8bae569f65
1.32 -> 1.39 articles/dialup-firewall/article.sgml Submitted by: Hiroo Ono <hiroo at oikumene dot gcd dot org> Reference: [doc-jp-work 928]
346 lines
13 KiB
Text
346 lines
13 KiB
Text
<!--
|
|
The FreeBSD Documentation Project
|
|
The FreeBSD Japanese Documentation Project
|
|
|
|
Original revision: 1.39
|
|
$FreeBSD$
|
|
-->
|
|
|
|
<!--
|
|
訳:
|
|
倉品 rushani@bl.mmtr.or.jp
|
|
-->
|
|
|
|
<!DOCTYPE article PUBLIC "-//FreeBSD//DTD DocBook V4.1-Based Extension//EN" [
|
|
<!ENTITY % articles.ent PUBLIC "-//FreeBSD//ENTITIES DocBook FreeBSD Articles Entity Set//EN">
|
|
%articles.ent;
|
|
]>
|
|
|
|
<article>
|
|
<articleinfo>
|
|
<title>FreeBSD によるダイアルアップ式ファイアウォールの構築</title>
|
|
|
|
<authorgroup>
|
|
<author>
|
|
<firstname>Marc</firstname>
|
|
<surname>Silver</surname>
|
|
|
|
<affiliation>
|
|
<address><email>marcs@draenor.org</email></address>
|
|
</affiliation>
|
|
</author>
|
|
</authorgroup>
|
|
|
|
<pubdate>$FreeBSD$</pubdate>
|
|
|
|
<legalnotice id="trademarks" role="trademarks">
|
|
&tm-attrib.freebsd;
|
|
&tm-attrib.general;
|
|
</legalnotice>
|
|
|
|
<abstract>
|
|
<para>
|
|
この記事は FreeBSD の PPP ダイアルアップと IPFW
|
|
を用いながらどのようにファイアウォールをセットアップするか、
|
|
特に動的に割り当てられた
|
|
IP アドレスによるダイアルアップ上のファイアウォールについて、
|
|
事実を元に詳細に説明します。
|
|
なお、始めにしなければならない PPP 接続の設定については触れて
|
|
いません。PPP 接続の設定について詳しいことは、&man.ppp.8; のマ
|
|
ニュアルを参考にしてください。</para>
|
|
</abstract>
|
|
</articleinfo>
|
|
|
|
<sect1 id="preface">
|
|
<title>序文</title>
|
|
|
|
<para>FreeBSD によるダイアルアップ式ファイアウォールの構築</para>
|
|
|
|
<para>
|
|
この文書はあなたの ISP によって
|
|
IP アドレスが動的に割り当てられる場合に、FreeBSD で
|
|
ファイアウォールを設定するのに必要な手順の概略を述べるものです。
|
|
この文書を可能な限り有益で正確なものにするために努力しているので、
|
|
どうぞ修正、意見や提案を、
|
|
<email>marcs@draenor.org</email>
|
|
宛で著者に送って下さい。</para>
|
|
</sect1>
|
|
|
|
<sect1 id="kernel">
|
|
<title>カーネルオプション</title>
|
|
|
|
<para>IPFW を使うためには、それに対応するようにカーネルを
|
|
コンパイルしなければなりません。
|
|
カーネルを再コンパイルする方法についてのさらなる情報は、
|
|
<ulink url="&url.books.handbook;/kernelconfig.html">ハンドブックの
|
|
カーネルのコンフィグレーションの節</ulink>をご覧ください。
|
|
IPFW に対応するには、カーネルの設定ファイルに以下のオプションを
|
|
追加しなければなりません。</para>
|
|
|
|
<variablelist>
|
|
<varlistentry>
|
|
<term><literal>options IPFIREWALL</literal></term>
|
|
|
|
<listitem>
|
|
<para>カーネルのファイアウォールのコードを有効にします。</para>
|
|
<note><para>この文書では、&os; 5.X を動かしていると仮定して
|
|
います。&os; 4.X を動かしているユーザーは、カーネルを
|
|
<emphasis>IPFW2</emphasis> に対応するよう
|
|
再コンパイルしなければなりません。&os; 4.X のユーザーは、
|
|
システムで IPFW2 を利用するための詳細は
|
|
&man.ipfw.8; のマニュアルページを参考にしてください。特に、
|
|
<emphasis>USING IPFW2 IN FreeBSD-STABLE</emphasis>
|
|
という節は注意深く読んでください。</para></note>
|
|
</listitem>
|
|
</varlistentry>
|
|
|
|
<varlistentry>
|
|
<term><literal>options IPFIREWALL_VERBOSE</literal></term>
|
|
|
|
<listitem>
|
|
<para>システムの logger へ記録されたパケットを送ります。</para>
|
|
</listitem>
|
|
</varlistentry>
|
|
|
|
<varlistentry>
|
|
<term><literal>options
|
|
IPFIREWALL_VERBOSE_LIMIT=<replaceable>500</replaceable></literal></term>
|
|
|
|
<listitem>
|
|
<para>当てはまるエントリが記録されうる数を制限します。
|
|
これは、サービス不能 (DoS) 攻撃が起きても、syslog が溢れる
|
|
危険を避けて、ファイアウォールの活動を記録できるようにします。
|
|
<replaceable>500</replaceable> は妥当な数ですが、あなたの
|
|
要件に基づいて調整できます。</para>
|
|
</listitem>
|
|
</varlistentry>
|
|
</variablelist>
|
|
|
|
<warning><para>カーネルの再コンパイルが完了しても、システムを
|
|
<emphasis>再起動しないで</emphasis>下さい。
|
|
そうしてしまうと、結果的にシステムから閉め出されてしまう
|
|
可能性があります。ルールセットを適切に配置し、関連する設定ファイルを
|
|
すべて更新するまでは再起動してはいけません。</para></warning>
|
|
</sect1>
|
|
|
|
<sect1 id="rcconf">
|
|
<title>ファイアウォールを搭載するように
|
|
<filename>/etc/rc.conf</filename> を変更する</title>
|
|
|
|
<para>システムでファイアウォールを有効にし、ルールファイルのありかを
|
|
指定するために <filename>/etc/rc.conf</filename>
|
|
を若干変更する必要があります。
|
|
<filename>/etc/rc.conf</filename> に以下の行を加えてください。</para>
|
|
|
|
<programlisting>firewall_enable="YES"
|
|
firewall_script="/etc/firewall/fwrules"</programlisting>
|
|
|
|
<para>
|
|
上記の設定に関するより詳しい情報は
|
|
<filename>/etc/defaults/rc.conf</filename> を参照した上で、
|
|
&man.rc.conf.5; を読んで下さい。</para>
|
|
</sect1>
|
|
|
|
<sect1>
|
|
<title>PPP のネットワークアドレス変換を有効にする</title>
|
|
|
|
<para>ネットワーク内のクライアントがゲートウェイ経由で接続できる
|
|
ようにするには、PPP のネットワークアドレス変換 (NAT) を有効に
|
|
しなければなりません。PPP の NAT 機能を利用するには、次の行を
|
|
<filename>/etc/rc.conf</filename> に追加してください。</para>
|
|
|
|
<programlisting>ppp_enable="YES"
|
|
ppp_mode="auto"
|
|
ppp_nat="YES"
|
|
ppp_profile="<replaceable>your_profile</replaceable>"</programlisting>
|
|
|
|
<note><para><literal>your_profile</literal> をあなた自身のダイアル
|
|
アッププロファイルに変更するようにしてください。</para></note>
|
|
</sect1>
|
|
|
|
<sect1 id="rules">
|
|
<title>ファイアウォールへのルールセット</title>
|
|
|
|
<para>ここであなたのシステム用のファイアウォールルールを定義します。
|
|
私たちが記述するルールセットは、大部分のダイアルアップユーザ向けの
|
|
一般的な雛型です。ユーザ毎の要求にぴったり合わないでしょうが、IPFW
|
|
の動作について基本的な理解を得られ、要求に合わせて設定を変更する
|
|
のは結構簡単なはずです。</para>
|
|
|
|
<para>まずは、閉鎖的なファイアウォールの基礎から始めましょう。閉鎖的な
|
|
ファイアウォールは、設定がない場合はすべて拒否するという考えに
|
|
基づいています。それから、管理者は許可したい通信用のルールを明示的に
|
|
追加できます。通信用のルールは、許可が先でそれから拒否という
|
|
順番であるべきです。許可したいものすべてについてルールを追加して、
|
|
それ以外はすべて自動的に拒否されることを前提とします。</para>
|
|
|
|
<para>それでは、ファイアウォールのルールを保存するディレクトリを
|
|
作成しましょう。この例では、
|
|
<filename class="directory">/etc/firewall</filename> を用います。
|
|
ディレクトリをそこへ変更し、
|
|
<filename>rc.conf</filename> で規定した
|
|
<filename>fwrules</filename> ファイルを編集します。
|
|
このファイル名を自分が望む任意のものに変更できるということに気をつけてください。
|
|
この手引きはあなたが使おうとするかもしれないファイル名の一例を
|
|
与えるだけです。</para>
|
|
|
|
<para>それでは、きちんと注釈が施されたファイアウォールファイルの
|
|
例を見てみましょう。</para>
|
|
|
|
<programlisting># (/etc/rc.firewall にあるように) 参照を簡単にするためにファイアウォールの
|
|
# コマンドを定義します。読みやすくするのに役立ちます。
|
|
fwcmd="/sbin/ipfw"
|
|
|
|
# 外向けインタフェースを定義します。ユーザーランド ppp では、
|
|
# 何も設定しないと tun0 になります。
|
|
oif="tun0"
|
|
|
|
# 内向けインタフェースを定義します。通常はネットワークカードに
|
|
# なります。これを必ずあなたのネットワークインタフェースに
|
|
# 合わせて変更するようにしてください。
|
|
iif="fxp0"
|
|
|
|
# ルールを再読込みする前に、現在のルールを強制的に消去します。
|
|
$fwcmd -f flush
|
|
|
|
# すべてのパケットの状態を確認します。
|
|
$fwcmd add check-state
|
|
|
|
# 外向けインタフェース側でなりすましを防ぎます。
|
|
$fwcmd add deny ip from any to any in via $oif not verrevpath
|
|
|
|
# 私たちが開始した接続はすべて許可し、状態を保存します。
|
|
# しかし、動的なルールを持たない確立した接続は拒否します。
|
|
$fwcmd add allow ip from me to any out via $oif keep-state
|
|
$fwcmd add deny tcp from any to any established in via $oif
|
|
|
|
# ネットワーク内の接続はすべて許可します。
|
|
$fwcmd add allow ip from any to any via $iif
|
|
|
|
# ローカルな通信をすべて許可します。
|
|
$fwcmd add allow all from any to any via lo0
|
|
$fwcmd add deny all from any to 127.0.0.0/8
|
|
$fwcmd add deny ip from 127.0.0.0/8 to any
|
|
|
|
# インターネット側のユーザに 22 番と 80 番ポートへ接続することを
|
|
# 許可します。この例では、sshd とウェブサーバへの接続を特に許可しています。
|
|
$fwcmd add allow tcp from any to me dst-port 22,80 in via $oif setup keep-state
|
|
|
|
# ICMP パケットを許可します。ホストを ping(8) に応答させたくなければ、
|
|
# icmptypes から 8 を削除してください。
|
|
$fwcmd add allow icmp from any to any via $oif icmptypes 0,3,8,11,12
|
|
|
|
# 残りのすべてを拒否して記録します。
|
|
$fwcmd add deny log ip from any to any</programlisting>
|
|
|
|
<para>22 番と 80 番ポートへの接続のみを許可し、それ以外に試みられた
|
|
接続はすべて記録する、完全に機能するファイアウォールができました。
|
|
これで安全に再起動することができ、ファイアウォールが自動的に
|
|
起動してルールセットが読み込まれるはずです。
|
|
もしこれに何か間違いを見つけたり、何か問題に当たったり、
|
|
このページを改善する提案があるなら、
|
|
どうか私に電子メールを送って下さい。</para>
|
|
</sect1>
|
|
|
|
<sect1>
|
|
<title>質問</title>
|
|
|
|
<qandaset>
|
|
<qandaentry>
|
|
<question>
|
|
<para>
|
|
<errorname>limit 500 reached on entry 2800</errorname>
|
|
のようなメッセージが出た後、私のマシンはそのルール番号に対
|
|
応する拒否されたパケットを記録しなくなりました。
|
|
ファイアウォールはまだ動作しているのでしょうか?</para>
|
|
</question>
|
|
|
|
<answer>
|
|
<para>単にそのルールのログカウントが最大値に達した
|
|
ということを意味しています。ルール自体はまだ機能していますが、
|
|
ログカウンタをリセットするまでそれ以上ログを記録しません。
|
|
カウンタのリセット方法の例を以下に示します。</para>
|
|
<screen>&prompt.root; <userinput>ipfw resetlog</userinput></screen>
|
|
<para>また、この限界値を上述の
|
|
<option>IPFIREWALL_VERBOSE_LIMIT</option> オプションで
|
|
変更することもできます。
|
|
さらに、この限界値は (カーネルを再構築して再起動せずに)
|
|
&man.sysctl.8; の net.inet.ip.fw.verbose_limit 変数により
|
|
変更することもできます。</para>
|
|
</answer>
|
|
</qandaentry>
|
|
|
|
<qandaentry>
|
|
<question>
|
|
<para>
|
|
何か間違っているに違いありません。
|
|
私はあなたの説明に文字通り従いましたが、
|
|
締め出されてしまいました。</para>
|
|
</question>
|
|
|
|
<answer>
|
|
<para>
|
|
このチュートリアルはあなたが
|
|
<emphasis>userland-ppp</emphasis>
|
|
を稼働していて、その結果
|
|
<devicename>tun0</devicename>
|
|
[&man.ppp.8; (またの名を <emphasis>user-ppp</emphasis>)
|
|
で作られる最初の接続に相当します]
|
|
インタフェース上で供給されたルールセットが動作していることを想定しています。
|
|
さらなる接続は
|
|
<devicename>tun1</devicename>、<devicename>tun2</devicename>
|
|
などを用います。</para>
|
|
|
|
<para>
|
|
&man.pppd.8; が
|
|
<devicename>ppp0</devicename>
|
|
インタフェースを代わりに用いるということにも注意するすべきです。
|
|
よって &man.pppd.8; による接続を始めるなら
|
|
<devicename>ppp0</devicename> の代わりに
|
|
<devicename>tun0</devicename> を用いて下さい。
|
|
この変更を反映するファイアウォールのルールを
|
|
編集する早道は以下に示されています。
|
|
元のルールセットは <filename>fwrules_tun0</filename>
|
|
としてバックアップされています。</para>
|
|
|
|
<screen> &prompt.user; <userinput>cd /etc/firewall</userinput>
|
|
/etc/firewall&prompt.user; <userinput>su</userinput>
|
|
<prompt>Password:</prompt>
|
|
/etc/firewall&prompt.root; <userinput>mv fwrules fwrules_tun0</userinput>
|
|
/etc/firewall&prompt.root; <userinput>cat fwrules_tun0 | sed s/tun0/ppp0/g > fwrules</userinput>
|
|
</screen>
|
|
|
|
<para>
|
|
いったん接続が確立したら、
|
|
現在 &man.ppp.8; か &man.pppd.8; のどちらを利用しているかを知るために
|
|
&man.ifconfig.8; の出力で検査することができます。
|
|
例として、&man.pppd.8; で作成された接続では、
|
|
このようなものが目にするでしょう
|
|
(関係のあるものだけ示しています)。</para>
|
|
|
|
<screen> &prompt.user; <userinput>ifconfig</userinput>
|
|
<emphasis>(skipped...)</emphasis>
|
|
ppp0: flags=<replaceable>8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1524</replaceable>
|
|
inet <replaceable>xxx.xxx.xxx.xxx</replaceable> --> <replaceable>xxx.xxx.xxx.xxx</replaceable> netmask <replaceable>0xff000000</replaceable>
|
|
<emphasis>(skipped...)</emphasis>
|
|
</screen>
|
|
|
|
<para>
|
|
他方で、&man.ppp.8; (<emphasis>user-ppp</emphasis>)
|
|
で作成された接続では、
|
|
あなたはこれに似たものを目にするはずです。</para>
|
|
|
|
<screen> &prompt.user; <userinput>ifconfig</userinput>
|
|
<emphasis>(skipped...)</emphasis>
|
|
ppp0: flags=<replaceable>8010<POINTOPOINT,MULTICAST> mtu 1500</replaceable>
|
|
<emphasis>(skipped...)</emphasis>
|
|
tun0: flags=<replaceable>8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1524</replaceable>
|
|
<emphasis>(IPv6 stuff skipped...)</emphasis>
|
|
inet <replaceable>xxx.xxx.xxx.xxx</replaceable> --> <replaceable>xxx.xxx.xxx.xxx</replaceable> netmask <replaceable>0xffffff00</replaceable>
|
|
Opened by PID <replaceable>xxxxx</replaceable>
|
|
<emphasis>(skipped...)</emphasis></screen>
|
|
</answer>
|
|
</qandaentry>
|
|
</qandaset>
|
|
</sect1>
|
|
</article>
|