diff --git a/ja_JP.eucJP/articles/dialup-firewall/article.sgml b/ja_JP.eucJP/articles/dialup-firewall/article.sgml index 7abd142705..4cbea8fcca 100644 --- a/ja_JP.eucJP/articles/dialup-firewall/article.sgml +++ b/ja_JP.eucJP/articles/dialup-firewall/article.sgml @@ -2,7 +2,7 @@ The FreeBSD Documentation Project The FreeBSD Japanese Documentation Project - Original revision: 1.11 + Original revision: 1.25 $FreeBSD$ --> @@ -18,7 +18,7 @@
- FreeBSD によるダイアルアップ式防火壁の構築 + FreeBSD によるダイアルアップ式ファイアウォールの構築 @@ -36,22 +36,24 @@ この記事は FreeBSD の PPP ダイアルアップと IPFW - を用いながらどのように防火壁をセットアップするか、 - 特に動的に割り当てられた IP - アドレスによるダイアルアップ上の防火壁について事実を元に詳細に説明します。 + を用いながらどのようにファイアウォールをセットアップするか、 + 特に動的に割り当てられた + IP アドレスによるダイアルアップ上のファイアウォールについて、 + 事実を元に詳細に説明します。 なお、前段階である PPP 接続についての設定は触れていません。 序文 - - FreeBSD によるダイアルアップ式防火壁の構築 + + FreeBSD によるダイアルアップ式ファイアウォールの構築 この文書はあなたの ISP によって - IP アドレスを動的に割り当てられた時、FreeBSD - で防火壁をセットアップために要求される手順を扱うことをめざしたものです。 + IP アドレスを動的に割り当てられた時、 + FreeBSD でファイアウォールをセットアップために + 要求される手順を扱うことをめざしたものです。 この文書を可能な限り有益で正確なものにするために努力しているので、 どうぞ意見や提案を marcs@draenor.org @@ -60,21 +62,20 @@ カーネルオプション - + - 最初になすべきことは FreeBSD のカーネルを再コンパイルすることです。 + 最初になすべきことはカーネルを再コンパイルすることです。 カーネルを再コンパイルする方法についてさらに情報が必要なら、 - - ハンドブックのカーネルのコンフィグレーションの節 - から読み始めるのが最適でしょう。 - カーネルの中に以下のオプションをつけてコンパイルする必要があります: + ハンドブックの + カーネルのコンフィグレーションの節から読み始めるのが最適でしょう。 + カーネルを以下のオプションをつけてコンパイルする必要があります: options IPFIREWALL - カーネルの防火壁のコードを有効にします。 + カーネルのファイアウォールのコードを有効にします。 @@ -110,9 +111,10 @@ - 更なるセキュリティーのためにカーネルの中に組み込むことのできるオプションが他にいくつかあります。 - これらは防火壁を動かすためには必要ではありませんが、 - セキュリティーに猛烈にこだわるユーザは有効にしてかまいません。 + 更なるセキュリティのために、 + カーネルの中に組み込むことのできるオプションが他にいくつかあります。 + これらはファイアウォールを動かすためには必要ではありませんが、 + セキュリティに猛烈にこだわるユーザは有効にしてかまいません。 @@ -125,7 +127,8 @@ これは マシンの TCP/IP スタックを識別するので nmap などのようなツールを妨げることができます。 しかし RFC1644 拡張のサポートに違反しています。 - これは現在稼働している web サーバには推奨 *しません*。 + これは現在稼働している + web サーバには推奨しません @@ -133,19 +136,19 @@ いったんカーネルを再コンパイルしたら再起動しないで下さい。 希望的にも、 - 防火壁の設置を完了するために一回だけ再起動する必要があります。 + ファイアウォールの設置を完了するために一回だけ再起動する必要があります。 - 防火壁を搭載するように + <title>ファイアウォールを搭載するように <filename>/etc/rc.conf</filename> を変更する - + - 防火壁について + ファイアウォールについて /etc/rc.conf をのことを述べるために、そこにいくつかの変更を行います。 単純に以下の行を加えます: - + firewall_enable="YES" firewall_script="/etc/firewall/fwrules" natd_enable="YES" @@ -153,14 +156,14 @@ natd_interface="tun0" natd_flags="-dynamic" - 上でしたものに関する更なる情報は - /etc/defaults/rc.conf を見て、 + 上記の設定に関するより詳しい情報は + /etc/defaults/rc.conf を参照した上で、 &man.rc.conf.5; を読んで下さい。 - + PPP のネットワークアドレス変換を無効にする - + もしかすると既に PPP の組込みネットワークアドレス変換 (NAT) を利用しているかも知れません。 @@ -177,36 +180,39 @@ ppp_nat="YES" ppp_profile="profile" - もしそうなら、 - ppp_nat="YES" の行を削除して下さい。 + もしそうなら、/etc/rc.conf に + (訳注: /etc/defaults/rc.conf で定義されている + ppp_nat の初期値は YES なので) + ppp_nat="NO" + を明示的に設定して無効にする必要があります。 また /etc/ppp/ppp.conf の中の nat enable yes または alias enable yes を削除する必要があるでしょう。 - 防火壁へのルールセット - + ファイアウォールへのルールセット + さて、ほとんどのことをやりおわりました。 - 残る最後の仕事は防火壁のルールを定義することです。 - それから再起動すると、防火壁が立ち上がり稼働するはずです。 + 残る最後の仕事はファイアウォールのルールを定義することです。 + それから再起動すると、ファイアウォールが立ち上がり稼働するはずです。 私はルールベースを定義する段階に達すると、 すべての人が若干異なる何かを求めているのだとと実感しています。 私が努力してきたのは、 ほとんどのダイアルアップユーザに適合したルールセットを書くことです。 - あなたは自分の必要のために - 単純に以下のルールを土台として用いることによって + あなたは自分の必要のために以下のルールを土台として用いることによって 自分用のルールベースに変更することができます。 - まず、閉じた防火壁の基礎から始めましょう。 + まず、閉じたファイアウォールの基礎から始めましょう。 望むのは初期状態ですべてを拒否することです。 - それからあなたが本当に必要とすることだけのために防火壁をあけましょう。 + それからあなたが本当に必要とすることだけのためにファイアウォールをあけましょう。 ルールはまず許可し、それから拒否するという順番であるべきです。 その前提はあなたの許可のための規則を付加するとういことで、 それから他の全ては拒否されます。:) - では /etc/firewall ディレクトリを作りましょう。 + では /etc/firewall + ディレクトリを作成しましょう。 ディレクトリをそこへ変更し、 rc.conf で規定した fwrules ファイルを編集します。 @@ -214,17 +220,17 @@ ppp_profile="profile" この手引きはファイル名の一例を与えるだけです。 - それでは、防火壁ファイルの見本を見てみましょう。 - そのすべてを詳細に説明します。 + それでは、ファイアウォールファイルの設定例を見てみましょう。 + 注釈も参考にしてください。 # Firewall rules # Written by Marc Silver (marcs@draenor.org) # http://draenor.org/ipfw -# Freely distributable +# Freely distributable -# (/etc/rc.firewall にあるように) 参照を簡単にするために防火壁のコマンドを定義します。 -# 読みやすくするのに役立ちます。 +# (/etc/rc.firewall にあるように) 参照を簡単にするためにファイアウォールの +# コマンドを定義します。読みやすくするのに役立ちます。 fwcmd="/sbin/ipfw" # 再読込みする前に現在のルールの消去を強制します。 @@ -245,7 +251,7 @@ $fwcmd add allow tcp from any to any out xmit tun0 setup $fwcmd add allow tcp from any to any via tun0 established # 以下のサービスへ接続することをインターネット上のすべての人に許可します。 -# この例では人々は ssh と apache に接続してよいということを示しています。 +# この例では ssh と apache への接続を許可します。 $fwcmd add allow tcp from any to any 80 setup $fwcmd add allow tcp from any to any 22 setup @@ -261,16 +267,17 @@ $fwcmd add allow udp from x.x.x.x 53 to any in recv t # (ping と traceroute を動作させるために) ICMP を許可します。 # これを非許可にしたいと思うかもしれませんが、 # 需要を保ちつづけるには適していると感じています。 -$fwcmd add 65435 allow icmp from any to any +$fwcmd add allow icmp from any to any # 残りの全てを拒否します。 -$fwcmd add 65435 deny log ip from any to any +$fwcmd add deny log ip from any to any あなたは 22 番と 80 番のポートへの接続を許可し、 - それ以外に試みられるすべての接続を記録する十分に機能的な防火壁を手にしました。 + それ以外に試みられるすべての接続を記録する + 十分に機能的なファイアウォールを手にしました。 では、あなたは安全に再起動することができて、 - あなたの防火壁はうまく立ち上がるはずです。 + あなたのファイアウォールはうまく立ち上がるはずです。 もしこれに正しくないことを見つけたら、 もしくは任意の問題を経験したら、 さもなくばこのページを向上させるための任意の提案があるなら、 @@ -279,26 +286,28 @@ $fwcmd add 65435 deny log ip from any to any 質問 - + - 組込みの ppp フィルタを使ってもよいのに、 - なぜ natd と ipfw を使っているのですか? + 組込みの &man.ppp.8; フィルタを使ってもよいのに、 + なぜ &man.natd.8; と &man.ipfw.8 を使っているのですか? 正直に言うと、 - 組込みの ppp フィルタの代わりに - ipfw と natd を使う決定的な理由はないと言わなければなりません。 + 組込みの ppp フィルタの代わりに + ipfwnatd + を使う決定的な理由はないと言わなければなりません。 いろいろな人と繰り返してきた議論より、 - ipfw は確かに ppp フィルタよりもパワフルで設定に融通がきく一方、 + ipfw は確かに + ppp フィルタよりもパワフルで設定に融通がきく一方、 それが機能的であるために作り上げたものはカスタマイズの容易さを 失っているということで意見の一致をみたようです。 私がそれを使う理由のひとつはユーザランドのプログラムでするよりも、 - カーネルレベルで行う防火壁の方を好むからです。 + カーネルレベルで行うファイアウォールの方を好むからです。 @@ -308,7 +317,7 @@ $fwcmd add 65435 deny log ip from any to any limit 100 reached on entry 2800 のようなメッセージを受け取った後、 ログの中にそれ以上の拒否を全く見なくなりました。 - 防火壁はまだ動作しているのでしょうか? + ファイアウォールはまだ動作しているのでしょうか? @@ -316,8 +325,15 @@ $fwcmd add 65435 deny log ip from any to any 単にルールのログカウントが最大値に達したということを意味しています。 ルール自身はまだ機能していますが、 ログカウンタをリセットするまでそれ以上ログを記録しません。 - これは ipfw コマンドに resetlog - オプションを頭につけて実行するだけでできます。 + + ipfw resetlog コマンドにより、 + ログカウンタをリセットすることができます。 + また、この限界値を上述の + オプションで + 変更することもできます。 + さらに、この値は (カーネルを再構築して再起動せずに) + net.inet.ip.fw.verbose_limit を + &man.sysctl.8; で変更することができます。 @@ -329,21 +345,23 @@ $fwcmd add 65435 deny log ip from any to any $fwcmd add deny all from any to 192.168.0.0:255.255.0.0 via tun0 のようなコマンドを 内部のマシンへ試みられる外部からの接続を防止するために - 防火壁のルールに追加してもいいですか? + ファイアウォールのルールに追加してもいいですか? 端的な答えは no です。 この問題に対するその理由は - natd は tun0 デバイスを通して divert されている + natd は + tun0 デバイスを通して divert されている あらゆるもの に対してアドレス変換を行っているということです。 それが関係している限り、 入ってくるパケットは動的に割り当てられた IP アドレスに対してのみ話し、 - 内部ネットワークに対しては *話さない* のです。 - 防火壁経由で外へ出て行くホストからあなたの内部ネットワーク上のホストを制限する + 内部ネットワークに対しては話さないのです。 + ファイアウォール経由で外へ出て行くホストから + あなたの内部ネットワーク上のホストを制限する $fwcmd add deny all from 192.168.0.4:255.255.0.0 to any via tun0 のようなルールを追加することができるということにも気をつけてください。 @@ -377,7 +395,8 @@ $fwcmd add 65435 deny log ip from any to any よって &man.pppd.8; による接続を始めるなら ppp0 の代わりに tun0 を用いて下さい。 - この変更を反映する防火壁のルールを編集する早道は以下に示されています。 + この変更を反映するファイアウォールのルールを + 編集する早道は以下に示されています。 元のルールセットは fwrules_tun0 としてバックアップされています。 diff --git a/ja_JP.eucJP/articles/diskless-x/article.sgml b/ja_JP.eucJP/articles/diskless-x/article.sgml index 937dac7c7b..3353cf3487 100644 --- a/ja_JP.eucJP/articles/diskless-x/article.sgml +++ b/ja_JP.eucJP/articles/diskless-x/article.sgml @@ -2,7 +2,7 @@ The FreeBSD Documentation Project The FreeBSD Japanese Documentation Project - Original revision: 1.9 + Original revision: 1.10 $FreeBSD$ --> -r-xr-xr-x 1 root wheel 1992 Jun 10 1995 ./dev/MAKEDEV.local -r-xr-xr-x 1 root wheel 24419 Jun 10 1995 ./dev/MAKEDEV - dev ディレクトリで MAKEDEV all + (FreeBSD 5.X において初期状態で有効になっている) &man.devfs.5; + を利用していないのであれば、dev ディレクトリで + MAKEDEV all するのを忘れずに。 altair/etc/rc