os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

Merge the following from the English version:

Browse source 
1.11  -> 1.25 	dialup-firewall/article.sgml
	1.9   -> 1.10 	diskless-x/article.sgml

Submitted by:	Hideyuki KURASHINA <rushani@jp.FreeBSD.org>
References:	[doc-jp-work 546]
This commit is contained in:
Hiroki Sato 2003-01-05 18:32:22 +00:00
parent fbbfd2ea7a
commit a4da305613
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=15544
2 changed files with 88 additions and 67 deletions
ja_JP.eucJP/articles
dialup-firewall
article.sgml
diskless-x
article.sgml

149
ja_JP.eucJP/articles/dialup-firewall/article.sgml
View file

@ -2,7 +2,7 @@
The FreeBSD Documentation Project
The FreeBSD Japanese Documentation Project
Original revision: 1.11
Original revision: 1.25
$FreeBSD$
-->
@ -18,7 +18,7 @@
<article>
<articleinfo>
<title>FreeBSD によるダイアルアップ式防火壁の構築</title>
<title>FreeBSD によるダイアルアップ式ファイアウォールの構築</title>
<authorgroup>
<author>
@ -36,22 +36,24 @@
<abstract>
<para>
この記事は FreeBSD の PPP ダイアルアップと IPFW
を用いながらどのように防火壁をセットアップするか、
特に動的に割り当てられた IP
アドレスによるダイアルアップ上の防火壁について事実を元に詳細に説明します。
を用いながらどのようにファイアウォールをセットアップするか、
特に動的に割り当てられた
IP アドレスによるダイアルアップ上のファイアウォールについて、
事実を元に詳細に説明します。
なお、前段階である PPP 接続についての設定は触れていません。</para>
</abstract>
</articleinfo>
<sect1 id="preface">
<title>序文</title>
<para>FreeBSD によるダイアルアップ式防火壁の構築</para>
<para>FreeBSD によるダイアルアップ式ファイアウォールの構築</para>
<para>
この文書はあなたの ISP によって
IP アドレスを動的に割り当てられた時、FreeBSD
で防火壁をセットアップために要求される手順を扱うことをめざしたものです。
IP アドレスを動的に割り当てられた時、
FreeBSD でファイアウォールをセットアップために
要求される手順を扱うことをめざしたものです。
この文書を可能な限り有益で正確なものにするために努力しているので、
どうぞ意見や提案を
<email>marcs@draenor.org</email>
@ -60,21 +62,20 @@
<sect1 id="kernel">
<title>カーネルオプション</title>
<para>
最初になすべきことは FreeBSD のカーネルを再コンパイルすることです。
最初になすべきことはカーネルを再コンパイルすることです。
カーネルを再コンパイルする方法についてさらに情報が必要なら、
<ulink URL="http://www.freebsd.org/handbook/kernelconfig.html">
ハンドブックのカーネルのコンフィグレーションの節</ulink>
から読み始めるのが最適でしょう。
カーネルの中に以下のオプションをつけてコンパイルする必要があります: </para>
<ulink URL="../../books/handbook/kernelconfig.html">ハンドブックの
カーネルのコンフィグレーションの節</ulink>から読み始めるのが最適でしょう。
カーネルを以下のオプションをつけてコンパイルする必要があります:</para>
<variablelist>
<varlistentry>
<term><literal>options IPFIREWALL</literal></term>
<listitem>
<para>カーネルの防火壁のコードを有効にします。</para>
<para>カーネルのファイアウォールのコードを有効にします。</para>
</listitem>
</varlistentry>
@ -110,9 +111,10 @@
</variablelist>
<para>
更なるセキュリティーのためにカーネルの中に組み込むことのできるオプションが他にいくつかあります。
これらは防火壁を動かすためには必要ではありませんが、
セキュリティーに猛烈にこだわるユーザは有効にしてかまいません。</para>
更なるセキュリティのために、
カーネルの中に組み込むことのできるオプションが他にいくつかあります。
これらはファイアウォールを動かすためには必要ではありませんが、
セキュリティに猛烈にこだわるユーザは有効にしてかまいません。</para>
<variablelist>
<varlistentry>
@ -125,7 +127,8 @@
これは マシンの TCP/IP スタックを識別するので
nmap などのようなツールを妨げることができます。
しかし RFC1644 拡張のサポートに違反しています。
これは現在稼働している web サーバには推奨 *しません*。</para>
これは現在稼働している
web サーバには推奨<emphasis>しません</emphasis>。</para>
</listitem>
</varlistentry>
</variablelist>
@ -133,19 +136,19 @@
<para>
いったんカーネルを再コンパイルしたら再起動しないで下さい。
希望的にも、
防火壁の設置を完了するために一回だけ再起動する必要があります。</para>
ファイアウォールの設置を完了するために一回だけ再起動する必要があります。</para>
</sect1>
<sect1 id="rcconf">
<title>防火壁を搭載するように
<title>ファイアウォールを搭載するように
<filename>/etc/rc.conf</filename> を変更する</title>
<para>
防火壁について
ファイアウォールについて
<filename>/etc/rc.conf</filename>
をのことを述べるために、そこにいくつかの変更を行います。
単純に以下の行を加えます:</para>
<programlisting>firewall_enable="YES"
firewall_script="/etc/firewall/fwrules"
natd_enable="YES"
@ -153,14 +156,14 @@ natd_interface="tun0"
natd_flags="-dynamic"</programlisting>
<para>
でしたものに関する更なる情報は
<filename>/etc/defaults/rc.conf</filename> を見て
記の設定に関するより詳しい情報は
<filename>/etc/defaults/rc.conf</filename> を参照した上で
&man.rc.conf.5; を読んで下さい。</para>
</sect1>
<sect1>
<title>PPP のネットワークアドレス変換を無効にする</title>
<para>
もしかすると既に PPP の組込みネットワークアドレス変換
(NAT) を利用しているかも知れません。
@ -177,36 +180,39 @@ ppp_nat="YES"
ppp_profile="<replaceable>profile</replaceable>"</programlisting>
<para>
もしそうなら、
<literal>ppp_nat="YES"</literal> の行を削除して下さい。
もしそうなら、<filename>/etc/rc.conf</filename> に
(訳注: <filename>/etc/defaults/rc.conf</filename> で定義されている
<literal>ppp_nat</literal> の初期値は <literal>YES</literal> なので)
<literal>ppp_nat="NO"</literal>
を明示的に設定して無効にする必要があります。
また <filename>/etc/ppp/ppp.conf</filename> の中の
<literal>nat enable yes</literal> または
<literal>alias enable yes</literal> を削除する必要があるでしょう。</para>
</sect1>
<sect1 id="rules">
<title>防火壁へのルールセット</title>
<title>ファイアウォールへのルールセット</title>
<para>
さて、ほとんどのことをやりおわりました。
残る最後の仕事は防火壁のルールを定義することです。
それから再起動すると、防火壁が立ち上がり稼働するはずです。
残る最後の仕事はファイアウォールのルールを定義することです。
それから再起動すると、ファイアウォールが立ち上がり稼働するはずです。
私はルールベースを定義する段階に達すると、
すべての人が若干異なる何かを求めているのだとと実感しています。
私が努力してきたのは、
ほとんどのダイアルアップユーザに適合したルールセットを書くことです。
あなたは自分の必要のために
単純に以下のルールを土台として用いることによって
あなたは自分の必要のために以下のルールを土台として用いることによって
自分用のルールベースに変更することができます。
まず、閉じた防火壁の基礎から始めましょう。
まず、閉じたファイアウォールの基礎から始めましょう。
望むのは初期状態ですべてを拒否することです。
それからあなたが本当に必要とすることだけのために防火壁をあけましょう。
それからあなたが本当に必要とすることだけのためにファイアウォールをあけましょう。
ルールはまず許可し、それから拒否するという順番であるべきです。
その前提はあなたの許可のための規則を付加するとういことで、
それから他の全ては拒否されます。:)</para>
<para>
では /etc/firewall ディレクトリを作りましょう。
では <filename class="directory">/etc/firewall</filename>
ディレクトリを作成しましょう。
ディレクトリをそこへ変更し、
<filename>rc.conf</filename> で規定した
<filename>fwrules</filename> ファイルを編集します。
@ -214,17 +220,17 @@ ppp_profile="<replaceable>profile</replaceable>"</programlisting>
この手引きはファイル名の一例を与えるだけです。</para>
<para>
それでは、防火壁ファイルの見本を見てみましょう。
そのすべてを詳細に説明します。</para>
それでは、ファイアウォールファイルの設定例を見てみましょう。
注釈も参考にしてください。</para>
<programlisting># Firewall rules
# Written by Marc Silver (marcs@draenor.org)
# http://draenor.org/ipfw
# Freely distributable
# Freely distributable
# (/etc/rc.firewall にあるように) 参照を簡単にするために防火壁のコマンドを定義します。
# 読みやすくするのに役立ちます。
# (/etc/rc.firewall にあるように) 参照を簡単にするためにファイアウォールの
# コマンドを定義します。読みやすくするのに役立ちます。
fwcmd="/sbin/ipfw"
# 再読込みする前に現在のルールの消去を強制します。
@ -245,7 +251,7 @@ $fwcmd add allow tcp from any to any out xmit tun0 setup
$fwcmd add allow tcp from any to any via tun0 established
# 以下のサービスへ接続することをインターネット上のすべての人に許可します。
# この例では人々は ssh と apache に接続してよいということを示しています。
# この例では ssh と apache への接続を許可します。
$fwcmd add allow tcp from any to any 80 setup
$fwcmd add allow tcp from any to any 22 setup
@ -261,16 +267,17 @@ $fwcmd add allow udp from <replaceable>x.x.x.x</replaceable> 53 to any in recv t
# (ping と traceroute を動作させるために) ICMP を許可します。
# これを非許可にしたいと思うかもしれませんが、
# 需要を保ちつづけるには適していると感じています。
$fwcmd add 65435 allow icmp from any to any
$fwcmd add allow icmp from any to any
# 残りの全てを拒否します。
$fwcmd add 65435 deny log ip from any to any</programlisting>
$fwcmd add deny log ip from any to any</programlisting>
<para>
あなたは 22 番と 80 番のポートへの接続を許可し、
それ以外に試みられるすべての接続を記録する十分に機能的な防火壁を手にしました。
それ以外に試みられるすべての接続を記録する
十分に機能的なファイアウォールを手にしました。
では、あなたは安全に再起動することができて、
あなたの防火壁はうまく立ち上がるはずです。
あなたのファイアウォールはうまく立ち上がるはずです。
もしこれに正しくないことを見つけたら、
もしくは任意の問題を経験したら、
さもなくばこのページを向上させるための任意の提案があるなら、
@ -279,26 +286,28 @@ $fwcmd add 65435 deny log ip from any to any</programlisting>
<sect1>
<title>質問</title>
<qandaset>
<qandaentry>
<question>
<para>
組込みの ppp フィルタを使ってもよいのに、
なぜ natd と ipfw を使っているのですか?</para>
組込みの &man.ppp.8; フィルタを使ってもよいのに、
なぜ &man.natd.8; と &man.ipfw.8 を使っているのですか?</para>
</question>
<answer>
<para>
正直に言うと、
組込みの ppp フィルタの代わりに
ipfw と natd を使う決定的な理由はないと言わなければなりません。
組込みの <command>ppp</command> フィルタの代わりに
<command>ipfw</command> と <command>natd</command>
を使う決定的な理由はないと言わなければなりません。
いろいろな人と繰り返してきた議論より、
ipfw は確かに ppp フィルタよりもパワフルで設定に融通がきく一方、
<command>ipfw</command> は確かに
<command>ppp</command> フィルタよりもパワフルで設定に融通がきく一方、
それが機能的であるために作り上げたものはカスタマイズの容易さを
失っているということで意見の一致をみたようです。
私がそれを使う理由のひとつはユーザランドのプログラムでするよりも、
カーネルレベルで行う防火壁の方を好むからです。</para>
カーネルレベルで行うファイアウォールの方を好むからです。</para>
</answer>
</qandaentry>
@ -308,7 +317,7 @@ $fwcmd add 65435 deny log ip from any to any</programlisting>
<errorname>limit 100 reached on entry 2800</errorname>
のようなメッセージを受け取った後、
ログの中にそれ以上の拒否を全く見なくなりました。
防火壁はまだ動作しているのでしょうか?</para>
ファイアウォールはまだ動作しているのでしょうか?</para>
</question>
<answer>
@ -316,8 +325,15 @@ $fwcmd add 65435 deny log ip from any to any</programlisting>
単にルールのログカウントが最大値に達したということを意味しています。
ルール自身はまだ機能していますが、
ログカウンタをリセットするまでそれ以上ログを記録しません。
これは ipfw コマンドに <literal>resetlog</literal>
オプションを頭につけて実行するだけでできます。</para>
<command>ipfw resetlog</command> コマンドにより、
ログカウンタをリセットすることができます。
また、この限界値を上述の
<option>IPFIREWALL_VERBOSE_LIMIT</option> オプションで
変更することもできます。
さらに、この値は (カーネルを再構築して再起動せずに)
net.inet.ip.fw.verbose_limit を
&man.sysctl.8; で変更することができます。</para>
</answer>
</qandaentry>
@ -329,21 +345,23 @@ $fwcmd add 65435 deny log ip from any to any</programlisting>
<literal>$fwcmd add deny all from any to 192.168.0.0:255.255.0.0 via tun0</literal>
のようなコマンドを
内部のマシンへ試みられる外部からの接続を防止するために
防火壁のルールに追加してもいいですか?</para>
ファイアウォールのルールに追加してもいいですか?</para>
</question>
<answer>
<para>
端的な答えは no です。
この問題に対するその理由は
natd は tun0 デバイスを通して divert されている
<command>natd</command> は
<devicename>tun0</devicename> デバイスを通して divert されている
<emphasis>あらゆるもの</emphasis>
に対してアドレス変換を行っているということです。
それが関係している限り、
入ってくるパケットは動的に割り当てられた
IP アドレスに対してのみ話し、
内部ネットワークに対しては *話さない* のです。
防火壁経由で外へ出て行くホストからあなたの内部ネットワーク上のホストを制限する
内部ネットワークに対しては<emphasis>話さない</emphasis>のです。
ファイアウォール経由で外へ出て行くホストから
あなたの内部ネットワーク上のホストを制限する
<literal>$fwcmd add deny all from 192.168.0.4:255.255.0.0 to any via tun0</literal>
のようなルールを追加することができるということにも気をつけてください。</para>
</answer>
@ -377,7 +395,8 @@ $fwcmd add 65435 deny log ip from any to any</programlisting>
よって &man.pppd.8; による接続を始めるなら
<devicename>ppp0</devicename> の代わりに
<devicename>tun0</devicename> を用いて下さい。
この変更を反映する防火壁のルールを編集する早道は以下に示されています。
この変更を反映するファイアウォールのルールを
編集する早道は以下に示されています。
元のルールセットは <filename>fwrules_tun0</filename>
としてバックアップされています。</para>

6
ja_JP.eucJP/articles/diskless-x/article.sgml
View file

@ -2,7 +2,7 @@
The FreeBSD Documentation Project
The FreeBSD Japanese Documentation Project
Original revision: 1.9
Original revision: 1.10
$FreeBSD$
-->
<!DOCTYPE article PUBLIC "-//FreeBSD//DTD DocBook V4.1-Based Extension//EN" [
@ -336,7 +336,9 @@ hostname altair.example.com</programlisting>
-r-xr-xr-x 1 root wheel 1992 Jun 10 1995 ./dev/MAKEDEV.local
-r-xr-xr-x 1 root wheel 24419 Jun 10 1995 ./dev/MAKEDEV</screen>
<para><filename>dev</filename> ディレクトリで <command>MAKEDEV all</command>
<para>(FreeBSD&nbsp;5.X において初期状態で有効になっている) &man.devfs.5;
を利用していないのであれば、<filename>dev</filename> ディレクトリで
<command>MAKEDEV all</command>
するのを忘れずに。</para>
<para><hostid>altair</hostid> の <filename>/etc/rc</filename> は