情報システム管理情報システム管理

(1)

情報システム管理情報システム管理

７ . ＤＨＣＰ、 NAT

水野嘉明

(2)

本日の内容本日の内容

１ . DHCP サーバ

DHCP

の仕組みと設定

２ . NAT

NAT

の仕組みと

NAT

ルータの実現

(3)

１１ . . ＤＨＣＰサーバＤＨＣＰサーバ

１ . １ DHCP の仕組み

１ . ２ DHCP サーバの設定

１ . ３クライアントの設定

(4)

１１ . . ＤＨＣＰサーバＤＨＣＰサーバ



DHCP

 Dynamic Host Configuration

Protocol

 クライアントの IP アドレス割

り当てを自動化する仕組み

(5)

１１ . . １１ DHCP DHCP の仕組の仕組



クライアント全てに、固定ＩＰアドレスを割り振るのは、無駄が大きい／不便なことがある



クライアントが起動した時に、

プールしてある IP アドレスの中から、動的に割り振る

（注）サーバは、固定の方が便利

(6)

 ＤＨＣＰサーバは、ＩＰアドレス以外にも様々な情報を配布



ネットマスク



ＤＮＳドメイン名



ルータ (デフォルトゲートウェイ）のアドレス



ＮＩＳドメイン名



その他のサーバアドレス

etc.

１１ . . １１ DHCP DHCP の仕組の仕組

(7)

7

新しいクライアントが接続した時に

、 IP

アドレス等を割り振る

7

DHCP

サーバ

クライアント

１１ . . １１ DHCP DHCP の仕組の仕組

IP アドレス

(8)

 【問題】



ＴＣＰ／ＩＰにて通信するためには

、ＩＰアドレスが必要。ＩＰアドレス等が未定の時に、どのようにしてＤＨＣＰサーバと通信するのか？

 【答】



ブロードキャストを用いる

１１ . . １１ DHCP DHCP の仕組の仕組

(9)

9

(1) IP

アドレス要求のブロードキャストを、

ネットワークに流す

(2) DHCP

サーバが、

IP

アドレスを割り当てる

9

DHCP

サーバ

クライアント

１１ . . １１ DHCP DHCP の仕組の仕組

無視無視

(10)

１１ . . ２２ DHCP DHCP サーバの設定サーバの設定



KNOPPIX

では、

ISC

版ｄｈｃｐｄを使用

 他に次のような

DHCP

サーバがある

 Dnsmasq

_（ Linux 用、 DNS 機能あり）

 Windows

サーバの

DHCP

サーバ



ルータ内実装

(11)

１１ . . ２２ DHCP DHCP サーバの設定サーバの設定



設定ファイルは、

/etc/dhcpd.conf または /etc/dhcp3/dhcpd.conf

 このファイルに、配布する情報

を記述する

(12)

12

dhcpd.conf 記述例

12

##

## dhcpd.conf

##

ddns-update-style none;

shared-network DHCP {

option subnet-mask 255.255.255.0;

default-lease-time 21600;

max-lease-time 43200;

（続く

１１ . . ２２ DHCP DHCP サーバの設定サーバの設定

(13)

( 続き）

subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.16 192.168.1.240;

option broadcast-address 192.168.1.255;

option routers 192.168.1.1;

option domain-name "xxxx.xx.xx";

option domain-name-servers 192.168.1.1;

} }

１１ . . ２２ DHCP DHCP サーバの設定サーバの設定

(14)



/etc/dhcpd.conf

記述内容

 option subnet-mask

ネットマスクの値

 default-lease-time/max-lease-time



IP

アドレスの有効期間

 range

プールしてある

IP

アドレスの範囲

 option routers

１１ . . ２２ DHCP DHCP サーバの設定サーバの設定

(15)

１１ . . ２２ DHCP DHCP サーバの設定サーバの設定

デーモンを起動

KNOPPIX (Debian系)

RedHat系

$ invoke-rc.d dhcpd start

$ update-rc.d dhcpd defaults $ service dhcpd start

$ chkconfig dhcpd on

(16)

 注意



ネットワークに、複数の

DHCP

サーバは（原則として）存在できない

ルータに

DHCP

サーバ機能がある場合は、止める必要がある

１１ . . ２２ DHCP DHCP サーバの設定サーバの設定

(17)

１１ . . ３クライアントの設定３クライアントの設定



Linux クライアントの設定

 設定ファイルを編集する



/etc/network/interfaces

(Debian 系 )



/etc/sysconfig/network- scripts /ifcfg-eth0

(RedHat 系 )

(18)

１１ . . ３クライアントの設定３クライアントの設定

 ＫＮＯＰＰＩＸでの設定例

（ /etc/network/interfaces ）

# The primary network interface allow-hotplug eth0

iface eth0 inet dhcp

(19)

１１ . . ３クライアントの設定３クライアントの設定

【参考】固定ＩＰアドレス時の設定例 (KNOPPIX)

allow-hotplug eth0 iface eth0 inet static

address 133.79.53.115

netmask 255.255.255.0

broadcast 133.79.53.255

gateway 133.79.53.1

(20)

１１ . . ３クライアントの設定３クライアントの設定

 ifup / ifdown

というツールが、この

/etc/network/interfaces

を用いる

ファイルを読み込む



dhclient (DHCP

クライアント

)

を呼び出し、

IP

アドレスを取得



ifconfig

を呼び出す

(21)



Windows

でのクライアントの設定

１１ . . ３クライアントの設定３クライアントの設定

(22)

２２ . . NAT NAT

２ . １ NAT とは

２ . ２ルータによる接続

２ .3 IP アドレス変換の仕組み

２ .4 NAT ルータの実現

２ .5 iptables の基本的な使用法

(23)

２２ . . １１ NAT NAT とはとは



NAT

Network Address Translation

 プライベート IP アドレスと、グ

ローバル IP アドレスを変換する

仕組み

(24)

２２ . . １１ NAT NAT とはとは



グローバル IP アドレスの枯渇問題



プライベート IP アドレスを使用

 ローカルなネットワーク内だけで通用する IP アドレス

 外部には、アクセスできない

(25)

 外部にアクセスする時には、プライベートアドレスをグローバルアドレスに変換し、これで外部にアクセスする

プライベート

IP

アドレス

グローバル

IP

アドレス

変換

２２ . . １１ NAT NAT とはとは

(26)

26 26

ハブハブ

プライベートアドレス空

グローバルアドレス空間

インターネット

ルータ

NAT

ルータ

２２ . . １１ NAT NAT とはとは

(27)



NAT ルータの機能

 パケット中継機能

 IP アドレス変換

 パケットフィルタリング

（ファイアウォール）

２２ . . １１ NAT NAT とはとは

(28)

２２ . . ２２ルータによる接続ルータによる接続



ルータとは

 ネットワーク間を相互接続する通信機器

 ＯＳＩ基本参照モデルの第 1 層

「物理層」から第 3 層「ネット

ワーク層」までの接続を担う

(29)

 ルータは、複数のＩＰアドレスを持つ

192.168.1.254 192.168.11.253

192.168.11.0/24 192.168.1.0/24

二つのネットワークを相互接

続

²⁹

２２ . . ２２ルータによる接続ルータによる接続

(30)

 ルータとＴＣＰ／ＩＰの階層構造

ＬＡＮW ＡＮ W ＡＮＬＡＮ

IP ＬＡＮ

IP IP

IP ＬＡＮ

TCP TCP

アプリアプリ

ルータルータコンピュー

タコンピュー

タ

２２ . . ２２ルータによる接続ルータによる接続

(31)

【参考】

LAN

同士の接続には、層（機能レベル）毎に、異なる装置がある

４～７層ネットワー

ク層

データリンク層

物理層

４～７層ネットワー

ク層

データリンク層

物理層ゲートウェイ

ルータ /

レイヤ３スイッチ

ブリッジ /

スイッチングハブ

リピータ

２２ . . ２２ルータによる接続ルータによる接続

(32)

192.168.1.4 192.168.1.0/24

192.168.11.0/24 172.16.4.0/24 192.168.1.254 192.168.11.253

192.168.11.254

172.16.4.254

172.16.4.3

Default: 192.168.1.254

192.168.12.254

172.16.6.254

Default: 172.16.4.254

２２ . . ２ルータによる接続２ルータによる接続

(33)

 パケット転送に必要な情報

 IP

アドレスとネットマスク

パケットを送りたいホストが同一ネットワークに属するかどうかの判定に必要



ルーティング情報

受取ったパケットをどこへ送るか

デフォルトゲートウェイ

２２ . . ２２ルータによる接続ルータによる接続

(34)



ルーティング情報の例

IP宛先アドレ

スネットマスクゲートウェ IP アドレスイ

インターフェース IP アド

レス

10.1.1.0 255.255.255.0 10.1.1.254 10.1.1.254 10.1.2.0 255.255.255.0 10.1.2.254 10.1.2.254 0.0.0.0 0.0.0.0 10.1.1.1 10.1.1.254

デフォルトゲートウ

２２ . . ２２ルータによる接続ルータによる接続

(35)



NAT ルータの機能

 パケット中継機能

 IP アドレス変換

 パケットフィルタリング

（ファイアウォール）

２２ . . ３３ IP IP アドレス変換の仕組アドレス変換の仕組

みみ

(36)

２２ . . ３３ IP IP アドレス変換の仕組アドレス変換の仕組みみ



パケットのヘッダに、以下の情報

 送り元の IP アドレス

 送り先の IP アドレス

 送り元ポート番号

 送り先ポート番号など

これらを書き換える

(37)

37



IP IP アドレス変換アドレス変換

37

データ

インターネッ

NAT

ルータト

ヘッダ

（プライベ－

ト）ヘッダ

（グローバル

）

２２ . . ３３ IP IP アドレス変換の仕組アドレス変換の仕組

みみ

(38)



IP

アドレスの変換方式には二通り

(1)

プールしてある

IP

アドレスを、

順に割り当てる

–

同時に外部にアクセスできるクライアント数には、限度

(2) IP

アドレスと、ポート番号を組にして、変換する

–

またはマスカレード

２２ . . ３３ IP IP アドレス変換の仕組アドレス変換の仕組

みみ

(39)



ＮＡＰＴの例

 送り元 192.168.1.1 (20031) ⇒ 160.30.21.110 (10001)

 送り元 192.168.1.2 (20055) ⇒ 160.30.21.110 (10002)

 送り元 192.168.1.9 (20055) ⇒ 160.30.21.110 (10003) NAPT は、変換を記憶しておく

プライベー

トグローバル

２２ . . ３３ IP IP アドレス変換の仕組アドレス変換の仕組

みみ

(40)

返信のあて先が

160.30.21.110 (10001)

⇒ 192.168.1.1 (20031) に返す

160.30.21.110 (10002)

⇒ 192.168.1.2 (20055) に返す：

２２ . . ３３ IP IP アドレス変換の仕組アドレス変換の仕組

みみ

(41)

 ＮＡＰＴは、変換結果を記憶しており、それによって返信を配達する

外部主導のアクセスは拒否する＝ファイアウォール機能

２２ . . ３３ IP IP アドレス変換の仕組アドレス変換の仕組

みみ

(42)

２２ . . ３３ IP IP アドレス変換の仕組アドレス変換の仕組みみ



NAT

のメリット



グローバル

IP

アドレスの節約



外部に対して、内部ネットワークのアドレス体系を隠蔽



ネットワークの柔軟性



NAT

のデメリット



パケット遅延



一部アプリケーションが動作しない

(43)

２２ . . ４４ NAT NAT ルータの実現ルータの実現

 ルータ機能（パケット中継機能）は、

ＵＮＩＸのカーネルに備わっている

 Ｌｉｎｕｘにおけるパケットフィルタリングと NAPT （ＩＰマスカレード）機能は、

iptables コマンドによる

（「 5. ネットワークとファイアウォール」）

(44)

２２ . . ４４ NAT NAT ルータの実現ルータの実現

 パケット中継機能

ネットワークインタフェースは、二つ以上が必要

内部へ外部へ

(45)



パケット中継機能

 パケット中継機能は、デフォルトではオフになっている

⇒ これをオンにする

 /proc/sys/net/ipv4/ip_forward に１を書く

$ echo 1 > /proc/sys/net/ipv4/ip_forward

２２ . . ４４ NAT NAT ルータの実現ルータの実現

(46)

# Controls IP packet forwarding net.ipv4.ip_forward = 1

:

 再起動時にも有効にするに

は、 /etc/sysctl.cont ファイルの net.ipv4.ip_forward 行を編集

/

etc/sysctl.cont

２２ . . ４４ NAT NAT ルータの実現ルータの実現

(47)



NAPT （ IP

マスカレード）機能

 iptables

の【

POSTROUTING

】チェインにて実現する

 ファイアウォール機能



同じく

iptables

コマンドにて実現

２２ . . ４４ NAT NAT ルータの実現ルータの実現

(48)

２２ . . ５５ iptables iptables の基本的な使用の基本的な使用法法



iptables

は、パケットが通過する経路上に、５つのチェインを設けている

 【 INPUT 】

 【 FORWARD 】

 【 OUTPUT 】

 【 PREROUTING 】

 【 POSTROUTING 】

再掲

(49)

５つのチェインとパケットの流れ

ローカルプロセス INPUT

OUTPUT ルーティング

（経路）の決定

POSTROUTING FORWARD

入ってくるパケット

出て行くパケット

PREROUTING

２２ . . ５５ iptables iptables の基本的な使の基本的な使用法用法

再掲

(50)

２２ . . ５５ iptables iptables の基本的な使の基本的な使用法用法

 iptables のチェイン

チェイン名対象

INPUT

入力（受信）パケット

OUTPUT

出力（送信）パケット

FORWARD

インタフェース間をま

たぐ転送パケット

PREROUTING

受信時にアドレス変換

(51)

iptables は、このチェインを監視し『このパケットの送信元アドレスを書き換える』

『このパケットは通さない』

『このパケットは通す』

などの処理を行う

チェインをユーザ定義することも可

２２ . . ５５ iptables iptables の基本的な使用の基本的な使用

法法

(52)



iptables には、テーブルと言う概念がある

 filter テーブル



パケットフィルタリング用

 nat テーブル



IP マスカレード用

２２ . . ５５ iptables iptables の基本的な使用の基本的な使用

法法

(53)



各テーブルで、使用できるチェインが異なる



filter

テーブル

–INPUT, FORWARD, OUTPUT



nat テーブル

–PREROUTING, OUTPUT, POSTROUTING

２２ . . ５５ iptables iptables の基本的な使用の基本的な使用

法法

(54)

$ iptables -t table

名

-A chain

名

パラメータ

-j

処理方法



iptables

コマンド

どのチェインに

どのようなパケットが通過する

どう処理するかどのテーブル

の

２２ . . ５５ iptables iptables の基本的な使用の基本的な使用法法

コマンド

(55)

２２ . . ５５ iptables iptables の基本的な使用の基本的な使用法法

 iptables の主なコマンド

オプション意味

-A

新しいルールを追加（末尾）

-I

新しいルールを追加（先頭）

-D

ルールを削除

-F

すべてのルールを削除（初期化）

-P

ポリシー（基本ルール）を設定

-L

ルールの一覧表示

55

(56)

 どのテーブルの



filter または nat を指定する

 どのチェインに



前述のチェイン名を指定する INPUT, FORWARD, ・・・

２２ . . ５５ iptables iptables の基本的な使用の基本的な使用

法法

(57)

57



どのようなパケットが通過する時に

57

項目オプションと指定例インタフェース

-i eth0

プロトコル

-p tcp

送信元アドレス

-s 192.168.0.0/24

送信先アドレス

-d 192.168.0.2

送信元ポート

--sport 23

送信先ポート

--dport 1024:65535

接続要求パケッ

ト

--syn

２２ . . ５５ iptables iptables の基本的な使の基本的な使

用法用法

(58)

 どう処理するか

処理指定

パケットを許可す

る

ACCEPT

パケットを拒否す

る

DROP

IP

マスカレード

MASQUERADE

２２ . . ５５ iptables iptables の基本的な使用の基本的な使用

法法

(59)

 iptables

コマンドによる設定は、再起動によりリセットされる

⇒ コマンドによりセーブしなければ　　ならない

$ invoke-rc.d iptables save filename

セーブする場所は、ディストリビューションにより異なる

（ /etc/sysconfig/iptables

等） ⁵⁹

２２ . . ５５ iptables iptables の基本的な使の基本的な使用法用法

$ iptables-save > filename

(60)

/etc/sysconfig/iptables ファイルの例

２２ . . ５５ iptables iptables の基本的な使用の基本的な使用

法法

(61)

 NAPT （ IP マスカレード）機能の設定例

$ iptables -t nat -A POSTROUTING

-s 192.168.0.0/24 -j MASQUERADE

２２ . . ５５ iptables iptables の基本的な使用の基本的な使用

法法

(62)

次回の予定



アプリケーションのインストール

１ . ソースとパッケージの比較

２ . ソースによるインストール

３ . パッケージ

(63)

情報システム管理 情報システム管理