個人の常時接続環境を考える ( 4 ) 図 7 RTA52i での認証 ー - > ユーサー名とパスワドを入力してくだ & 、。 1 、 168.01 サイト YAMAHA-RT [ lc 粤れ記 m ⅶ s ] ュサー名 パスワード をのパスワ陸保存る 初トワクを新スワ , ドの第カ・舞気第 設定したパスワードを入力 OK もクリックしなければならす、かなり不便てす。さらに、 ウサでアクセスすると、図 6 の画面が表示されて、パスワ フィルタの内容を編集するインターフェイスがないので、 こでノヾスワードを設 ードの設定を促されます。そして、 追加したフィルタの一部を修正したいときは、いったんそ 定しなければ次の画面に進めませんし、何も設定できませ れを削除し、新たに」助日しなけ川まならないようです。ひ ん。ちょっと強引な手段ですが、セキュリティ面からみ どく不便です。 ると望ましい方法だと思います。 パスワードを設定すると、図 7 のウインドウが表示さ Web インターフェイスでフィルタを登録する場合は、 れます。ここでは、さきほど設定したパスワードを入力し フィルタ番号には 80 から 99 までの数字を割り当ててく ます。 ださい。それ以外の番号 ( 20 番など ) のフィルタも登録 次はフィルタの設定です。 Web プラウサで、、かんたん できますが、 1 ~ 79 番と 100 番はシステムて予約されて 成疋 " →、、システム管理 " →、、フィルタ設定 " を順番にク いるので、あまりお勧めできません。予約されている番号 リックすると、図 8 のような画面か表示されます。 を勝手に使ったりすると、突然肖えてなくなったり、別の フィルタルールで上書きされるかもしれません。 このページは、 フィルタを削除するには、「フィルタ定義の削除」のと ・フィノレタ : 定義の設定 ころでフィルタ番号を選び、 [ 削除 ] ボタンをクリックし ・フィルタ定義の追加 ます ( 図 9 ー b ) 。 ・フィルタ定義の削除 「フィルタリングのセット」では、 PPP や LAN のイン ・フィルタリングのセット ターフェイスに設疋するフィルタをチェックポックスで 選べるようになっています ( 図 9 ー c ) 。一見するとそれなり の 4 つのセクションに分かれています。 にイ甦リそうですが、適用するフィルタの順番を指定するこ 最初の「フィルタ定義の設定」のところには、現在シ とはできません。おそらく、番号の小さいはうから順に適 ステムに登録されているフィルタのリストか表示されてい 用するように設定されるのではないかと思われますが、確 ます。 証はありません。順番を制御したいときは、コマンドライ 次の「フィルタ定義の追加」では、新規フィルタルー ン・インターフェイスから入力するしかなさそうです。 ルを登録します ( 図 9 ー a ) 。画面を見ると、 GUI で簡単に 設正できそうに思えます。本当にそうならいいのですか、 こまでにみてきたように、すくなくともフィルタの設 そんなに都合よく話は進みません。よくよく見ると、前述 定に関しては Web インターフェイスはかなり不便です。 したフィルタルールの項目に対応するテキストボックスが コマンドライン・インターフェイス きれいに並んでいるだけです。つまり、コマンドライン ます、パスワードの設定去を紹介します ( 図 10 ) 。 インターフェイスで入力するのと大差ありません。必要な 項目をすべて書いたら、 Cj 砌日 ] ボタンをクリックします。 パスワードが設定されていない RTA52i に telnet ク 複数のフィルタを追加するときは、 [ 追加 ] ボタンを何回 ライアントでアクセスすると、最初にパスワードの入力を 19 UNIX MAGAZINE 2000 ユ 0
いつでも使えるインターネット 特集 図 8 RTA52i のフィルタ言聢ページ NeV 0 YAMAHA ネットボランチホームペ - ジ・ 0 ね nt 今 RTA52i ー 料設定 システム LAN 側設疋」 叩尸報 0 フィル設定 ] フィルタ定義の設定 ゴラウザからの験定ではフィルタ番号 1 ~ ア 9 と間 0 はシステムで子約されています。 追加、則除する場合はフィルタ番号 8U ~ 99 を使用くだ 3 い。 ます「フィルタ定義の追加」でフィルタを定製亠ゴフィルタリングのセット」で群能させます。 定義されたフィルタが「フィルタ定義の設定」に表示され、すべてのづロバイダに対して有明こなります。 ーウイルタ プロトコル reject-log udp,tcp reject—log udp. tcp restrict tcpfin restrict 4 tcprst reject—nobg pass—nolog 18 フィルタ定義の追加 各項目を設定した後、「追加」ボタンで定内容を追加ノてください。 番号 フィルタ プロトコル 終点炉アドレス 終点ポート netbios-ns—netbios-ssn ”叫升 a ねー 21. nntp Wvv•N.. ftpdata— 21. 「 ln す p 0 始点アドしス ッ始点ポート netbios_ns—netbios_ssn 000 / 8 番号 1 2 3 p アドしズ 終点ポート ー始点 IP アドしズ 始点ポート フィルタ定義の削除 番号 フィルタリングのセット フィルタを穂能させる設定を行ないます。 し自 N ( PP ) / 以は LAN ( PP ) 側から入ってくるバケット、 [ AN や P レ OU 丁はし AN ( PP ) こ出ていくバケットのフィルタリンです。 設定は各噸目のチェックの有無で行なえます。 フィルタ番号を択して「削除」ボタンをグ丿ツウすると、指定された番号のフィルタが則除されます。 IIJ 0 0 町 LAN 番号 20 UNIX MAGAZINE 2000 ユ 0
図 9 フィルタの登録・削除・言聢 (RTA52i) (a) 新しいフィルタの登録 フィルタ定義の追加 80 「 各項目を設定した後、「追加」ボタンで設定内容を追、飆ノてください。 番号 フィルタ プロトコル 始点 IP アドレス 1 0 0 0.0 / 8 始点ポート 個人の常時接続環境を考える ( 4 ) 終点旧アドしス 終点ポート 型」・←フィルタ定義を 1 つ追加するたびにこのボタンをクリックする (b) フィルタの削除 フィルタ定義の削除 番号 EJ3 フィルタ番号を選択して「削除」ボタンを 「フィルタ定義の追加」で割り当てた 番号を入力する (c) フィルタの言聢 フィルタリングのセット フィルタを秤能させる設定を行ないます。 LAN ( PP ) / IN は L 自 N ( P 円側から入ってくるバケット、 LAN 設定は各項目のチェックの有無で行なえます。 番号 LAN IIJ を所 0 2 1 求められますが、リターンだけ入力するとログインできま す。ログインしたら、 administrator コマンドを実行 して管理者権限に移行します。このときもパスワードの入 力を求められますが、リターンだけ入力します。そして、 ログイン・パスワードと管理者パスワードをそれぞれ設定 し、最後に save コマンドを実行して設定をメモリに書き 込みます。 次に、フィルタを設定します。 RTA52i のコマンドラ イン・インターフェイスは、コマンドラインの途中まで 入力して TAB キーを押すと残りの部分を補完してくれた り、途中で ? を入力するとヘルプメッセージを表示して くれたりと、いたれりつくせりのたいへん便利なインター フェイスです。キーポードに置れていないユーザーでも、 たいして苦労せすに入力できるでしよう。 こで 1 度 save コ 必喫なフィルタの当求カ鮗ったら、 マンドを実行します。 次に、フィルタを適用するための設定を追加します。 UNIX MAGAZINE 2000.10 フィルタ 80 番を PPP 側の 入口に設定する 21 マンドを実行して設定をメモリに書き込みます。 フィルタの設定か終ったら、最後にもう 1 度 save コ しよう。 しまったときに備えて、おっくうがらずに実行しておきま せんが、フィルタを書き間違えて自分自身か閉め出されて ざ save コマンドを実行するのは面倒に思えるかもしれま タを書き終った時点の状態に戻っています。途中でわざわ たん電源を切ってから RTA52i を再起動すると、フィル を実行しないかぎり変更は保存されません。つまり、いっ コマンドライン・インターフェイスでは、 save コマンド いいのです。 す。あわてす騒がず、冷静に電源をプチッと切ってやれば アクセスすることさえできません。しかし、心配は無用で ことがあります。こうなったら、設定をもとに戻そうにも まり telnet クライアント ) のアクセスを拒否してしまう のとき、設定の番号や順番を書き間違えて、自分自身 ( つ
いつでも使えるインターネット 図 4 RTA52i のフィルタの書式 ip filter カ 1 社 mber type st ℃佖 d 市、 d ad 市、 ro c 司℃ 0 ds ゆ 0 fnumber : フィルタ番号 プロトコル pro toco に フィルタタイフ 始点ポート番号 srcport : type : 終点ポート番号 sr ℃ addr : 始点 IP アドレス 赤ゆ 07 、 t : dstaddt 、 : 終点 IP アドレス 用することもできますし ( フィルタの数を節約できるしタ イプ量も減る ) 、反対に登録したルールを設定しないまま にすることもできます ( 一日勺にフィルタを外したり、も とに戻したりするのが簡単 ) 。たとえは、フィルタの登録 と設定の概要は次のようになります。 ・フィノレタノレーノレ 1 の定義 ・フィルタルール 2 の定義 ・フィノレタルーノレ 3 の定義 ・フィノレタノレーノレ 4 の定義 ・ LAN 側にはルール 1 とルール 2 を適用 ・ PPP 側にはルール 1 と 3 を適用 RTA52i のフィルタコマンドの書式を図 4 に示します。 Web インターフェイスで設定する場合は、次のコマンド を入力するわけではありませんが、 Web インターフェイ スのページには下記に示す書式どおりに並んだテキストボ ックスがあり、そこに順番に書き入れていくため、どちら のインターフェイスを使っても結均には同しです。 fnumbet 、 : フィルタ番号 1 から 100 の番号を指定します。 ルールを適用する順番は別のガ去で設定するので、フィ ルタ番号はルールの適用順序とは関係ありません。フィ ルタの種類ごとにまとめて番号を振ったり、あるいは 気の向くままに決めたり、好きなように付けてかまいま せん。 Web インターフェイスでフィルタを設正するときは、 80 から 99 番までを使用します ( 理由はあとで説明し ます ) 。 ・切 : フィルタタイプ 次のなかから、どれか 1 つを選びます。 pass pass-log バケットを通過させます。このとき、通過したバケッ トの情報をログに言当します。 当求されたログは、 Web インターフェイスでは、、か んたん設定 " →、、システム管理 " →、、内部情報 " を順 番にクリックすると、そのなかの、、 Sysl 。 g 表示 " の セクションに表示されます。コマンドライン・イン ターフェイスでは、次のコマンドを実行します。 # show 10g ログは syslog の notice レベルで記録されるので、 ログを記録するには、あらかしめ次のコマンドを実 行しておく必要があります。 # syslog notice 0 Ⅱ Web インターフェイスでは、同しページの、、コマン ド入力 " の部分にコマンドを入力し、 [ 入力 ] ボタン をクリックします。 reject バケットを破棄します。このとき、破棄したバケッ トの情報をログに言当求します。 reject-nolog バケットを破棄します。ログは言求しません。 restrict PPP 接続されているあいだはバケットを通過させ、 切断しているときは破棄します。このとき、破棄し たバケットの情報をログに言求します。 たとえは、 ISDN ルータで自重妾続するように設定 していると、 NTP (Network Time Protocol) な どによって定期的にサーバーへのアクセスが発生す るたびにダイヤルアッフ鮟続がおこなわれます ( そし て、そのたびにお金がかかります ) 。 ISDN の常日喆妾 続や定額サーピスを利用しているならいいのですが、 ダイヤルアップするごとに課金されるサービスを利 用している場合は、とんでもなくお金がかかってし 一三ロ バケットを面させます。ログは言当求しません。 16 UNIX MAGAZINE 2000.10
いつでも使えるインターネット Password : Escape character iS Connected to 192. 168.0. 1 . Trying 192.168.0.1. $ telnet 192.168.0.1 図 10 RTA52i ( ンくスワードを言聢する ←リターンだけ入力する Memory 8Mbytes , ILAN , IBRI 00 : a0 : de : 08 : 3d : dl Copyright (c) 1994 ー 2000 Yamaha Corporation. RTA52i Rev. 3.06.16 (Tue Jan 25 13 : 36 : 53 2000 ) > administrator Password : # login password 01d_Password : New_Password: New_Password : # administrator password セープ終了 セープ中 .. New_Password : New_Password : 01d_Password : ←リターンだけ入力する ←リターンだけ入力する ←パスワードを入力する ←パスワードをもう 1 度入力する ←パスワードをもう 1 度入力する ←パスワードを入力する ←リターンだけ入力する SLII にフィルタを設定する方法 22 このように、番号の数字に大きな意味があるので、フィ れを通過させます ( デフォルト許可 ) 。 ルールにもマッチしなかった場合、 SLII は自測酌に チしたルールを適用します。バケットがどのフィルタ 小さいものから大きいものへと順番に謌べ、最初にマッ SLII は、バケットをフィルタて処理するときに番号の 1 から 32 の番号を指定します。 fnumber : フィルタ番号 SLII のフィルタコマンドの書式を図 11 に示します。 い替えるしかありません。 買った " ことを後海しながら、はかの ISDN ルータに買 すか ( これでは本末転倒ですね ) 、、、用途に合わないものを すれかのサーピスの利用をあきらめてフィルタの数を減ら すぐに足りなくなってしまいます。そのような場合は、い し、サーバーを公開したり、複雑なルールを書き始めると ら、おそらく 32 個でもとくに問題はないでしよう。しか 少なめです。端末型でクライアント・ユースに徹するのな SLII に言当できるフィルタルールの最大数は 32 個と ルタを書くときは、最初に紙かテキストエデイタ上で必 要なルールをすべて書き出してから番号を付けるとよい 田いっくままに入力していくと、もう一歩で でしよっ。心 完成というところで重要なルールを思い出すことがあり ます。それが途中に挿入しなければならないルールだと すると、番号をすらすという不毛で悲しい作業か彳寺って います。そんなことを避けるためにも、必なルールを すべて書いてから番号を付けましよう。 ・ type : フィルタタイフ 次のなかからどれか 1 つを選びます。 paSS バケットを j 面茴させます。 reject バケットを破棄します。 restrict PPP 接続されているあいだはバケットを通過させ、 切断しているときは破棄します。 このタイプの適用例は、「 RTA52i にフィルタを設定 するガ光の項を参照してください。 UNIX MAGAZINE 2000.10
つでも使えるインターネット remote 24 あれば、たいへん残念ですが、 表示されるはすです。何回やっても認証が失敗するようで てみましよう。正しく認証できれはクリックしたページが れます。さっそく、さきほど設定したパスワードを入力し クしてみてください。すると図 14 のウインドウが表示さ ーで、左側のフレームから適当な場所をクリッ ました とりあえす、これでパスワードか設定された状態になり す。 以 -. ヒの設定力鮗ったら、 [ 設定 ] ボタンをクリックしま なしでログインできる ) はよろしくありません。 おします。すくなくとも、デフォルトの状態 ( パスワード のアカウントを発行したい場合は、あとで有効に設定しな 拒否するために、アカウントを無効にします。管理者以外 でしよう。次に、ユーサ 1 から 3 までの、アクセス " を 更することもできますが、そのままでもとくに問題はない ルトの管理者のアカウント名は、、 adm ⅲ " です。これは変 最初に、、、管理者 " のパスワードを入力します。デフォ 面か表示されます。 クすると、図 13 のようなユーザー・アカウントの設定画 、詳細設定 " →、、ルータ設疋 " →、、ユーサ " を順番にクリッ SLII に Web プラウサでアクセスし、左フレームの まず、パスワードの設定ガ去を紹介します。 、 Veb インターフェイス タなどは設定できないでしよう。 るルールの数が少ないので、相手先ごとに異なるフィル スクを書いておけはよいでしよう。そもそも、設定でき 手先の番号を言当しますが、そオび丿外はつねにアスタリ それぞれに異なるルールを設定したい場合はそれぞオ材目 スクを記述します。ダイヤルアッフ。接続先か莪数あり、 すべての相手先にルールを適用したい場合は、アスタリ きに表示される番号です ( 図 12 ) 。 面で、「言岩田設定」から「接続 / 相手先登録」を選んだと この、、相手の番号 " とは、 Web インターフェイスの画 した場合、相手の番号を指定します。 ネットワーク・インターフェイスに、 remote" を成疋 ール宀 ・ 7 、皿 mbe 心相手先番号 ことを指定します。 PPP 側インターフェイスに設定するフィルタである 「僕 ( 不おってかわいそう・ とつぶやきながら、工場出荷状態に強制リセットするしか ありません。 次はフィルタの設定です。同じく、、言田設定 " →、、ルー タ設定 " →、、 IP " を順番にクリックすると図 15 のような 画面か現れます。この画面を下方向にスクロールしていく と、一番下に、オプション " と書かれたテキストエリアが あるので、 こにフィルタルールを言当します。 フィルタのカ絲冬ったら、 [ 設定 ] ボタンをクリック します。 このテキストエリアに直接フィルタルールを書いてもか まいませんが、できれば別のウインドウでテキストエディ タを開き、そこで編集したものをコピー & ペーストするほ うがよいと思います。 [ 設定 ] ボタンをクリックしたとき、言己したフィルタに 文法工ラーがあると、 SLII は、、エラーがあるで " と通知 してくれますが、せつかく書いたフィルタも消してしまい ます。慣れないうちは一 - ・ - ・発合格は難しいので、何回も書き 直すことになりますが、修正するたびに同しフィルタを何 回も書き直すのは面倒です。 さらに、フィルタを書き間違えて自分自身か閉め出され ることも ( たまに ) あります。そのような場合は、設定を 消去して工場出川寺の状態に戻せばよいのですが、正しく 設定したほかのフィルタルールも通里れとなって消えてし まいます。最初から書き直すのは、あまり楽しい倚喋では ありません。しかし、テキストエデイタ上で書いていれば、 そこからもう 1 度コピー & ペーストするだけですみます。 ただし、このときルータを初期化したことに満足して、 間違えたルールを修正するのを忘れてコピー & ペースト し、ふたたひ閉め出されないように注意してください。 コマンドライン・インターフェイス パスワードの設定ガ去を紹介します。 SLII に telnet クライアントでアクセスし、アカウン ト名に admin" と入力すると、管理者権限でログインで きます ( 図 16 ) 。 次に、管理者のパスワードを設定するために、 user admin password コマンドを実行します。パスワードを 入力しても、画面に何も表示されないので注意してくださ い。パスワードを入力したら、石薩忍のためもう 1 度同レ、 UNIX MAGAZINE 2000.10
さて、 ・・・困りましたね。 ファイアウォールを作ろう ( 2 ) 前号では、ヤマハの RTA52i と NTT-ME の MN128- SOHO SLII のフィルタルールの例を紹介しました。今 回は、それぞれの ISDN ルータで、フィルタルールを設 定するガ去について説明します。 前回も書いたように、 RTA52i と SLII で設定をおこ なうには、 ・ Web インターフェイス ( Web プラウザを利用 ) ・コマンドライン・インターフェイス (telnet やシリア ルポート経由でログインし、コマンドラインから操作 ) の 2 種類のインターフェイスがあります。ただし、フィ ルタの成疋に限川よ、コマンドライン・インターフェイス のほうか物盟き使いやすいです。 Web によるインターフェイスも使えなくはありません が、けっきよくフィルタのルールはキーポードから入力す るので、マウスとキーポードを往ったり来たりするぶん不 便です。 ISDN ルータのパスワード RTA52i で初めて Web インターフェイスにアクセス すると、かならすパスワードを設定する画面か表示されま す。そして、 こでパスワードを設定しないと、先に進め ないようになっています。 一方、 SLII では、パスワードを設定しなくても運用を 続けることかできます。どうやら、、、パスワードを設定す る " という行為はオプションとされているようです。ほと んどのユーサーは、 Web インターフェイスを使って設定 するのではないかと思いますが、私か調べたかぎりでは、 その Web インターフェイスのどこを探しても「パスワー ドを設定しましよう」という注意書きはありません。それ らしい注意書きといえは、「自重妾続を設定しておくと意 図しない接続カ夥を E し、課金されてしまいます」といった 程度のものだけです。 どちらの ISDN ルータも、最初から最後までコマンド ライン・インターフェイスしか使わないのであれば、パス ワードを設定せすに運用することもできます。 UNIX MAGAZINE 2000.10 個人の常時接続環境を考える ( 4 ) しかし、 ISDN ルータにパスワードを設定せすに放置す るのはたいへん危険です。たとえば、 RTA52i ではコマン ドライン・インターフェイスに、 SL 11 では、、クイック設 定 " のページにアクセスされると、 PPP アカウントとパ スワードが盗まれてしまいます。また、 RTA52i はコマン ドライン・インターフェイスに telnet のクライアント機 能があるので、侵入されると、さらにそこからどこカ侵 入するための踏み台として利用される可能性もあります。 パスワードを成疋していない場合、 RTA52i にログイン して現在の設定を表示するコマンドを実行すると、 PPP アカウントとパスワードがそのまま ( 平文で ) 表示されま す。一方、 SLII では Web プラウザの画面上にパスワー ドの部分が、、 * * * * * * " と表示さ一見したところは一矍 されているかのように思えますが、しつは HTML のソ ースには生 ( 平文 ) のパスワードが書かれています LAN 型接続で ISDN ルータを使い、「フィルタなし、 パスワードなし」て漣用するのがもっとも危険です。イン ターネットからアクセスされると、簡単に PPP アカウン トか盜まれてしまいます。一方、端末型接続の場合は、イ ンターネットから直接 ISDN ルータにアクセスすること はできませんが、前回のコラム ( 54 ~ 55 ページ ) で紹介 したように、 SLII はフィルタを設定しないとスカスカ状 態なので、内部の計算機やサーバーを経由して SLII の HTTP ポートにアクセスされることは十分に考えられま す。 PPP アカウントが盜まれると、、、意図しない接続 " よ りも大きな曵的ネ皮害に遭う可能匪か高くなります。さら に、 PPP アカウントとパスワードの組がメールのアカウ ント名とパスワードと同しだと、被書がさらに大きくなる でしよう。 前回紹介したフィルタを設定すれば、インターネットか らの悪意あるアクセスを遮断することはできますが、 PPP アカウントがもつ価値とくらべると、まったくもって不十 分です。パスワードはかならず設定しましよう RTA52i にフィルタを設定する方法 RTA52i に言当できるフィルタルールの最大数は 100 個です。ただし、 RTA52i では、フィルタの登録と、そ れをインターフェイスの入口や出口に設定することは別々 におこないます。そのため、同しルールを複数の場所に適 15
いつでも使えるインターネット クロスケーブル 子羊ルータ ・計則の結果 ・クロスケープルて掛売 図 18 子羊ルータの性能を調べてみた ttcp—r : ttcp—r: ttcp—r: ttcp—r: 0. luser 21.4sys 0 : 51rea1 41 % Oi + 0d 0maxrss 10485760 bytes processed 21.5737 CPU sec 51.9156 real sec 474.652 KB/cpu sec, 197.243 KB/rea1 sec, 150 Opening BINARY mode data connection for ' dummy ' 226 Transfer complete . 10485760 bytes received in 19.84 secs ( 516.2 kB/s) お金がなくなった」という状況になった場合は、どこかが 間違っています。 もちろん、内部のネットワークにプロードキャスト・パ ケットが阯に飛ひ交っていると、 LAMB の CPU がよ けいな仕事に消費されてしまい、それがパフォーマンス低 下の原因になります。そのようなときは、ネットワークの 構成や各引・算機の設定をみなおしましよう。 1GHz の CPU を使った PC も登場した現在では、さ すがに 66MHz の i486 は、、とっても非カ " な CPU で す。しかし、よけいなサーバー・プログラムを動かさず、 バケットの転送に専念させれば十分使えそうです。 話をバケットフィルタに戻しましよう。 LAMB では、 Linux のバケットフィルタ機能 (ipfw) を利用するため、 記述可能なフィルタルールの最大値は「そんなん、気にせ えへんでもええがな」くらいだと思います。正確な上限は 私も知りません。おそらく、、カーネルか動き続けられる程 度 " が限界なのでしよう。きっと、 LAMB がメエメ工と 鳴くよりもさきに人間の頭のほうが悲鳴を上げるにちがい ありません。 フィルタのルールには、次の項目カ甘旨定できます。 32 ・終点ポート番号 始点ポート番号 ・プロトコルの不鶤頁 (TCP 、 UDP 、 ICMP など ) ・終点 ( 送信 IP アドレス ・始点 ( 送信元 ) IP アドレス 0 + lpf 8351 + 1967CSW 3797.22 Kbits/cpu sec 1577.95 Kbits/sec ( 10485760 bytes) . ・フラグメント化された IP の 2 番目以降のバケット ・ SYN ビットがセットされ、 ACK と FIN がクリアさ れているバケット (TCP のみ ) フィルタにマッチしたときの処理は、 一致したら許可 一致したら拒否 (ICMP でエラーを返す ) 一致したら破棄 ( 闇に葬る ) の 3 不頁に対してそれぞれ、、ログに記録する / しない " の 指定力ゞ可能なので、合言 t 6 不鶤頁の処理か選べます。 フィルタは、インターフェイスの、、入力時 " と、、出力 時 " のそれぞれにかけることができます。つまり、 ・ WAN 側からバケットを受信したとき ・ WAN 側へバケットを送信するとき ・ LAN 側からバケットを受信したとき ・ LAN 側へバケットを送信するとき の 4 つのポイントでフィルタチェックがおこなわれます。 それでは、それぞれの設定去を・・ ・と書こうと思っ たところで時間切れになってしまいました。ということ で、子羊ルータ君との遊び方は次回までお待ちください。 まことにすみません。 UNIX MAGAZINE 2000.10 ( しらさき・ひろお IIJ)
個人の常時接続環境を考える ( 4 ) 表 1 ポート番号の代わりに使える名前 (RTA52i) 「ないと困るねんけど、わざ まいます。このように finger ftp ftpdata gopher domam わざそのためだけにダイヤルアップするのはいやや printer nntp ntp pop3 ident なあ。ほかの用途でつないでいるときやったら、そ smtp snmp sunrpc syslog route のあいだに流れてもかまへんけど」といったサーピ talk telnet uucp www スのバケットを制行けるのにイリです。 すべてのプロトコルにマッチさせたい場合は、アスタリ restrict-nolog PPP 接続されているあいだはバケットを通過させ、 スクを言当します。 切断しているときは破棄します。ログは記録しませ established と書くと、 ACK ビットがセットされた TCP バケットにマッチします。 ん。 ・ s 几 : 始点ポート番号 ・ srcad 心・ : 始点 IP アドレス 始点のポート番号を指定します。 始点の IP アドレスを指定します。 連続したポート番号を指定する場合は、開始番号と終了 ネットワーク・アドレスを指定するときは、次のよう 番号をハイフンで区切って言当します。 / ( スラッシュ ) に続けてネットマスク長を記述 します。 137 ー 139 ポート番号 ( 数字 ) の代わりに、表 1 の名前 ( 文字列 ) で 192.168.0.0 / 16 当してもかまいません。 言算機の IP アドレスを指定するときは、アドレスをそ 複数のポートを指定する場合は、一屬己の数ネか文字列を のまま言当します。あるいは、 32 ビットマスク長を記 カンマで区切って並べます ( ただし 10 個以内 ) 。 述してもかまいません。 www , telnet ・ IP アドレスをそのまま記述 192. 168.0. 1 すべてのポート番号にマッチさせたい場合は、アスタリ ・ 32 ビットマスク長を記述 スクを言当します。 192 .168.0.1 / 32 ・み切。 : 終点ポート番号 連続した IP アドレスを指定するときは、開始アドレス 終点のポート番号を指定します。 ( ハイフン ) でつないで記述し と終了アドレスを、、 言当ガ去は s 几四と同しです。 ます。 次は、 RTA52i の LAN 側にフィルタを適用するため 192.168.0.1 ー 192 .168.0.100 のコマンドの書式です。このコマンドは、 Web インター すべての IP アドレスを指定したい場合は、 ( アス フェイスではクリック 1 つで設定できます ( 詳細はもうす タリスク ) をします。 こしあとで説明します ) 。 ・ dstaddr : 終点 IP アドレス ・ ip lan secure filter 市 7 、五〃ヨな t 終点の IP アドレスを指定します。 IP アドレスの記述方法は sr ℃靃と同しです。 市 7 、に in を指定すると、 LAN インターフェイスから ・を rotoc 司 : プロトコノレ RTA52i に入ってくるバケットをフィルタリングします。 フィルタリングするバケットの不鶤頁を指定します。 一方、 out を指定すると、 RTA52i から LAN インターフ プロトコル番号を表す数字または文字列 (udp 、 tcp 、 ェイスに出ていく前 : ンヾケットをフィルタリングします。 icmp) て指定します。 filter-list には、フィルタ番号のリストをカンマで区切 複数のプロトコルを指定する場合は、上記の数字か文字 って並べます ( ただし 100 個以内 ) 。 RTA52i がバケット 列を、、 , " ( カンマ ) で区切って並べます ( ただし 5 個以 ここで指定された のフィルタリング処理をおこなうとき、 順番でフィルタルールを適用し、最初にマッチしたルー こで列挙するフィルタ番号 ルを実行します。つまり、 ~ 1 三ロ tcp ,udp 17 UNIX MAGAZINE 2000.10
個人の常時接続環境を考える ( 4 ) 図 11 SLII のフィルタ式 ip filter fnumber 切〃 e 市 srcaddr 赤ね d 市 protocol s c 0 ゆ 0 interface [ れ社 mbe 司 カ mbe 心フィルタ番号 フィルタタイプ 始点 IP アドレス 靃心終点 IP アドレス ・ dir : 方向 s 几佖 d 市 : dir : protocol : s ? ℃ 0 : みゆ 0 : interface 次の 2 つのうち、どちらか 1 つを選びます。 1 Ⅱ プロトコル 始点ポート番号 終点ポート番号 : ネットワーク・インターフェイス . 相手先番号 telnet www route smtp pop3 pptp ftpdata login nntp ftp 表 2 ポート番号の代わりに使える名前 (SLII) sunrpc ntp dornam SLII がバケットを受信したときに適用するフィルタ であることを表します。 0 ut SLII がバケットを送信する前に適用するフィルタで あることを表します。 ・ s 尾佖靃心始点 IP アドレス 始点の IP アドレスを指定します。 ネットワーク・アドレスを指定するときは、次のように スラッシュに続けてネットマスク長を言当します。 192 . 168.0. 1 ・マスク長を省略 192 .168.0. 1 / 32 ・ 32 ビットマスク長を記述 には、自重加勺に、、 / 32 " カ黼われます。 スク長を言当します。マスク長を省略して記主した場合 計算機の IP アドレスを指定するときは、 192.168.0.0 / 16 32 ピットマ UNIX MAGAZINE 2000.10 icmp 、 tcpest 、 tcpfin) てオ旨定します。 プロトコル番号を表す数字または文字列 (udp 、 tcp 、 フィルタリングするバケットの不頁を指定します。 ・ ro ん co / : プロトコノレ IP アドレスの記述方法は s 尾佖 d と同じです。 終点の IP アドレスを指定します。 ・赤 d 市 : 系点 IP アドレス クを記述します。 すべての IP アドレスを指定したい場合は、アスタリス 192. 168.0. 1 ー 192 . 168.0. 100 と終了アドレスをハイフンでつないで記述します。 連続した IP アドレスを指定する場合は、開始アドレス すべてのプロトコルにマッチさせたい場合は、アスタリ スクを記述します。 tcpfin は、 TCP の FIN ピットか RST ピットがセッ トされているバケットにマッチします。 一方、 tcpest は次の 2 つの牛か伺時に成り立ってい る TCP のバケットにマッチします (ACK ピットの 状態は任意です ) 。 —SYN ヒ、ツトがセットされている —ACK シーケンス番号が 0 ・ s 几 : 始点ポート番号 始点のポート番号を指定します。 連続したポート番号を指定する場合は、開始番号と終了 番号をハイフンてつないで記述します。 137 ー 139 すべてのポート番号にマッチさせたい場合は、アスタリ スクを言当します。 ポート番号 ( 数字 ) の代わりに、表 2 の名前 ( 文字列 ) で 言当してもかまいません。 ・みゆ。 : 終点ポート番号 終点のポート番号を指定します。 ガ去は s 尾と同しです。 可。 ce : ネットワーク・インターフェイス 次の 2 つのうち、どちらかを選びます。 local 内側の Ethernet インターフェイスに設定するフィ ルタであることを指定します。 23