12. 上級の設定

この文書を締めくくる前に、検討したい設定があります。 多分、今までの概要の説明で大部分の人は足りるでしょう。 しかし、次の項でいくつかの疑問を解決できるもっと上級の設定を示そうと 思います。 今まで説明してきたことだけではあなたの疑問を解決できないのなら、あるいは、 プロキシサーバとファイアウォールによってどれほど多彩な設定が 可能なのかという点に興味があるなら、もうすこし読んでみてください。

12.1 安全性の重視が必要な大きなネットワーク

さて、例として、あなたは millisha という結社のリーダーで、サイトを ネットワークに接続したいと思っています。 50 台のコンピュータと 32 個 (5 ビット) の IP 番号のサブネットがあります。 信望者に異なることを言う理由から、ネットワーク内での様々なアクセスの レベルが必要です。 その結果、ネットワークの特定部分をそれ以外の部分から保護する必要が あるでしょう。

そのレベルは -

1. external(外部) レベル。誰でも見れるレベルです。新しい志願者を募る 為に、情熱的な演説や派手なパフォーマンスを行なって、一般大衆に自分達の イメージをはっきりと印象づけるための場所です。
2. Troop(実行部隊) external レベルを越えた人たちのレベルです。 ここは邪悪な方法での人心掌握や、爆弾の製造方法について教えるところです。
3. Mercenary(参謀本部) ここは本当の計画を保持し ています。このレベル内には、世界征服の方法、世間を騒がせた事件の真相な どの全ての情報が保持されています。 【訳注: 訳文は日本向けであることを 鑑み原文と違っています。原文は以下のとおり - Here is where the real plans are keep. In this level is stored all the information on how the 3rd world government is going to take over the world, your plans involving Newt Gingrich, Oklahoma City, lown care products and what really is stored in that hangers at area 51.】

ネットワーク設定

IP 番号の取り決め -

• 番号の 1 つである 192.168.1.255 は、ブロードキャストアドレスなので 使用できません。
• 32 個の IP アドレスの内 23 個は 23 台のマシンに割り当てます。これ らのマシンはインターネットにアクセスできるようにします。
• 1 個の extra(特別な) IP アドレスをネットワーク上の Linux box に与 えます。
• 1 個の extra IP アドレスをネットワーク上の異なる Linux box に与え ます。
• 2 個の IP アドレスをルータに与えます。
• 4 個残ってますが、ドメイン名 paul, ringo, john, george に与えま す。これはちょっと面食らわしただけです。
• 保護された両方のネットワークはアドレス 192.168.1.xxx です。

次に、分離した 2つのネットワークを、それぞれ異なった部屋に構築します。 2つのネットワークは赤外線イーサネットを使って接続されます。 なので、ネットワークは部屋の外部から完全に隠されます。 幸いにも赤外線イーサネットは、普通のイーサネットと全く同様に動作します。

これらのネットワークは、extra IP アドレスを使って Linux box の 1つに 接続されます。

保護された 2つのネットワークが接続されたファイルサーバがあります。 Troop 以上の人々が関与する世界征服計画用のサーバです。 ファイルサーバは Troop ネットワーク用に 192.168.1.17 のアドレスを、 Mercenary ネットワーク用に 192.168.1.23 を持っています。 異なるイーサネットカードを持たなければならないので、異なる IP アドレスを 持たなければなりません。 その IP Forwarding はオフにします。

両方の Linux box の IP Forwarding もオフにします。 ルータは特に指定しない限り 192.168.1.xxx に向かうパケットは転送しないので、 インターネットから入って来れません。 IP Forwarding をオフにすることは、Troop ネットワークからのパケットを Mercenary ネットワークに到達させないことと、その逆の流れもさせないことを 意味します。

また、異なるネットワークに異なるファイルを提供する設定を NFS サーバにも できます。 これは役立つことで、シンボリックリンクを用いたちょっとした要領で、 普通のファイルを全て共有することができます。 この設定ともう一枚のイーサネットカードを用いることで、 3つ全ての ネットワークにこの一台のファイルサーバでファイルを提供することができます。

プロキシ設定

さて、 3つ全てのレベルがその独自の邪な目的の為にネットワーク上の 情報を傍受できるようにしたいので、 3つ全てでネットワークにアクセスできる 必要があります。 external ネットワークは直接インターネットに接続されるので、この界面に プロキシサーバを置いてはなりません。 Mercenary と Troop のネットワークはファイアウォールの後ろにあるので、 ここにプロキシサーバを設定する必要があります。

両方のネットワークは非常に似た設定になります。両方のネットワークは同じ IP アドレスが割り当てられます。 もっと興味深いものにする為に、いくつかの要素を加えてみたいと思います。

1. 誰もファイルサーバをインターネットアクセス用に使ってはなりません。 ファイルサーバがウィルスや他の意地悪なことにさらされることは、かなり 重要なことなので、立ち入り禁止です。
2. troop ネットワークからワールドワイドウェブにアクセスすることは 許しません。 彼らは訓練中であり、この種の外部の情報の検索を許すことは結果として 有害な結果に終わることがままあるものです。

だから、Troop の Linux box 上の sockd.conf ファイルには次の行があります。

    deny 192.168.1.17 255.255.255.255

そして、Mercenary のマシンには -

    deny 192.168.1.23 255.255.255.255

があります。また、Troop の Linux box には次の行があり -

    deny 0.0.0.0 0.0.0.0 eq 80

80 に等しい (eq) ポート (http のポート) にアクセスを試みる全てのマシン を拒否 (deny) します。 他の全てのサービスをまだ許しています。ウェブアクセスのみ拒否しています。

次に、両方のマシンのファイルには -

    permit 192.168.1.0 255.255.255.0

があり、192.168.1.xxx のネットワーク上の全てのコンピュータが、既に 拒否したこと (すなわち Troop ネットワークからのファイルサーバと ウェブへのアクセス) を除き、このプロキシサーバを使うことを許します。

Troop の方の sockd.conf ファイルは次のようになります -

    deny 192.168.1.17 255.255.255.255
    deny 0.0.0.0 0.0.0.0 eq 80
    permit 192.168.1.0 255.255.255.0

そして Mercenary の方のファイルは次のようになります -

    deny 192.168.1.23 255.255.255.255
    permit 192.168.1.0 255.255.255.0

全ての事柄を正しく設定したはずです。 各ネットワークは適切に、程良い交流を保って分離されます。