導入2〜1日前 (^^);;

 別CDの中にカーネル 2.2.15 のRPMが入っておりましたので、それにてアップデートをしました。 やり方はFAQなのでTurboLinuxのホームページに載ってますのでそちらをどうぞ。

 さて、eth1はDHCPにしたはず・・・・ではあるのですが、若干不安なので確認する方法はないものかと思ったのですが、「あぁ、ISDNルーターがあるじゃないか」と思い出してケーブルを繋いで確認をしました。(普段固定でIPをふっているので)

 で、問題なく起動時にDHCP取得にしておくと ifconfig にてIPが割りあたっていることが確認できました。


 さて、肝心要のIP Masquaradeに関する設定をしました。 実は私自身は初めてやることです。 ですので参考書や事前に検索エンジンでいろいろあたってみて参考になるところを片っ端から探っておき、以下の設定に至った次第です。(先人の方々に感謝) 説明が前後してしまいますが、大体私のたどった道とお考え下さい。

 IP MasquaradeはLinuxのカーネル 2.0と2.2では設定の方法に違いがあるようです。 私の場合は先ほどつっこんだ 2.2.15ですので ipchains というもので詳細なデータのやりとりに関する定義を行います。 ipchainsはディストリビューションによっては入っていない場合もあるらしいのですが、TL6にはRPMで入っていました。(インストール時に既に入っていました)

 あ、それ以前の大前提にカーネル自体がIP Masquaradeが有効な状態で構築されていないといけません。 私の場合RPMでまんま入れたのですが、まぁたぶん有効でしょう・・・。(だめならカーネル再構築・・・めんどいんだよなぁ)

 さて、実際の設定ファイルですが、探してみると /etc/ipchains.rules というファイルがありました。 中身は以下のようになっていました。

:input ACCEPT
#:forward ACCEPT
:forward DENY
:output ACCEPT
# if you use ip masqarade
# you can never load ip_masq_* module at /etc/rc.d/rc.modules
# /sbin/modprobe ip_masq_ftp.o
# /sbin/modprobe ip_masq_raudio.o
# /sbin/modprobe ip_masq_irc.o
# /sbin/modprobe ip_masq_cuseeme.o
# /sbin/modprobe ip_masq_vdolive.o
# /sbin/modprobe ip_masq_quake.o
#
#-A forward -s 192.168.212.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ

 IP Masquarade というものは普通に設定すると、中には通らないプロトコルがあるそうで、そのための別モジュールを組み込む必要があるのだそうです。 そのモジュールが上で出てくる「ip_masq_〜.o」です。 "〜"の部分は見てのとおりFTPやRealAudioなどを指しています。 必要なモノだけ行頭の#をとればいいということですな。 一番最後の行は、いきなり「-A」なんかで始まっていますが、これは ipchains へ渡すパラメータだと思います。

 設定中語句の説明となりますが、「input」は入ってくるデータ(パケット)、「output」は出ていくデータ、「forward」は受け取ったデータを他所に転送すること(ルーティング)とそれぞれについての扱いを指すと思っていてください。

 IP Masquaradeを有効にするにはお約束の設定があって、 /etc/sysconfig/network をエディタで開いて、「FORWARD_IPV4=yes」 にしないとだめだそうです。(デフォルトはnoになってます。"no"以外ならyesと同じ扱いのようですが・・・)

 そんなところで今どういう状態かを見るのに ipchains -L と入れてみますと、

Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):

と出てきました。何でもあり?な状態なのか?。

 設定するにあたってはポリシーをどうするかという事が大事になってくるようです。 何でもデータを通してしまう様にすれば、悩むことなくなんでも出来ちゃうのですが、反面そのLinuxマシン、さらには内部のLAN上までも世間に無防備にさらすこととなってクラッカーのいい餌食になってしまうことでしょう。 ですので、6日目で記したTcp Wrapper と同様に「基本的には全て不可。必要部分だけ許可」という方法を取るのが普通だと思います。

 とりあえず・・・・まぁ何でもありから徐々に設定をしていくことにしようと思います。


 1日ほとんどipchainsの理解に費やしてしまいました。 もう明日来ちゃいます。(^^);
まぁいっか。とりあえずLinuxからつなげるようになって、それから内部透過の設定をしよう。