概　略

買い出し

• 中古 IBM PC330 (Pentium＠133MHz, RAM24MB, HDD1.6GB) 5,980円
• 中古 キーボード (日本語112) 980円
• 中古 PS/2マウス (インテリ・マウス) 780円
• 新品 LANカード (PCIバス 10Base-T) 900円

Linuxインストール

ローカルネットワーク接続

　このLANカードはインストーラーが自動的に認識してくれました。(あの苦労はな んだったんだろう.. 徒労だ;-) ホストネームは`gw'。ドメインは `hogehoge.bogus'。IPアドレスとサブネットマスクは 192.168.1.254/255.255.255.0 に設定しました。DNSはプロバイダ指定の2つを設定 しました。これらはインストーラーが聞いてます。ここで設定できなくても後から /etc/sysconfig/network を編集すればそれで済むことです。

• /etc/hosts
  　本マシン(以下、gw)はインターネットとのゲートウェイになるので、極 力デーモンを起動させてたくありません。増してやセキュリティホールの温床 である sendmailや bind はなおさらです。 　で、ローカルネットワーク内は /etc/hosts にお任せして、グローバルネッ トワークの時にダイヤルアップするようにと考えています。なので、面倒です がローカルマシンの IPアドレスと名前を /etc/hosts に登録しておきます。
  　以上で、ローカルネットワークに接続完了しました。

TA(モデム)との接続

• /dev/ttyS0 の認識
  　まず、/dev/ttyS0 が認識されているかどうかを見る必要があります。

  # dmesg | grep -i ttyS

  　で、ttyS0(ttyS00)のメッセージがあればOKです。

• /dev/ttyS0 が使用可能か?
  　認識されていても使用できるかどうかは別問題です。つまり、/dev/ttyS0 の 設定がなされているかです。 　ターミナルソフト cu(*1)を使ってそれを確認できます。

  # cu -l /dev/ttyS0

  で接続して、AT と打ち込んで OK が返って来たら接続できています。「~.」で ターミナルソフトが終了します。接続出来ていたら次の節は飛ばしてくださ い。

  (*1) cu がインストールされてない場合は uucp をインストールします。私は、 uucp-1.06.1-20.i386.rpm をインストールしました。

• cu で接続出来ない場合
  　/dev/ttyS0 の設定が出来ていないことが考えられます。setserial(*2)で設 定します。

  # setserial /dev/ttyS0 irq 4 autoconfig # setserial -a /dev/ttyS0 /dev/ttyS0, Line 0, UART: 16550A, Port: 0x03f8, IRQ: 4 Baud_base: 115200, close_delay: 50, divisor: 0 closing_wait: 3000 Flags: spd_normal skip_test

  　`-a'オプションで確認できます。16550UART とか表示されたらOKです。 　前節の cu で TA 接続が出来るはずです。

  (*2) setserial がインストールされてない場合は setserial をインストール します。
  私は setserial-2.17-1.i386.rpm をインストールしました。

PPPダイヤラー:PPxP

• PPxP インストール
  　TurboLinux のディストリビューションに ppxp のrpmパッケージも含まれて いますので、それをインストールしただけです(ppxp-0.99120923-12.i386.rpm, ppxp-devel-0.99120923-12.i386.rpm)。
  　ソースからインストールする場合は、PPxP に先立ってトンネリングドライバ をインストールする必要がありますが、rpmパッケージはこのドライバまで一括 してやってくれるので楽です。
  　ちなみに、トンネリングドライバはいくつか選択肢がありますが、rpm でイ ンストールした場合は userlink ドライバになります。インターフェイス名は `ul0' となります。

• モデム(TA)
  　qdial でモデムを選択する項目がありますが、メジャーなTAはあらかじめ用 意されています。しかし NTT FT50 なんて設定ファイルが容易されてるわけあ りません:-p それで、generic を選択しました。
  　すんなり繋がるわけもなく、ログ(/var/log/ppxp/flets )を見ると、モデム の初期化から失敗していました(笑)。よく見ると FT50には容易されてない AT コマンドが記述されていました。`ATH0' です。これを削除すればOK。
  　qdial で設定したらファイルに保存できるので保存しておきます。私は `flets' と言うファイル名で保存しています。
  　あと、115200bpsではエラーが多くて使い物になりません。 setserialで38400bpsの倍数に設定してみてもダメでした。 いろいろ試してみたのですが断念して57600bpsに設定しています。

• インターネット接続
  　以上で、インターネットに接続できるはずです。lynx 等で確認するとよいで す。

  # ppxp flets ppxp> connect : PPXP> bye (接続したまま抜けるには bye) # lynx http://www.yahoo.com/

• オンデマンド
  　オンデマンドを有効にするには、/etc/ppxp/conf/flets の2行目にでも `auto on' を一行加えるだけです。

• 自動起動
  　マシン起動に ppxp が起動するように /etc/rc.d/initd/ppxpd スクリプトを 作成する。run level の 3 と 5に有効とする。

  # chkconfig --add ppxpd # chkconfig --level 35 ppxpd on

  [/etc/rc.d/init.d/ppxpd/]

  #!/bin/sh # chkconfig: - 49 49 # description: Starts and stops the PPxP server daemons . /etc/sysconfig/network [ ${NETWORKING} = "no" ] && exit 0 # Check config file [ -f /etc/ppxp/conf/flets ] || exit 0 case "$1" in start) /usr/bin/ppxp flets -c by /bin/ping -c 1 www.yahoo.co.jp & ;; stop) /usr/bin/ppxp -c quit ;; restart) $0 stop $0 start ;; *) echo "Usage: $0 {start|stop|restart}" exit 1 esac exit 0

ルーティングの設定

• ゲートウェイマシン
  　フォワードを有効にします。

  # echo 1 > /proc/sys/net/ipv4/ip_forward

  　このコマンドは /etc/rc.d/rc.local 中にで加えておくとよいでしょう。 　それと、/etc/sysconfig/network の IP4_FORWARD を `yes' にします。

• 他のマシン
  　デフォルトゲートウェイに gwの 192.168.1.254 を設定します。

  #/sbin/route add -net 192.168.1.0 gw 192.168.1.254

  　netconf(netconfig) や setup でも設定できます。

IPマスカレード

　ipchains を実行する前にIPマスカレード用に必要なモジュールをインストール する必要があります.
　モジュールインストールとIPマスカレードの設定、及びファイアウォールの設定 は /etc/rc.d/rc.local 内に記述しておくとよいです。以下は追加分の例です。

# module for IP Masquerade kernel=`uname -a | awk '{ print $3 }'` for i in /lib/modules/$kernel/ipv4/ip_masq*.o do /sbin/insmod -s $i done # IP Masquerade, Firewall, ... localhost=127.0.0.1/32 localsubnet=192.168.1.0/24 portlist="21 22 23 25 53 98 110 111 113 119 123 137 138 139 161 194 515 518 901 1178 2010 3128 5680 6000:6010 6667 7000:7010 8080 22273 22289 22305 22321" acceptlist="80" # except IP Spoofing if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then for f in /proc/sys/net/ipv4/conf/*/rp_filter do echo 1 > $f done fi # Clear rule /sbin/ipchains -F # ping /sbin/ipchains -A input -p icmp -s $localhost --icmp-type ping -j ACCEPT /sbin/ipchains -A input -p icmp -s ! $localsubnet --icmp-type ping -j DENY # privent IP Spoofing via ul0(or ppp0..) /sbin/ipchains -A input -i ul0 -s $localsubnet -d 0/0 -l -j DENY # IP masquerade & forward echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/ipchains -P forward DENY /sbin/ipchains -A forward -i ul0 -s $localsubnet -d 0/0 -j MASQ # accept list for i in $acceptlist do /sbin/ipchains -A forward -p tcp -s 0/0 -d 0/0 $i -j ACCEPT /sbin/ipchains -A forward -p udp -s 0/0 -d 0/0 $i -j ACCEPT done # portlist for i in $portlist do /sbin/ipchains -A input -p tcp -s $localhost -d 0/0 $i -j ACCEPT /sbin/ipchains -A input -p tcp -s ! $localsubnet -d 0/0 $i -j DENY /sbin/ipchains -A input -p udp -s $localhost -d 0/0 $i -j ACCEPT /sbin/ipchains -A input -p udp -s ! $localsubnet -d 0/0 $i -j DENY done

ファイアウォール

• ipchains
  　ipchains は Linuxカーネルの NET3プロトコルスタックを操作します。OSI参 照モデルでいうとネットワーク層(3層)〜トランスポート層(4層)でフィルタリ ングを行うことになります。単機能ですが高速です。

  　ipchains はIPアドレス、ポート番号、インターフェイスを指定してフィルタ リングを行えます。 　IP偽装もインターフェスとIPアドレスを指定することで行えます。

• IP偽装(IP Spoofing)の対策
  　ipchains でも設定可能ですが、これに加えてカーネルの機能により IP偽装 を防ぐことができます。ソースアドレス認証(Source Address Verification)で す。

  if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then echo -n "Setting up IP spoofing protection..." for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f done echo "done." fi

• アプリケーションゲートウェイ
  　httpd には各種のユーザー認証があります。
  　telnetデーモン や ftpデーモンは tcp_wrapper(tcpd)を経由して起動されて います。tcp_wrapper は要求を拒否したり許可するIPアドレスを指定できます が、これは何になるのかなぁ。

WWWプロキシ( squid )

• /etc/squid.conf
  　透過プロキシを有効にするための設定.
• 起動設定
  

  # chkconfig --list | grep squid

  　で squid の行がなければ、chkconfig --add squid を実行. 　run level 3と 5の時に有効とするには

  # chkconfig --level 35 squid on

  　としておく。

• ipchainsの設定
  　ローカルホストからのwwwポート(80)のinputチェインを有効(ACCEPT)にして おく.
  　また、gwのグローバルIPアドレスに入ってくるTCPプロトコルのwwwポー ト(80) のinputチェインも有効(ACCEPT)にしておく。グローバルIPアドレスは PPPが確立されてから初めて分かるものなので、設定する時期を考慮する。

  　そして、一番大切なのは`ポートリダイレクト'である。ローカルホストが発 する TCPプロトコルの宛先全ての wwwポート は、squid の決められたポート (3124)にリダイレクトされる必要がある。この設定を ipchains で行う。 　これで透過的なプロキシサーバーの出来上がりである。

インターネットからローカルWebサーバーにアクセス

• ipmasqasmのインストール
  　ipmasqadm はディストリビューションに含まれていないので、 ここより り ipmasqadm-0.4.2.tar.gz を獲得した。
  　インストールは下記の通り。(make install は root権限で)

  # tar xzvf ipmasqadm-0.4.2.tar.gz # cd ipmasqadm-0.4.2 # make KSRC=/usr/src/linux # make install

• ポートフォワード
  　ゲートウェイのグローバルIPアドレス(仮に111.222.333.444)のwwwポート(80) にインターネットの任意のホストから要求があったとすると、それを Webサーバー 192.168.1.1 の wwwポート(80)にフォワードする必要がある。
  　以下のように設定します。
  　当然、PPP接続が確立されてからじゃないと設定できない;-)

  # ipmasqadm portfr -f # ipmasqadm portfw -a -P tcp -L 111.222.333.444 80 -R 192.168.1.1 80

  　最初の行は一旦、ポートフォワードの設定をクリア(flush)します。 2行目がポートフォワードの設定です。これで、インターネットからローカルネットワーク内のWebサーバーにアクセ スできます。
  　が、私はドメイン登録してないんで名前解決はできるわけないので、IPアド レスを直接指定します。http://111.222.333.444/ という具合に;-P

• 余談: その他のポートフォワーダー
  　ipmasqadm 以外にもポートフォワード(ポートリダイレクト)を行うソフトが あるが、ipmasqadm がいいらしい。reidr は設定が簡単だが、古いソフトでカ ーネルと協調せず勝手にリダイレクトするんで、止めといた方がいいらしい。

動的グローバルIPアドレス

• 準備スクリプト
  　まず、接続時に行いたい処理をシェルスクリプトで書いておきます。実行属 性を付けて。例えば、ipchains の設定スクリプトを /usr/local/sbin/setipchains.sh として作成したとします。

• /etc/ppxp/ip/drouteup
  　PPxPはPPP接続時にデフォルトで /etc/ppxp/ip/drouteup というスクリプト を走らせます。/etc/ppxp/conf/default で IP.UP変数 に drouteup が設定さ れているからです。この drouteup を編集します。drouteup の最後に以下の一 行を追加します。

  start hogehoge

  　hogehoge はこれから作るスクリプトで実際のファイル名は、hogehoge.rc で す。これを /etc/ppxp/rc/ におきます。/etc/ppxp/rc/ には .rcファイルがデ フォルトでいくつか容易されています。それら参考に hogehoge.rc を作成しま す。実行属性を付与しておいて下さい。
  　UP の部分に、/usr/local/sbin/setipchains.sh を記述します。これで完了 です。

• /etc/ppxp/ip/droutedown
  　PPP切断時は /etc/ppxp/ip/droutedown です。切断時になにかさせたいとき は、droutedown の最後に以下の一行を加えます。

  stop hogehoge2

  　hogehoge2 は /etc/ppxp/rc/hogehoge2.rc ですね。そして hogehoge2.rc の DOWN の部分に処理させたいコマンドを記述します。
  　もちろん、接続・切断時で対応した処理をしたい場合は hogehoge.rc 一本で UPと DOWN 部分にそれぞれのコマンドを書けばよいです。

nomail

rpmパッケージ

　下記サイトから、rpmパッケージを獲得する. 　http://www.ku3g.org/negi/nomail/

インストール

# rpm -ivh nomail-0.4.10-1.i386.rpm

設定

　非常に簡単です。以下は例です。
[/etc/nomail.conf]

# Nomail setting file localuser foo,bar localdomain hogehoge.bogus internetaddr foo@hogehoge.bogus smtphost smtp.xxxx.xxxx rewriteaddr yes #invalid_msgid yes #timeout 60 #local_mda /usr/bin/procmail -d

プールへ送信

　オフライン中でも意識せずにメール送信を行える. メール文書を カレントに mail.txt で作成されているとすると。以下でプールへ送信可能。


# nomail foo@aaa.bbb.ccc < mail.txt

　mail.txt の冒頭に`Subject: お題目' を挿入するとメールサブジェクトが 「お題目」になる。

プール上のメールをSMTPサーバーへ送信

　オンラインになったときに、プールに溜まった送信メールを一気に SMTPサー バーへ送信する。

# nosend

　メールを書いて即、SMTPサーバーへ出したいときは、nomail, nosend を続け て実行すればよい。
　また、ダイヤルアップ環境であればダイヤルアップ接続が確立したときに nosend を実行するようにスクリプトで設定しておけば楽である。例えば、PPxP を使用している私の環境では、/etc/ppxp/rc/send_mail.rc を作成して、 /etc/ppxp/ip/drouteup の最後にの `start' から始まる行の最後に `send_mail' を付与するだけでよい。`start'から始まる行がなければ、最後の 行に`start send_mail' と記述する。

lftp

lftp-2.4.3.tar.gz

　http://lftp.yar.ru/から tar ball をダウンロードする。

インストール

　コンパイルには以下のパッケージをインストールした(全部必要ないかも^^;)。 lftpをコンパイルする前にインストールする。TurboLinux 日本語 6.0(ftp版) のCD-ROMよりインスールした。楽だ。
• bison
• flex
• gettext
• libstdc++
• libncurses
• libncurses-devel
• libreadline-devel
• libtermcap-devel
　tar ball を /usr/local/src に置き以下の通り.

# cd /usr/local/src # tar xzvf lft-2.4.3.tar.gz # cd lftp-2.4.3 # ./configure # make # make install

　以上で /usr/local/bin に lftp がインストールされる。

設定

　仮に、ユーザー名を foobar、パスワードを hogehoge、接続先ftpサーバーを ftp.xxx.yyy.com として、ローカルの /upload/index.html ファイルを リモー トの test ディレクトリ下にアップロードする場合、以下のスクリプトを書く.
[/etc/.lftprc]

open -u foobar,hogehoge ftp.xxx.yyy.com cd test lcd /upload ascii put index.html

　/etc/.lftprc にはパスワードがベタで書かれているので不用意に他人に除か れないように属性を設定します。

# chmod 600 /etc/.lftprc

実行

　-f オプションで上記スクリプトを指定すればアップロードされる。

# lftp -f /etc/.lftrc

　ダイヤルアップ環境であればダイヤルアップ接続が確立したときに上記を実 行するようにスクリプトで設定しておけば、毎回更新されることになる。Webペ ージの更新などに便利ですな。

IPv6

　lftp をインストールしてから、/var/log/message に以下のログが現れてま した.

Aug 31 06:45:59 gw modprobe: can't locate module net-pf-10

　net-pf-10 は IPv6 のモジュール名らしく、/etc/modules.confに 以下を追 加して再起動すれば解消される。

[/etc/modules.conf]

alias net-pf-10 off