１．FireWallの設定_基礎知識編

• ネットワークサービス

• portとは？
• port番号とサービスとは？

　ネットワークを通じて相互に情報のやりとりを行う場合に，192.168.0.1:80といっ たようにお互いのアドレスの後に80などのポート番号がついてくる．これは，送 られてきた信号がどういった処理を求めているのかを区別するためのものである． Softwareの認識 No.であるといえる．例えば，http -> 80, ftp ->20,ssh -> 22 などが標準となっている．

• ルーター
  

• ルーティング

　ネットワークに接続している一台のコンピュータは自分の周辺のネットワー クアドレスしか知らない．同様に一台のルーターも自分の周辺のネットワーク アドレスし か知らないが，世界中の拠点拠点に点在するルーターが信号を受け 適切な次のルーターに引き渡すこと（中継）により遙か彼方の端末まで到達す ることができる．ちなみにルーターはネットワークが切断されたときの迂回路を 自動検出する機能も持っている．
　ルーター機器は上記の機能を専門的にこなし，画面などはなくノートパソコン を横 に引き延ばしたようなラック型が標準．各院生室で立ち上げているサーバー はルーター機能を有する事が可能である．

• linuxによるソフトウェアールーター

ipchains, iptable, port fowardingなど要するに，コンピューターの外からの 信号と内からの信号をやりとりして制御する手段．信号通過の不許可（例えば ポート番号２０:ftp は通過禁止など）．

• firewall

上記の ”ルーター機器”を介した各種の信号通過を ”ipchains, iptables, portfo- warding ”を用いて”ポート番号”による取捨選択を行わせてセキュリティーレベル を上げること．例えば，ルーターの外側にいるクラッカーによる内側のユーザーのPC （あるいは，FW自体）のシステムを破壊する可能性を持つ信号種をあらかじめ遮断す ること．その逆としては，ルータより内側のユーザーが外側の世界に迷惑をかけない よう，web閲覧やメール送受信に機能を絞るなどの役割がある．

２．FireWallの設定_実践編

• webminによるルータ/firewallの設定

1．　２枚目のネットワークカード(eth1)の認識・設定 10/100base・PCIタイプのネットワークカード（1200円位）を買ってきてサーバー PCのPCIバスに装着．認識状況は起動時の文字列にeth0がありeth1が見えないときは２ 枚目が認識されていない．または，起動した後，ターミナルでifconfigと入力して， 出力結果にeth1が見あたらないときは認識されていない．eth0またはeth1が認識されて いれば，12:23:34:4b等のMACアドレスが表示され，ipアドレスの申請時に必要となるの でMACアドレスを書き留めておく．（eth0のMAC値），また，MACアドレスは装着前のカー ド本体にも書いてある．

2. webminを起動（足跡マーク->プログラム->Vine Linux メニュー->webmin）． とするとMOZILLA(ブラウザの一種）が立ち上がりログイン画面になるのでユーザー名： rootでログインする．webminが立ち上がらないときは，MOZILLAやNetscapeを起動し， https://localhost:10000と指定する．

3.　ハードウェア->ネットワークの設定-> ネットワークインターフェイスを選択． interface eth1を認識させるために，ipアドレス：192.168.1.1 ******* ：255.255.255.0 ******* ：192.168.1.255 と入力．

4. ルーティングとゲートウェイを開く．（ルータとして：はい）にチェックする．

5. ネットワークの設定（ハードウェア-> ネットワーク設定-> ルーティングと ゲートウェイ　にある） で静的ルートを設定．以下は９階大部屋のipアドレス未取得時の暫定的な設定の例．

注意 この設定だと後に設定するipchainsによりネットワークにつながらなくな ります．外側のネットワークアドレスはグローバルアドレス表記にしましょう

6. ipアドレス検索（ハードウェア-> ネットワーク設定-> ipアドレス検索方法） を入力． ipアドレスが交付されていればそのアドレスに対するホスト名を入力．この設 定により，epのDNSサーバーを用いればどこからでもTelnet/ssh接続使用する際 などに外側インターフェイスのIPアドレスを直接打ち込まずとも，tottsuxan.ep.sci. hokudai.ac.jpやtottsuxanを使用することができる．「設定を保存するか？」や「起動時 に有効にするか？」等々，各所にあるので忘れずにチェックする． ipchains firewalling-> on, iptables firewall -> off といった設定にする．

7. システムを再起動．起動時の文字列を眺めfailed（好ましくない）やok（好ましい） が登場するかどうか見ている．

8.ターミナルを起動し，ifconfigとタイプして出力結果がeth1に設定したものかどうか確 かめる． eth0, eth1, 等が表示されていれば多分大丈夫．eth1が見あたらないときは1. よりやり直し．

9.ipchainsモジュールの設定 オペレーションモードにニュービー・テンプレート等の 設定があるが，テンプレート を選択．・inside->FW, inside->outside,outside->FW, outside->inside FW->inside FW->outsideという方向性を示した列に対して，FTP,Telnet, ping, http, とい った項目行があるが．各項目行に対して通過を許可するところにチェッ クを入れる．webの閲覧，IMAPサーバーを利用したメールの閲覧，SMTPサーバー を利用したメールの送信などを含む基本的なipchainsの設定は以下のようになる

IPchains ファイアウォール

この表はwebminでipchainsを設定したときの想定で描きました．noneはチェックを入れな いことを意味し，checkはチェックを入れることを意味します．IPchainsの設定項目はこ の他にもたくさんあるので必要に応じてそれぞれの項目にチェックを入れてください．そ れぞれの項目の設定は，サーバーマシン使用の目的をどこまで拡大するかによる． 一般的 には，必要以上にoutside->FW, outside->insideにチェックを入れることは 利便性 が増すと共にクラッキング等の危険も増す．ident項目はOutside->FWに対して チェックをいれておかないとメールチェック ・送信に１分程度かかるという不便さを生 じることがあります．

10. 保存・起動時に有効にする・firewall ON 等々のチェックを忘れずに行 い再起動． 運用テストをするのならば（例えばTelnet項目のoutside->FWが不許可の設定の時） epのmailサーバーにssh接続し自分のサーバーマシンに接続を試みてみると良い．ターミ ナルを起動し，#以降を入力

#ssh -l ログインネーム grey
#yes
#パスワード入力
#telnet lupin.ep.sci.hokudai.ac.jp

これで，「接続が拒否されました」となればFireWallが正しく動作しているとな る．ついでに，

#ping lupin.ep.sci.hokudai.ac.jp
#ssh lupin.ep.sci.hokudai.ac.jp
#ftp lupin.ep.sci.hokudai.ac.jp

なども試してみてぬかりはないかをチェックすると良い．

３．セキュリティ−ホールのチェック

リリースされたOS（vinelinux 2.5など）には制作時には気づかなかったシステムバグが つきものだそうである．そしてそのいくつかはクラッキングの方法として用いられる．シ ステムバグはlinux制作・ユーザー有志が見つけだし世界に向けて報告され，それを改善す るためのアップデーターが作られる．また当然，クラッキングをする人たちにもその情報は 伝わるので，新しいセキュリティーホールの発見の報が入った時には彼らにとって，またと ないチャンスとなる．アップデートを怠っているマシンがその標的となる．というわけで， 管理者の人は週に２−３回ほど以下の操作をしてください．

aptによるパッケージ管理をするのでroot権限でターミナルを起動

#apt-get_update
#apt-get_upgrade

（システムの返す確認? にはyes [Y]を入力