第 4 日目: 6 人 1 組で、各組 40 分づつで終了するようにすること。自分の使用するルータを下記の1つ 選ぶ。その設定方法を前もって検討し、自分の組の実験時間になったら 28 号館 108 室に移動して、実験 する。
実験内容
① B フレッツの設定
下図の左側の 1 台のパソコン(WindowsXP)から、PPPoE 対応ルータの WEB サーバにアクセスして設 定を行う。設定画面、設定方法はルータにより異なるので、よく説明書を読んでから実験を行うこと
② 自分のネットワーク内に LINUX の WEB サーバ(ポート 8080)を動作させておく。
外部のホストからこのサーバにアクセスできるように、B フレッツのルータを設定。
③ 28 号館 108 室の他のパソコンから、B フレッツにアクセスし、LINUX の WEB サーバに接続すること を確認する。
28 号館 108 室に B フレッツが 1 回線設置してあるので、それを使って「B フレッツによるネットワーク 接続実験」を行う。使用機器は以下の6種類とする。各機器の説明書は実験のとき配布する。
各機器の説明書をよく読んで実験すること。
使用するルータ 6 種類
1.YAMAHA ルータ RT58i 2.I・O DATA NP-BBRL 3.PCi BRL-04CW 4.BUFFALO BBR-4MG
5.LINKSYS FTTH/ADSL Firewall Router 6. (6台目は実験日まで新たに用意する)
下記の PPPoE 対応ルータが上記の 5 種類のルータである。(NTT のページを利用)
パソコンの 1 台は WEB サーバが動作している LINUX である。もう 1 台のパソコンは WindowsXP が動作して いるパソコンで、ルータの設定に使用する。
設定に使用する 認証 ID 実験のとき教室に板書する([email protected])
認証パスワード 実験のとき教室に板書する LINUX が動作しているパソコンの設定:IP アドレス 192.168.100.181
ネットマスク 255.255.255.0 デフォルト GW 192.168.100.1
各 PPPoE 対応ルータには設定用 WEB サーバが動作している。WindowsXP からその WEB サーバにアクセスし て設定を行う。
LINUX のポート 8080 にアクセス可能にするには、静的 IP マスカレードの設定をする。
参考: 静的IPマスカレード に関する記事(IT Pro Dictionary より)
アドレス変換機能であるNATまたはIPマスカレード(NAPT)を拡張し,アプリケーションが使うポー ト番号と,LAN側の特定のプライベート・アドレスを固定的に対応付けておく機能。多くのルータが搭載 する。
NATやIPマスカレードを利用すると,グローバル・アドレスとプライベート・アドレスとを相互変換 することで,LAN上にある複数のパソコンがインターネットに接続できる。ただし,インターネット側か ら各パソコンのIPアドレスが隠されるため,ビデオ会議システムや対戦型ゲームなどのインターネット側 からLAN 上の各パソコンにアクセスするアプリケーションが利用できないという問題がある。同じ理由 から,公開サーバも設置できない。これを回避する仕組みが静的IPマスカレードである。
例えばWebサーバを公開する場合,HTTPのポート番号80番とLAN側のWebサーバのIPアドレスを 対応付ける。これにより,インターネット側からWebページを閲覧したいという要求を受けると,ルータ は必ずWebサーバに接続する。
付録
1.LINUXのシングルモードでの起動
LINUX を使用していて、ディスプレイの画面の解像度、画面の色などを変更すると、LINUX を再起動し た場合、起動しなくなることがある。これはLINUXのX-WindowSystemの設定が対応しないことに起因する。
その場合は、シングルモードにして設定を戻すことが必要になる。
設定ファイルは /etc/X11/xorg.conf である。ディスプレイの画面の解像度、画面の色などを変更す ると、このファイルが変更される。同時に xorg.conf.backup ができる。このバックアップファイルを元に 戻す。
このときのコピーコマンドは以下である。
# cp xorg.conf.backup xorg.conf シングルモードにする方法
kernel /vmlinux-2.4.9-e.12 ro root=/dev/sda2 を編集して、以下にする。
kernel /vmlinux-2.4.9-e.12 ro root=/dev/sda2 -s
これでもとに戻って、boot すると、シングルモードで実行される。
2.研究課題
「OpenBlocks の thttpd,telnet に外部からアクセスできないか。」について検討した結果である。こ れらには内部からはアクセスできる。実験は未完了である。
LAN 内サーバに WAN からアクセスする場合に使用する DNAT
外部(160.194.176.62)から、LAN 内(160.194.176.61 内のサーバ 192.168.254.254)
にアクセスする場合の図 s: IP パケットの送信元 IP、d: IP パケットの送信先 IP s:160.194.176.62 s:160.194.176.62
d:160.194.176.61① d:192.168.254.254②
s:160.194.176.61④ s:192.168.254.254③ d:160.194.176.62 d:160.194.176.62 上図で、①→②のとき番地の付け替えが発生、
③→④のとき番地の付け替えが発生
③→④は①→②に対する、「一度通過したパケットを覚えておいて、関連するパケット に対してフィルタリングルールを動的に変更する」という機能で対応 -m state -ESTABLISHED
①→②のとき番地の付け替え方法
「あて先アドレスの変換には DNAT 使用」より以下のコマンドを実行する。
iptables –t nat –A PREROUTING -i eth0 -j DNAT --to-destination 192.168.254.254 この場合ポート番号を指定してないの、全部の IP パケットが「192.168.254.254」に送信される。
試行1:以下でsshにアクセスが可能か?
設定 ファイアウォールなし
コマンド1:iptables –t nat –A PREROUTING -i eth0 -j DNAT --to-destination 192.168.254.254
コマンド 2:iptables –t nat –A POSTROUTING -s 192.168.254.0/24 –j MASQUERADE
結果: 不明
160.194.176.61 192.168.254.10 eth0 eth1 ゲートウェイ1
192.168.254.254 eth1 eth0 ゲートウェイ 2
試行2:以下でsshにアクセスが可能か?
設定 ファイアウォールあり
(「ファイアウォールあり」にした後、再起動、SSH 有効 に設定する、SSH のポート番号 22) コマンド1:iptables –t nat –A PREROUTING - i eth0 -j DNAT
--to-destination 192.168.254.254 コマンド 2:iptables –t nat –A POSTROUTING -s 192.168.254.0/24 –j MASQUERADE 結果:不明
試行3:以下でsshにアクセスが可能か?
実験2に、以下のコマンドを付加する。
iptables -A FORWARD -d 192.168.254.254 -j ACCEPT 結果:不明
問題 上記に 3 種類の試行を示したが、各自でいろいろ試してください。
3.応用課題(情報ネットワークに興味ある学生の挑戦を歓迎する)
課題1
(1)ネットワークが以下のようになったとき、すべてのホスト間で ping の通信が行える場合、各ルータ のルーティングテーブルはどのようになるか?
(2)そのルーティングテーブルにするには、各ゲートウェイでどのようなコマンドを実行するか。
課題 2
①IP-PBX という、インターネット上で使用する電話交換機のソフト(サーバ)がある。このサーバは TCP,UDP でポート5060を使う。外部からこの IP-PBX サーバにアクセス可能にするには、コマンド
ゲートウェイ1
192.168.254.10 160.194.176.10
ゲートウェイ 2
192.168.254.20 192.168.253.10
ゲートウェイ 3
192.168.252.10 192.168.253.20
IP-PBX サーバ
192.168.254.10 160.194.176.10
パソコン
ソフトフォン
192.194.176.0 ネット
160.194.176.0 ネット
192.168.253.0 ネット
192.168.252.0 ネット 192.168.254.0
ネット
192.194.254.0 ネット
「iptables –L」でどのようになっている必要があるか。そのためにはどのようなコマンドを実行す るか。
②外部ネットから IP-PBX サーバを介して、192.168.254.0 ネットのソフトフォンを電話をするには、ゲ ートウェイ(IP-PBX サーバ)はポート番号 10000 から 20000 の間の UDP パケットを通過させなければ ならない。そのためにはどのようなコマンドを実行するか。コマンドとは、iptables である、それに どのようなオプションを付けるかが問題である。
課題 3
外部ネットから、http://160.194.176.10/ とアクセスしたとき、ゲートウェイ 2 で動いている httpd(WEB サーバ) が返事をするようにするには、コマンド「iptables –L」でどのようになっている必要があるか。
そのためにはどのようなコマンドを実行するか。コマンドとは、iptables である、それにどのようなオプ ションを付けるかが問題である。
課題4
(1)ネットワークが以下のようになったとき、すべてのホスト間で ping の通信が行える場合、各ルータ のルーティングテーブルはどのようになるか?
(2)そのルーティングテーブルにするには、各ゲートウェイでどのようなコマンドを実行するか。
ゲートウェイ1
192.168.254.10 160.194.176.10
ゲートウェイ 2 WEB サーバ
192.168.254.20 192.168.253.10
ゲートウェイ1
192.168.254.10 160.194.176.10
ゲートウェイ 2
192.168.254.20 192.168.253.10
ゲートウェイ 3
192.168.252.10 192.168.251.20
192.168.251.10 192.194.176.0
ネット
192.168.254.0 ネット
160.194.176.0 ネット
192.168.251.0 ネット
192.168.252.0 ネット 192.168.253.0
192.168.254.0 ネット ネット
課題5
課題4で、192.168.251.0 ネット, 192.168.252.0 ネット、192.168.253.0 ネット, 192.168.254.0 ネッ トから、外部のサーバへのアクセスを可能にするように、ゲートウェイに nat の設定をするコマンドを 書け。
ゲートウェイで「プロトコルは TCP と UDP ポートで、番号 5060」を使うサーバが作動していた場合、
160.194.176.0 ネットのホストからこのサーバにアクセスできるように設定する、iptables のコマンド を書け。
課題6
外部のサイト(理研、NTT など)から emacs(LINUX で広く使用されているエディター)をダウンロー ドしてインストールしなさい。
課題7
ゲートウェイ1で「httpd」サーバを起動し、パソコン 2(192.168.253.10)から IE でアクセスできるよ うに設定しなさい。
課題 8
OpenBlocks で「httpd」サーバを起動し、使用ポート番号を「8080」としなさい。
その Web サーバに WAN 側から IE でアクセスできるように、ネットワーク全体の設定をしなさい。