フィルタ - みる会図書館


検索対象: UNIX MAGAZINE 2000年10月号
24件見つかりました。

1. UNIX MAGAZINE 2000年10月号

個人の常時接続環境を考える ( 4 ) 図 7 RTA52i での認証 ー - > ユーサー名とパスワドを入力してくだ & 、。 1 、 168.01 サイト YAMAHA-RT [ lc 粤れ記 m ⅶ s ] ュサー名 パスワード をのパスワ陸保存る 初トワクを新スワ , ドの第カ・舞気第 設定したパスワードを入力 OK もクリックしなければならす、かなり不便てす。さらに、 ウサでアクセスすると、図 6 の画面が表示されて、パスワ フィルタの内容を編集するインターフェイスがないので、 こでノヾスワードを設 ードの設定を促されます。そして、 追加したフィルタの一部を修正したいときは、いったんそ 定しなければ次の画面に進めませんし、何も設定できませ れを削除し、新たに」助日しなけ川まならないようです。ひ ん。ちょっと強引な手段ですが、セキュリティ面からみ どく不便です。 ると望ましい方法だと思います。 パスワードを設定すると、図 7 のウインドウが表示さ Web インターフェイスでフィルタを登録する場合は、 れます。ここでは、さきほど設定したパスワードを入力し フィルタ番号には 80 から 99 までの数字を割り当ててく ます。 ださい。それ以外の番号 ( 20 番など ) のフィルタも登録 次はフィルタの設定です。 Web プラウサで、、かんたん できますが、 1 ~ 79 番と 100 番はシステムて予約されて 成疋 " →、、システム管理 " →、、フィルタ設定 " を順番にク いるので、あまりお勧めできません。予約されている番号 リックすると、図 8 のような画面か表示されます。 を勝手に使ったりすると、突然肖えてなくなったり、別の フィルタルールで上書きされるかもしれません。 このページは、 フィルタを削除するには、「フィルタ定義の削除」のと ・フィノレタ : 定義の設定 ころでフィルタ番号を選び、 [ 削除 ] ボタンをクリックし ・フィルタ定義の追加 ます ( 図 9 ー b ) 。 ・フィルタ定義の削除 「フィルタリングのセット」では、 PPP や LAN のイン ・フィルタリングのセット ターフェイスに設疋するフィルタをチェックポックスで 選べるようになっています ( 図 9 ー c ) 。一見するとそれなり の 4 つのセクションに分かれています。 にイ甦リそうですが、適用するフィルタの順番を指定するこ 最初の「フィルタ定義の設定」のところには、現在シ とはできません。おそらく、番号の小さいはうから順に適 ステムに登録されているフィルタのリストか表示されてい 用するように設定されるのではないかと思われますが、確 ます。 証はありません。順番を制御したいときは、コマンドライ 次の「フィルタ定義の追加」では、新規フィルタルー ン・インターフェイスから入力するしかなさそうです。 ルを登録します ( 図 9 ー a ) 。画面を見ると、 GUI で簡単に 設正できそうに思えます。本当にそうならいいのですか、 こまでにみてきたように、すくなくともフィルタの設 そんなに都合よく話は進みません。よくよく見ると、前述 定に関しては Web インターフェイスはかなり不便です。 したフィルタルールの項目に対応するテキストボックスが コマンドライン・インターフェイス きれいに並んでいるだけです。つまり、コマンドライン ます、パスワードの設定去を紹介します ( 図 10 ) 。 インターフェイスで入力するのと大差ありません。必要な 項目をすべて書いたら、 Cj 砌日 ] ボタンをクリックします。 パスワードが設定されていない RTA52i に telnet ク 複数のフィルタを追加するときは、 [ 追加 ] ボタンを何回 ライアントでアクセスすると、最初にパスワードの入力を 19 UNIX MAGAZINE 2000 ユ 0

2. UNIX MAGAZINE 2000年10月号

いつでも使えるインターネット 特集 図 8 RTA52i のフィルタ言聢ページ NeV 0 YAMAHA ネットボランチホームペ - ジ・ 0 ね nt 今 RTA52i ー 料設定 システム LAN 側設疋」 叩尸報 0 フィル設定 ] フィルタ定義の設定 ゴラウザからの験定ではフィルタ番号 1 ~ ア 9 と間 0 はシステムで子約されています。 追加、則除する場合はフィルタ番号 8U ~ 99 を使用くだ 3 い。 ます「フィルタ定義の追加」でフィルタを定製亠ゴフィルタリングのセット」で群能させます。 定義されたフィルタが「フィルタ定義の設定」に表示され、すべてのづロバイダに対して有明こなります。 ーウイルタ プロトコル reject-log udp,tcp reject—log udp. tcp restrict tcpfin restrict 4 tcprst reject—nobg pass—nolog 18 フィルタ定義の追加 各項目を設定した後、「追加」ボタンで定内容を追加ノてください。 番号 フィルタ プロトコル 終点炉アドレス 終点ポート netbios-ns—netbios-ssn ”叫升 a ねー 21. nntp Wvv•N.. ftpdata— 21. 「 ln す p 0 始点アドしス ッ始点ポート netbios_ns—netbios_ssn 000 / 8 番号 1 2 3 p アドしズ 終点ポート ー始点 IP アドしズ 始点ポート フィルタ定義の削除 番号 フィルタリングのセット フィルタを穂能させる設定を行ないます。 し自 N ( PP ) / 以は LAN ( PP ) 側から入ってくるバケット、 [ AN や P レ OU 丁はし AN ( PP ) こ出ていくバケットのフィルタリンです。 設定は各噸目のチェックの有無で行なえます。 フィルタ番号を択して「削除」ボタンをグ丿ツウすると、指定された番号のフィルタが則除されます。 IIJ 0 0 町 LAN 番号 20 UNIX MAGAZINE 2000 ユ 0

3. UNIX MAGAZINE 2000年10月号

図 9 フィルタの登録・削除・言聢 (RTA52i) (a) 新しいフィルタの登録 フィルタ定義の追加 80 「 各項目を設定した後、「追加」ボタンで設定内容を追、飆ノてください。 番号 フィルタ プロトコル 始点 IP アドレス 1 0 0 0.0 / 8 始点ポート 個人の常時接続環境を考える ( 4 ) 終点旧アドしス 終点ポート 型」・←フィルタ定義を 1 つ追加するたびにこのボタンをクリックする (b) フィルタの削除 フィルタ定義の削除 番号 EJ3 フィルタ番号を選択して「削除」ボタンを 「フィルタ定義の追加」で割り当てた 番号を入力する (c) フィルタの言聢 フィルタリングのセット フィルタを秤能させる設定を行ないます。 LAN ( PP ) / IN は L 自 N ( P 円側から入ってくるバケット、 LAN 設定は各項目のチェックの有無で行なえます。 番号 LAN IIJ を所 0 2 1 求められますが、リターンだけ入力するとログインできま す。ログインしたら、 administrator コマンドを実行 して管理者権限に移行します。このときもパスワードの入 力を求められますが、リターンだけ入力します。そして、 ログイン・パスワードと管理者パスワードをそれぞれ設定 し、最後に save コマンドを実行して設定をメモリに書き 込みます。 次に、フィルタを設定します。 RTA52i のコマンドラ イン・インターフェイスは、コマンドラインの途中まで 入力して TAB キーを押すと残りの部分を補完してくれた り、途中で ? を入力するとヘルプメッセージを表示して くれたりと、いたれりつくせりのたいへん便利なインター フェイスです。キーポードに置れていないユーザーでも、 たいして苦労せすに入力できるでしよう。 こで 1 度 save コ 必喫なフィルタの当求カ鮗ったら、 マンドを実行します。 次に、フィルタを適用するための設定を追加します。 UNIX MAGAZINE 2000.10 フィルタ 80 番を PPP 側の 入口に設定する 21 マンドを実行して設定をメモリに書き込みます。 フィルタの設定か終ったら、最後にもう 1 度 save コ しよう。 しまったときに備えて、おっくうがらずに実行しておきま せんが、フィルタを書き間違えて自分自身か閉め出されて ざ save コマンドを実行するのは面倒に思えるかもしれま タを書き終った時点の状態に戻っています。途中でわざわ たん電源を切ってから RTA52i を再起動すると、フィル を実行しないかぎり変更は保存されません。つまり、いっ コマンドライン・インターフェイスでは、 save コマンド いいのです。 す。あわてす騒がず、冷静に電源をプチッと切ってやれば アクセスすることさえできません。しかし、心配は無用で ことがあります。こうなったら、設定をもとに戻そうにも まり telnet クライアント ) のアクセスを拒否してしまう のとき、設定の番号や順番を書き間違えて、自分自身 ( つ

4. UNIX MAGAZINE 2000年10月号

いつでも使えるインターネット 図 4 RTA52i のフィルタの書式 ip filter カ 1 社 mber type st ℃佖 d 市、 d ad 市、 ro c 司℃ 0 ds ゆ 0 fnumber : フィルタ番号 プロトコル pro toco に フィルタタイフ 始点ポート番号 srcport : type : 終点ポート番号 sr ℃ addr : 始点 IP アドレス 赤ゆ 07 、 t : dstaddt 、 : 終点 IP アドレス 用することもできますし ( フィルタの数を節約できるしタ イプ量も減る ) 、反対に登録したルールを設定しないまま にすることもできます ( 一日勺にフィルタを外したり、も とに戻したりするのが簡単 ) 。たとえは、フィルタの登録 と設定の概要は次のようになります。 ・フィノレタノレーノレ 1 の定義 ・フィルタルール 2 の定義 ・フィノレタルーノレ 3 の定義 ・フィノレタノレーノレ 4 の定義 ・ LAN 側にはルール 1 とルール 2 を適用 ・ PPP 側にはルール 1 と 3 を適用 RTA52i のフィルタコマンドの書式を図 4 に示します。 Web インターフェイスで設定する場合は、次のコマンド を入力するわけではありませんが、 Web インターフェイ スのページには下記に示す書式どおりに並んだテキストボ ックスがあり、そこに順番に書き入れていくため、どちら のインターフェイスを使っても結均には同しです。 fnumbet 、 : フィルタ番号 1 から 100 の番号を指定します。 ルールを適用する順番は別のガ去で設定するので、フィ ルタ番号はルールの適用順序とは関係ありません。フィ ルタの種類ごとにまとめて番号を振ったり、あるいは 気の向くままに決めたり、好きなように付けてかまいま せん。 Web インターフェイスでフィルタを設正するときは、 80 から 99 番までを使用します ( 理由はあとで説明し ます ) 。 ・切 : フィルタタイプ 次のなかから、どれか 1 つを選びます。 pass pass-log バケットを通過させます。このとき、通過したバケッ トの情報をログに言当します。 当求されたログは、 Web インターフェイスでは、、か んたん設定 " →、、システム管理 " →、、内部情報 " を順 番にクリックすると、そのなかの、、 Sysl 。 g 表示 " の セクションに表示されます。コマンドライン・イン ターフェイスでは、次のコマンドを実行します。 # show 10g ログは syslog の notice レベルで記録されるので、 ログを記録するには、あらかしめ次のコマンドを実 行しておく必要があります。 # syslog notice 0 Ⅱ Web インターフェイスでは、同しページの、、コマン ド入力 " の部分にコマンドを入力し、 [ 入力 ] ボタン をクリックします。 reject バケットを破棄します。このとき、破棄したバケッ トの情報をログに言当求します。 reject-nolog バケットを破棄します。ログは言求しません。 restrict PPP 接続されているあいだはバケットを通過させ、 切断しているときは破棄します。このとき、破棄し たバケットの情報をログに言求します。 たとえは、 ISDN ルータで自重妾続するように設定 していると、 NTP (Network Time Protocol) な どによって定期的にサーバーへのアクセスが発生す るたびにダイヤルアッフ鮟続がおこなわれます ( そし て、そのたびにお金がかかります ) 。 ISDN の常日喆妾 続や定額サーピスを利用しているならいいのですが、 ダイヤルアップするごとに課金されるサービスを利 用している場合は、とんでもなくお金がかかってし 一三ロ バケットを面させます。ログは言当求しません。 16 UNIX MAGAZINE 2000.10

5. UNIX MAGAZINE 2000年10月号

いつでも使えるインターネット Password : Escape character iS Connected to 192. 168.0. 1 . Trying 192.168.0.1. $ telnet 192.168.0.1 図 10 RTA52i ( ンくスワードを言聢する ←リターンだけ入力する Memory 8Mbytes , ILAN , IBRI 00 : a0 : de : 08 : 3d : dl Copyright (c) 1994 ー 2000 Yamaha Corporation. RTA52i Rev. 3.06.16 (Tue Jan 25 13 : 36 : 53 2000 ) > administrator Password : # login password 01d_Password : New_Password: New_Password : # administrator password セープ終了 セープ中 .. New_Password : New_Password : 01d_Password : ←リターンだけ入力する ←リターンだけ入力する ←パスワードを入力する ←パスワードをもう 1 度入力する ←パスワードをもう 1 度入力する ←パスワードを入力する ←リターンだけ入力する SLII にフィルタを設定する方法 22 このように、番号の数字に大きな意味があるので、フィ れを通過させます ( デフォルト許可 ) 。 ルールにもマッチしなかった場合、 SLII は自測酌に チしたルールを適用します。バケットがどのフィルタ 小さいものから大きいものへと順番に謌べ、最初にマッ SLII は、バケットをフィルタて処理するときに番号の 1 から 32 の番号を指定します。 fnumber : フィルタ番号 SLII のフィルタコマンドの書式を図 11 に示します。 い替えるしかありません。 買った " ことを後海しながら、はかの ISDN ルータに買 すか ( これでは本末転倒ですね ) 、、、用途に合わないものを すれかのサーピスの利用をあきらめてフィルタの数を減ら すぐに足りなくなってしまいます。そのような場合は、い し、サーバーを公開したり、複雑なルールを書き始めると ら、おそらく 32 個でもとくに問題はないでしよう。しか 少なめです。端末型でクライアント・ユースに徹するのな SLII に言当できるフィルタルールの最大数は 32 個と ルタを書くときは、最初に紙かテキストエデイタ上で必 要なルールをすべて書き出してから番号を付けるとよい 田いっくままに入力していくと、もう一歩で でしよっ。心 完成というところで重要なルールを思い出すことがあり ます。それが途中に挿入しなければならないルールだと すると、番号をすらすという不毛で悲しい作業か彳寺って います。そんなことを避けるためにも、必なルールを すべて書いてから番号を付けましよう。 ・ type : フィルタタイフ 次のなかからどれか 1 つを選びます。 paSS バケットを j 面茴させます。 reject バケットを破棄します。 restrict PPP 接続されているあいだはバケットを通過させ、 切断しているときは破棄します。 このタイプの適用例は、「 RTA52i にフィルタを設定 するガ光の項を参照してください。 UNIX MAGAZINE 2000.10

6. UNIX MAGAZINE 2000年10月号

つでも使えるインターネット remote 24 あれば、たいへん残念ですが、 表示されるはすです。何回やっても認証が失敗するようで てみましよう。正しく認証できれはクリックしたページが れます。さっそく、さきほど設定したパスワードを入力し クしてみてください。すると図 14 のウインドウが表示さ ーで、左側のフレームから適当な場所をクリッ ました とりあえす、これでパスワードか設定された状態になり す。 以 -. ヒの設定力鮗ったら、 [ 設定 ] ボタンをクリックしま なしでログインできる ) はよろしくありません。 おします。すくなくとも、デフォルトの状態 ( パスワード のアカウントを発行したい場合は、あとで有効に設定しな 拒否するために、アカウントを無効にします。管理者以外 でしよう。次に、ユーサ 1 から 3 までの、アクセス " を 更することもできますが、そのままでもとくに問題はない ルトの管理者のアカウント名は、、 adm ⅲ " です。これは変 最初に、、、管理者 " のパスワードを入力します。デフォ 面か表示されます。 クすると、図 13 のようなユーザー・アカウントの設定画 、詳細設定 " →、、ルータ設疋 " →、、ユーサ " を順番にクリッ SLII に Web プラウサでアクセスし、左フレームの まず、パスワードの設定ガ去を紹介します。 、 Veb インターフェイス タなどは設定できないでしよう。 るルールの数が少ないので、相手先ごとに異なるフィル スクを書いておけはよいでしよう。そもそも、設定でき 手先の番号を言当しますが、そオび丿外はつねにアスタリ それぞれに異なるルールを設定したい場合はそれぞオ材目 スクを記述します。ダイヤルアッフ。接続先か莪数あり、 すべての相手先にルールを適用したい場合は、アスタリ きに表示される番号です ( 図 12 ) 。 面で、「言岩田設定」から「接続 / 相手先登録」を選んだと この、、相手の番号 " とは、 Web インターフェイスの画 した場合、相手の番号を指定します。 ネットワーク・インターフェイスに、 remote" を成疋 ール宀 ・ 7 、皿 mbe 心相手先番号 ことを指定します。 PPP 側インターフェイスに設定するフィルタである 「僕 ( 不おってかわいそう・ とつぶやきながら、工場出荷状態に強制リセットするしか ありません。 次はフィルタの設定です。同じく、、言田設定 " →、、ルー タ設定 " →、、 IP " を順番にクリックすると図 15 のような 画面か現れます。この画面を下方向にスクロールしていく と、一番下に、オプション " と書かれたテキストエリアが あるので、 こにフィルタルールを言当します。 フィルタのカ絲冬ったら、 [ 設定 ] ボタンをクリック します。 このテキストエリアに直接フィルタルールを書いてもか まいませんが、できれば別のウインドウでテキストエディ タを開き、そこで編集したものをコピー & ペーストするほ うがよいと思います。 [ 設定 ] ボタンをクリックしたとき、言己したフィルタに 文法工ラーがあると、 SLII は、、エラーがあるで " と通知 してくれますが、せつかく書いたフィルタも消してしまい ます。慣れないうちは一 - ・ - ・発合格は難しいので、何回も書き 直すことになりますが、修正するたびに同しフィルタを何 回も書き直すのは面倒です。 さらに、フィルタを書き間違えて自分自身か閉め出され ることも ( たまに ) あります。そのような場合は、設定を 消去して工場出川寺の状態に戻せばよいのですが、正しく 設定したほかのフィルタルールも通里れとなって消えてし まいます。最初から書き直すのは、あまり楽しい倚喋では ありません。しかし、テキストエデイタ上で書いていれば、 そこからもう 1 度コピー & ペーストするだけですみます。 ただし、このときルータを初期化したことに満足して、 間違えたルールを修正するのを忘れてコピー & ペースト し、ふたたひ閉め出されないように注意してください。 コマンドライン・インターフェイス パスワードの設定ガ去を紹介します。 SLII に telnet クライアントでアクセスし、アカウン ト名に admin" と入力すると、管理者権限でログインで きます ( 図 16 ) 。 次に、管理者のパスワードを設定するために、 user admin password コマンドを実行します。パスワードを 入力しても、画面に何も表示されないので注意してくださ い。パスワードを入力したら、石薩忍のためもう 1 度同レ、 UNIX MAGAZINE 2000.10

7. UNIX MAGAZINE 2000年10月号

さて、 ・・・困りましたね。 ファイアウォールを作ろう ( 2 ) 前号では、ヤマハの RTA52i と NTT-ME の MN128- SOHO SLII のフィルタルールの例を紹介しました。今 回は、それぞれの ISDN ルータで、フィルタルールを設 定するガ去について説明します。 前回も書いたように、 RTA52i と SLII で設定をおこ なうには、 ・ Web インターフェイス ( Web プラウザを利用 ) ・コマンドライン・インターフェイス (telnet やシリア ルポート経由でログインし、コマンドラインから操作 ) の 2 種類のインターフェイスがあります。ただし、フィ ルタの成疋に限川よ、コマンドライン・インターフェイス のほうか物盟き使いやすいです。 Web によるインターフェイスも使えなくはありません が、けっきよくフィルタのルールはキーポードから入力す るので、マウスとキーポードを往ったり来たりするぶん不 便です。 ISDN ルータのパスワード RTA52i で初めて Web インターフェイスにアクセス すると、かならすパスワードを設定する画面か表示されま す。そして、 こでパスワードを設定しないと、先に進め ないようになっています。 一方、 SLII では、パスワードを設定しなくても運用を 続けることかできます。どうやら、、、パスワードを設定す る " という行為はオプションとされているようです。ほと んどのユーサーは、 Web インターフェイスを使って設定 するのではないかと思いますが、私か調べたかぎりでは、 その Web インターフェイスのどこを探しても「パスワー ドを設定しましよう」という注意書きはありません。それ らしい注意書きといえは、「自重妾続を設定しておくと意 図しない接続カ夥を E し、課金されてしまいます」といった 程度のものだけです。 どちらの ISDN ルータも、最初から最後までコマンド ライン・インターフェイスしか使わないのであれば、パス ワードを設定せすに運用することもできます。 UNIX MAGAZINE 2000.10 個人の常時接続環境を考える ( 4 ) しかし、 ISDN ルータにパスワードを設定せすに放置す るのはたいへん危険です。たとえば、 RTA52i ではコマン ドライン・インターフェイスに、 SL 11 では、、クイック設 定 " のページにアクセスされると、 PPP アカウントとパ スワードが盗まれてしまいます。また、 RTA52i はコマン ドライン・インターフェイスに telnet のクライアント機 能があるので、侵入されると、さらにそこからどこカ侵 入するための踏み台として利用される可能性もあります。 パスワードを成疋していない場合、 RTA52i にログイン して現在の設定を表示するコマンドを実行すると、 PPP アカウントとパスワードがそのまま ( 平文で ) 表示されま す。一方、 SLII では Web プラウザの画面上にパスワー ドの部分が、、 * * * * * * " と表示さ一見したところは一矍 されているかのように思えますが、しつは HTML のソ ースには生 ( 平文 ) のパスワードが書かれています LAN 型接続で ISDN ルータを使い、「フィルタなし、 パスワードなし」て漣用するのがもっとも危険です。イン ターネットからアクセスされると、簡単に PPP アカウン トか盜まれてしまいます。一方、端末型接続の場合は、イ ンターネットから直接 ISDN ルータにアクセスすること はできませんが、前回のコラム ( 54 ~ 55 ページ ) で紹介 したように、 SLII はフィルタを設定しないとスカスカ状 態なので、内部の計算機やサーバーを経由して SLII の HTTP ポートにアクセスされることは十分に考えられま す。 PPP アカウントが盜まれると、、、意図しない接続 " よ りも大きな曵的ネ皮害に遭う可能匪か高くなります。さら に、 PPP アカウントとパスワードの組がメールのアカウ ント名とパスワードと同しだと、被書がさらに大きくなる でしよう。 前回紹介したフィルタを設定すれば、インターネットか らの悪意あるアクセスを遮断することはできますが、 PPP アカウントがもつ価値とくらべると、まったくもって不十 分です。パスワードはかならず設定しましよう RTA52i にフィルタを設定する方法 RTA52i に言当できるフィルタルールの最大数は 100 個です。ただし、 RTA52i では、フィルタの登録と、そ れをインターフェイスの入口や出口に設定することは別々 におこないます。そのため、同しルールを複数の場所に適 15

8. UNIX MAGAZINE 2000年10月号

いつでも使えるインターネット クロスケーブル 子羊ルータ ・計則の結果 ・クロスケープルて掛売 図 18 子羊ルータの性能を調べてみた ttcp—r : ttcp—r: ttcp—r: ttcp—r: 0. luser 21.4sys 0 : 51rea1 41 % Oi + 0d 0maxrss 10485760 bytes processed 21.5737 CPU sec 51.9156 real sec 474.652 KB/cpu sec, 197.243 KB/rea1 sec, 150 Opening BINARY mode data connection for ' dummy ' 226 Transfer complete . 10485760 bytes received in 19.84 secs ( 516.2 kB/s) お金がなくなった」という状況になった場合は、どこかが 間違っています。 もちろん、内部のネットワークにプロードキャスト・パ ケットが阯に飛ひ交っていると、 LAMB の CPU がよ けいな仕事に消費されてしまい、それがパフォーマンス低 下の原因になります。そのようなときは、ネットワークの 構成や各引・算機の設定をみなおしましよう。 1GHz の CPU を使った PC も登場した現在では、さ すがに 66MHz の i486 は、、とっても非カ " な CPU で す。しかし、よけいなサーバー・プログラムを動かさず、 バケットの転送に専念させれば十分使えそうです。 話をバケットフィルタに戻しましよう。 LAMB では、 Linux のバケットフィルタ機能 (ipfw) を利用するため、 記述可能なフィルタルールの最大値は「そんなん、気にせ えへんでもええがな」くらいだと思います。正確な上限は 私も知りません。おそらく、、カーネルか動き続けられる程 度 " が限界なのでしよう。きっと、 LAMB がメエメ工と 鳴くよりもさきに人間の頭のほうが悲鳴を上げるにちがい ありません。 フィルタのルールには、次の項目カ甘旨定できます。 32 ・終点ポート番号 始点ポート番号 ・プロトコルの不鶤頁 (TCP 、 UDP 、 ICMP など ) ・終点 ( 送信 IP アドレス ・始点 ( 送信元 ) IP アドレス 0 + lpf 8351 + 1967CSW 3797.22 Kbits/cpu sec 1577.95 Kbits/sec ( 10485760 bytes) . ・フラグメント化された IP の 2 番目以降のバケット ・ SYN ビットがセットされ、 ACK と FIN がクリアさ れているバケット (TCP のみ ) フィルタにマッチしたときの処理は、 一致したら許可 一致したら拒否 (ICMP でエラーを返す ) 一致したら破棄 ( 闇に葬る ) の 3 不頁に対してそれぞれ、、ログに記録する / しない " の 指定力ゞ可能なので、合言 t 6 不鶤頁の処理か選べます。 フィルタは、インターフェイスの、、入力時 " と、、出力 時 " のそれぞれにかけることができます。つまり、 ・ WAN 側からバケットを受信したとき ・ WAN 側へバケットを送信するとき ・ LAN 側からバケットを受信したとき ・ LAN 側へバケットを送信するとき の 4 つのポイントでフィルタチェックがおこなわれます。 それでは、それぞれの設定去を・・ ・と書こうと思っ たところで時間切れになってしまいました。ということ で、子羊ルータ君との遊び方は次回までお待ちください。 まことにすみません。 UNIX MAGAZINE 2000.10 ( しらさき・ひろお IIJ)

9. UNIX MAGAZINE 2000年10月号

個人の常時接続環境を考える ( 4 ) 表 1 ポート番号の代わりに使える名前 (RTA52i) 「ないと困るねんけど、わざ まいます。このように finger ftp ftpdata gopher domam わざそのためだけにダイヤルアップするのはいやや printer nntp ntp pop3 ident なあ。ほかの用途でつないでいるときやったら、そ smtp snmp sunrpc syslog route のあいだに流れてもかまへんけど」といったサーピ talk telnet uucp www スのバケットを制行けるのにイリです。 すべてのプロトコルにマッチさせたい場合は、アスタリ restrict-nolog PPP 接続されているあいだはバケットを通過させ、 スクを言当します。 切断しているときは破棄します。ログは記録しませ established と書くと、 ACK ビットがセットされた TCP バケットにマッチします。 ん。 ・ s 几 : 始点ポート番号 ・ srcad 心・ : 始点 IP アドレス 始点のポート番号を指定します。 始点の IP アドレスを指定します。 連続したポート番号を指定する場合は、開始番号と終了 ネットワーク・アドレスを指定するときは、次のよう 番号をハイフンで区切って言当します。 / ( スラッシュ ) に続けてネットマスク長を記述 します。 137 ー 139 ポート番号 ( 数字 ) の代わりに、表 1 の名前 ( 文字列 ) で 192.168.0.0 / 16 当してもかまいません。 言算機の IP アドレスを指定するときは、アドレスをそ 複数のポートを指定する場合は、一屬己の数ネか文字列を のまま言当します。あるいは、 32 ビットマスク長を記 カンマで区切って並べます ( ただし 10 個以内 ) 。 述してもかまいません。 www , telnet ・ IP アドレスをそのまま記述 192. 168.0. 1 すべてのポート番号にマッチさせたい場合は、アスタリ ・ 32 ビットマスク長を記述 スクを言当します。 192 .168.0.1 / 32 ・み切。 : 終点ポート番号 連続した IP アドレスを指定するときは、開始アドレス 終点のポート番号を指定します。 ( ハイフン ) でつないで記述し と終了アドレスを、、 言当ガ去は s 几四と同しです。 ます。 次は、 RTA52i の LAN 側にフィルタを適用するため 192.168.0.1 ー 192 .168.0.100 のコマンドの書式です。このコマンドは、 Web インター すべての IP アドレスを指定したい場合は、 ( アス フェイスではクリック 1 つで設定できます ( 詳細はもうす タリスク ) をします。 こしあとで説明します ) 。 ・ dstaddr : 終点 IP アドレス ・ ip lan secure filter 市 7 、五〃ヨな t 終点の IP アドレスを指定します。 IP アドレスの記述方法は sr ℃靃と同しです。 市 7 、に in を指定すると、 LAN インターフェイスから ・を rotoc 司 : プロトコノレ RTA52i に入ってくるバケットをフィルタリングします。 フィルタリングするバケットの不鶤頁を指定します。 一方、 out を指定すると、 RTA52i から LAN インターフ プロトコル番号を表す数字または文字列 (udp 、 tcp 、 ェイスに出ていく前 : ンヾケットをフィルタリングします。 icmp) て指定します。 filter-list には、フィルタ番号のリストをカンマで区切 複数のプロトコルを指定する場合は、上記の数字か文字 って並べます ( ただし 100 個以内 ) 。 RTA52i がバケット 列を、、 , " ( カンマ ) で区切って並べます ( ただし 5 個以 ここで指定された のフィルタリング処理をおこなうとき、 順番でフィルタルールを適用し、最初にマッチしたルー こで列挙するフィルタ番号 ルを実行します。つまり、 ~ 1 三ロ tcp ,udp 17 UNIX MAGAZINE 2000.10

10. UNIX MAGAZINE 2000年10月号

個人の常時接続環境を考える ( 4 ) 図 11 SLII のフィルタ式 ip filter fnumber 切〃 e 市 srcaddr 赤ね d 市 protocol s c 0 ゆ 0 interface [ れ社 mbe 司 カ mbe 心フィルタ番号 フィルタタイプ 始点 IP アドレス 靃心終点 IP アドレス ・ dir : 方向 s 几佖 d 市 : dir : protocol : s ? ℃ 0 : みゆ 0 : interface 次の 2 つのうち、どちらか 1 つを選びます。 1 Ⅱ プロトコル 始点ポート番号 終点ポート番号 : ネットワーク・インターフェイス . 相手先番号 telnet www route smtp pop3 pptp ftpdata login nntp ftp 表 2 ポート番号の代わりに使える名前 (SLII) sunrpc ntp dornam SLII がバケットを受信したときに適用するフィルタ であることを表します。 0 ut SLII がバケットを送信する前に適用するフィルタで あることを表します。 ・ s 尾佖靃心始点 IP アドレス 始点の IP アドレスを指定します。 ネットワーク・アドレスを指定するときは、次のように スラッシュに続けてネットマスク長を言当します。 192 . 168.0. 1 ・マスク長を省略 192 .168.0. 1 / 32 ・ 32 ビットマスク長を記述 には、自重加勺に、、 / 32 " カ黼われます。 スク長を言当します。マスク長を省略して記主した場合 計算機の IP アドレスを指定するときは、 192.168.0.0 / 16 32 ピットマ UNIX MAGAZINE 2000.10 icmp 、 tcpest 、 tcpfin) てオ旨定します。 プロトコル番号を表す数字または文字列 (udp 、 tcp 、 フィルタリングするバケットの不頁を指定します。 ・ ro ん co / : プロトコノレ IP アドレスの記述方法は s 尾佖 d と同じです。 終点の IP アドレスを指定します。 ・赤 d 市 : 系点 IP アドレス クを記述します。 すべての IP アドレスを指定したい場合は、アスタリス 192. 168.0. 1 ー 192 . 168.0. 100 と終了アドレスをハイフンでつないで記述します。 連続した IP アドレスを指定する場合は、開始アドレス すべてのプロトコルにマッチさせたい場合は、アスタリ スクを記述します。 tcpfin は、 TCP の FIN ピットか RST ピットがセッ トされているバケットにマッチします。 一方、 tcpest は次の 2 つの牛か伺時に成り立ってい る TCP のバケットにマッチします (ACK ピットの 状態は任意です ) 。 —SYN ヒ、ツトがセットされている —ACK シーケンス番号が 0 ・ s 几 : 始点ポート番号 始点のポート番号を指定します。 連続したポート番号を指定する場合は、開始番号と終了 番号をハイフンてつないで記述します。 137 ー 139 すべてのポート番号にマッチさせたい場合は、アスタリ スクを言当します。 ポート番号 ( 数字 ) の代わりに、表 2 の名前 ( 文字列 ) で 言当してもかまいません。 ・みゆ。 : 終点ポート番号 終点のポート番号を指定します。 ガ去は s 尾と同しです。 可。 ce : ネットワーク・インターフェイス 次の 2 つのうち、どちらかを選びます。 local 内側の Ethernet インターフェイスに設定するフィ ルタであることを指定します。 23