■ネットワークの基本設定■
Fedoraには、ネットワークの設定をGUIで行えるようにした「ネットワーク設定ツール」が用意されています。まず、ネットワーク設定ツールの基本的な使用方法について説明いたします。その後、ネットワークの設定ファイルの概要や簡易ファイアーウォールの設定方法などについて説明いたします。
・ネットワークの設定ツールについて
ネットワーク設定ツール(System-config-network)を使用したネットワークの基本設定に関して説明をしていきます。なお、ネットワーク設定ツールを使用してネットワークデバイスの設定を行う場合には、現状ではネットワークの自動設定する「NetworkManager」をオフにしたほうがよいでしょう。
ネットワーク設定ツールは「システム」⇒「管理」⇒「ネットワーク」を選択すると起動します。起動する際はスーパーユーザーのパスワードが必要となります。
・ネットワークインターフェースの設定方法
ネットワーク設定ツールは、4つのパネルから構成されております。IPアドレスの割り振りなど、ネットワークインターフェース(イーサーネットフェース)はカーネルに認識された順に「eth0」「eth1」「eth2」といったデバイス名がつけられます。ネットワークインターフェースが1つだけの場合には「eth0」というデバイス名が表示されているはずです。設定を行うには、目的のデバイスをダブルクリックするか、デバイスを選択し「編集」ボタンをクリックします。すると「イーサーネットデバイス」ダイアログが表示され、ネットワークインターフェースを編集できるようになります。
・IPアドレス設定
DHCPを使用してIPアドレスを自動設定する場合には、「自動的にIPアドレスを取得」を選択して、その横のドロップダウンリストで「dhcp」を選択します。DNSサーバーの情報も自動取得する場合には「DNS情報をプロバイダから自動取得」にチェックをします。
IPアドレスを手動で割り付ける場合には「固定のIPアドレス設定」を選択します。IPアドレス、サブネットマスク、デフォルトゲートウェイのアドレスを入力します。ここで、デフォルトゲートウェイ(デフォルトルーター)とはIPパケットのデフォルトの送り先です。ブロードバンドルーターを介してインターネットに接続している場合には、そのIPアドレスを指定します。
・ホスト名とDNSの設定
ネットワーク設定ツールの「DNS」パネルでは、マシンのホスト名および参照するDNSサーバー(ネームサーバー)の情報を入力します。DNSサーバーのIPアドレスアドレスは3つまで指定でき、その順に検索されます。
「DNS検索パス」には、短いホスト名だけが指定された場合に補完するドメイン名を入力します。たとえば「fxsl.biz」に設定しておくと、ホスト名に「www」が指定された場合には、「fxsl.co.jp」と自動補完されるようになります。また、WebブラウザのURL「http://www」を指定すると「http://www.fxsl.biz」がアクセスされます。
・ホスト情報の登録
「ホスト」パネルではIPアドレスとホスト名の対応を記述します。LAN内にDNSサーバーがない場合には、ここではサーバーのIPアドレスとホスト名を登録するとよいでしょう。ホストを新たに登録するには「新規」ボタンをクリックします。すると「ホスト登録を追加/編集」ダイアログが表示されるので必要な情報を入力し「OK」ボタンをクリックします。「エイリアス」には別名を指定可能です。一般的にはホスト名に「host1.sample.com」のようなFQDNを指定し、エイリアスにはドメイン部を除いたホスト名を指定します。なお、「ホスト」パネルで登録したホスト情報は「/etc/hosts」ファイルに保存されます。
・設定の保存方法
設定を保存するには「ファイル」メニュー⇒「保存」を選択します。なお、ネットワークインターフェースのIPアドレスなどの設定を変更した場合には、次のようにしてネットワークを再起動しましょう。
・「ifconfig」コマンドによるネットワークインターフェースの確認
現在動作中のネットワークコンピューターの状態は「ifconfig」コマンドにて確認ができます。
「ifconfig」コマンドは「/sbin」ディレクトリに保存されているために実行するにはスーパーユーザーの権限が必要となります。引数なしで実行した場合には動作中の全てのインターフェースが表示されます。次にイーサーネットカードが1つのシステムでの実行結果を例にあげてみます。
(※一例です。)
(1)が実際のイーサーネットカード「eth0」です。
(2)でIPアドレスが(127.0.0.1)で名前「Lo」のインターフェースが表示されていますが、これは「ローカルループバックアドレス」(自分自身を示すIPアドレス)と呼ばれるもので、主にネットワークのテストに使用されます。
■PPPoEの設定について
ADSLやケーブルTV、光インターネットなどのブロードバンド環境では、PPPoE(PPP Over Ethernet)方式によるインターネット接続が増えています。もちろん「Fedora」もPPPoE環境に対応しております。ここではその設定方法に関して説明をしたいと思います。
・コンピューター側で「PPPoE」の設定が必要なケース
PPPoEの設定が必要のなるのは、ADSLモデムやケーブルモデムとコンピューターをLANケーブルで直結する場合になります。ブロードバンドルーターを使用している場合にはPPPoEの設定はルーター側で行います。この場合はコンピューター側のIPアドレスは手動で割り付けるか、ルーターのDHCP機能で自動設定いたします。
・PPPoEの手動設定方法
ネットワーク設定ツールを使用してPPPoEを設定する手順を説明します。
(1)「デバイス」パネルを表示して「新規」ボタンをクリックする。
「新規デバイスタイプを追加」ダイアログが表示されます。このダイアログはウイザード形式になっております。各画面で設定を行い「進む」ボタンをクリックして、次の画面に進んでください。
(2)「デバイスタイプの選択」画面では「xDSL接続」を選択します。
(3)「DSL接続の設定」画面でアカウント情報などを設定して次の「DSL接続を作成」画面で「適用」ボタンをクリックします。
「DSL接続の設定」画面では「イーサーネットデバイス」でADSLモデムが接続されているネットワークデバイスを選択して「プロバイダーの名称を入力します。「ログイン名」と「パスワード」には、プロバイダーからしていされたアカウント情報を入力します。「DSL接続を作成」画面で「適用」ボタンをクリックするとネットワーク設定ツールの「デバイス」パネルに「ppp番号」という名前で「PPPoE」のデバイスが登録されます。
(4)「ファイル」メニュー⇒「保存」を選択して設定を保存します。
起動ボタンをクリックすると「プロバイダー」と「PPPoE」で接続されます。
■ネットワークの設定ファイルについて
ネットワーク設定ツールで行った設定は「/etc」ディレクトリー以下の設定ファイルに書き込まれております。これらはすべて単純なテキストファイルですから、自分で修正して設定することも行えます。
・ホスト名とIPアドレスの対応について
「etc/hosts」ファイルには、ホスト名とIPアドレスの対応が1組ずつ記述されております。各行の書式は、以下の方になっております。
各フィールドの区切りはスペースもしくはタブになります。「#」以降から行末まではコメントとなります。DNSによるホスト名と合わせるためには「ホスト名」「ホスト名+ドメイン名」のFQDNで指定して別名には短いホスト名を記述すればよいでしょう。
・名前解決の順序の設定方法
ホスト名からIPアドレスを引き出す仕組みには、DNSやHostsファイルの他に「NIS(NIS+)やローカルデーターベースによる方法があります。これらの順番で参照するかは「/etc/nsswitch.conf」の「hosts:」行で設定できます。デフォルトの設定を見てみましょう。
(※)「hosts:」のあとに、スペースもしくはタブで区切って検索するサービスを順番に指定します。「files」は「//etc/hosts」ファイルを、「dns」はDNSサーバーを使用することを表しております。つまりデフォルトでは、まず「/etc/hosts」ファイルで検索が行われ、見つからなかった場合にDNSサーバーを検索することになるのです。例えば次のようにすることで順序を逆にすることが可能です。
なお、古いプログラム(ライブラリにlibc5を使用しているプログラム)の場合、「/etc/nsswitch.conf」ではなく、「/etc/host.conf」を参照します。そのため、たいていのディストリビューションでは「/etc/nsswitch.conf」と「/etc/host.conf」の両方を用意して、どちらでも同じ検索順を設定しております。次に「/etc/host.conf」のデフォルトの設定を表示してみましょう。
(※)「oeder」の後ろに検索する順番を指定します。「/etc/nsswitch.conf」と異なり区切りはカンマ「、」になり、「hosts」は「/etc/hosts」ファイルを「bind」はDNSサーバーを参照することを示しております。
・DNSサーバーの設定ファイル
「/etc/resolv.conf」は参照するDNSサーバーの設定が記述されているファイルです。このファイルにはネットワーク設定ツールの「DNS」パネルの設定が反映されます。次に「/etc/resolv.conf」の例を示します。
(※)nameserver行では、参照するDNSサーバーのIPアドレスを検索する順に指定します。
・ネットワークの基本設定ファイル
「/etc/sysconfig/network」には、ネットワークを有効にするかや自分のホスト名などの設定が記述されております。
(1)ネットワークを有効にするかどうかを決定する。
(2)ホスト名の設定を行う。
・ネットワークインターフェースの設定ファイル
ネットワークインターフェースごとの設定は「/etc/sysconfig/networking/devices/ifcfg-<デバイス名>ファイルに記述されています。1枚目のイーサーネットカードは「/etc/sysconfig/networking/devices/ifcfg-eth0」になります。
(1)はBOOTPROTOのネットワークインターフェースが起動するときにDHCPなどのプロトコルを使用してIPアドレスなどのネットワーク情報を自動取得するかどうかの設定になります。DHCPを使用する場合は「dhcp」、BOOTPを使用する場合には「bootp」になります。IPアドレスを手動で設定する場合には「none」となります。
■ルーティングの設定方法
異なるネットワークに属するコンピューターを接続するネットワーク機器を「ルーター」と呼びます。最近では低価格で高性能のいわゆる「ブロードバンドルーター」と呼ばれているルーターの普及により、一般の家庭でもルーターを目にすることが多くなってきております。ここではルーターを指定するルーティングの設定方法について説明します。
・基本的なルーターの働きについて
インターネット上には数えきれないくらいのネットワークがありますが、それらのネットワークはすべてルーターによって接続されております。そのため、目的のコンピューターに至る経路(ルート)も様々です。その中からIPパケットが通る最適な経路を決定する仕組みを「ルーティング」(経路制御)と呼ばれています。
ネットワークを介して目的の相手にIPパケットを送る時点で終点から終点までのすべてのルートを決めるわけではありません。それぞれのルーターは、隣り合ったルーターへのルートのみを決定いたします。つまりは、ルーターごとにルートの決定が行われて最終的な目的地に着くまでそれが繰り返されるわけです。
・スタティックルーティングとダイナミックルーティングについて
ルーティングの方法は大きく分けて「スタティックルーティング」と「ダイナミックルーティング」の2種類があります。ルーターは自分が接続しているネットワーク以外へのIPパケットを受け取ると、経路制御表(ルーティングテーブル)という表を参照して、それに基づいてルートを決めます。スタティックルーティングは、ルーティングテーブルを管理者が自分で作成する方法です。
それに対してダイナミックルーティングでは、ルーター同士が経路制御の情報をやりとりしてルーティングテーブルを自動的に作成します。LANなどの小規模ネットワークではスタティックルーティングで十分なのですが、インターネットのように無数のルーターが存在する環境ではダイナミックルーティングが使用されます
※ダイナミックルーティングを行うためのプロトコルとして主にLANで使用されるRIP(Routing Information Protocol)、インターネットで使用されるBGP(Border Gateway Protocol)などがあります。
・デフォルトルート
すべてのルーティング情報を設定するのは面倒なため、デフォルトの送り先として「デフォルトルート」と呼ばれているルートが用意されております。あらかじめルーティングテーブルに登録されていないネットワークへのIPパケットは、すべてデフォルトルートへ送られます。デフォルトルートとして使用されるルーターのことを「デフォルトゲートウェイ」と呼びます。
例えば、SOHOや家庭などルーター1つで外部ネットワークと接続されているような環境の場合には、デフォルトをルーターのIPアドレスに設定しておくだけでよいのです。
ルーターには接続するネットワークそれぞれのIPアドレスを割り当てます。つまり、2つのネットワークを中継するルーターは通常2つのIPアドレスを持っているのです。例えば「192.168.0.0/24」と「192.168.1.0/24」を接続する場合にはルーター側のイーサーネットポートには「192.168.0.1」、「192.168.1.0/24」側には「192.168.1.2」といたようにIPアドレスを割り当てます。
・スタティックルートの設定
ネットワーク内にルーターが複数ある環境では、適切にルーティングを行わないとIPパケットが正しい目的地に届かなくなります。ここでは、次のようなネットワークを例にスタティックルートの設定例を示します。
これはオフィスなどでよくある構成例で、インターネットと内部ネットワーク間にもう一段「DMZ」(De-Militaraized Zone:非武装地帯)と呼ばれる境界ネットワークを用意してセキュリティーを高めているのです。「外部ルーター」ではIPマスカレード(あるいはNAT)を使用して、プライベートIPアドレスの変換を行います。また、DMZ内のホスト1では、外部から参照できるWebサーバーやメールサーバーを立ち上げています。万一「ホスト1」が侵入されたとしても、内部ネットワークまでは被害が及ばないというわけです。
内部ネットワーク内の各ホストに関しては、外部と接続するルーターは「内部用ルーター」だけですからデフォルトルートを、そのIPアドレス「192.168.0.10」に設定しておくだけでかまいません。
ここでは、「ホスト1」から「ホスト2」にアクセスしたい場合を考えます。なお、通常は内部用ルーターでは外部からの侵入を遮断していますが、ここでは実験のために外部から内部へのルーティングを一時的に許可するものとして説明します。
「外部ルーター」はインターネットに接続されていますから、ホスト1のデフォルトルートは「外部用ルーター」(192.168.1.254)に向けられているはずです。この状態で「ホスト2」と通信しようとしても「ホスト2」に宛てたパケットも「外部ルーター」を経由しようとします。したがって「ホスト1」から「ホスト2」にアクセスするためには「192.168.0.0/24」に宛てたパケットは「内部用ルーター」を経由するようなルーティングを設定する必要があるわけです。
・ネットワーク設定ツールによるスタティックルートの設定
スタティックルートの設定はネットワーク設定ツール(「システム」⇒「管理」⇒「ネットワーク」)で行うことができます。「デバイス」パネルを表示して、目的のネットワークインターフェースを選択して、「編集」ボタンをクリックします。「イーサーネットデバイス」ダイアログが表示されるので「ルート」パネルを表示します。あとは次の手順でスタティックルートを追加します。
(1)「追加」ボタンをクリックして「IPアドレスを追加/編集」ダイアログで設定を行います。
「アドレス」「サブネットマスク」には宛先のネットワークアドレスとサブネットマスクを「ゲートウェイ」にルーターのIPアドレスを指定します。例えば「192.168.0.0./24」宛てのパケットについては、IPアドレスが「192.168.1.11」のルーターを経由するように指定するには「アドレス」に「192.168.0.0」、「サブネットマスク」に「255.255.255.0」、「ゲートウェイ」に「192.168.1.11」を指定します。
(2)「OK」ボタンをクリックすると、スタティックルートが登録します。
(3)「ネットワーク設定」ダイアログに戻り、「ファイル」⇒「保存」を選択します。
(4)serviceコマンドを使用してネットワークを再起動します。
■IPエイリアシング
通常ネットワークインターフェースに割り付けるIPアドレスは1つですが、場合によっては複数のIPアドレスを割り付けることができます。この機能のことを「IPエイリアシング」と呼びます。
・IPエイリアシングのメリット
IPエイリアシングによってネットワークインターフェースに複数のIPアドレスを割り付けると、外部からはあたかもマシンに複数のインターフェースがあるように見えます。IPエイリアシングは主に次の2つの目的に使用されます。
バーチャルホスト
バーチャルホストとは、1つのマシン上で動作する、複数のURL(またはIPアドレス)でアクセス可能なサーバーのことをいいます。たとえば、Fedoraに付属のWebサーバー「Apache」にはバーチャルホスト機能が用意されております。IPエイリアシング機能を使用して、同じネットワークインターフェースに「192.168.1.10」と「192.168.1.11」のような2つのIPアドレスを割り当て、それぞれをDNSサーバーに「www1.fxsl.biz」および「www2.fxsl.biz」と登録しておきます。ApacheではそれぞれについてDocumentRoot(HTMLドキュメントの保存されるディレクトリ)を設定できるので、外部からはあたかも2台のマシンでWebサーバーが起動しているように見えます。
簡易ルーターとして使用する
IPエイリアシングを使用して、たとえば「192.168.1.1」「192.168.0.1」といった異なるセグメントのIPアドレスを割り当てることによってネットワークインターフェースが1つのマシンで簡易ルーターとして使用できます。この場合、同じネットワークケーブル上に異なるネットワークが混在する形になります。そのためホストの台数が多く、トラフィックが激しいLANでの利用には向きませんが、SOHOや家庭レベルのネットワークでは手軽にIPマスカレードを実現できるという点で便利でしょう。
■IPエイリアシングの設定方法
IPエイリアシングの設定は、ネットワーク設定ツールの「デバイス」パネルを使用します。(1~8の手順で行います)
(1)「新規」ボタンをクリックします。
「新規デバイスタイプを追加」ダイアログが表示されます。
(2)「デバイスタイプの選択」画面で「イーサーネット接続」を選択します。
(3)イーサーネットデバイスの選択」画面でネットワークカードを選択します。
すでに設定済みのネットワークカードが表示されるので、それを選択します。(他のイーサーネットカードは選択しないでください。)
(4)「ネットワークの選択」画面でIPアドレスとサブネットマスクを選択します。
(5)イーサーネットデバイスを作成」画面で「適用」ボタンをクリックするとデバイスが登録されます。
インターフェースのエイリアス名(別名)は「<デバイス名>:<番号>」になります。番号は「1」から始まる数値です。たとえば、1枚目のネットワークインターフェース「eth0」の1つ目のエイリアス名は「eth0:1」となります。
(6)登録されたデバイスを選択します。
登録されたデバイスを選択し「編集」ボタンをクリックします。「親デバイスの起動時にデバイスを起動する」にチェックが付けられます。これで元のインターフェースが有効になった時点でエイリアスも有効になります。
(7)「ファイル」メニュー⇒「保存」コマンドを選択します。
(8)「デバイス」で、登録されたデバイスを選択し「起動」ボタンをクリックします。状態が「休止中」から「起動中」になります。
以上でIPエイリアシングが設定されます。次にネットワークインターフェースの状態を表示する「ifconfig」コマンドの実行結果を示してみましょう。
(1)元のインターフェース
(2)エイリアス
(3)ローカルループバック
※エイリアスと元のインターフェースではMACアドレス(HWaddr)が同じになります。
■ファイアーウォール機能について
「ファイアーウォール」とは簡単に言えば、外部からの攻撃からネットワークを守るための仕組みや概念のことです。Fedoraに用意されている「ファイアーウォールの設定ツール」を使用すると、簡易的なファイアーウォールを手軽に設定できます。なお、ファイアーウォールの設定ツールの「SELinux」ではLinuxのセキュリティーを許可するSELinuxの設定も可能です。SELinuxは前章を参照してください。
・パケットフィルタリングについて
ファイアーウォールの主な形態には「パケットフィルタリング型」と「アプリケーションゲートウェイ型」の2種類があります。パケットフィルタリング型は、ネットワークに流れてくるパケットをIPアドレスやポート番号によって遮断するものです。それに対してアプリケーションゲートウェイ型はインターネットへのアクセスは「プロキシーサーバー」と呼ばれている代理サーバーを使用することによって、LANとインターネットを直接通信できなくなるようにする方法です。TCP/IPの階層モデルで言えば、パケットフィルタリング型はネットワーク層で働くファイアーウォール、アプリケーションゲートウェイ型はアプリケーション層で働くファイアーウォールということになります。
ファイアーウォールの設定ツールで設定できるのは、あくまでも簡易的なパケットフィルタリングです。この機能を使用してフィルタリングできるのは送信先ポート番号のみです。
・ファイアーウォールの設定ツール
「ファイアーウォールの設定ツール」(system-config-firewall)を起動するには「システム」⇒「管理」⇒「ファイアーウォール」を選択します。※スーパーユーザーになることが必要になります。)
ファイアーウォールを有効にする
ファイアーウォールの有効/無効の切り替えは、上部の「有効」/「無効」ボタンで行います。通常は「有効」を選択して有効にします。「無効」に設定した場合にはファイアーウォールが無効になります。
「有効」に設定されていると左のリストから設定項目が選択できるようになります。このとき、ファイアーウォールの設定ツールはユーザーの熟達レベルに応じて設定できる項目が異なります。「オプション」⇒「ユーザの熟達レベル」で「初心者」「熟達者」のいずれかを選択いたします。「熟達者」の場合には左のリストから全ての項目が選択できますが、「初心者」の場合には「信頼したサービス」のみが選択可能で、あらかじめ登録されている基本的なネットワークサービスに関する設定のみが可能です。
信頼したサービスの選択方法
あらかじめ登録されているネットワークサービスに外部からアクセスできるようにするためには、「信頼したサービス」で該当するポートへパケットを許可する必要があります。リストには基本的なサービス名とその「ポート番号/プロトコル」が表示されています。たとえば、Webサーバーを公開している場合には「WWW(HTTP)」にチェックを付けます。すると、TCPの80番ポートが開かれ外部のWebブラウザーで、サーバー内に構築したWebサイトを閲覧できるようになります。
その他のポートを追加する方法
「信頼したサービス」パネルに登録されていないサービスに関しては、「その他のポート」パネルにプロトコルポート番号を指定することでパケットを許可することが可能です。たとえば、Macintoshのファイルサーバーソフト「Netatalk」はTCPの548番ポートを使用されています。これを「その他のポート」に登録するには次の1~4の手順で行います。
(1)ファイアーウォールの設定ツールの「その他のポート」パネルを開き「追加」ボタンをクリックします。
(2)リストの中から「afpovertcp」(プロトコルは「tcp」)を選択します。あるいは「ユーザ定義」をチェックして「ポート/ポート範囲」で「548」を「プロトコル」から「tcp」を選択します。設定後は「OK」ボタンをクリックします。
(3)ポートが登録されました。「適用」ボタンをクリックします。
次のようなダイアログが表示されます。「はい」ボタンをクリックすると設定が反映されます。
・「etc/sysconfig/iptables」について
ファイアーウォールはLinuxカーネルに組み込まれNetfilterという機能を使用しています。Netfilterの設定は「iptables」というサービスによって行われ、その設定ファイルは「/etc/sysconfig/iptables」になります。ファイアーウォールの設定ツールで行った設定も「/etc/sysconfig/iptables」に書き込まれます。
※「/etc/sysconfig/iptables」を自分で編集する場合には、ファイアーウォールの設定ツールを使用しないでください。設定がすべて上書きされてしまいます。
また、ファイアーウォールの設定ツールで行ったポートの設定情報は「/etc/sysconfig/system-config-firewall」に保存されます。
■ネットワークサービスの仕組み
Fedoraには、Webサーバーやメールサーバーをはじめとする様々なネットワークサービスが用意されています。ここでは、それらのネットワークサービスの起動の仕組みと基本的な設定方法について説明をしていきます。
・スタンドアロン型とスーパーサーバー型のサービスについて
ネットワークサービスは、通常のデーモンとして起動する「スタンドアロン型」(常駐型)と「スーパーサーバー」と呼ばれている特別なサーバーを介して起動する「スーパーサーバー型」の2種類に大別されます。
・スタンドアロン型のサービス
スタンドアロン型のネットワークサービスは、通常システムの起動時にデーモンとして起動するサービスです。起動後はメモリー上に常駐し、ネットワークポートを監視し続けますからクライアントが接続してくると即座に応答を返すことができます。例えば、Webサーバー「Apach」などは通常スタンドアロン型として起動します。Fedoraでは、一般的なほとんどがスタンドアロン型として起動されます。次に、スタンドアロン型のネットワークサービスの例を下記に示します。
・スンドアロン型のサービスのオン・オフ
スタンドアロン型のネットワークサービスは、通常のサービスと同様にサービスの設定ツール「システム」⇒「管理」⇒「サービス」によって、オン/オフ(Enable/Disable)を切り替えられます。また上部のボタンによって開始(Start)停止(Stop)再起動(Restart)が行えます。
コマンドラインでオン・オフを切り替えるには「chkconfig」コマンドを使用します。起動、停止、再起動を行うには「Service」コマンドを使用します。
・スーパーサーバー型のサービス
スタンドアロン型のネットワークサービスは、クライアントの要求にすぐに応答できる反面、メモリーに常駐するので、その分リソースを消費してしまいます。そこで、必要なときだけサービスを立ち上げ処理が終わったらサービスを終了仕組みが考え出されました。それらのサービスを統括して管理するのが「スーパーサーバー」と呼ばれる特別なデーモンプログラムです。なお、スーパーサーバー自体もスタンドアロン型のサービスです。
スーパーサーバーは、自分が管理するネットワークサービスのWell-Knownポートを常に監視しています。クライアントがそれらのポートに接続してくると、該当するサービスを立ち上げます。たとえば、Telnetサーバー(パッケージはtelnet-server)がスーパーサーバーによって管理されていた場合、クライアントが23番ポートに接続してきた時点でTelnetサーバー(in.telnetd)を立ち上げます。
クライアントが接続を解除するとスーパーサーバーは「Telnetサーバー」を終了します。次の表に、Fedora14でスーパーサーバー型として起動されるサービスを例に示します。
■スーパーサーバー型のサービスの設定方法
Fedoraではスーパーサーバーに「xinetd」というプログラムが使用されております。この「xinetd」はLinuxで古くから使用されていたスーパーサーバー「inetd」の機能を強化し、アクセス制御の仕組みを組み込んだものです。
Fedoraでは「xinetdパッケージ」、もしくはそれに依存する「Telnet」サーバーなどのスーパーサーバー型のサービスをインストールしないと「xinetd」はインストールされません。スーパーサーバー型のサービスの動作を確認するためには、パッケージマネージャー(「システム⇒「管理」⇒「ソフトウェアの追加/削除」)などを使用して「Telnetサーバー」(パッケージ名:telnet-server)などをインストールしてください。
・スーパーサーバー型のサービス設定
スーパーサーバー型のサービスのオン・オフも、サービスの設定ツールで行えます。ただし、スーパーサーバー型のサービスを使用するには、スーパーサーバー「xinetd」が実行中であることを確認してください。
スーパーサーバー型のサービスをオンにすると、すぐにスーパーサーバーの監視下に置かれます。(スーパーサーバー「xinetd」を再起動する必要はありません。)その為「開始」「停止」ボタンは使用できません。
現在の日付時刻を戻すシンプルな「Daytimeサーバー」を例に、スーパーサーバー型のサービスについて説明いたします。「Daytimeサーバー」はスーパーサーバー型のサービスで、TCPプロトコル型のサービス名は「daytime-stream」になります。サービスの設定ツールで「daytime-stream」を有効にします。
daytimeサービスの動作を確認するには「telnet」コマンドでdaytimeサービスのWell-knownポートである13番ポートに接続してみましょう。(Well-knownポートの番号は「/etc/services」で確認できます)。「tellnet」コマンドは、Tellnetサーバーに接続しリモートログインを行うコマンドですが、2番目の引数にポート番号を指定するとテキストベースのプロトコルの確認が使用できます。
次にdaytimeサービスが動作中のローカルホストの「127.0.0.1」の13番ポートに接続する例を示します。※外部のホストから接続するにはファイアアーウォールの設定ツールで13番ポートを開いておく必要があります。
■xinetdの設定ファイルについて
「xinetd」の設定ファイルの概要とアクセス制御の方法について説明いたします。「xinetd」の設定ファイルは次の2種類に分かれます。
全体の設定ファイル―/etc/xinetd.conf
/etc/xinetd.confには全てのサービスに共通の設定を記述します。
個別の設定ファイル―/etc/xinetd.d/<サービス名>
/etc/xinetd.dディレクトリ以下にはサービス個別の設定ファイルが置かれております。同じ設定が「/etc/xinetd.conf」にあった場合には、個別の設定ファイルの方が優先されます。
/etc/xinetd.confと/etc/inetd.dディレクトリ以下のファイル
Fedoraには、ネットワークの設定をGUIで行えるようにした「ネットワーク設定ツール」が用意されています。まず、ネットワーク設定ツールの基本的な使用方法について説明いたします。その後、ネットワークの設定ファイルの概要や簡易ファイアーウォールの設定方法などについて説明いたします。
・ネットワークの設定ツールについて
ネットワーク設定ツール(System-config-network)を使用したネットワークの基本設定に関して説明をしていきます。なお、ネットワーク設定ツールを使用してネットワークデバイスの設定を行う場合には、現状ではネットワークの自動設定する「NetworkManager」をオフにしたほうがよいでしょう。
ネットワーク設定ツールは「システム」⇒「管理」⇒「ネットワーク」を選択すると起動します。起動する際はスーパーユーザーのパスワードが必要となります。
・ネットワークインターフェースの設定方法
ネットワーク設定ツールは、4つのパネルから構成されております。IPアドレスの割り振りなど、ネットワークインターフェース(イーサーネットフェース)はカーネルに認識された順に「eth0」「eth1」「eth2」といったデバイス名がつけられます。ネットワークインターフェースが1つだけの場合には「eth0」というデバイス名が表示されているはずです。設定を行うには、目的のデバイスをダブルクリックするか、デバイスを選択し「編集」ボタンをクリックします。すると「イーサーネットデバイス」ダイアログが表示され、ネットワークインターフェースを編集できるようになります。
・IPアドレス設定
DHCPを使用してIPアドレスを自動設定する場合には、「自動的にIPアドレスを取得」を選択して、その横のドロップダウンリストで「dhcp」を選択します。DNSサーバーの情報も自動取得する場合には「DNS情報をプロバイダから自動取得」にチェックをします。
IPアドレスを手動で割り付ける場合には「固定のIPアドレス設定」を選択します。IPアドレス、サブネットマスク、デフォルトゲートウェイのアドレスを入力します。ここで、デフォルトゲートウェイ(デフォルトルーター)とはIPパケットのデフォルトの送り先です。ブロードバンドルーターを介してインターネットに接続している場合には、そのIPアドレスを指定します。
・ホスト名とDNSの設定
ネットワーク設定ツールの「DNS」パネルでは、マシンのホスト名および参照するDNSサーバー(ネームサーバー)の情報を入力します。DNSサーバーのIPアドレスアドレスは3つまで指定でき、その順に検索されます。
「DNS検索パス」には、短いホスト名だけが指定された場合に補完するドメイン名を入力します。たとえば「fxsl.biz」に設定しておくと、ホスト名に「www」が指定された場合には、「fxsl.co.jp」と自動補完されるようになります。また、WebブラウザのURL「http://www」を指定すると「http://www.fxsl.biz」がアクセスされます。
・ホスト情報の登録
「ホスト」パネルではIPアドレスとホスト名の対応を記述します。LAN内にDNSサーバーがない場合には、ここではサーバーのIPアドレスとホスト名を登録するとよいでしょう。ホストを新たに登録するには「新規」ボタンをクリックします。すると「ホスト登録を追加/編集」ダイアログが表示されるので必要な情報を入力し「OK」ボタンをクリックします。「エイリアス」には別名を指定可能です。一般的にはホスト名に「host1.sample.com」のようなFQDNを指定し、エイリアスにはドメイン部を除いたホスト名を指定します。なお、「ホスト」パネルで登録したホスト情報は「/etc/hosts」ファイルに保存されます。
・設定の保存方法
設定を保存するには「ファイル」メニュー⇒「保存」を選択します。なお、ネットワークインターフェースのIPアドレスなどの設定を変更した場合には、次のようにしてネットワークを再起動しましょう。
|
・「ifconfig」コマンドによるネットワークインターフェースの確認
現在動作中のネットワークコンピューターの状態は「ifconfig」コマンドにて確認ができます。
「ifconfig」コマンドは「/sbin」ディレクトリに保存されているために実行するにはスーパーユーザーの権限が必要となります。引数なしで実行した場合には動作中の全てのインターフェースが表示されます。次にイーサーネットカードが1つのシステムでの実行結果を例にあげてみます。
(※一例です。)
|
(2)でIPアドレスが(127.0.0.1)で名前「Lo」のインターフェースが表示されていますが、これは「ローカルループバックアドレス」(自分自身を示すIPアドレス)と呼ばれるもので、主にネットワークのテストに使用されます。
■PPPoEの設定について
ADSLやケーブルTV、光インターネットなどのブロードバンド環境では、PPPoE(PPP Over Ethernet)方式によるインターネット接続が増えています。もちろん「Fedora」もPPPoE環境に対応しております。ここではその設定方法に関して説明をしたいと思います。
・コンピューター側で「PPPoE」の設定が必要なケース
PPPoEの設定が必要のなるのは、ADSLモデムやケーブルモデムとコンピューターをLANケーブルで直結する場合になります。ブロードバンドルーターを使用している場合にはPPPoEの設定はルーター側で行います。この場合はコンピューター側のIPアドレスは手動で割り付けるか、ルーターのDHCP機能で自動設定いたします。
・PPPoEの手動設定方法
ネットワーク設定ツールを使用してPPPoEを設定する手順を説明します。
(1)「デバイス」パネルを表示して「新規」ボタンをクリックする。
「新規デバイスタイプを追加」ダイアログが表示されます。このダイアログはウイザード形式になっております。各画面で設定を行い「進む」ボタンをクリックして、次の画面に進んでください。
(2)「デバイスタイプの選択」画面では「xDSL接続」を選択します。
(3)「DSL接続の設定」画面でアカウント情報などを設定して次の「DSL接続を作成」画面で「適用」ボタンをクリックします。
「DSL接続の設定」画面では「イーサーネットデバイス」でADSLモデムが接続されているネットワークデバイスを選択して「プロバイダーの名称を入力します。「ログイン名」と「パスワード」には、プロバイダーからしていされたアカウント情報を入力します。「DSL接続を作成」画面で「適用」ボタンをクリックするとネットワーク設定ツールの「デバイス」パネルに「ppp番号」という名前で「PPPoE」のデバイスが登録されます。
(4)「ファイル」メニュー⇒「保存」を選択して設定を保存します。
起動ボタンをクリックすると「プロバイダー」と「PPPoE」で接続されます。
■ネットワークの設定ファイルについて
ネットワーク設定ツールで行った設定は「/etc」ディレクトリー以下の設定ファイルに書き込まれております。これらはすべて単純なテキストファイルですから、自分で修正して設定することも行えます。
・ホスト名とIPアドレスの対応について
「etc/hosts」ファイルには、ホスト名とIPアドレスの対応が1組ずつ記述されております。各行の書式は、以下の方になっております。
|
各フィールドの区切りはスペースもしくはタブになります。「#」以降から行末まではコメントとなります。DNSによるホスト名と合わせるためには「ホスト名」「ホスト名+ドメイン名」のFQDNで指定して別名には短いホスト名を記述すればよいでしょう。
|
|
・名前解決の順序の設定方法
ホスト名からIPアドレスを引き出す仕組みには、DNSやHostsファイルの他に「NIS(NIS+)やローカルデーターベースによる方法があります。これらの順番で参照するかは「/etc/nsswitch.conf」の「hosts:」行で設定できます。デフォルトの設定を見てみましょう。
|
|
(※)「hosts:」のあとに、スペースもしくはタブで区切って検索するサービスを順番に指定します。「files」は「//etc/hosts」ファイルを、「dns」はDNSサーバーを使用することを表しております。つまりデフォルトでは、まず「/etc/hosts」ファイルで検索が行われ、見つからなかった場合にDNSサーバーを検索することになるのです。例えば次のようにすることで順序を逆にすることが可能です。
|
なお、古いプログラム(ライブラリにlibc5を使用しているプログラム)の場合、「/etc/nsswitch.conf」ではなく、「/etc/host.conf」を参照します。そのため、たいていのディストリビューションでは「/etc/nsswitch.conf」と「/etc/host.conf」の両方を用意して、どちらでも同じ検索順を設定しております。次に「/etc/host.conf」のデフォルトの設定を表示してみましょう。
|
|
(※)「oeder」の後ろに検索する順番を指定します。「/etc/nsswitch.conf」と異なり区切りはカンマ「、」になり、「hosts」は「/etc/hosts」ファイルを「bind」はDNSサーバーを参照することを示しております。
・DNSサーバーの設定ファイル
「/etc/resolv.conf」は参照するDNSサーバーの設定が記述されているファイルです。このファイルにはネットワーク設定ツールの「DNS」パネルの設定が反映されます。次に「/etc/resolv.conf」の例を示します。
|
|
(※)nameserver行では、参照するDNSサーバーのIPアドレスを検索する順に指定します。
・ネットワークの基本設定ファイル
「/etc/sysconfig/network」には、ネットワークを有効にするかや自分のホスト名などの設定が記述されております。
|
|
(2)ホスト名の設定を行う。
・ネットワークインターフェースの設定ファイル
ネットワークインターフェースごとの設定は「/etc/sysconfig/networking/devices/ifcfg-<デバイス名>ファイルに記述されています。1枚目のイーサーネットカードは「/etc/sysconfig/networking/devices/ifcfg-eth0」になります。
|
|
■ルーティングの設定方法
異なるネットワークに属するコンピューターを接続するネットワーク機器を「ルーター」と呼びます。最近では低価格で高性能のいわゆる「ブロードバンドルーター」と呼ばれているルーターの普及により、一般の家庭でもルーターを目にすることが多くなってきております。ここではルーターを指定するルーティングの設定方法について説明します。
・基本的なルーターの働きについて
インターネット上には数えきれないくらいのネットワークがありますが、それらのネットワークはすべてルーターによって接続されております。そのため、目的のコンピューターに至る経路(ルート)も様々です。その中からIPパケットが通る最適な経路を決定する仕組みを「ルーティング」(経路制御)と呼ばれています。
ネットワークを介して目的の相手にIPパケットを送る時点で終点から終点までのすべてのルートを決めるわけではありません。それぞれのルーターは、隣り合ったルーターへのルートのみを決定いたします。つまりは、ルーターごとにルートの決定が行われて最終的な目的地に着くまでそれが繰り返されるわけです。
・スタティックルーティングとダイナミックルーティングについて
ルーティングの方法は大きく分けて「スタティックルーティング」と「ダイナミックルーティング」の2種類があります。ルーターは自分が接続しているネットワーク以外へのIPパケットを受け取ると、経路制御表(ルーティングテーブル)という表を参照して、それに基づいてルートを決めます。スタティックルーティングは、ルーティングテーブルを管理者が自分で作成する方法です。
それに対してダイナミックルーティングでは、ルーター同士が経路制御の情報をやりとりしてルーティングテーブルを自動的に作成します。LANなどの小規模ネットワークではスタティックルーティングで十分なのですが、インターネットのように無数のルーターが存在する環境ではダイナミックルーティングが使用されます
※ダイナミックルーティングを行うためのプロトコルとして主にLANで使用されるRIP(Routing Information Protocol)、インターネットで使用されるBGP(Border Gateway Protocol)などがあります。
・デフォルトルート
すべてのルーティング情報を設定するのは面倒なため、デフォルトの送り先として「デフォルトルート」と呼ばれているルートが用意されております。あらかじめルーティングテーブルに登録されていないネットワークへのIPパケットは、すべてデフォルトルートへ送られます。デフォルトルートとして使用されるルーターのことを「デフォルトゲートウェイ」と呼びます。
例えば、SOHOや家庭などルーター1つで外部ネットワークと接続されているような環境の場合には、デフォルトをルーターのIPアドレスに設定しておくだけでよいのです。
ルーターには接続するネットワークそれぞれのIPアドレスを割り当てます。つまり、2つのネットワークを中継するルーターは通常2つのIPアドレスを持っているのです。例えば「192.168.0.0/24」と「192.168.1.0/24」を接続する場合にはルーター側のイーサーネットポートには「192.168.0.1」、「192.168.1.0/24」側には「192.168.1.2」といたようにIPアドレスを割り当てます。
・スタティックルートの設定
ネットワーク内にルーターが複数ある環境では、適切にルーティングを行わないとIPパケットが正しい目的地に届かなくなります。ここでは、次のようなネットワークを例にスタティックルートの設定例を示します。
これはオフィスなどでよくある構成例で、インターネットと内部ネットワーク間にもう一段「DMZ」(De-Militaraized Zone:非武装地帯)と呼ばれる境界ネットワークを用意してセキュリティーを高めているのです。「外部ルーター」ではIPマスカレード(あるいはNAT)を使用して、プライベートIPアドレスの変換を行います。また、DMZ内のホスト1では、外部から参照できるWebサーバーやメールサーバーを立ち上げています。万一「ホスト1」が侵入されたとしても、内部ネットワークまでは被害が及ばないというわけです。
内部ネットワーク内の各ホストに関しては、外部と接続するルーターは「内部用ルーター」だけですからデフォルトルートを、そのIPアドレス「192.168.0.10」に設定しておくだけでかまいません。
ここでは、「ホスト1」から「ホスト2」にアクセスしたい場合を考えます。なお、通常は内部用ルーターでは外部からの侵入を遮断していますが、ここでは実験のために外部から内部へのルーティングを一時的に許可するものとして説明します。
「外部ルーター」はインターネットに接続されていますから、ホスト1のデフォルトルートは「外部用ルーター」(192.168.1.254)に向けられているはずです。この状態で「ホスト2」と通信しようとしても「ホスト2」に宛てたパケットも「外部ルーター」を経由しようとします。したがって「ホスト1」から「ホスト2」にアクセスするためには「192.168.0.0/24」に宛てたパケットは「内部用ルーター」を経由するようなルーティングを設定する必要があるわけです。
・ネットワーク設定ツールによるスタティックルートの設定
スタティックルートの設定はネットワーク設定ツール(「システム」⇒「管理」⇒「ネットワーク」)で行うことができます。「デバイス」パネルを表示して、目的のネットワークインターフェースを選択して、「編集」ボタンをクリックします。「イーサーネットデバイス」ダイアログが表示されるので「ルート」パネルを表示します。あとは次の手順でスタティックルートを追加します。
(1)「追加」ボタンをクリックして「IPアドレスを追加/編集」ダイアログで設定を行います。
「アドレス」「サブネットマスク」には宛先のネットワークアドレスとサブネットマスクを「ゲートウェイ」にルーターのIPアドレスを指定します。例えば「192.168.0.0./24」宛てのパケットについては、IPアドレスが「192.168.1.11」のルーターを経由するように指定するには「アドレス」に「192.168.0.0」、「サブネットマスク」に「255.255.255.0」、「ゲートウェイ」に「192.168.1.11」を指定します。
(2)「OK」ボタンをクリックすると、スタティックルートが登録します。
(3)「ネットワーク設定」ダイアログに戻り、「ファイル」⇒「保存」を選択します。
(4)serviceコマンドを使用してネットワークを再起動します。
|
■IPエイリアシング
通常ネットワークインターフェースに割り付けるIPアドレスは1つですが、場合によっては複数のIPアドレスを割り付けることができます。この機能のことを「IPエイリアシング」と呼びます。
・IPエイリアシングのメリット
IPエイリアシングによってネットワークインターフェースに複数のIPアドレスを割り付けると、外部からはあたかもマシンに複数のインターフェースがあるように見えます。IPエイリアシングは主に次の2つの目的に使用されます。
バーチャルホスト
バーチャルホストとは、1つのマシン上で動作する、複数のURL(またはIPアドレス)でアクセス可能なサーバーのことをいいます。たとえば、Fedoraに付属のWebサーバー「Apache」にはバーチャルホスト機能が用意されております。IPエイリアシング機能を使用して、同じネットワークインターフェースに「192.168.1.10」と「192.168.1.11」のような2つのIPアドレスを割り当て、それぞれをDNSサーバーに「www1.fxsl.biz」および「www2.fxsl.biz」と登録しておきます。ApacheではそれぞれについてDocumentRoot(HTMLドキュメントの保存されるディレクトリ)を設定できるので、外部からはあたかも2台のマシンでWebサーバーが起動しているように見えます。
簡易ルーターとして使用する
IPエイリアシングを使用して、たとえば「192.168.1.1」「192.168.0.1」といった異なるセグメントのIPアドレスを割り当てることによってネットワークインターフェースが1つのマシンで簡易ルーターとして使用できます。この場合、同じネットワークケーブル上に異なるネットワークが混在する形になります。そのためホストの台数が多く、トラフィックが激しいLANでの利用には向きませんが、SOHOや家庭レベルのネットワークでは手軽にIPマスカレードを実現できるという点で便利でしょう。
■IPエイリアシングの設定方法
IPエイリアシングの設定は、ネットワーク設定ツールの「デバイス」パネルを使用します。(1~8の手順で行います)
(1)「新規」ボタンをクリックします。
「新規デバイスタイプを追加」ダイアログが表示されます。
(2)「デバイスタイプの選択」画面で「イーサーネット接続」を選択します。
(3)イーサーネットデバイスの選択」画面でネットワークカードを選択します。
すでに設定済みのネットワークカードが表示されるので、それを選択します。(他のイーサーネットカードは選択しないでください。)
(4)「ネットワークの選択」画面でIPアドレスとサブネットマスクを選択します。
(5)イーサーネットデバイスを作成」画面で「適用」ボタンをクリックするとデバイスが登録されます。
インターフェースのエイリアス名(別名)は「<デバイス名>:<番号>」になります。番号は「1」から始まる数値です。たとえば、1枚目のネットワークインターフェース「eth0」の1つ目のエイリアス名は「eth0:1」となります。
(6)登録されたデバイスを選択します。
登録されたデバイスを選択し「編集」ボタンをクリックします。「親デバイスの起動時にデバイスを起動する」にチェックが付けられます。これで元のインターフェースが有効になった時点でエイリアスも有効になります。
(7)「ファイル」メニュー⇒「保存」コマンドを選択します。
(8)「デバイス」で、登録されたデバイスを選択し「起動」ボタンをクリックします。状態が「休止中」から「起動中」になります。
以上でIPエイリアシングが設定されます。次にネットワークインターフェースの状態を表示する「ifconfig」コマンドの実行結果を示してみましょう。
|
(2)エイリアス
(3)ローカルループバック
※エイリアスと元のインターフェースではMACアドレス(HWaddr)が同じになります。
■ファイアーウォール機能について
「ファイアーウォール」とは簡単に言えば、外部からの攻撃からネットワークを守るための仕組みや概念のことです。Fedoraに用意されている「ファイアーウォールの設定ツール」を使用すると、簡易的なファイアーウォールを手軽に設定できます。なお、ファイアーウォールの設定ツールの「SELinux」ではLinuxのセキュリティーを許可するSELinuxの設定も可能です。SELinuxは前章を参照してください。
・パケットフィルタリングについて
ファイアーウォールの主な形態には「パケットフィルタリング型」と「アプリケーションゲートウェイ型」の2種類があります。パケットフィルタリング型は、ネットワークに流れてくるパケットをIPアドレスやポート番号によって遮断するものです。それに対してアプリケーションゲートウェイ型はインターネットへのアクセスは「プロキシーサーバー」と呼ばれている代理サーバーを使用することによって、LANとインターネットを直接通信できなくなるようにする方法です。TCP/IPの階層モデルで言えば、パケットフィルタリング型はネットワーク層で働くファイアーウォール、アプリケーションゲートウェイ型はアプリケーション層で働くファイアーウォールということになります。
ファイアーウォールの設定ツールで設定できるのは、あくまでも簡易的なパケットフィルタリングです。この機能を使用してフィルタリングできるのは送信先ポート番号のみです。
・ファイアーウォールの設定ツール
「ファイアーウォールの設定ツール」(system-config-firewall)を起動するには「システム」⇒「管理」⇒「ファイアーウォール」を選択します。※スーパーユーザーになることが必要になります。)
ファイアーウォールを有効にする
ファイアーウォールの有効/無効の切り替えは、上部の「有効」/「無効」ボタンで行います。通常は「有効」を選択して有効にします。「無効」に設定した場合にはファイアーウォールが無効になります。
「有効」に設定されていると左のリストから設定項目が選択できるようになります。このとき、ファイアーウォールの設定ツールはユーザーの熟達レベルに応じて設定できる項目が異なります。「オプション」⇒「ユーザの熟達レベル」で「初心者」「熟達者」のいずれかを選択いたします。「熟達者」の場合には左のリストから全ての項目が選択できますが、「初心者」の場合には「信頼したサービス」のみが選択可能で、あらかじめ登録されている基本的なネットワークサービスに関する設定のみが可能です。
信頼したサービスの選択方法
あらかじめ登録されているネットワークサービスに外部からアクセスできるようにするためには、「信頼したサービス」で該当するポートへパケットを許可する必要があります。リストには基本的なサービス名とその「ポート番号/プロトコル」が表示されています。たとえば、Webサーバーを公開している場合には「WWW(HTTP)」にチェックを付けます。すると、TCPの80番ポートが開かれ外部のWebブラウザーで、サーバー内に構築したWebサイトを閲覧できるようになります。
その他のポートを追加する方法
「信頼したサービス」パネルに登録されていないサービスに関しては、「その他のポート」パネルにプロトコルポート番号を指定することでパケットを許可することが可能です。たとえば、Macintoshのファイルサーバーソフト「Netatalk」はTCPの548番ポートを使用されています。これを「その他のポート」に登録するには次の1~4の手順で行います。
(1)ファイアーウォールの設定ツールの「その他のポート」パネルを開き「追加」ボタンをクリックします。
(2)リストの中から「afpovertcp」(プロトコルは「tcp」)を選択します。あるいは「ユーザ定義」をチェックして「ポート/ポート範囲」で「548」を「プロトコル」から「tcp」を選択します。設定後は「OK」ボタンをクリックします。
(3)ポートが登録されました。「適用」ボタンをクリックします。
次のようなダイアログが表示されます。「はい」ボタンをクリックすると設定が反映されます。
・「etc/sysconfig/iptables」について
ファイアーウォールはLinuxカーネルに組み込まれNetfilterという機能を使用しています。Netfilterの設定は「iptables」というサービスによって行われ、その設定ファイルは「/etc/sysconfig/iptables」になります。ファイアーウォールの設定ツールで行った設定も「/etc/sysconfig/iptables」に書き込まれます。
|
|
※「/etc/sysconfig/iptables」を自分で編集する場合には、ファイアーウォールの設定ツールを使用しないでください。設定がすべて上書きされてしまいます。
また、ファイアーウォールの設定ツールで行ったポートの設定情報は「/etc/sysconfig/system-config-firewall」に保存されます。
■ネットワークサービスの仕組み
Fedoraには、Webサーバーやメールサーバーをはじめとする様々なネットワークサービスが用意されています。ここでは、それらのネットワークサービスの起動の仕組みと基本的な設定方法について説明をしていきます。
・スタンドアロン型とスーパーサーバー型のサービスについて
ネットワークサービスは、通常のデーモンとして起動する「スタンドアロン型」(常駐型)と「スーパーサーバー」と呼ばれている特別なサーバーを介して起動する「スーパーサーバー型」の2種類に大別されます。
・スタンドアロン型のサービス
スタンドアロン型のネットワークサービスは、通常システムの起動時にデーモンとして起動するサービスです。起動後はメモリー上に常駐し、ネットワークポートを監視し続けますからクライアントが接続してくると即座に応答を返すことができます。例えば、Webサーバー「Apach」などは通常スタンドアロン型として起動します。Fedoraでは、一般的なほとんどがスタンドアロン型として起動されます。次に、スタンドアロン型のネットワークサービスの例を下記に示します。
|
・スンドアロン型のサービスのオン・オフ
スタンドアロン型のネットワークサービスは、通常のサービスと同様にサービスの設定ツール「システム」⇒「管理」⇒「サービス」によって、オン/オフ(Enable/Disable)を切り替えられます。また上部のボタンによって開始(Start)停止(Stop)再起動(Restart)が行えます。
コマンドラインでオン・オフを切り替えるには「chkconfig」コマンドを使用します。起動、停止、再起動を行うには「Service」コマンドを使用します。
|
・スーパーサーバー型のサービス
スタンドアロン型のネットワークサービスは、クライアントの要求にすぐに応答できる反面、メモリーに常駐するので、その分リソースを消費してしまいます。そこで、必要なときだけサービスを立ち上げ処理が終わったらサービスを終了仕組みが考え出されました。それらのサービスを統括して管理するのが「スーパーサーバー」と呼ばれる特別なデーモンプログラムです。なお、スーパーサーバー自体もスタンドアロン型のサービスです。
スーパーサーバーは、自分が管理するネットワークサービスのWell-Knownポートを常に監視しています。クライアントがそれらのポートに接続してくると、該当するサービスを立ち上げます。たとえば、Telnetサーバー(パッケージはtelnet-server)がスーパーサーバーによって管理されていた場合、クライアントが23番ポートに接続してきた時点でTelnetサーバー(in.telnetd)を立ち上げます。
クライアントが接続を解除するとスーパーサーバーは「Telnetサーバー」を終了します。次の表に、Fedora14でスーパーサーバー型として起動されるサービスを例に示します。
|
■スーパーサーバー型のサービスの設定方法
Fedoraではスーパーサーバーに「xinetd」というプログラムが使用されております。この「xinetd」はLinuxで古くから使用されていたスーパーサーバー「inetd」の機能を強化し、アクセス制御の仕組みを組み込んだものです。
Fedoraでは「xinetdパッケージ」、もしくはそれに依存する「Telnet」サーバーなどのスーパーサーバー型のサービスをインストールしないと「xinetd」はインストールされません。スーパーサーバー型のサービスの動作を確認するためには、パッケージマネージャー(「システム⇒「管理」⇒「ソフトウェアの追加/削除」)などを使用して「Telnetサーバー」(パッケージ名:telnet-server)などをインストールしてください。
・スーパーサーバー型のサービス設定
スーパーサーバー型のサービスのオン・オフも、サービスの設定ツールで行えます。ただし、スーパーサーバー型のサービスを使用するには、スーパーサーバー「xinetd」が実行中であることを確認してください。
スーパーサーバー型のサービスをオンにすると、すぐにスーパーサーバーの監視下に置かれます。(スーパーサーバー「xinetd」を再起動する必要はありません。)その為「開始」「停止」ボタンは使用できません。
現在の日付時刻を戻すシンプルな「Daytimeサーバー」を例に、スーパーサーバー型のサービスについて説明いたします。「Daytimeサーバー」はスーパーサーバー型のサービスで、TCPプロトコル型のサービス名は「daytime-stream」になります。サービスの設定ツールで「daytime-stream」を有効にします。
daytimeサービスの動作を確認するには「telnet」コマンドでdaytimeサービスのWell-knownポートである13番ポートに接続してみましょう。(Well-knownポートの番号は「/etc/services」で確認できます)。「tellnet」コマンドは、Tellnetサーバーに接続しリモートログインを行うコマンドですが、2番目の引数にポート番号を指定するとテキストベースのプロトコルの確認が使用できます。
次にdaytimeサービスが動作中のローカルホストの「127.0.0.1」の13番ポートに接続する例を示します。※外部のホストから接続するにはファイアアーウォールの設定ツールで13番ポートを開いておく必要があります。
|
■xinetdの設定ファイルについて
「xinetd」の設定ファイルの概要とアクセス制御の方法について説明いたします。「xinetd」の設定ファイルは次の2種類に分かれます。
全体の設定ファイル―/etc/xinetd.conf
/etc/xinetd.confには全てのサービスに共通の設定を記述します。
個別の設定ファイル―/etc/xinetd.d/<サービス名>
/etc/xinetd.dディレクトリ以下にはサービス個別の設定ファイルが置かれております。同じ設定が「/etc/xinetd.conf」にあった場合には、個別の設定ファイルの方が優先されます。
/etc/xinetd.confと/etc/inetd.dディレクトリ以下のファイル
|
|
