このドキュメントは the Linux Cipe+Masquerading mini-HOWTO です。あなたの LAN と他の LAN の間に linux のマスカレーディング タイプのファイアーウォールである Cipe を使って、バーチャル・プライベート・ネットワークを構築する方法を解説 します。マスカレーディング タイプのファイアーウォールの設定例もあわせて紹介 します。
C)opyright 1998, 1999 Anthony Ciaravalo, acj@home.com
このドキュメントの著作権は (C)opyright 1998, 1999 Anthony Ciaravalo, acj@home.com が保有しています。
特に明記しない限り、Linux HOWTO ドキュメントの著作権はそれぞれの著者が 保有しています。Linux HOWTO ドキュメントの全体あるいは一部は、物理的 もしくは電子的な複製および配布が可能です。ただしこの著作権表示をすべて のコピーに付ける必要があります。商業配布も可能であり、またそれを推奨し ます。ただし著者にはその旨を連絡してください。
Linux HOWTO ドキュメントに関するすべての翻訳、修正および編集の結果は、 すべてこの著作権表示にしたがわなければなりません。つまりこの HOWTO を修正した後に、配布条件に制限を加えることはできません。ただし例外と して適正な修正であると判断された場合は制限することもできます。まずは Linux HOWTO のコーディネータに連絡してください。アドレスを下記にあげ ます。
疑問があれば Linux HOWTO のコーディネータの Tim Bynum 氏に連絡を とってください。連絡先は、 tjbynum@wallybox.cei.net か linux-howto@metalab.unc.edu です。
ご自分の責任において、このドキュメントに書かれている内容や参考例を利用
してください。
インターネットを経由してネットワークを相互に接続する場合、セキュリティ上
解決しなければならない問題が数多くあります。いくら情報を暗号化しても、
いい加減にファイアーウォールを設定していれば、そこから不正な侵入を許すこと
になりかねません。cipe による接続を守ることで、これらの不正行為を予防でき
ます。しかし 安全を 100 % 保証することはできません。
著者はこのドキュメントで提供している安全なネットワーク環境について、いかなる
保証もいたしません。もちろん可能な限り正確に記述するように努めましたが、この
ドキュメントの情報にもとづいて行った行為によって生じた、いかなる問題や障害に
ついても一切責任を持ちません。
疑問やコメント、提案もしくは訂正があれば、 acj@home.comまでご連絡ください。
このドキュメントは、Cipe 1.0.1 と 1.0.2 をベースに書かれています。参考 資料のセクションにある Cipe のホーム・ページを参照してください。
このドキュメントはすでにあなたが IP マスカレーディングをサポートした カーネルを作っていることを前提にしています。linux でファイアーウォール 機能を持ったカーネルを構築する方法については、参考資料を参照してください。
例となるネットワークは、ハブを使用してスター型に接続されています。 cipe による接続はマシン A からマシン B と マシン A からマシン C となります。
Machine A
eth0: 192.168.1.1
eth1: real ip 1
/ \
/ \
Machine B Machine C
eth0: 192.168.2.1 eth0:192.168.3.1
eth1: real ip 2 eth1: real ip 3
eth0 はローカル・ネットワーク(ダミーのアドレス)
eth1 はインターネット・アドレス(正式なアドレス)
Port A はあなたの環境において問題が生じないポート。
Port B はあなたの環境において問題が生じない A 以外のポート。
Key A はあなたの環境においてユニークな識別キー(詳しくは cipe
のドキュメントを見てください)。
Key B はあなたの環境においてユニークな A 以外の識別キー。
ip-up のスクリプトは cipe のインターフェースを経由したクラス C ネットワーク の接続だけを仮定しています。もしマシン B とマシン C でやりとりしたいなら、 ip-up と ip-down のスクリプトを適切に修正する必要があります。特に ptpaddr と myaddr のネットマスクを修正することが大切です。2 つの ip-up スクリプトを載せて ありますが、ipchains を使った場合と ipfwadm を使った場合の例です。 ip-down スクリプトも同様です。cipe インターフェースに入出する、またはフォワーディング する通信に対してかけられているファイアーウォールのルールについてもネットマスク を 24 ビットから 16 ビットに正しく修正する必要があります。 ipfwadm 用に ip-up スクリプトで修正したファイアーウォールのルールが ip-down スクリプトにも反映されていることを確認してください。つまりインターフェース がダウンした場合は、その設定が間違いなく削除されることを確認してください。 ipchains の設定ファイルの場合はどうかというと、何を追加しても ip-down には 変更をする必要はありません。それは ip-down がユーザが設定したルールを全て フラッシュするからです。
また 他のネットワークへルーティングができるように、rc.cipe にあるマシン B と C へのルーティングに関する記述をコメントアウトする必要もあります。