Microsoft Word - 実験テキスト総論.doc

テーマ 2

プライベート・アドレスを使った

情報ネットワーク構築実験

1. プライベート・アドレスについて

………

49

2. Fedora Core のインストールとゲートウェイとしての設定

……… 50

3. ゲートウェイの設定値，パケット受信状態の確認

……… 62

4. ファイアウォールの構成 ……… 67

5. Fedora Core と OpenBlocks の接続

……… 72

6. 実験装置を最初の状態に戻す処理 ……… 78

7. パケットキャプチャについて

………

79

8. NTTのBフレッツによるネットワーク接続実験

……… 81

１．プライベート・アドレスについて

（アスキーデジタル用語辞典の説明を引用）

プライベート・アドレスとは、常時外部（Internet）への接続が必要ではない組織内部のネットワークアド レスとして自由に利用できるIP アドレス。プライベート・アドレスは RFC1918 で規定されている。 以前は、Internet に接続されるすべてのノードにユニークなIP アドレスを割り当てていたが、Internet が急速に普及するにつれて、このIP アドレスが枯渇する危険性が出てきた。この問題を根本的に解決する ために、32bit の現行の IP バージョン 4 から、アドレスを大幅に増やしたIPv6 (128bit)への移行が進め られている。しかしその一方で、現行で IP バージョン 4 でも、組織内部だけのクローズな環境では、その 組織だけで通用するIP アドレスを利用し、Internet にアクセスする場合だけ本来のユニークなアドレス （こちらはグローバル・アドレスと呼ぶ）を割り当てる方法が一般化している。プライベート・アドレス 空間からグローバル・アドレス空間（Internet）をアクセスできるようにするしくみとしては、Proxy や NAT（Network Address Translator）が利用される。

プライベート・アドレスとしては、以下のものが利用できるとされている。 Class A ×1 ネット 10.0.0.0～10.255.255.255 Class B ×16 ネット 172.16.0.0～172.31.255.255 Class C ×256 ネット 192.168.0.0～192.168.255.255 これらのアドレスについては、Internet 側ではルーティングしないことになっているが、組織外へこのア ドレスを持つパケットを送出することも禁止されている。しかし、このアドレスについては、組織内であ れば、誰に断わることなく自由に割り当てて使うことができる。

一般にプライベート・アドレス空間側を LAN 側、グローバル・アドレス空間（Internet）側を WAN 側と呼 ぶ。実験では LAN 側に Class C の 2 ネット 192.168.253.0～192.168.254.255 を使用する。

授業環境では学内ネット側は WAN 側である。

グローバルアドレス ： Internet に接続されるすべてのノードにユニークなIP アドレスを割り当て たアドレス

プライベートアドレス ： 組織内部だけのクローズな環境では、その組織だけで通用するIP アドレス Proxy や NAT ： プライベートアドレス空間からグローバルアドレス空間（Internet）をアクセス

できるようにするしくみ

LAN 側 ： プライベートアドレス空間側

２．FedoraCore のインストールとゲートウェイとしての設定

注意１：root のパスワードは meisei110 としてインストールすること 注意２：下図の NIC のデバイス名 eth0,eth1 は変更になることもある。 ←WAN 側 LAN 側→ 上図でゲートウェイ１の eth0、eth1、ノートパソコンの eth0 はイーサーカードのデバイス名である。 IP アドレスは eth0 に DHCP サーバから自動的に割り振られる。ホスト名は以下である。 cs-pc500.is.meisei-u.ac.jp ～ cs-pc540.is.meisei-u.ac.jp IP アドレスは ifconfig コマンドを実行して、確認すること。 学内ネット（WAN）と自分のネット（LAN）の間に、LINUX をインストールしたマシーンを置く。ここで はこれを「ゲートウェイ 1」と呼び、そのインストール方法を説明し、インストールの実験をする。 ２．１ ＬＩＮＵＸのインストール作業の準備 ＬＩＮＵＸ（FedoraCore4 または FedoraCore6）のインストールについて インストールの前に以下のことを確認する 設定のとき使用する IP アドレスなどの確認（ゲートウェイ１について） eth0 ＩＰアドレス . eth0 ネットマスク . eth0 and eth1 ゲートウェイ . eth1ＩＰアドレス . eth1 ネットマスク . ＤＮＳのＩＰアドレス１ . ＤＮＳのＩＰアドレス２ . ホスト名 . Linux(FedoraCore) ゲートウェイ 1

ハブ１

（192.168.254.0/24 ネット） ノートパソコン 192.168.254.20:eth0 学内 160.194.179.xx:eth0 (*)192.168.254.10:eth1 学 内 1 回目の実験の主な内容：ファイアウォールなしで行う。 ① FedoraCore のインストール ② 192.168.254.20 から ping でゲートウェイ１、DNS サーバにパケットを送る ③ ゲートウェイ１の eth0,eth1 で到達パケットを観察

Windows の設定から IP アドレスなどの値を探す方法

IP アドレスは WindowsXP に設定されてある値と同じとする。28 号館 105 室では以下で求める。 （１） 電源を入れる。

（２） 「GNU GRUB」の画面が 4 秒間続く間に、任意のキーを一度押す。 （３） LINUX と Windows の選択画面になるので、Windows を起動

(注意)GNU GRUB とは、GNU ライセンスで配布されている、いわゆるブートセレクタです。 複数の OS を切り替えるのに使います。 （自動的にログインする設定になっている。ログインできない学生は教員に申し出ること） Windows 上での作業 １． スタート＞すべてのプログラム＞アクセサリー＞コマンドプロンプト を選択して 「コマンドプロンプト」を起動させる。 以下のコマンドをコマンドプロンプト画面に入力し実行する。 ２．ipconfig と入力すると、IP アドレス、ネットマスク、ゲートウェイが表示される。 ３．nslookup と入力すると、DNS の IP アドレスが 1 個表示される。 あなたのホストの IP アドレスを入力すると、ホスト名 が表示される。 これらの値を LINUX のインストールで使用するので、メモすること。 例 LAN カードの MAC アドレスの確認

①差し込んである外付けの LAN カードを抜いて WindowsXP を起動し、組み込まれている LAN カードの MAC アドレスを調べる コマンドプロンプト画面で、コマンド「ipconfig -all」を実行 以下が実行例である。 ipconfig nslookup IP アドレス検索に失敗 得られたデータ DNS サーバの IP アドレス

② パソコンを終了して、電源を切る。 ③ LAN カードを差し込む。

④ WindowsXP を起動し、差し込んだ LAN カードの MAC アドレスを調べる コマンドプロンプト画面で、コマンド「ipconfig -all」を実行 以下が実行例である。

MAC アドレス

差し込んだ LAN カード の MAC アドレス

LAN カード（NIC）の MAC アドレスの最初の 3 バイト（上位 24 ビット）はネットワーク製品の製造者のコ ードなので、同じ会社の LAN カードなので、すべて「00-0A-79」である。 同じ種類のパソコンに組み込まれた LAN カードは同じメーカと予想できるので、最初の 3 バイトは 「00-1B-FC」である。 この MAC アドレスを以下に書き込むこと。 パソコン内臓 LAN カードの MAC アドレス - - - 外付け LAN カードの MAC アドレス - - - ２．２ インストールディスクの作成 Fedora（フィドーラ、フェドーラ、フェドラ）はRPM系Linux ディストリビューションのひとつ。Fedora は「中折れ帽」を意味する。リリース 6 までは Fedora Core と呼ばれていた。最新バージョンは Fedora 10, Fedora 11(alpha) である。

（参考）レッドハットのダウンロードミラーサイトからファイルをダウンロードする。Fedora Core 6 の場合は CD なら FC-6-i386-discx.iso の 5 枚、DVD なら FC-6-i386-DVD.iso の 1 枚のファイルをダウンロードする。例え ば下記（理研、KDDI のサイト）に置かれている。

Fedora Core 1 のサイト ①ftp://ftp.riken.go.jp/pub/Linux/fedora/core/6/i386/iso/ ②http://ftp.kddilabs.jp/Linux/packages/fedora/core/6/i386/iso/

MD5SUM でダウンロードしたファイルが正しいかを確認する。md5sum.exe など持っていない場合にはmd5 exe for Windows NT x86かmd5sum.exeを iso イメージと同じフォルダにダウンロードする。コマンドプロンプトを開いて iso イメージを保存したディレクトリに移動して 「md5sum -b -v -c MD5SUM」 を実行して、 ok が iso ファ イルの数だけ出れば正しくダウンロード出来ている。

D:\pub\linux\FedoraCore6-iso>md5sum -b -v -c MD5SUM （または md5sum.x86_exe -b -v -c MD5SUM）

（iso ファイルは 700M バイト程度である。md5sum.exe でダウンロードが正しいか、確認する。）

ＣＤ－Ｒで iso ファイルからインストール用ＣＤを作る方法

Nero 6 (OEM Edition)で「ディスクイメージまたは既存のプロジェクト」で実行する。 「ファイルの種類」を「Image Files(*.nrg,*.iso,*.cue)」でインストール用ＣＤを作れる。 この作成した CD を使って LINUX をインストールする。

FC-6-i386-disc1.iso は１つのファイルで 709M バイトである。これからインストール用ＣＤを つくると、以下のようなファイル構成のデータが作られる。

２．３ インストール（FedoraCore6 の場合）

28 号館 105 室には EPSON のノートパソコン Endevor NJ1000 が具備されている。これに FedoraCore6 をインストールする。以下にその手順を説明する。 バイオスの設定 ＣＤ－ＲＯＭが第１のブートデバイスになっていることを確認 電源を入れて、直ぐ直後にＦ２キー（Delete キーの機種もある）を押し、バイオス画面にする。 ここで、FirstBootDevice を CD-ROM に変更する。 このノートパソコンは WindowsXP と LINUX の一方を選択して起動させる方法で使用する。 WindowsXP で スタート/設定/コントロールパネル を選んで、「コントロールパネル」を出す。 コントロールパネルから 管理ツール/コンピュータの管理 を選んで、「コンピュータの管理」ウィン ドウを出す。ここで「ディスクの管理」を選ぶと、以下のようなディスクのパーティションの状態が表 示される。 「ボリューム」の 5 番目が C ドライブ 20.03GB、6 番目は禁止領域 1.95GB を表す。 この２つのファイル形式は NTFS である。 1 番目から 4 番目は既にインストールしてある LINUX のためのパーティションである。 ルート（/）用 4.88GB、/usr 用 4.88GB、/home 用 2.93GB、swap 用 643MB である。 ここに、重ねてインストールする。古いインストールデータは削除される。

UNIX でマウントする場所→

ＣＤ－ＲＯＭを入れて、起動する。

①（CD-ROM 挿入）一度電源を入れて FedoraCore1 の CD-ROM を挿入する。 ② リブート する。 ③ バイオスの設定にしたがい、CD-ROM からインストールするか問い合わせがある。 「boot: _ 」と表示されるので、「Enter」キーを押す。 ここで CD-ROM からインストールが開始する。 以下で、設定の画面の名前と、設定値の表を示す。 設定画面の名前 設定値 CD Found CD-ROM のテストが行えるが、これはスキップ、 「Skip」選択

「ｆedora ｆ」、 「左下 Release Note」画面 「next」選択

Language Selection 画面 「Japanese（日本語）」選択 キーボード設定 「日本語」選択

インストールとアップグレードの選択 「インストール（１）FedoraCore」選択 レイアウトの種類（上下矢印で選択） 「カスタムレイアウトを作成」選択 ディスクの設定＊ 下記参照

ブートローダの設定 デフォルトでラベル「FedoraCora」にチェックを入れ る。ラベル「Other」は「WindowsXP」に変更 ネットワークの設定 デフォルトの設定 タイムゾーンの選択 省略 Root パスワード 「meisei110」を挿入 パッケージの選択画面 「今すぐカスタマイズする」を選択 「オフィスとプロダクティビティ」の✔を削除 インストールで選択する項目 ＊ 「ディスクの設定」でのディスクのパーティション設定では パーティションを以下のように切って、設定する。（マウントポイントとサイズ） / 5G、 /usr 5G、 /home 3G swap 640Mbyte(swap 領域はメモリと同じサイズから２倍のサイズを指定) ＊ パッケージの選択画面で、初期値で「オフィスとプロダクティビティ」に入っているが それを削除インストールのとき、利用するパッケージ群（空欄の設定は各自自由に選択してよい） を次ページの表で示す。 （注）パッケージ選択画面の最後に「最小」がある。これに「チェック入」すると、最小構成のパッケー ジとなる。この場合、ユーザインタフェースはキャラクタユーザインタフェース (character user 分類 項目 チェック入／削除 デスクトップ環境 GNOMEデスクトップ環境 デフォルト デスクトップ環境 KDE デフォルト アップリケーション エディタ チェック入 アップリケーション 技術系と科学系 デフォルト アップリケーション グラフィカルインターネット デフォルト アップリケーション テキストベースのインターネットチェック削除 アップリケーション Office/生産性 チェック削除 アップリケーション サウンドとビデオ チェック削除 アップリケーション 著作と発行 デフォルト アップリケーション グラフィックス チェック削除 アップリケーション ゲームと娯楽 チェック削除 開発 開発ツール チェック入 開発 Xソフトウエア開発 開発 GNOMEソフトウエア開発 開発 KDEソフトウエア開発 開発 レガシーソフトウエアの開発 サーバ サーバ設定ツール 　 サーバ Webサーバ チェック入 サーバ メールサーバ 　 サーバ Windowsサーバ 　 サーバ DNSサーバ チェック入 サーバ FTPサーバ チェック入 サーバ PostgresSQLサーバ 　 サーバ MySQLサーバ 　 サーバ ニュースサーバ 　 サーバ ネットワークサーバ 　 サーバ レガシーなネットワークサーバ 　 サーバ 印刷サポート チェック削除 ベースシステム 管理ツール チェック入 ベースシステム システムツール 　 ベースシステム X Window System デフォルト

interface)、または キャラクタベーストユーザインタフェース (character-based user interface)、 または コマンドラインユーザインタフェース (command line user interface)、略称 CUI（シーユーア イ、クイ、クーイ）と呼ばれる状態になる。これはキーボードを用いて入力を行い、文字によって出力を 行うユーザインタフェース。コマンドラインインタフェース、コンソールなどとも呼ばれる。グラフィカ ルユーザインタフェース (GUI) と対比して語られることが多い。

問題 （１） LINUX（Fedora Core）で GUI から CUI に変更する方法を調べなさい。 （２） （１）の後で、再度 CUI から GUI に変更する方法を調べなさい。 ２．５ ファイアウォールについて ファイアウォールの IT 辞典による記述を以下に示す。 ファイアウォール（防火壁）とは、ある特定のコンピュータネットワークとその外部との通信を制御し、 内部のコンピュータネットワークの安全を維持することを目的としたソフトウエア、あるいはそのソフト ウエアを搭載したハードウエアである。英語で防火壁と表現するのは、外部から内部のコンピュータネッ トワークへ侵入しようとするクラッキング行為を、火事に喩えたものである。 フリー百科事典『ウィキペディア（Wikipedia）』より FedoraCore をインストールするとき、「ファイアウォールの設定」では、ファイアウォールの有無、 SELinux のアクティブ化/無効 の選択がある。 ファイアウォールは、「信頼できるネットワーク」と「信頼できないネットワーク」の 2 つのネットワ ーク間のアクセスを制御するために使われる。具体的には、社内ネットワーク（「信頼できるネットワー ク」）とインターネット（「信頼できないネットワーク」）の間で出入りするパケットを監視し、決めら れたルールをもとに通したり破棄したりする。このルールは、ネットワークをどのように運用したいかと いう、ユーザのポリシー（ルール）を反映させたものだ。 「パケットフィルタリング型」と「アプリケーションゲートウェイ型」ファイアウォール 「パケットフィルタリング型」ファイアウォールは、送信元や送信先の IP アドレス、ポート番号などに よって通信データを通過させるかどうかを判断し、不正アクセスを防ぐことができる。OSI 基本参照モデ ルでいうとネットワーク層、トランスポート層で動作するファイアウォールである。 「アプリケーションゲートウェイ型」ファイアウォールは、通信を中継するプロキシサーバを利用し、 社内ネットワークとインターネットの間で直接通信をできないようにする方式。つまり、アプリケーショ ン層のファイアウォールということになる。 ネットワーク上を流れるデータは、「パケット」と呼ばれる単位に分割され送信される。パケット(IP パケット)には、 1. 送信元の IP アドレス 2. 送信元のポート 3. 送信先の IP アドレス 4. 送信先のポート の 4 つの情報が含まれている。「パケットフィルタリング型」は、これらの情報を基に、どこから送られ てきたものかを判断し、それが設定されている IP アドレスかどうか、アプリケーションかどうかを判断し、 通過させるかどうかを判断する。これにより、特定のデータだけを通すことができる。外部から流れてく る 不 要 な デ ー タ を 遮 断 し た り 、 内 部 か ら の デ ー タ の 漏 え い を 防 ぐ こ と が で き る 。 （http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin02.htmlより引用） GUI ：ユーザに対する情報の表示にグラフィックを多用し、大半の基礎的な操作をマウスな どのポインティングデバイスによって行なうことができるユーザインターフェースのこと。 CUI ：キーボードを用いて入力を行い、文字によって出力を行うユーザインタフェース

SELinux とは（http://www.selinux.gr.jp/documents/FC3-SELinuxmemo.htmlより）

FedoraCore3 になり，SELinux がデフォルト有効になった。SELinux とは，NSAを中心として開発された， Linux カーネルのアクセス制御（簡単に言うとパーミッションチェック）を強化したものである。これは 「どのプロセス・ユーザがどんなファイル・リソースにアクセスできるか」というアクセス制御を行うだ けである。 アクセス制御は，セキュリティの基本である。しかし従来の Linux では，このアクセス制御をきちんと 行うための仕組みが十分に整っていませんでした。 従来の user,group, others によるパーミッションチェックでは，不必要なアクセスを許す。 例えば，「others」のパーミッションは，全てのユーザがアクセスできてしまうので， 関係のないアクセスを許す。さらに，root 権限という絶対の権限があり，root への昇格の方法は沢山知ら れている。 このようなアクセス制御機能の不備のため，攻撃者（ハッカー，ウィルス，ワーム等）が侵入すると， root 権限のような大きな権限が簡単に奪取され，結果，侵入による被害が甚大なものになる。それに対し て，SELinux では，「どのプロセス・ユーザがどんなファイルにアクセスできるか」という「プロセス・ ユーザのアクセス権限」を厳格に管理することができる。 SELinux の登場により，「アクセス制御をきちんと行う」という，セキュリティの基本を実行できるよ うになった。 ２．６ インストール終了後の IP アドレス設定処理 インストール終了すると、「再起動のプロンプト」がでて、それを選んで再起動する。 以下が再起動した時の設定値である。 再起動後の設定値 設定画面の名前 設定値 ようこそ 次へ ライセンス同意 「Yes,…」で、次へ ファイアウォール SELinux ファイアウォール「無効」を選択 デフォルト 月日時刻設定 現在の月日、時刻に設定 システムユーザ ログイン名 meisei1、パスワード meisei1 を入力 サウンドカード 次へ セットアップ終了 次へ SELinux：「どのプロセス・ユーザがどんなファイルにアクセスできるか」という「プロセス・ ユーザのアクセス権限」を厳格に管理することができるソフトウエア ファイアウォール：ある特定のコンピュータネットワークとその外部との通信を制御し、内部 のコンピュータネットワークの安全を維持することを目的としたソフトウェア、あるいはその ソフトウェアを搭載したハードウェアである 信頼できるネットワーク： 社内ネットワーク 信頼できるないネットワーク： インターネット パケットフィルタリング型ファイアウォール：送信元や送信先の IP アドレス、ポート番号な どによって通信データを通過させるかどうかを判断する アプリケーションゲートウェイ型ファイアウォール：通信を中継するプロキシサーバを利用 し、社内ネットワークとインターネットの間で直接通信をできないようにする方式

インストール終了後に IP アドレスを設定する イーサーカードについて（28 号館 105 室の場合）

コンピュータ裏面に以下の１つのイーサーケーブル差込口（内臓 LAN の口）がある。側面に外付け LAN カ ードのケーブル差込口がある。

内臓 LAN 外付け LAN カード

製品名 Real… RTL-8139/8139C/8139C+ Real ….RTL-8169 Gigabit Ethernet 接続先 学内ネット プライベートネット

イーサー名 eth0 eth1

eth0 と eth1 の MAC アドレスを正しく設定するためには インストールのときは、外付け LAN カードは付けないで行う。 インストール後に、電源を切って後外付け LAN カードを装着する。

こうすることで、内蔵 LAN カードはデバイス eth0、外付け LAN カードはデバイス eth1 になる。 設定の確認は、以下のコマンドで行う。 「ifconfig -a」 教室内プライベート・アドレス(eth1) IP 192.168.254.10 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 160.194.176.1 DNS サーバ 1 の IP 160.194.200.16 DNS サーバ 2 の IP 160.194.200.17 設定後の IP 設定方法（root でログインして処理する。） デスクトップ＞システム設定＞ネットワーク を選択 「ネットワーク設定」ウィンドウの「デバイス」タブ選択 ここで以下のような、各デバイスのデータが並ぶ。（例） プロファイル 状態 デバイス ニックネーム タイプ

レ 起動中 eth0 Eth0 Ethernet □ 休止中 eth1 Eth1 Ethernet

休止中のデバイスは、右上の「起動」ボタンをクリックして起動させる。 ここで、2 つのデバイスを順に選び、メニューから「編集」を選択する。 ここで「イーサーネットデバイス画面」になるので、「固定の IP アドレス設定」を選択する。 ここで、各デバイスの IP アドレス、サブネットマスク、デフォルトゲートウェイ を設定する。 イーサーネットのハードウエア名の確認(28 号館 105 室で実験を行う場合) デスクトップ＞システム設定＞ネットワーク を選択 「ネットワーク設定」ウィンドウの「ハードウエア」タブ選択 ハードウエア名の先頭文字と、デバイス名の対応を確認する。 (注意)デバイスに対する MAC アドレスを変更すると、ハードウエア名は変更にならないので注意。 記述(ハードウエア名) タイプ デバイス 状態 Real… RTL-8139/8139C/8139C+ Ethernet eth0 Ok Real ….RTL-8169 Gigabit Ethernet Ethernet eth1 Ok

ホスト名、DNS サーバ IP の設定 デスクトップ＞システム設定＞ネットワーク を選択 「ネットワーク設定」ウィンドウの「DNS(N)」タブ選択 ここで、ホスト名、DNS サーバ IP の設定を行う。 イーサーネットが「休止中」なら、右上の起動ボタンを押し、起動させる。 このイーサーカード 2 枚を持つコンピュータをゲートウェイ１と呼ぶ。 ５章で、もう 1 台のゲートウェイを動作させる。これはゲートウェイ２と呼ぶ。 下図が「ネットワーク設定」のウィンドウである。 上図の「編集」ボタンを押すと、下図の「イーサーネットデバイス」ウィンドウは現れる。 (28 号館 105 室のときは 「自動的に IP アドレスを取得」、枠内 dhcp を選択する) 28 号館 105 室の機器の IP アドレス DHCP で与えられるので、上図で「自動的に IP アドレスを取得」ボタンを選択する。その右の選択項目 は「dhcp」とする。すると自動的に IP アドレスを DHCP サーバから取得する。

２．６ 28 号館 105 室の場合の起動方法

起動してしばらくすると、以下の LINUX の起動画面が開始することを警告する画面になる。 「Booting Fedora Core ( ここに FedoraCore バージョン番号 ) in x seconds」 「x」は４から始まり順次減少して、「０」になると FedoraCora が起動する。 WindowsXP を起動させるときは、「０」になる前に「Enter」キーを押すと、 WindowsXP と FedoraCore の選択画面になる。 ここで使用する OS を選ぶ。ここでは「FedoraCore」を選択する。 28 号館 108 室で実験をする場合は、FedoraCore が自動的に起動する。 ２．７ ノートパソコン（Windows）の IP アドレス設定 この段階で、新たにノートパソコンを 1 台使う。これはゲートウェイ１と試験的な通信を行うときに使 用するノートパソコンである。 ①Administrator でログイン ②ノートパソコンの LAN をハブに接続する。 IP アドレスを以下で接続 IP 192.168.254.20 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.254.10 IP 設定方法 ①スタート＞設定＞コントロールパネル を選択 ②ネットワーク接続（または ネットワークとダイアルアップ接続）をダブルクリック ③「ローカルエリア接続」を右クリックして出るポップアップメニューから 「プロパティ」を選択 ④「ローカルエリア接続のプロパティ」ウィンドウで「インターネットプロトコル(TCP/IP)」 を選択し、「プロパティ」タブをクリック。ここで、IP アドレスなどを記入する。DNS は記入しない 右クリックでプロパティ選択 ここをクリック プロパティ選択 記入しない

２． ８ ノートパソコンから ping による接続の確認 ここでは SSH と TeraTermPro を使うので、その説明を行う。 ① SSH について 主に UNIX コンピュータで利用される、ネットワークを介して別のコンピュータにログインし たり、遠隔地のマシーンでコマンドを実行したり、他のマシーンへファイルを移動したりするためプ ログラム。ネットワーク上を流れるデータは暗号化されるため、インターネット経由でも一連の 操作を安全に行うことができる。 http://e-words.jp/w/ssh.html より引用 ② TeraTermPro とそのインストール

Tera Term (Pro) は MS-Windows 用のフリーソフトウエアのターミナルエミュレーター(通信 ソフト)である。VT100 エミュレーション, telnet 接続, シリアルポート接続(パソコン通信) に 対応している。http://hp.vector.co.jp/authors/VA002416/ttermp23.zip に置かれている。 教師がこのデータを持っているので、ノートパソコンにインストールすること。 ノートパソコン（192.168.254.20）でコマンドプロンプトを起動し、以下のコマンドを入力 ① ipconfig これで、自分の IP アドレスなどの値を確認 ② ping 192.168.254.10 これで、LINUX マシーンの eth1 との接続を確認（正しく動く） ③ ping 160.194.176.XX (XX は各 LINUX マシーン固有の値) これで、LINUX マシーンの eth0 との接続確認のコマンド（正しく動く） ④ ping 160.194.200.16 これは DNS サーバとの接続確認のコマンド（ping の応答はない） ⑤ ネットワーク内（192.168.254.20）から、LINUX へ SSH でアクセスできる 確認(以下のコマンドで行う) ゲートウェイ１（この LINUX マシーン）で以下のコマンドでプロセス動作中を確認する。 ps ax | grep ssh 192.168.254.20 のマシーンから、コマンドプロンプトを起動して、以下を入力。 (a) 192.168.254.20 が LINUX マシーンの場合 ssh 192.168.254.10 -l meisei1 この後、パスワード(meisei1)を入力 (b) 192.168.254.20 が WindowsXP の場合

UTF-8 TeraTerm Pro をインストールして、それでｓｓｈでログインする。 上記④の解決法：DNS サーバとの接続できるようにルーティングの設定 現在 LINUX マシーンはパケットフィルターなどの設定を行っていないのが、２．８．④ の状態にな る理由である。この解決法は４．２で記す。プライベート・アドレスのパケットは学内ネットに出せない ので、IP マスカレードでアドレス変換することが必要となる。IP フォワ－ディングと IP マスカレードの 設定については 4 章で述べる。 通過するパケットの観察を行うツール tcpdump については 3 章 3 節を参考にすること。

３．ゲートウェイの設定値、パケット受信状態の確認

2 章でインストールしたゲートウェイの設定値の確認を行う。 ３．１ ifconfig による設定値の確認

（http://www.atmarkit.co.jp/fnetwork/netcom/ifconfig/ifconfig.htmlより引用）

ifconfig コマンドは、おもに UNIX 系 OS や Linux で使用されるネットワーク環境の状態確認／設定のた めのコマンドだ。ホストに設置された NIC（ネットワーク・インターフェース）に対し、IP アドレスやサ ブネットマスク、ブロードキャストアドレス、そのほかの基本的な設定を行うとともに、現在の設定の確 認もできる。ここでは設定値の確認に使用する。 すべての設置済みのインターフェースの確認には「-a」オプションを用いる。以下が例である。 下記の(1)から(14)は、説明のためにつけた番号である。 [root@host1 ~]# ifconfig -a

eth0 Link encap:Ethernet(1) HWaddr 00:80:90:44:08:11(2)

inet addr:192.168.1.11(3) Bcast:192.168.1.255(4) Mask:255.255.255.0(5) UP(6) BROADCAST(7) RUNNING(8) MULTICAST(9) MTU:1500(10) Metric:1(11) RX packets:583312 errors:0 dropped:0 overruns:0 frame:0 <--+--(12) TX packets:28344 errors:0 dropped:0 overruns:0 carrier:0 | collisions:0 txqueuelen:100 <--+ Interrupt:3(13) Base address:0x100(14)

eth1 Link encap:Ethernet HWaddr 00:80:00:48:AA:88 BROADCAST MULTICAST MTU:1500 Metric:1

RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100

Interrupt:5 Base address:0x120 lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:3924 Metric:1

RX packets:16 errors:0 dropped:0 overruns:0 frame:0 TX packets:16 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 ここでは、3 つのインターフェースの結果が表示されている。「eth0」「eth1」「lo」がそれだ。eth0 と lo は正常に稼動し、eth1 は起動されていない。それぞれは「インターフェース名」と呼ばれ、設定時 に指定するための名称である。対応するネットワーク・ドライバが正常にロードされていれば、OS が自動 的に認識してくれる。eth の後に続く「0」「1」の番号は認識した順に割り振られる。また eth はイーサ ーネットの場合の例で、PPP 接続などの場合は「ppp」となる。これらの先頭文字列も、OS や環境しだいで は別の名称に変更されている場合がある。 2 回目の実験の主な内容： ⑤よりファイアウォールありで行う。 ① ifconfig による設定値の確認 ② ルーティングテーブルの確認と理解 ③ 教員が学生の設定状態を観察できる環境構築 ④ IP フォアワーディングの設定 ⑤ 「ファイアウォールあり」にして、iptables コマンドで設定値確認 ⑥ iptables の解説

lo は「ローカルループバック」と呼ばれる特別な仮想インターフェースだ。ホスト自身を示しており、 OS のプロトコルスタックが必ず提供することになっている。従って、まったく NIC を設置していない場合 でも、この lo だけは存在する。そうした初期状態であっても、仮想的にネットワークのテストなどに使え るように用意されているのだ。また、対応する IP アドレスは必ず 127.0.0.1 が割り当てられる。当然、こ の IP アドレスを用いて外部と通信することはできない。 以下は eth0 での、実際の表示内容(1)から(14)までの説明である。なお、表示されない項目は設定自体 がなされていないということを意味する。例えば IP アドレスが表示されていなければ、IP アドレスの設 定が何らかの問題で失敗しているということになる。 (1) リンクメディアの種類 接続されているネットワークメディアの種類だ。ほとんどの場合、「Ethernet」と表示されるだろう。 ほかに「Token Ring」などの種類もある。ローカルループバックでは、その旨の内容が表示される。 (2) MAC アドレス 物理アドレスとも呼ばれる、NIC 固有の番号だ。通常、NIC に対して出荷時に設定がなされており、変更 することはできない。 (3) IP アドレス ホストの IP アドレス。後述する方法で静的に独自の IP アドレスが設定されているか、DHCP 機能によっ て割り振られた IP アドレスが表示されているはずだ。 (4) ブロードキャストアドレス ブロードキャストのためのアドレスだ。サブネットマスクとは別に、ブロードキャストアドレスを設定 することもできる。 (5) サブネットマスク ホストが使用するサブネットマスク。DHCP 機能により、自動的に設定されている場合もある。 (6) インターフェースの起動状態 インターフェースは正しい設定とともに、起動状態でないと動作することはない。 「UP」は現在正常に 稼働していることを示す。 (7) ブロードキャストの使用 ブロードキャストが利用できるときに表示される。ほとんどの場合は有効となっているはずだ。 (8) インターフェース準備の状態 ニュアンスは似ているが、起動／停止とは異なる。「RUNNING」はドライバが正 常にロードされメモリ へのリソース割り当てが行われている状態を示す。起動前であれば起動準備が整っていると捉えられる。 (9) マルチキャストの有効／無効 マルチキャストと呼ばれる一対多の通信モードが有効になっているかどうかを示す。 (10) MTU（Maximum Transfer Unit）サイズ

このインターフェースでの MTU を示す。単位はバイト。 (11) メトリック このインターフェースにおけるメトリック値を示す。メトリックは、ルーティングする IP バケットの TTL（Time To Live）値を減算するためのホップ数を反映する基礎値だ。通常は 1 となる。 (12) インターフェースの統計値 このブロックはインターフェースにおける現在までの統計値を示す。「RX」は受信パケット、「TX」は 送信パケットである。順に送受信パケット数、エラーパケット数、破棄パケット数、オーバーランパケッ ト（処理が間に合わなかったパケット）数などを示す。また、「collisions」はイーサーネットレベルで の衝突検知回数を、「txqueuelen」はパケットの送信キューのサイズを示している。 (13) インターフェースが使用する割り込み番号 (14) インターフェースドライバの I/O 開始アドレス ここで ifconfig コマンドを実行して、IP アドレス、その他の設定値を確認する。 ローカルループバック：TCP/IP ネットワークでは、自ホストを表すための「ローカル・ループ バック・アドレス」という特別な IP アドレス(127.0.0.1 または localhost)が利用される。

３．２ ルーティングテーブル（経路制御表）、DNS サーバ設定値の確認 「netstat –nr」または「route」コマンドでルーティングテーブルを調査 「netstat –nr」または「route」コマンドを実行する。結果の経路制御テーブルから問題点を考察する。 必要なときは、route コマンドで経路制御テーブルにデータ追加またはデータ削除する。 コマンド実行の状態 # netstat -nr

Kernel IP routing table

Destination Gateway Genmask Flags MSS Window irtt Iface 192.168.254.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 160.194.176.0 0.0.0.0 255.255.252.0 U 0 0 0 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 160.194.176.1 0.0.0.0 UG 0 0 0 eth1 # route

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.254.0 * 255.255.255.0 U 0 0 0 eth0 160.194.176.0 * 255.255.252.0 U 0 0 0 eth1 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 160.194.176.1 0.0.0.0 UG 1 0 0 eth1 route コマンド実行結果の各行の意味は以下である。 route コマンド結果の 2 行目：192.168.254.0 ネットのパケットは eth0 から転送される。 Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.254.0 * 255.255.255.0 U 0 0 0 eth0 route コマンド結果の 3 行目：160.194.176.0 ネットのパケットは eth1 から転送される。 Destination Gateway Genmask Flags Metric Ref Use Iface 160.194.176.0 * 255.255.252.0 U 0 0 0 eth1 route コマンド結果の 4 行目：ループバックのパケットは lo から転送される。 Destination Gateway Genmask Flags Metric Ref Use Iface 127.0.0.0 * 255.0.0.0 U 0 0 0 lo

route コマンド結果の 5 行目：その他のパケットは次のデータリンク層の目的地を 160.194.176.1 として eth1 から転送される。

Destination Gateway Genmask Flags Metric Ref Use Iface default 160.194.176.1 0.0.0.0 UG 1 0 0 eth1

DNS サーバの設定値は/etc/resolv.conf に保存されている。/etc/resolv.conf を表示する。または nslookup コマンドを実行して、1 個の IP アドレスの検索を行い最初に表示される Server 名、IP アドレス が DNS サーバである。これらで確認する。

ルーチングテーブル： TCP/IP ネットワークでパケットを送ろうとするとき、ルーティングテ ーブルを参照してパケットを送付すべき相手を判断する。

３．３ パケット受信状態の確認

ノートパソコン 192.168.254.20 から、ゲートウェイ 1 に ping コマンド でパケットを送る。 そのパケットをゲートウェイ 1 の eth0、eth1 で観察する。これを tcpdump コマンドで行う。tcpdump コマ ンドの使用法については 6 章で詳しく述べた。

①eth0 のパケットを観察するコマンド tcpdump -i eth0

②eth0 の目的ポート 80 のパケットを観察するコマンド tcpdump -i eth0 port 80

③eth1 の目的ポート 80 のパケットを観察するコマンド tcpdump -i eth1 port 80

３．４ 教師が学生の設定値を確認する環境の構築 （１）ゲートウェイ１をＷＷＷサーバとして動作させるには以下の処理を行う。 ゲートウェイ１で「デスクトップ＞システム設定＞サーバ設定＞サービス」 を選択する。 ここで「サービスの設定」ウィンドウが表示されるので、左側の窓の httpd に「✔」を入れる。 上段の「開始」ボタンを押す。「ファイル＞変更の保存」を実行して終了する。 （２）全マシーンに情報提供用ページは以下の手順で作成する。

LINUX マシーンで、ターミナル（xterm, or gnome-term）から以下のコマンドを実行 全員のゲートウェイ１に以下のファイルを置く。

① /var/www/html に次のファイルを置く。「head.html」、「tail.html」 head.html の内容

<html> <head>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html;charset=SHIFT_JIS"> <TITLE> プロジェクト実習設定値検査 </TITLE> </head> <hr> <BODY> <pre> tail.html の内容 </pre> <br> </BODY> </html> ② 次の route コマンドを実行する。 route > route.dt ③ つぎの mkfl を実行する。 ./mkfl 「mkfl」の内容 これは、設定値の情報を全部 data1 というファイルに保存する。その内容の前後に head.html、tail.html を置いたファイルを /var/www/html/index.html として作る。 以下がそのプログラムである。 #/bin/sh

echo iptables -L >data1 iptables -L >> data1

echo iptables -t nat -L >> data1 iptables -t nat -L >> data1 echo route >>data1

cat route.dt >> data1

echo /proc/sys/net/ipv4/ip_forward >> data1 cat /proc/sys/net/ipv4/ip_forward >> data1 cp data1 /var/www/html/data1

cat /var/www/html/head.html

/var/www/html/data1 /var/www/html/tail.html > /var/www.html/index.html 教師は、全学生の/var/www/html/index.html を表示するＷＷＷページを作成して、学生の設定 状態を観察する。

４．ファイアウォールの構成

ゲートウェイ１の X-Window により「セキュリティレベルの設定」を選ぶと、「セキュリティレベルの 設定」画面が現れる。そこで以下の選択ができる。 ①ファイアウォールを有効/無効にする ②SELinux を有効/無効にする ③信頼できるサービスの選択 ④信頼できるデバイスの選択 ⑤ファイアウォールを通過できるパケットのポート番号 ファイアウォールを有効にした後で、iptables コマンドを実行すると、設定値を表示する。 下図は「セキュリティレベルの設定」のウィンドウである。 ４．１ IP フォワ－ディングについて

eth0 から eth1 を通ってインターネットに接続可能にするには、IPForwarding が機能することが必要で ある。FedoraCore4, CentOS-4 ではデフォルトで IPForwarding の機能が無効になっている。これを有効 にするには以下のコマンドを実行する。 ①/etc/sysctl.conf を編集して、次の行を加える。 net.ipv4.ip_forward = 1 この変更を有効にするコマンド ②sysctl -p これを実行すると、/proc/sys/net/ipv4/ip_forward の値が「１」になる。これで IPForwarding の機能 が有効になる。 （注意）/proc フォルダにいて /proc はもともと、（「/proc」という名前が表しているように）「プロセスファイルシステム」として商 用 OS で導入されました。/proc の目的は、プロセスとのインタラクションをファイルという一貫したイン ターフェースで実現することでした。よく知られているように、UNIX のプロセスがシステムに対して行う 操作はファイルという概念をベースに抽象化されている。

/proc のうち、/proc/sys 配下のパラメータについてはsysctl(8)インターフェースからもアクセスできる。 sysctl は、システムのチューニングパラメータを操作するためのインターフェースである。

４．２ チェインとテーブル iptables ではパケットが通過するコンピュータ（ルータ）内の経路上に５つのチェイン （INPUT,FORWARD,OUTPUT,PREROUTING,POSTROUTING）がある。これらがパケット監視ポイント である。以下の図がパケットの流れと、監視ポイントの関係を表している。 ファイアウォールを有効にすると、3 つのテーブルに対してルールが設定できる。 ① filter テーブル パケットフィルターに使用する

INPUT チェイン、FORWARD チェイン、OUTPUT チェインにルールを設定する。 ② nat テーブル

IP アドレスを変換するとき使用するテーブルである。IP マスカレードなどの設定に利用 PREROUTING チェイン、OUTPUT チェイン、POSTROUTING チェインにルールを設定する。 ③ mangle テーブル

特定のパケットを変換する場合に利用する

PREROUTING チェイン、OUTPUT チェイン、POSTROUTING チェインにルールを設定する。 デフォルトのルール

各パケットはチェインを通過するとき、そのチェインのルール群で順次処理される。 その処理リストの全部にマッチしないパケットはデフォルトのルールが適用される。 例： iptables -P INPUT DROP

上記では INPUT チェインのデフォルトのルール（ポリシー）はパケットを廃棄すること ①filter テーブルにルールを追加(-A)する iptables コマンドの基本的な書式は以下である。

filter テーブルの設定値を表示させるコマンドは以下である。 iptables -L ②nat テーブルにルールを追加する iptables コマンドの基本的な書式は以下である。 iptables -t nat -A チェイン名 ……ここに設定条件を記述…… -j 処理方法 nat テーブルの設定値を表示させるコマンドは以下である。 iptables -t nat -L

FedoraCore４で「ファイアウォールを有効」にすると、RH-Firewall-1-INPUT チェインにルールが設定 される。それが INPUT チェイン、FORWARD チェインに設定される。下記がその例である。

ｆilter テーブルの検査結果（コマンド iptables -L）

Chain FORWARD (policy ACCEPT) ←FORWARD チェイン target prot opt source destination

RH-Firewall-1-INPUT all -- anywhere anywhere ←RH-Fireall-1 チェインを実行 Chain INPUT (policy ACCEPT) ←INPUT チェイン

target prot opt source destination

RH-Firewall-1-INPUT all -- anywhere anywhere ←RH-Fireall-1 チェインを実行 Chain OUTPUT (policy ACCEPT) ←OUTPUT チェイン

target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references) ←RH-Fireall-1...チェイン target prot opt source destination

ACCEPT all -- anywhere anywhere

ACCEPT icmp -- anywhere anywhere icmp any （注）icmp を受ける

ACCEPT ipv6-crypt-- anywhere anywhere ACCEPT ipv6-auth-- anywhere anywhere

ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353 ACCEPT udp -- anywhere anywhere udp dpt:ipp

ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED （注）TCP の返事の信号を受ける

ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh （注）ssh を受ける

REJECT all -- anywhere anywhere reject-with icmp-host-prohibited （注）拒否された ICMP パケットの応答としてエラーパケットを返す iptables では一度通過したパケットを覚えていて、それに関連するパケットへのフィルタリングルール を設定できる。例えば、クライアントが DNS サーバに名前解決要求パケット（送信元ポート 53）を送信し た後、サーバから戻ってくる応答パケットを通すということ。以下がそのとき iptables コマンドで使うオプションである。 ①最初の接続要求パケットに対する応答パケットなど直接関係するパケット -m state -ESTABLISHED ②FTP のデータ転送のための通信や、既存の通信に対するエラーなど、 既存の通信パケットと関連のあるパケット -m state -RELATED 例 FORWARD チェインに上記①，②のパケットを通すルールを追加するコマンド iptables -A FORWARD -m state

--state

ESTABLISHED,RELATED -j ACCEPT

(注) --state は先頭に「-」が 2 個並んでいる。 応答パケットと関連あるパケット

IP マスカレード機能

POSTROUTING チェインで、IP マスカレード機能を実現する。コマンドラインからは以下のように Nat テーブルの POSTROUTING チェインにルールを追加する。

iptables －ｔ nat -A POSTROUTING -s 送信元アドレス -j MASQUERADE LAN のコンピュータが DNS サーバに ping 可能にする設定

２．７ ④ で LAN のコンピュータが DNS サーバに ping できなかった。これを可能にするには LAN 内から WAN へ出るパケットの出発地をゲートウェイ１のグローバル・アドレスに直さなければならな い。これは以下の MASQUERADE で行う。

iptables -t nat -A POSTROUTING -s 192.168.254.0/24 -j MASQUERADE

これは、パケットのソースアドレスが 192.168.254.0/24 ネット (192.168.254.0～192.168.254.255) なら MASQUERADE を実行するコマンドである。 DNAT と SNAT プライベート・アドレスのネットワーク内に WWW サーバを起動させる。それをインターネット上のホス トがアクセスできるようにするには DNAT という処理を行う。これはゲートウェイ 1 を目的地とする特定の ポートのパケットの目的地をプライベート・アドレスに書き換える。 パケットの送信元アドレスの変換の書き換えには SNAT を使用する。以下の例では 192.168.1.1 宛のパケッ トの送信元アドレスを 192.168.1.100 に書き換えている。なお、MASQUERADE でも同様な処理を行う。 iptables -t nat -A POSTROUTING -s 192.168.1.1 -j SNAT

--

to 192.168.1.100

iptables のマニュアル(man)には、MASQUERADE で使用する変更先アドレスが固定アドレス(DHCP サーバで 決定しない)なら、MASQUERADE でなく SNAT を使うように記述されている。

あて先アドレスの書き換えには DNAT を使用する。以下の例では 192.168.1.1 にきたアクセスを 192.168.1.100 にリダイレクトしている。

iptables -t nat –A PREROUTING -d 192.168.1.1 -j DNAT --to-destination 192.168.1.100 (注) 「--」は「-」が 2 個並んでいる。 LAN 内にｗｗｗサーバをおく場合、外部からルータ宛に届いたポート番号 80 のパケットを、 DNAT であて先を LAN 内のｗｗｗサーバの IP アドレス（プライベート）に書き換える。 同時に、FORWARD チェインにポート番号 80 のパケットを通すルールを加える。これを RH-Firewall-1-INPUT チェインに直接書くか、または FORWARD チェインの最初にこのルール を置くことで、このパケットがｗｗｗサーバに届く。 ただし、LAN 内のWWW サーバがDNS サーバにアクセスできるような設定になっていることが条件となる。 例：下記の①，②は ｗｗｗサーバの IP アドレスが 192.168.254.254 の場合の例である。 ①DNAT 処理

iptables –t nat –A PRERUTING –i eth2 –p tcp –dport 80 –j DNAT --to 192.168.254.254

②FORWARD の最初のルールを以下の通りとすることで、80 番ポートを使用する HTTP での外部からの接続は 可能となる

iptables –A FORWARD –p tcp –dport 80 –d 192.168.254.254 –j ACCEPT

NAT: インターネットに接続された企業などで、一つのグローバルな IP アドレスを複数のコンピュータで共有す る技術。組織内でのみ通用する IP アドレス(プライベートアドレス)と、インターネット上のアドレス(グローバ ルアドレス)を透過的に相互変換することにより実現

IP マスカレード： NAT とほぼ同じ。ただし NAT と異なり TCP/UDP のポート番号まで動的に変換されるため、一 つのグローバルアドレスで複数のマシンから同時に接続することが可能である。（IT 用語辞典e-Words より引用）

４．３ DNS サーバについて LAN 内に WWW サーバをおく場合、WWW サーバは DNS サーバから情報を得る処理をする。それには次の２つ の方法がある。 ①LAN 内のゲートウェイに DNS サーバを置く ②WAN 上の DNS サーバを使う LAN 内のゲートウェイに DNS サーバを置く場合、ゲートウェイのファイアウォールでポート番号 53 を開け ればよい。WAN 上の DNS サーバを利用するばあい、ゲートウェイを通過する WWW サーバと DNS サーバの間 を流れるパケットのポート番号は UDP パケットで、リクエストパケットのポート番号 53、応答パケットの ポート番号は 1024 から 65535 である。この多数のポート番号が通過可能になるので、ゲートウェイのセキ ュリティが弱くなる。そこでゲートウェイに DNS サーバを置く方法を設定に使用する。 DNS サーバの IT 辞書での解説

ウェブブラウザ等のクライアント・ソフトウエアは、OS を介して、URL に示された Web サーバのホスト名 の IP アドレスを知るために DNS サーバに問い合わせをおこなう。（DNS サーバから見て、Web ブラウザ等 の動作しているコンピュータが DNS クライアントとなる） DNS サーバの IP アドレスを知るために DNS サーバを使うことはできないので、DNS クライアントはあらか じめ DNS サーバの IP アドレスを前もって知っている必要がある（UNIX の/etc/resolve.conf などがそれに 該当する）。 DNS サーバには 2 種類ある。 ・ DNS コンテンツサーバ - ドメイン名前空間の各ゾーンを管理している。 ・ DNS キャッシュサーバ - ドメイン名の検索業務をおこなう。 ふつう、ただ単に DNS サーバといえば DNS キャッシュサーバをさすことが多い。「ネットワーク設定」な どのコントロールパネルで入力するのはこの DNS キャッシュサーバの IP アドレスである。 同様に DNS サーバに発する要求にも 2 種類ある。 ・ ゾーンの IP アドレスを教えるよう要求する - DNS コンテンツサーバに要求する ・ ドメインの名前解決を要求する - DNS キャッシュサーバに要求する このシステムで使用するのは DNS キャッシュサーバである。 LINUX で DNS キャッシュサーバの起動は以下で行う。 「デスクトップ＞システム設定＞サーバ設定＞サービス」 を選択する。 ここで「サービスの設定」ウィンドウが表示されるので、左側の窓の named に「✔」を入れる。 上段の「開始」ボタンを押す。「ファイル＞変更の保存」を実行して終了する。

５．FedoraCore と OpenBlocks の接続

この実験の配線は下記のようにする。LINUX、パソコン１の設定は前回と同じ。 ←WAN 側 LAN 側→ ハブにはノートパソコンを接続 ここでは OpenBlocks をゲートウェイ２と呼んだ。 FedoraCore の LAN 側(*)は固定アドレス 192.168.254.10 とする。 ハブ１側, OpenBlocks の Ether1 側 192.168.254.* Ether1 の IP アドレス 192.168.254.254 ハブ２側, OpenBlocks の Ether0 側 192.168.253.* Ether1 の IP アドレス 192.168.253.254 28 号館 105 室では以下のホスト名、IP アドレスを使っている。 DHCP サーバから自動的に割り振られる。ホスト名は以下である。 cs-pc500.is.meisei-u.ac.jp ～ cs-pc540.is.meisei-u.ac.jp

５．１ OpenBlocks とは

OpenBlocks とはぷらっと＠ホーム（株）で発売している手のひらサイズのコンピュータ である。OS は UNIX である。詳しくはユーザマニュアルを見てください。 この機器の特徴をぷらっと＠ホームのホームページでは以下ように書いている。 手のひらサイズのコンパクト筐体 114.5（D）×81（W）×38（H）mm の筐体サイズ。置き場所に困りません。専用ラックで 1U に 5 台設置 可能である。 Linux ゲートウェイ１

ハブ１

（192.168.254.0/24 ネット） ノートパソコン 1 192.168.254.20:eth0 学内 (*)192.168.254.10:eth1

OpenBlocks

ゲートウェイ２ 192.168.254.254:eth1 192.168.253.254.10:eth0

ハブ 2

（192.168.253.0/24 ネット） ノートパソコン 2 192.168.253.10:eth0 DNS サーバ など 3 回目の実験の主な内容：ファイアウォールありで行う。 ① OpenBlocks の接続 ② OpenBlocks の設定 ③ ノートパソコン２から全マシーンに ping コマンドでパケットが送れる設定 実際にはこれ は付けない

ファンレス、故障要因を排除 アルミ筐体を利用した放熱設計で動作時周辺温度 40℃保証。標準構成ではファンなどの駆動部品を搭 載していないため静粛性に優れ、故障要因が少なくなっている。 CF カード、2.5 インチ HDD 搭載可能 CF カードまたは 2.5 インチ HDD が本体内に搭載可能である。（排他） 大量のログの取得・保持などの用途に適している。 ブロック形式で PCMCIA 簡単機能拡張 本体底部の拡張スロットに PCMCIA スロット拡張ボックス（別売）の追加が可能である。 NetBSD 対応 NetBSD2.1 より正式にソースツリーに組み込まれました。 標準構成でも様々な機能が実現可能 本体内オンボードメモリのみでも、以下の基本機能が実現可能である。 DHCP サーバ／クライアント・DNS サーバ FTP サーバ／クライアント・HTTP サーバ Mail サーバ・Telnet サーバ PPP クライアント・PPPoE クライアント iptables によるパケットフィルタリング ＊OpenBlocks の操作方法（作業１） OpenBlocks の起動とシャットダウン 以下の操作で、OpenBlocks が起動し、シャットダウンすることを確認する。 起動 電源コードを入れると自動的に起動 起動の確認 装置前面のステータスインジケータが１，２，４の順に点灯すれば 正常に動いている。 終了 INIT ボタン を押す。 終了の確認 装置前面のステータスインジケータ１，２，４が同時に点滅すれば 正常に終了したことを表す。ここで電源コードを抜く。 ５．２ OpenBlocks の利用法 OpenBlocks ユーザガイド を用意するので各自で読み、理解すること。 ＊OpenBlocks の操作方法（作業 2） OpenBlocks に接続するパソコンの IP アドレスの設定 パソコン２の設定：アドミニストレータでログインする。 ハブ 2 にパソコンを接続し、IP アドレスを以下に設定 IP アドレス 192.168.253.10 サブネットマスク 255.255.255.0 default ゲートウェイ 192.168.253.254 設定方法はパソコン１を参考にすること ＊OpenBlocks の操作方法（作業 3） パソコン２から OpenBlocks の設定、OpenBlocks を行う。 OpenBlocks を WEB サーバとして設定する。 パソコン２からコマンドプロンプトを起動し、以下のコマンドを入力 ① (コマンド) ipconfig ここで、作業１の設定が出来ているか確認する。

② 192.168.253.254（OpenBlocks）に ping して、ping の応答が正しいことを確認 (コマンド) ping 192.168.253.254 ③ OpenBlocks の設定 1（ログイン） パソコン２で IE を起動して、以下の URL にアクセスする。 URL: http://192.168.253.254:880/setup.cgi 「Open Blocks」のログイン画面になる。 Login 名 root, Password root でログインする。 ④ （パソコン２の IE で設定の続き）OpenBlocks の設定 2 「ネットワーク」タブを選択、以下に設定 ルーティング デフォルトルータ 192.168.254.10 インターフェース eth１ eth0 アドレス 192.168.253.254 マスク 24（これは 255.255.255.0 → 1111111111110000 の１の数） eth1 アドレス 192.168.254.254 マスク 24 リゾルバ設定（DNS キャッシュサーバ） ドメイン名 cs-w104.meisei-u.ac.jp （cs-w104 は、各グループのディスプレイに貼られた記号を入れる） 「設定保存」タブを選択 「保存して再起動」の○をクリックする。実行する。（保存完了） これで OpenBlocks の再起動は行われる。 ここでゲートウェイ１に DNS キャッシュサーバを動かす。それについては 6 章で述べる。 ⑤ OpenBlocks の再起動の確認 OpenBlocks の再起動の確認 再起動：装置前面のステータスインジケータが１，２，４の順に点灯 ⑥ ソコン２から OpenBlocks に telnet でログインして、設定の確認 パソコン２のコマンドプロンプトを起動 以下の telnet コマンドを実行 （コマンド）telnet 192.168.253.254 ユーザ名 user1, パスワード user1 でログイン 次のコマンドで、利用権限を root に変更 （コマンド）su パスワード root 次のコマンドで IP アドレスなどの確認 （コマンド） ifconfig ⑦ パソコン２から OpenBlocks の設定 3 OpenBlocks の設定 3 IE を起動して、以下の URL にアクセスする。 URL: http://192.168.253.254:880/setup.cgi

その他の設定 a: ユーザ管理 user1 が登録されていることを確認 パスワード user1 b: アドレス変換 → 「IP マスカレードは使用しない」に設定 c: 簡易ファイアウォール 設定なし d: その他 サーバ dhcpd, sendmail, named は使用しない サーバ httpd は使用するに「チェック」する。 httpd の Data Directory の設定 /home/user1 その後、「設定保存」タブを選択 「保存して再起動」の○をクリックする。実行する。（保存完了） これで OpenBlocks の再起動は行われる。 つぎのステップに進む前に、OpenBlocks の正常な再起動を確認する。 ＊OpenBlocks の操作方法（作業 4） ping コマンドの確認 192.168.253.10(パソコン 2)より以下の ping コマンドが正常に動いていることを確認する （１） ping 192.168.253.254 これは OpenBlocks の eth0 へのアクセス

（２） ping 192.168.254.254 これは OpenBlocks の eth1 へのアクセス （３） ping 192.168.254.10 これはゲートウェイ 1 の eth1 へのアクセス （４） ping 160.194.200.16 これは学内 DNS サーバへのアクセス 192.168.254.10(ゲートウェイ 1)より以下の ping コマンドが正常に動いていることを確認する （５） ping 192.168.253.254 （６） ping 192.168.254.254 （７） ping 192.168.253.10 これはパソコン 2 へのアクセス ping コマンドの実行を終了するには、強制終了を行う。強制終了は「Ctrl」キーを押しながら 「c」キーを押す。 ５．３ OpenBlocks の設定での問題 （１）IP Forward の設定 ①/proc/sys/net/ipv4/ip_forward を １ に設定 方法 echo 1 > /proc/sys/net/ipv4/ip_forward 確認方法 cat /proc/sys/net/ipv4/ip_forward 値「1」が表示される。 ②/etc/rc.conf の編集 iptables=YES を追加

準備： 以下のコマンドを実行するが、「echo iptables=YES > /etc/rc.conf」 と、間違ったコマンドをじっこうすると、/etc/rc.conf というファイルが 書き換わる。そこで/etc/rc.conf のコピーをとる。

コピー cp /etc/rc.conf /etc/rc.conf.org 方法 echo iptables=YES >> /etc/rc.conf 確認方法 cat /etc/rc.conf

最後の行に「iptables=YES」がある。

(注)vi が使える方は、それで直接/etc/rc.conf を編集する。途中に以下の行がある。 # iptables=YES

*次のコマンドで変更をフラッシュ ROM に書き込む /usr/sbin/flashcfg -ｓ /etc/flashcfg *reboot する。 （２）「netstat –nr」または「route」コマンドでルーティングテーブルを調査 OpenBlocks のルーティングテーブルの調査 ① ノートパソコン２より OpenBlocks に telnet でログイン ② ログイン名 user1, パスワード user1 でログイン ③ 「netstat –nr」または「route」コマンドを実行 結果の経路制御テーブルから問題点を考察する ④ Route コマンドで経路制御テーブルにデータ追加またはデータ削除する。 コマンド実行の状態 # netstat -nr

Kernel IP routing table

Destination Gateway Genmask Flags MSS Window irtt Iface 192.168.253.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.254.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 192.168.254.10 0.0.0.0 UG 0 0 0 eth1 # route

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.253.0 * 255.255.255.0 U 0 0 0 eth0 192.168.254.0 * 255.255.255.0 U 0 0 0 eth1 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 192.168.254.10 0.0.0.0 UG 1 0 0 eth1 # exit exit 「ping が届く」ことを確認する実験 192.168.253.10 から 3 台（192.168.253.10, 192.168.254.254,192.168.254.10）に ping コマンドでパケットを送る。 ping の実行時に、ゲートウェイ１、２で「tcpdump」を動作させる。 状況 192.168.253.10 から 192.168.254.10 に「ping」する。返事が来ない。 192.168.254.10 の「tcpdump -i eth0」の実行結果からパケットが着てることを確認できる。 この場合はルーティングテーブルに問題がある。 ゲートウェイ１(cs-wl10: 160.194.176.61)のルーティングテーブル Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.254.0 * 255.255.255.0 U 0 0 0 eth0 160.194.176.0 * 255.255.252.0 U 0 0 0 eth1 169.254.0.0 * 255.255.0.0 U 0 0 0 eth1 default 160.194.176.1 0.0.0.0 UG 0 0 0 eth1