 ( バケット種別やポート番号 ) といくつかのパラメータをとることができ、それによって動作を調整する。・アドレス 1 つ、もしくは複数の IP アドレスを定義する。 1 つの IP アドレスを示す、、ホストアドレス " と、アドレス範囲または CIDR 形式のサプネットで連続する IP アドレスを示す、、アドレス範囲 " 、それらを用途などでグルーフ化した、、アドレスグループ " の 3 不頁がある。・スクリーン SunScreen のファイアウォール機能を実装したマシンを表す。パラメータとして、ルーティング・プロトコルの有無や使用するネームサービスの不鶤頁、 HA や CMG の構成、 SNMP の構成パラメータなどがある。・インターフェイス SunScreen のファイアウォール機能を実装したマシンのネットワーク・インターフェイスを表す。インターフェイスの種別には、ルーティング・モード、ステルスモード、管理用、 HA 構成のハートピート用、無効の 5 不鶤頁がある。パラメータには、ログや SNMP アラートの有無 ICMP への応答方法などがある。・証ューザー (AuthUser) 山い個人の言日帯長を定義する。パラメータには、認証去 ( パスワード、 RADIUS 、 SecurID) やユーサーの本名などがある。認証情報は、管理者やフロキシーユーサーとしてログインするときに使用される。フロキシーユーザープロキシーを利用するユーサーを定義する。認証ューサ・オプジェクトと結び付けられて、プロキシーを通過する権限の有無を確認するために使う。複数のプロキシーユーサーをグループにまとめることもできる。・その他時刻によって有効 / 無効が切り替わるルールを定義するための、、時刻オプジェクト " 、 HTTP プロキシーを通過できる Java アプレットを定義するための、、 Jar 署名オプジェクト " と、、 Jar ハッシュ・オプジェクト SMTP フロキシーの通過を許可する、、メールリレーオプジェクト " と禁止する、、メールスバム・オプジェクト " 、 SKIP および IKE で使う、、証明書オプジェク、 IPsec のキーを手作業で交換するときに使用する IPsec キーオプジェクト " 、 VPN を定義する、、 VPN オプジェクト " などがある。この特集では、これらのオプジェクトはとりあげない。表 1 定義済みのサービス ( ( * ) 付きのサービスはステートエンジンに対する独自のパラメータカ甘旨定されている ) サービス名 ah archie aut h automount B ackweb biff bootp cert ificate d iscovery chargen CoolTalk CU See Me daytime daytime-udp discard discard- udp dns echO echo- ud p esp 40 ステートエンジン iptunnel ud p tcp iptunnel udp tcp tcp 、 d ns udp tcp udp tcp ud p-d atagaram tcp 、 udp-datagram tcp udp udp udp-datagram udp pmap-tcp 、 pmap-udp 、 rpc-tcp 、 rpc-udp 識別情報 IP 51 Port 1525 ( * ) Port 113 RPC # 300019 Port 370 ( * ) Port 512 (broadcast) Port 67 (broadcast) ( * ) Port 1640 ( * ) Port 7 Port 7 Port 53 Port 9 Port 9 Port 13 Port 13 Port 19 Port 7648 ~ 7652 Port 6499 ~ 6500 、 13000 UNIX MAGAZINE 2003.6 IP 50

5. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 tcp-keepalive tcp tcpall ud p ud pall 単純な TCP べースのサーヒ、スに利用。逆方向にセッションを張り返すようなプロトコル (FTP や RSH) には対応できないため、別のステートエンジンが必要になるアイドルが長時間におよぶ可能性がある単純な TCP べースのサービス (telnet 、 rlogin など ) に利用。セッションのタイムアウト前に偽のキーフ。アライプ・バケットを送信元に送り、セッション : 早し続けようとする。送信元が ACK で応答すると、それを宛先にも転送し、双方のセッションが一寺される。不用意に使うとセッションカ鯛かれたままになるのて注意が必要である広い範川のポートを使う TCP べースのサービスに利用し、 tcp all サーピスの定義に用いられる。 tcp ステートエンジンや ftp ステートエンジンよりも優先川頁位か低いため、それらと同時に指定しても競合しない UDP べースのサーヒ、スに利用。 1 つの要求に対し、 1 個 ~ 数個の応答が返ることを想定している。応答バケットの送信元アドレスとポート番号のチェックガ去をパラメータで調整可能広い用のポートを使う UDP べースのサーピスに利用し、 udp all サーピスの定義に用いられる。 udp ステートエンジンや dns ステートエンジンよりも優先順位が低いため、それらと同時に指定しても競合しない。応答バケットの送信元アドレスとポート番号のチェックカ法はパラメータて整可能ポート番号ポート番号ポート番号ポート番号ポート番号ポート番号ポート番号 1 ) セッションがタイムアウトするまでの秒数 [ 86400 ] 1 ) セッションがタイムアウトするまでの秒数 [ 86400 ] 2 ) タイムアウトの恒少前にキーフ。アライプを送り始めるか [ 900 ] 1 ) セッションがタイムアウトするまでの秒数 [ 86400 ] 1 ) 応答がタイムアウトするまでの秒数 ( ー 1 は月限 ) [ 60 ] 2 ) 1 つの要求に対して期待される応答の数 0 芯答の数にかかわらす、タイムアウトのみでセッションを閉しる場合は 0 を指定 ) 3 ) フラグ値 : 0 ビットか立っている場合は異なるホストからの応答を、 1 ピットか立っている場合は異なるポートからの応答を許可。 1 ビットと 2 ヒ、ツトがともに立っているときは、 tftp サーヒ、スのようにセッションの途中で芯答を返すポートの変化を許可 1 ) 応答がタイムアウトするまでの秒数 ( ー 1 は騏月限 ) [ 60 ] 2 ) 1 つの要求に対して期待される応答の数 0 芯答の数にかかわらす、タイムアウトのみでセッションを閉しる場合は 0 を指定 ) 3 ) フラグ値 : 0 ヒ、ツトか立っている場合は異なるホストからの応答を、 1 ピットが立っている場合は異なるポートからの応答を許可。 1 ビットと 2 ピットがともに立っているときは、 tftp サーピスのようにセッションの途中での応答を返すポートの変化を許可 udp-datagram 順方向にのみ UDP ノヾケットを通す。 syslog サービスのように、 UDP バケットを一方向に送るだけのサービスに利用 udp-stateless ー - 日立圧換性のために用意されているステート工ンジンで、現在はイ月されない ntp ステートエンジン : マニュアルには「 NTP サーヒ・スてイ吏用」と書かれているが、 NTP サーヒ・スの定義では ntp ではなく、 udp ステートエンジンが使われている。 SunScreen では、これらのオプジェクトを組み合わせて指定する、、ルール " をもとに、バケットやセッションの適茴の可否を決定する。ルールには、以下の 4 不鶤頁がある。 UNIX MAGAZINE 2003.6 ・フィノレタノレーノレ送信元アドレスと宛先アドレス、サーピスの組合に対し、通過を許可または禁止するトラフィックを定義す 45

6. UNIX MAGAZINE 2003年6月号

特集表 2 定斉みのサービスグループ IP ノ、ケット不重別 IP ノ、ケット不重別 IP ノ、ケット不亜別 IP / ヾケット不亜別 SunScreen 3.2 rsh 、サービスグループ daytime d iscard HA 1 mosa1C netbios nfs nfs readonly nlS time tsolpeerinfo common 含まれるサービス nis 、 pmap-nis 、 pmap-udp 、 pmap-tcp 、 rpc-tpc 、 rpc-udp 、 realaudio 、 ftp 、 tcp 、 tcpalls dns 、 udp-datagram 、 udp 、 udpall 、 ping 、 icmp 、 ipmobile tcp all 、 udp all 、 syslog 、 dns 、 rpc all 、 nfs prog 、 icmp all 、 rip 、 ftp 、 rsh 、 real audio 、 pmap udp alk pmap tcp all 、 rpc tcp all 、 nis 、 archie 、 traceroute 、 ping daytime 、 daytime-udp discard 、 discard-udp ech0 、 echo-udp HA heartbeat 、 HA administration esp 、 ah 、 isakmp www 、 ssl 、 gopher 、 ftp 、 archie netbios narne 、 netbios datagram 、 netbios session mountd 、 nfs prog 、 rquota 、 nlm 、 status 、 nfs acl mountd 、 nfs readonly prog 、 rquota 、 nlm 、 status 、 ypserv 、 yppasswd 、 ypupdate 、 ypbind time 、 time-udp tsolpeerinfo-tcp 、 tsolpeerinfo-udp 表 3 てきるステートエンジン ( 各項目末尾の [ ] 内はデフォルト nfs acl / ヾラメータステート工ンジン名 dns ether ftp lcmp IP ipfwd ipmobile iptunnel 概要指定されたバケット種別に属する IP バケッ続のバケットは双方向に通す最初の IP バケットを順方向にだけ通し、後順方向にだけ IP バケットを通すか iptunnel 、 ipmobile をイ月換性のために用意されており、現在は ipfwd 順方向にだけ IP バケットを通す。ード位カ : 順方向にだけ ICMP バケットを通すドル嗤呂」でセッションを終了データ・コネクションともに 600 秒のアイフォルトでは、コントロール・コネクション、ードと PASV モードの両方で解釈する。デコネクションに含まれるポート番号を通常モ FTP サーヒ、スの定義で利用。コントロール・ロトコルなどのためのルールを定義する際にの Type フィールドなどを識別し、 IPX プステルスモードにおいて Ethernet フレームが一致しているかを石忍クエリーに対する応答バケットを識別し、 ID DNS サーピスの UDP 部分に使用。 DNS トを双方向に通す識別情報ホート番号 [ 53 ] ポート番号 [ 21 ] ICMP 種別 UNIX MAGAZINE 2003.6 1 ) 応答がタイムアウトするまでの秒数 [ 60 ] 2 ) 1 つの要求に対して期待される応答の数 1 ) コントロール・コネクションがタイムアウトするまでの秒数 [ 600 ] 2 ) データ・コネクションがタイムアウトするまでの秒数 [ 600 ] 3 ) フラグ値 : 1 の場合はコントロール・コネクションより 1 小さいポート番号からのものを除き、 PASV モードのデータ・コネクションを禁止回 1 ) トラフィック・情報をキャッシュに残す秒数 [ 60 ] 2 ) 定数 1 1 ) トラフィック情報をキャッシュに残す秒数 [ 36 叫 2 ) 定数 0 1 ) トラフィック情報をキャッシュに残す秒数 [ 60 ] 2 ) 定数 0 43

7. UNIX MAGAZINE 2003年6月号

な時代の先端を SC 翡工ッセイ著作権フリーソフトウェアと自由な社会戸特ソ響尸ソフトウェア特許・著作権ウ工古谷栄男、松下正、鶴木祥文、眞島宏明著 A5 判 / 456 ページ本体価格 3 , 400 円法改正・最新事例にあわせた改訂版登場インターネット時代の特許・著作権・商標を企業内でどうのように活用していくかをわかりやすく実践的に解説しました。ビジネスモデル特許や最新の判例に対応し、これ 1 冊ですべてがわかります。新刊第ニ久換イスた職。箚」外ク ( わノ社ルネフ自ネセス完ネ新刊ストールマンの思想に迫る、待望の一冊 ! Richard M. Stallman 著長尾高弘訳 A5 判 / 368 ペーシ本体価格 3 , 200 円 ISBN 4-7561-4281-8 著作権からフリーソフトウェア運動の歴史まで責重な資料ばかりフリーソフトウェア財団 ( FSF ) の創立者 Richard M. Stallman 初の工ッセイ集。オープンソース界のカリスマか語るフリーの真意とは ? ISBN 4-7561-4282-6 0 ユニバーサルデザイン情報アクセシビリティとー情報アクセシビリテ 0 ユニバーサルデザイン ~ 。 , ・・ユニバーサルン C & C 振興財団編、アクセシビリティ研究会著 A5 判 / 256 ページ本体価格 2 , 800 円誰でもアクセスできる社会にするために ! 高齢者や障害を持つ人々が自由に情報を受発信できる社会を実現するためには、何をしなければならないのでしようか。世界各国の現状を説明しながら日本の進む方向を解説します。 ASCII ISBN 4-7561-4265-6 サンソフトプレスシリーズネットワークデザインバタ - ンによる Java 実践プログラミング StephenSteIting OIavMaassen 著、株式会社クイック訳デサインバタ - ンによる B5 判 / 352 ページ Java 本体価格 3 , 200 円 CD-ROMI 枚付属実数プログラミング Java におけるデサインパターンプログラミングをマスターし ◆、加 ~ ましよう。本書は、 GOF を含む 30 / ヾターンの使用方法を豊富なサンプルコードを使って解説します。旧 v6 ネットワークプログラミング萩野純一郎著、小川彩子訳 A5 判 / 304 ページ本体価格 3 , 200 円 UN Ⅸソケット A 円を使い、洗練された移植性の高い手法で旧 v4 月 Pv6 バイリンガルプログラムの作成方法を紹介します。特にプログラム例のセキュリティに配慮し、 RFC などの邦訳資料を収録しました。完全図解式ネットワーク再入門 applied ャロケらはしめも ~ ァトつ一ク 6 ネットワークプログラミングネットワークマガジン編集部編 A4 変型判 / 208 ページ本体価格 1 , 480 円あいまいだったスイッチ & ルータ、 TCP / 旧、セキュリティなどネットワークの知識が図で見てスッキリわかります。」 A A & を R ー E 5 ISBN 4-7561-4266-4 ISBN 4-7561-4236-2 ISBN 4-7561-4155-2 ゼロからはじめるネットワーク Java サンソフトプレスシリーズ EJB EJB コンボーネント開発完全ガイドコンボーネント開発完全ガイド Pravin Ⅵ Tulachan 著株式会社クイープ訳 B5 判 / 608 ページ本体価格 5 , 800 円 J2EE 工ンタープライズシステムの基盤となる EJB コンポーネントについて、概念から、実際の設計、実装、配備にいたるまでを徹底解説します。 Java2 プログラミング講座アスキー書籍編集部編 B5 変型判 / 408 ページ本体価格 3 , 200 円 CD - ROMI 枚付属 Java 初心者を対象としたステップバイステップ方式の入門書。サンプルコードを実際に動かしながら Java プログラミングの基礎を習得できます。セロからはじめる TCP/IP ネットワークマガジン編集部編 A4 変型判 / 208 ページ本体価格 1 , 480 円ネットワークの基本だけど、 TCP 月 P は難しそう・・・ゼロからはじめるネットワークシリーズなら、図をふんだんに使った解説で TC 円旧が手にとるようによくわかります。 Developing & ー B2.0 で 0 ら 0 しめるネ 7 トワークセロからはしめる J 。 2 TCP/IP TCP/IP ってなんですか ? : 発全図第式 : TCP/IP 再入門 Ethe 「 net のすべてを知るアフリケーションフロトコル大第第物ミるわる v を社 ◆ S 聞 0 66k ISBN 4-7561-4231-1 ISBN 4-7561-4169-2 ISBN 4-7561-4207-9 企業内研修・引用によるカスタムメイド・ OEM 供給に関してのお問い合わせ先・法人営業担当 ( 03 ) 5362-3327 ・表示価格は消費税を含みません。・本製品は書店および書籍を扱っているパソコンショップでお買い求めください。・品切れの際は書店にてご注文いただくか、通信販売をご利用ください。・通信販売のお問い合わせ先 . アスキーストア電話 ( 03 ) 3499-9300 http://www.ascii-store.com/ ・ ASC Ⅱの新刊・イベント情報を毎週お送りするメールマガジン A - Ma ⅱ . yom のお申し込みはこちらから http://www.ascii-store.com/a-mail/

8. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 図 1 SunScreen の各磁皀の系 SunScreen アプリケーション暗号化発信元アドレスの変換外部ネットワークフィルタ CP UDP NAT 宛先アドレスの変換復号また、 Web プラウサと Java アフレットによる管理ツールも提供されているが、 ( すくなくとも私の環境では ) 動作カ坏安定だったため、とりあげないことにした。以下では、ローカルマシンのコンソール、もしくは telnet や ssh でリモートマシンからログインし、 root としてコマンドを実行できる工竟を前提に説明する。 SunScreen マシンの設定作業が省力化できる。 SunScreen では、多くの機能を組み合わせてアクセス制彳卸を実現する。ただし、設定竹喫をおこなう際には各機能が適用される順序を頭に入れておく必喫がある。 SunScreen の各機能の関係を図 1 に示す。この図のなかで、とくに注意してほしいのは NAT の適用順序である。フィルタルールは、 NAT 機能を併用している場合も、、変換前の " アドレスに対して適用さ暙号化によってカフセル化される元のバケットには、、変換後のアドレスか書き込まれる。この関係をよく理解しておかないと、ルールを設定しても意図とは異なるルーティングがおこなわれるといった事態になりかねない。逆にいえば、ルーテイングカ噫図どおりに機能しない場合はこの順序を思い浮かべ、 SunScreen を通過するときにアドレスがどうなっているかを考えなおすとよい。この特集では SunScreen のすべての機能はとうてい紹介しきれない 1 ので、以下の基本的な項目に絞って設疋例を示しながら説明していく。・インストール管理コマンドの褪旡要・フィルタルールの作成と適用・ NAT ルールの作成と適用フロキシーの疋 SunScreen はリモートマシンから管理することもできるが、それには SKIP または IPsec/IKE の設定が必要なので、今回はローカルマシン上で管理作業をおこなう。 1 ・付属のマニュアル (PDF 形式 ) は英文で、すべてのマニュアルをーすると 1 , 200 ページを超える。 : ラま月リリースでは、ぜひとも日本語に盟沢してはしいものである。管理概念ます、 SunScreen を用いてファイアウォールを設疋する際のコンポーネント ( オプジェクト ) について解説する。 SunScreen では、オプジェクトに属生をなえたり、複数のオプジェクトを嬲里づけることで、ファイアウォールを通過させる / 破棄するバケットを制彳卸する。・サーヒ、スネットワーク・サービスの内容を定義する。すなわち、サービスと、それが使用するプロトコルにもとづいた、、ステートエンジン " を対応づける。 SunScreen では多数の一勺なサービスがあらかしめ定義されており、はとんどの場合はこれらの定義済みサービス・オプジェクトを使用するだけで用が足りるはずである。また、複数のサービスをグルーフ。化した、、サービスグループ " を利用することもできる。定斉みのサービスとサービスグループの一一覧を表 1 ~ 2 に、各サービスて利用されるステートエンジンの概要を表 3 に示す。ステートエンジンとは、プロトコルの特徴をフログラムとして実現したものである。たとえは、 tcp ステート工ンジンは TCP のスリーウェイ・ハンドシェイクを理解するし、 ftp ステートエンジンはコントロール・コネク 39 UNIX MAGAZINE 2003.6

9. UNIX MAGAZINE 2003年6月号

3U JCS 高速ディスクアレイ 1 NAS (Network Attached storage ) (UItra160 SCSI ) RFM-3U HDD 容量 : 160GB ~ 480GB (RAID 0 構成時 ) •Cache Memory : 128MB ( 標準 ) ~ 最大引 2MB 対応 RAID レベル : Non-RAID. 0,L5,5 + Hot Standby •RAID Levels : 0 , 1 , 0 + 1 , 3 , 5 対応ネットワーク転送プロトコル :TCP/IP 、 IPX 、 AppIeTalk 、 Ethernet 対応ネットワークファイルプロトコル : •Interface:Ultra 160 SCSI TransferRate 160MB/s CIFS/SMB (Windows), Size:W429mm/Hl 33mm/D538mm NFSv2.0,V3.0(Unix/Linux/Free BSD), Power SuppIy Capacity:60()W + 300W Redundant NCP (Novell Net Ware) ,AFP (Macintosh) ・ Web べースの管理ツール標準添付 ※ Windows NT4.0/2000/XP,UNIX/Linux,MacOS 等に対応・データバックアップユーティリティ標準添付 ※ディスク容量は RAID 0 使用時の容量です。ケース :IU Rackmount Type SG 16()GBx ー 4 ( W425mm H45mm D465mm) ¥ 1 , 580 , 000 ( 5400rPm ) ・ I 年間無償全国出張オンサイトサーピス ( 、℃ RFM160014-3U) ( 2.2TB ) 200GBX 目 40GB x 4 60GB x 4 ¥ 1 , 780 , 000 ( 7200rPm ) ( 160GB ) ¥ 338 , 000 ( 240GB ) ¥ 398 , 000 ( 2.8TB ) 250GBX 目 80G ¥ 1 , 980 , 000 120GB x 4 (5400rpm) 2 00.- は ) ¥ 508 , 000 ( 3.5TB ) ( 、℃ SG8004 ) ( 320GB ) 朝載モールの場マチス 5 面 ( 用円 ※ Gigabit Et R 劑 D 5 対応 Gigabit Eiltej ・ net 搭載 4 ホットスワップペイホットスワップ、オートリビルド対応ヨ nte ド 80303 レ 0 プロセッサ搭載 IJ は「 a160 SCSI HDD 14 基搭載 -1 年間無償オンサイトサービス 128MB 標準 ( 、℃ RFM20 ( 用 14-3U ) (VCSG4004) ( 、℃ SG6 側 4 ) ( 、℃ RFM25 ( 用 14-3U ) ( 、℃ SG 12 側 4 ) 4 第速性と。信頼性を第求したディスクアレイッステム、 JCS RAID Systems JCS Vintage シリ - スはその経験と技術力に裏付けられた製品自体の高い信頼性とサホ - トの質の高さが評価されて、灯分野の主要な企業をはじめ各省庁・各大学への圧倒的な納入実績を誇ります 14 ドライブ (Fibre Channel) RFC/FC-3U 抦 te ド 80303 レ 0 プロセッサ搭載 1 年間無償オンサ仆サービス HDD 14 基搭載 FibreChanne1 128MB 標準 ■ Cache Memory : 128MB ( 標準 ) ~ 最大 512MB RAID Levels:0, 1 , 0 + I , 3 , 5 ・ TransferRate 200MB/s Interface:Fibre Channel ・ Size:W429mm/H 133mm/D538mm Power Supply Capacity:60()W + 300W Redundant ※ Windows 、T4.0/2000/XP,UNIX/Lin ux,MacOS 等に対応 ※ディスク容量は RAID 0 使用時の容量です。 3U ラックマウント ( 14 ドライブ ) 仕様の場合 200GB x 14 ( 7200rPm ) ¥ 1 , 980 , 000 ( VCRFC200014 / FC -3 い ( 2.8TB ) 250GB x 14 ¥ 2 , 180 , 000 ( 5400rPm ) ( 、℃ RFM250014 / FC -3U ) ( 3.5TB ) JCS 高速ディスクアレイ ( U r 60 SCSI ) RTM 超高速 lntel i80303 64bit RISC Processor cache Memory: 64MB ( 標準 ) ~ 最大 256MB RAID Level: 0 , 1 , 0 + 1 , 3 , 5 lnterface: Ultra 川 0 SCSI Power Supply Capacity : l)ual 淑用 W lndependent Transparent Form Factor: 4U Rackmount ( タワータイプもあります。 ) ※ UNIX, Windows 、 T / 20 ( 用 /XP. Mac ( ) S に対応 e ⅱ 80303 搭載 1 年間無償オンサイトサーヒス 64MB 標準 Ultra160 SCSI ■ Transfer: Rate: 16()MB/s 16()GBx 川 ( 5100rPm ) ( 2.5TB ) 200GB x 川 ( 7200rPm ) ( 3.2TB ) 250GB x 川 (540()rpm) ( 4. OTB ) ¥ 1.280 , 000 ¥ 1 , 580 , 000 ¥ I , 880 , 000 ( 、℃ RTM25 側川 ) 簡単にストレージ・エリア・ネットワークを構築てきる防瓰 ge シリーズに 64 わ″モテフレ登場 ! lntel@ Itanium@'2 ・ⅲド Itanium@2 プロセッサ ( ()M 日 z / lGHz 4 基搭載可能 ) ねれ m 2 0 胆んⅱ ons ( 、℃ RTM 川似月 6 ) 16 ドライプ ※ Fibre Channel 仕様は、お問い合わせください。 ( 、℃ RTM20 側川 ) JCS Ⅵ、ソリューション登場 ! ! 498 万円より Y 1 , 560 , 000 より AMD ()pteron X86 アーキテクチャを 64 ピット・コンピューティングに拡張 •AMI) ()pteron 244 / 242 / 240 プロセッサ ( l)u 対応 ) 、旅浦 0 Emulex 社製 FibreChannel ホストバスアダブタ B 「 00ad0 社の SAN スイッチ FC Disk Array Silk Worm 32 ( 8 ポート 2Gbit/s) 2Gbit/s LP9002L - F2 (2GbWs) x 2 枚・実績と定評のある製品をパッケージ化した SAN ソリューション。・各べンダー間での互換性が保証されています。 ※詳細はお間い合わせくたさい〒 110-0008 東京都台東区池之端 2-6-5JCS ビル最報 http://www.jcsn. CO. jp/ 十一十 A20 ¥ 298 , 000 より i nV TEL.03 ( 3821 ) 3200 FAX. 03 ( 3821 ) 3241 prenmer P R 0 V ー D

10. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 Solaris 9 でファイアウォールを作る長原宏治 TeInet 、 FTP 、 HTTP (HTTPS) 、 SMTP の各プロトコルについて、コンテンツ・フィルタとの j 叫が・可能なフロキシー機能をもっている。フロキシーはアプリケーション層でトラフィックを中継するプログラムで、ューサー認証を強化するだけでなく、内部の IP アドレスを隠蔽する効果もある。・ VPN (Virtual Private Network) SKIP (SimpIe Key-management for lnternet Pro- tocol) または IPsec/IKE による暗号イは支術を用いて、セキュアな VPN を構築できる。暗号イ支術は、 Sun- Screen か稼動している複数のマシンを 1 台の管理ステーションで制御する目的でも使用される。・ステノレスモード通常のファイアウォール・システムは一重のルータとして動作するが、 SunScreen には、ネットワーク・インターフェイスがそれ自体の IP アドレスをもたす、一一・種のプリッジとして動くモードがある。マシンがサービスを受け付ける IP アドレスをもっていないため、セキュリティが強化されるだけでなく、ネットワークをサプネットにうリする必要がないので IP アドレスを有効に活用できる。ステルスモードに対して、通常の IP アドレスをもつモードを、、ルーティング・モード " と呼・ HA (High Availability) 構成への対応 HA 及とは、予備のマシンを用意しておき、下カ中のマシンがダウンしたら、その処理を引き継ぐ仕組みである。これに対応することで、 SunScreen システムの信頼性は大幅に矼 E する。・ CMG (CentraIized Management Group) への対応 CMG とは、マスターマシンの設定内容を自重加勺にセカンダリマシンにコピーする機能である。これによって、 SunScreen とは何か SunScreen は、バケットレベルでアクセス制御をおこなうファイアウォール・システムである。 SoIaris8 でも機能制限版の SunScreen 3.1 Lite カリ用できたが、 Solaris 9 からはすべての機能が使える SunScreen 3.2 が付属するようになった。 SunScreen には次のような機能がある。・ステートフノレのノ、ケットフィノレタ送信元および宛先の IP アドレスをもとに、バケットの破棄と通過を柔軟に設定できる。 IP アドレスと UDP/ TCP のホート番号にもとづく単純なバケットフィルタではなく、各セッションの内容を解釈して管理するステートフルなエンジンを内蔵しており、 FTP のデータ・コネクションや RPC など、ホート番号カ加勺に変化するプロトコルにも対応している。・ NAT (Network Address Translator) バケットに付けられた IP アドレスを重加勺に変更することで、プライベート・アドレスを使用しているネットワークからインターネットにアクセスしたり、 ISP やネットワークの変更によるリナンバー ()P アドレスの付けなおし ) を最小限に抑えることができる。また、組織内のネットワーク構造を隠蔽する刻保もある。れ対 m のアドレス変換をおこなう重加勺な構成にも対応しているが、 NAPT (Network Address Port Trans- lation) はサホートしていないため、多数のフライベート・アドレスを少数のグローバル・アドレスに変換する場合はポート番号の衝突が発生するおそれがある。プロキシー 38 UNIX MAGAZINE 2003.6