|
|
次のページ
前のページ
目次へ
7. よくある質問 (FAQ)ここに載せるに相応しい質問を思いついたら、 dranch@trinnet.net に送ってください。 質問と、適切な回答を、分かりやすく書いて頂ければ幸いです。 宜しくお願いします。 7.1 IP マスカレードをサポートしている Linux ディストリビューションはどれですか?Linux ディストリビューションが IP マスカレードをサポートしていなくても心配はいりません。この HOWTO の前の方に書かれているとおりにカーネルの再コンパイルを行うだけです。 注意 - この表に追加できる方は ambrose@writeme.com または dranch@trinnet.net 宛にメールを送ってください。
7.2 IP マスカレードを使うための、ハードウェアに最低限必要な条件と 制限事項を教えてください。それでどんな性能が出ますか?16MB の RAM を備えた 486/66 のボックスは、 1.54Mb/s T1 のネットワークで 100% 以上の働きをしました! 更にマスカレードは 8MB の RAM を備えた 386SX-16s のマシンでとても良好に 動作することが知られています。 しかし、Linux IP マスカレードは 500 を越えるマスカレードエントリーで スラッシングを始めてしまうことに注意してください。 【訳注: スラッシング: OS が実メモリと SWAP スペースの間のデータの 読み書きに殆どの時間を費して、プログラムが実行できなくなる状況を言います。】 私が知る Linux IP マスカレードを一時的に壊すことができる唯一の アプリケーションは、 GameSpy です。 なぜかというと、 GameSpy は使っているリストをリフレッシュするために 非常に短時間に 10,000 ものインターネット接続を行います。 このセッションのタイムアウト迄マスカレード・テーブルは一杯に なってしまいます。 詳細は FAQ の No-Free-Ports のところを見てください。 それ以外にも、 Linus が管理している Linux カーネルでは TCP と UDP 各々に対して 4096 の 同時接続数の制限があります。 この制限は、カーネルソースの中の値をちょっといじるだけで簡単に変えることが できます。 2.2.x カーネルの場合は /usr/src/linux/include/net/ip_masq.h を、 2.0.x カーネルの場合は /usr/src/linux/net/ipv4/ip_masq.h を 編集します。 どんなに忙しいサーバーでも正しいファイルの中の制限値を最大 32000 迄 増やせば大丈夫でしょう。 この数を変更したい場合は、 PORT_MASQ_BEGIN & PORT_MASQ_END の値を 32K から 64K 迄の適切な範囲内に変更する必要があります。 ここに例を示します - PORT_MASQ_BEGIN=32000 PORT_MASQ_END=64000 7.3 rc.firewall コマンドを実行したら「コマンドが見つかりません」 (command not found) というエラーが発生しました。なぜでしょう?どのように rc.firewall を作りましたか? TELNET ウインドウ内にカットアンドペーストをしましたか? 或は Windows/DOS マシンから FTP をしましたか? 次のことを試してみてください.. Linux ボックスにログインし、 "vim -b /etc/rc.d/rc.firewall" を実行してみて ください。 そして、表示された行がすべて ^M で終わっているかどうか見てください。 もしそうなら ^M を全て削除して、もう一度やってみてください。 7.4 設定を全てチェックしましたが、未だ IP マスカレードを動作させる ことができません。どうしたらよいでしょうか?
7.5 IP マスカレード・メーリングリストや IP マスカレード・開発者 メーリングリストに参加したり、そのアーカイブを見るにはどうすれば良いですか?2 つある Linux IP マスカレード・メーリングリストに参加するには 2 つの 方法があります。 第 1 の方法は masq-request@indyramp.com にメールを送ることです。 Linux IP マスカレード・開発者メーリングリストに参加するためには masq-dev-request@indyramp.com にメールを送ります。 詳細は下の記述を参照してください。
第 2 の方法は、 WWW ブラウザを使います。 IP マスカレード・メーリングリストに参加したい場合は http://www.indyramp.com/masq-list/ にあるフォームをアクセスし、 IP マスカレード・開発者メーリングリストに参加したければ http://www.indyramp.com/masq-dev-list/ にあるフォームに アクセスして、申し込みをします。 予約すると予約されたメーリングリストからメールが来ます。予約したユーザも予約していないユーザも 2 つのメーリングリストのアーカイブにはアクセスすることができます。予約のための詳しい説明は、上記 2 つの WWW URL を参照してください。 最後になりますが、最初に予約したアカウント/アドレスからしか IP マスカレード・メーリングリストに投稿できないことに注意してください。 メーリングリストあるいはメーリングリスト・アーカイブに関して何らかの問題があれば Robert Novak に連絡してください。 7.6 IP マスカレードは、プロキシや NAT サービスとどう違うのでしょうか?
プロキシ: プロキシサーバは次のもので利用可能です: Win95, NT, Linux,
Solarisなど。
長所 - + 1 IP アドレス: 安価
+ 性能向上のためにキャッシング・オプションがある。
(www 他)
短所 - - プロキシサーバに繋がるクライアントの
アプリケーションはプロキシ・サービス (SOCKS) を
サポートし、且つプロキシサーバを使うように設定
しなければならない。
- WWW のカウンタと統計情報が狂ってしまいます。
プロキシサーバは IP マスカレードと同様に、 1 つのグローバル IP
アドレスのみ使用し、プライベート LAN 上のクライアント (WWW ブラウザ
等) への翻訳機として動作します。
このプロキシサーバは、1 つのインターフェースに繋がるプライベート
ネットワークから TELNET, FTP, WWW 等のような接続要求を受け取ります。
そして、あたかもローカルボックス上の誰かが接続要求を発しているかの
ように、順番にこれらのリクエストを外部に送信します。
遠隔のインターネットサーバが要求された情報を送り返してくると、
今度は内部クライアントに再度 TCP/IP アドレスを翻訳し、トラフィックを
送ります。
このため、それはプロキシサーバ【訳注: 代理サーバ】と呼ばれます。
注意 -
あらゆるアプリケーションも、ネットワーク内部のマシンで
使いたい場合は、 Netscape や幾つかの優秀な TELNET や
FTP クライアントのように、プロキシサーバのサポートが
されていなければなりません。
プロキシサーバのサポートがされていないクライアント
プログラムは動作しません。
プロキシサーバのもう一つの利点として、プロキシサーバの中には
キャッシングのできるものもあることです (Squid for WWW) 。
例えば 50 台のプロキシされた PC があって、それらが同時に
Netscape を起動したと想像してください。
それらがデフォルトのホームページ URL のままインストールされて
いたなら、同じ Netscape WWW ページが各々の個々のコンピュータに
別々に 50 回 WAN リンクを介して送られることになります。
キャッシュを持ったプロキシサーバでは、 1 回だけがプロキシサーバ
によってダウンロードされ、プロキシされたマシンはプロキシ内の
キャッシュから WWW ページを受け取ります。
これはインターネット接続中の帯域幅を節約するだけでなく、
プロキシされたマシンにとって非常に早い応答速度になります。
マスカレード- IP マスカレード は、Linux 及び Zytel Prestige128, Cisco 770,
及び NetGear ISDN routers 等、幾つかの ISDN ルータで利用可能です。
1対多IPの
NAT 長所 - + 1 IPアドレスだけが必要。(安価)。
+ 特別なアプリケーションによるサポートを要求しない。
+ ファイアウォール・ソフトウェアを使用するので、
ネットワークがより安全になる。
短所 - - Linux ボックスか、特別な ISDN ルータを必要とする。
(他の製品は搭載しているかも知れませんが..)
- 内部 LAN が最初のトラフィックを発生させるか、或は
特定のポート・フォワーディング・ソフトウェアが
インストールされていなければ、外から来る
トラフィックは内部 LAN にアクセスできない。
多くの NAT サーバはこの機能を持っていません。
- 特殊なプロトコルを扱うにはファイアウォール・
リダイレクタ等によって個々の設定が必要。
Linux は、この機能 ( FTP、IRC 等) の全面的な
サポートをしているが、多くのルータはサポートして
いない。 (NetGear はサポートしています)
IP マスカレードや 1対多 IP の NAT は、サーバが IP アドレス翻訳を
行い、内部マシンに代わってあたかもマスカレードサーバが接続要求を
発生しているかのように、遠隔のサーバ (例えば WWW サーバ) に
送り出すという意味で、プロキシサーバに似ています。
IP マスカレードとプロキシサーバの主な違いは、マスカレードサーバは
クライアントマシンの設定変更を全く必要としないということです。
クライアントのデフォルトゲートウェイとして Linux ボックスを使うように
設定さえすれば、問題なく働きます。
ただ RealAudio, FTP 等を使うには、それらの特別な Linux モジュールを
インストールする必要があります。
更に、多くの人々は TELNET, FTP 等の為に IP マスカレード を
使用します。
それに加えて、更に www のトラフィックの性能を上げる為に、同じ
Linux ボックスの中にキャッュを利かせたプロキシを設定します。
NAT - NAT サーバは Windows 95/NT, Linux, Solaris や高級な ISDNルータで
利用可能です。(Ascend 社製のものを除く)
長所 - + 設定が豊富にできる。
+ 特別なアプリケーションソフトが要らない。
短所 - - ISP からサブネット IP アドレスを貰う必要がある。
(高価)
ネットワークアドレス変換 (Network Address Translation) は、
パブリックアドレスとして使用できる有効な IP アドレスをプール
している箱の名前です。
内部ネットワークからインターネットに行きたい場合、接続要求を
出しているクライアントのプライベートアドレスを、空いている有効な
パブリック IP アドレスに書き換えて、接続要求をインターネットに
発行します。
その後の応答トラフィックは全て、NAT のパブリック IP アドレスから
プライベート・アドレスに書き換えられます。
使用されていたパブリック IP アドレスが予め決められた一定時間
使用されないと、パブリック IP アドレスはパブリック NAT プールへ
戻されます。
NAT に関する大きな問題は、一度自由に使えるパブリック IP アドレスが
全て使われてしまうと、その後にインターネットサービスを要求する
どのプライベートユーザも、パブリック NAT アドレスに空きが出る迄は
不運にもインターネットを利用できないことです。
色々な形態の NAT に関する、非常に幅の広い優れた記述があるので見てください - ここは、 NAT に関して学習するよいサイトです。URL の多くは古いですが、 まだ有効です -
ここは、 Linux や他のプラットフォーム用に、他の NAT による解決方法を 知るための良い URL です -
7.7 GUI の ファイアーウォール作成管理ツールはありますか?はい! ユーザ・インターフェースや複雑さなどにおいて差があり、大部分は IPFWADM ツール用だけですが、とても良いものがあります。 ここにアルファベット順に利用可能なツールのリストがあります。 他のものを知っているか、どれが良いとか、悪いとか、使えないとかの考えが あったら、 David にメールしてください。
7.8 IP マスカレードは動的に割り当てられた IP アドレスで動作しますか?はい、PPP 或は DHCP/BOOTp サーバ等によって、 ISP から 割り当てられた動的 IP アドレスで動作します。 有効なインターネット IP アドレスを持つ限り、動作する筈です。 勿論、静的な IP でも動作します。 IPFWADM/IPCHAINS を使った強いルールセットを使おうとしているか、 ポート転送を使おうとしているなら、これらのルールセットは IP アドレスが 変更される度毎に再実行しなければなりません。 強いファイアウォール・ルールセットと動的 IP アドレスに関する補足説明は TrinityOS - Section 10 にありますので見てください。 7.9 ケーブル・モデム(双方向とモデム・リターンの両方)や、 DSL, 衛星リンク等を使用してインターネットに接続し、 IP マスカレードを使うことができますか?はい、 Linux がそのネットワークインターフェイスを サポートしている限り、それは動作します。 動的 IP アドレスを使っているなら、 FAQ 項目内の上記「 IP マスカレードは 動的に割り当てられた IP アドレスで動作しますか?」を参照してください。 7.10 Diald または PPPd のダイアルオンデマンド機能を IP マスカレードと 一緒に使えるでしょうか?もちろんです! IP マスカレードは Diald または PPP において完全に 透過的です。 唯一の問題点は、動的 IP アドレスを備えた「強いファイアウォール・ルールセット」 を使用するかどうかです。 詳しくは FAQ 項目の上記「 IP マスカレードは動的に割り当てられた IP アドレスで動作しますか?」を参照してください。 7.11 IP マスカレードでは、どんなアプリケーションがサポートされていますか?動作するアプリケーションのリストを更新し続けることは非常に困難です。 しかしながら、 (Netscape, MSIE, 等の) WWW ブラウザ、 (WS_FTP 等の) FTP, TELNET, SSH, RealAudio, POP3 (メール受信 - Pine, Eudora, Outlook), SMTP (メール送信) 等、通常のインターネットアプリケーションの殆どは サポートされています。 マスカレード互換のクライアントの多少完全なリストはこの HOWTO の クライアント の章にあります。 より複雑なプロトコルや、或はビデオ会議ソフトウェアのような特別な 接続方法を使っているアプリケーションは、専用の補助ツールを使う 必要があります。 より詳細には、 Linux IP masquerading Applications を見てください。 7.12 どうやったら IP マスカレードを Redhat, Debian, Slackware 等で 稼働させることができますか?この HOWTO の中で説明している IP マスカレードのセットアップ手順は、 お手持ちの Linux ディストリビューションの種類を問わず適用できます。 ディストリビューションの中には、セットアップをより容易にする GUI 或は 特別の設定ファイルを持っているものもあるかも知れません。 私達はできるだけ一般的な HOWTO を書く為に最善を尽くしています。 7.13 しばしば使用していないと TELNET 接続が切れるように見えます。 なぜでしょうか?IP マスカレードは TCP セッション、 TCP FIN 及び UDP トラフィックの タイムアウト・タイマをデフォルトで15分に設定します。 殆どのユーザには次の設定 (この HOWTOの /etc/rc.d/rc.firewall ruleset の 中で既に示しました) を使ことをお奨めします。 Linux 2.0.x で IPFWADM を使う場合 -
# IP マスカレードのタイムアウト # # TCPセッションのタイムアウトは 2 時間 # TCP/IP の 「 FIN 」パケットが受信された後のタイムアウトは 10 秒 # UDP トラフィックのタイムアウトは 60 秒 (マスカレード・クライアントの # ICQ ユーザは、 ICQ の設定の中でファイアウォールのタイムアウト値を # 30 秒まで許すようにする必要があります。) # /sbin/ipfwadm -M -s 7200 10 60 Linux 2.2.x で IPCHAINS を使う場合 -
# IP マスカレードのタイムアウト # # TCPセッションのタイムアウトは 2 時間 # TCP/IP の 「 FIN 」パケットが受信された後のタイムアウトは 10 秒 # UDP トラフィックのタイムアウトは 60 秒 (マスカレード・クライアントの # ICQ ユーザは、 ICQ の設定の中でファイアウォールのタイムアウト値を # 30 秒まで許すようにする必要があります。) # /ipchains -M -S 7200 10 60 7.14 インターネット接続をしようとしても、最初は接続できません。 もう一度やってみると、問題なく動作します。なぜでしょうか?その理由は、あなたが動的 IP アドレスを使っていて、最初にインターネット接続を しようとした時には IP マスカレードがまだその IP アドレスを知らないからです。 この解決策があります。 /etc/rc.d/rc.firewall ルールセットに下記を加えてください -
# 動的 IP ユーザ - # # SLIP や PPP, DHCP 等から IP アドレスを動的に受け取っているなら、 # 以下のオプションを有効にしてください。 # これは IP マスカレードが Diald やこれと同様なプログラムと一緒に # 使われる時に、動的 IP アドレスのハッキングをやり易くします。 # echo "1" > /proc/sys/net/ipv4/ip_dynaddr 7.15 ( MTU ) - IP マスカレードはうまく動作しているように見えます。 しかし、いくつかのサイトでは動作しません。これは、通常 WWW と FTP で起こります。この原因は 2 つ考えられます。1 つ目は非常に一般的ですが、2 つ目は非常に希です。
PPP リンクの MTU の変更 -
古い UNIX のシリアルインターフェース -
PPPoE ユーザ -PPPoE (最大 MTU として 1490 を要求します) を使用するユーザ、或は MTU を 1500 にしないことに決めたユーザの為の解決法を書きます。 全てのマスカレード・クライアント PC の MTU の値を外部インターネットリンクの MTU と同じ値に設定すれば、うまく動作するでしょう。 PPPoE ISP の中には正しく接続するために 1460 の MTU を要求する所もあるかも 知れませんので、注意してください。 どうやってこれをするかは、以下の各オペレーティング・システム用の単純なステップに従ってください。 次の例は、ある DSL 及びケーブルモデムユーザの為の、典型的な PPPoE 接続用の MTU が 1490 の例を示します。 128Kb/s 以上の接続の場合は全て、可能な限り大きな値を使用することを推奨します。 より小さな MTU を使用する唯一の実際の理由は、処理能力を犠牲にしてでも より早い応答時間を得たいときです。 このトピックについての詳細は以下を見てください - http://www.ecst.csuchico.edu/~dranch/PPP/ppp-performance.html#mtu *** うまくいったとか、いかなかったとか、或は他の OS でのやり方を *** 知っているなら、 David Ranch 迄メールを送ってください。よろしく! Linux:
1. MTU の設定は Linux ディストリビューションにより異なります。
Redhatでは - /sbin/ifup スクリプトの中の様々な "ifconfig" の行を
編集する必要があります。
Slackwareでは - /etc/rc.d/rc1.inet の中の様々な "ifconfig" の行を
編集する必要があります。
2. ここに、どのディストリビューションでも働く良い例があります。
/etc/rc.d/rc.local ファイルを編集し、ファイルの最後に以下の行を
付け加えます -
echo "Changing the MTU of ETH0"
/sbin/ifconfig eth0 mtu 1490
"eth0" はインターネットに接続されたマシンの上流側のインターフェース名に
置き換えます。
3. "TCP 受信ウインドウ" (TCP Receive Windows) のような高度なオプションや、
特定の Linux ディストリビューション毎のネットワーキング・スクリプトの
編集方法等の詳しい例は、
の16章を見てください。 MS Windows 95 -
1. レジストリにどんな変更を加えることも非常に危険です。安全のために必ずバック アップ・コピーを取って行ってください。 自己責任で行ってください。 2. [スタート] → [ファイル名を指定して実行(R)] → "RegEdit" と入力します。 【訳注: ここの項目は日本語 Windows 95 の表示内容を参照しています。】 3. 作業前にはレジストリのバックアップ・コピーを取ってください。 方法は、エクスプローラ等で \WINDOWS ディレクトリにある "user.dat" と "system.dat" ファイルを安全な場所にコピーしておきます。 以前に述べた方法である、 "Regedit 上で [レジストリ(R)]→[レジストリファイルの書き出し(E)] [レジストリの書き出し]ウィンドウ上で [ファイル名(N)]→[保存(S)]" は、レジストリを単にマージするだけであって、置換をする訳ではないという ことに注意してください。 4. "n" で終了するレジストリツリーの各々を探索します。 (例えば0007) NIC の IP アドレスを持った "IPAddress" というレジストリエントリが あります。 そのキーの下に、下記を加えてください -
[Hkey_Local_Machine\System\CurrentControlset\Services\Class\NetTrans\000n]
type=DWORD
name="MaxMTU" (ダブルクォーテーションは書かないでください)
value=1490 (10 進数) ((10 進数)という文字は書かないでください)
type=DWORD
name="MaxMSS" (ダブルクォーテーションは書かないでください)
value=1450 (10 進数) ((10 進数)という文字は書かないでください)
5. "TCP Receive Window" (TCP 受信ウインドウ) も変更できます。
これは時としてネットワークの性能をかなり向上させることもあります。
もしスループットが悪くなったとわかったら、これらの項目を元の値に
戻してからリブートしてください。
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP]
type=DWORD
name="DefaultRcvWindow" (ダブルクォーテーションは書かないでください)
value=32768 (10 進数) ((10 進数)という文字は書かないでください)
type=DWORD
name="DefaultTTL" (ダブルクォーテーションは書かないでください)
value=128 (10 進数) ((10 進数)という文字は書かないでください)
6. 再起動して変更を有効にしてください。
MS Windows 98 -
1. レジストリにどんな変更を加えることも非常に危険です。安全のために必ずバック アップ・コピーを取って行ってください。 自己責任で行ってください。 2. [スタート] → [ファイル名を指定して実行(R)] → "RegEdit" と入力します。 【訳注: ここの項目は日本語 Windows 98 の表示内容を参照しています。】 3. 作業前にはレジストリのバックアップ・コピーを取ってください。 方法は、エクスプローラ等で \WINDOWS ディレクトリにある "user.dat" と "system.dat" ファイルを安全な場所にコピーしておきます。 以前に述べた方法である、 "Regedit 上で [レジストリ(R)]→[レジストリファイルの書き出し(E)] [レジストリの書き出し]ウィンドウ上で [ファイル名(N)]→[保存(S)]" は、レジストリを単にマージするだけであって、置換をする訳ではないという ことに注意してください。 4. "n" で終了するレジストリツリーの各々を探索します。 (例えば0007) NIC の IP アドレスを持った "IPAddress" というレジストリエントリが あります。 そのキーの下に、下記を加えてください -
[Hkey_Local_Machine\System\CurrentControlset\Services\Class\NetTrans\000n]
type=STRING
name="MaxMTU" (ダブルクォーテーションは書かないでください)
value=1490 (10 進数) ((10 進数)という文字は書かないでください)
5. "TCP Receive Window" (TCP 受信ウインドウ) も変更できます。
これは時としてネットワークの性能をかなり向上させることもあります。
もしスループットが悪くなったとわかったら、これらの項目を元の値に
戻してからリブートしてください。
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP]
type=STRING
name="DefaultRcvWindow" (ダブルクォーテーションは書かないでください)
value=32768 (10 進数) ((10 進数)という文字は書かないでください)
type=STRING
name="DefaultTTL" (ダブルクォーテーションは書かないでください)
value=128 (10 進数) ((10 進数)という文字は書かないでください)
6. 再起動して変更を有効にしてください。
MS Windows NT 4.x
1. レジストリにどんな変更を加えることも非常に危険です。安全のために必ずバック
アップ・コピーを取って行ってください。
自己責任で行ってください。
2. [スタート] → [ファイル名を指定して実行] → "RegEdit" と入力します。
【訳注: ここの項目は日本語 Windows NT の表示内容を参照しています。】
3.「レジストリ」 → 「 Export Registry File (レジストリファイルの取り込み)」 →
「 Save a copy (レジストリファイルの書き出し)」でレジストリのコピーを
安全な場所にしまいます。
4. 2 本の可能なレジストリツリーに次のキーを作成してください。
多数のエントリーが、ダイヤルアップネットワーク (ppp)、イーサネット NIC、PPTP
VPN などの様々なネットワーク装置用にあります。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Parameters\Tcpip]
と
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<Adapter-name>\Parameters
\Tcpip]
"<Adapter-Name>" は自分のアップリンク LAN NIC インターフェースの
それぞれの名前に置換します。
type=DWORD
name="MTU" (quotes記号は含めない)
value=1490 (10 進数) ((10 進数)という文字は含めない)
*** もしさらにあなたが NT 4.xでの MSS、TCP Window Size 、TTL パラメーターを
*** 変更する方法を知っていたら dranch@trinnet.net にメールを送ってください。
*** HOWTO に追加したいと思います。
5.リブートして変更を有効にしてください。
MS Windows 2000
1.レジストリにどんな変更を加えることも非常に危険です。安全のために必ずバック
アップ・コピーを取って行ってください.自分自身のリスクで行ってください。
2. [スタート] → [ファイル名を指定して実行] → "RegEdit" と入力します。
【訳注: ここの項目は日本語 Windows 2000 の表示内容を参照しています。】
3.「レジストリ」 → 「 Export Registry File (レジストリファイルの取り込み)」 →
「 Save a copy (レジストリファイルの書き出し)」でレジストリのコピーを
安全な場所にしまいます。
4.キーまでナビゲートします -
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inter
faces\<ID for Adapter>
各 <ID for Adapter> (アダプタの ID )は、DNS、TCP/IP アドレス、
デフォルト・ゲートウェイ、サブネット・マスクなどのための
デフォルト・キーを持っています。自分のネットワーク・カード用のものを見つけてください。
5.次のエントリーを作ります。
type=DWORD
name="MTU" (quotes記号は含めない)
value=1490 (10 進数) ((10 進数)という文字は含めない)
http://support.microsoft.com/support/kb/articles/Q120/6/42.asp?LN=EN-US&SD=gn&FR=0
*** もし NT 2000での MSS、TCP Window Size 、TTL パラメーターを変更する方法を
*** 知っていたら dranch@trinnet.net にメールを送ってください。
*** HOWTOに追加したいと思います。
6.リブートして変更を有効にしてください。
上述のように、もし OS/2, MacOS 等の他の OS に同様な変更を加える方法を 知っている方は、 David Ranch へメールを送ってください。 HOWTO に入れていきます。 7.16 IP マスカレード FTP クライアントが動作しません。"ip_masq_ftp" モジュールがロードされているかチェックしてください。 これを行うには、マスカレードサーバにログインして "/sbin/lsmod" コマンドを 実行します。 もし、ロードされている筈の "ip_masq_ftp" モジュールが見当たらないなら、 IP フォワーディングポリシーを設定する の章で推奨されている基本的な /etc/rc.d/rc.firewall に従っているか確かめてください。 もし、独自のルールセットを使っているなら、 HOWTO の例にある殆どのルールが 含まれているかどうかを確認してください。 そうしないといつまでも沢山の問題に見舞われることになります。 7.17 IP マスカレードが遅いように見えます。これには幾つかの原因が考えられます -
7.18 PORTFW を IP マスカレードで使っていますが、ラインが長い間待ち状態に なると切れてしまいます。DSL かケーブルモデムのユーザならば、不運にもこの現象は非常に一般的です。 基本的に起こっていることは、 ISP は使用中の他の接続を優先してサービス するために、あなたの接続を優先度の非常に低いキューに追いやってしまうからです。 問題はユーザの DSL やケーブルモデム接続からのトラフィックが ISP の ハードウエアを起こすまでの間、実際にエンドユーザの接続が使えなくなって しまうことです。
どうしたらいいでしょうか? 30 秒に一度 ping をデフォルトゲートウェイに投げましょう。 これをやるには /etc/rc.d/rc.local ファイルを編集し、ファイルの一番下に 以下を付け加えてください。
ping -i 30 100.200.212.121 > /dev/null &
100.200.212.121 を自分のデフォルト・ルータ (上流のルータ) に置き換えて ください。 【訳注: ADSL 或はケーブルモデム等でインターネット接続する際に、プロバイダ 側から自動的にデフォルトゲートウェイが割り振られる場合は、このアドレスが 接続の度毎に随時変更される可能性があるので、注意が必要です。 プロバイダが提示する接続資料に、固定のデフォルトゲートウェイが示されて いる場合は、上記固定 IP の方法が使えますが、そうでない場合は、接続確立 の際に実行されるシェルスクリプトから、デフォルトゲートウェイの IP アドレス を拾い出して、上記コマンドを実行しなければなりません。】 7.19 IP マスカレードを動かすことができましたが、SYSLOG のログファイルに あらゆる種類の妙な通知やエラーを受け取っています。IPFWADM や IPCHAINS のファイアウォールエラーをどう読めばよいでしょうか?恐らく、確認すべき共通事項が二つあります -
7.20 インターネットユーザが直接に内部マスカレード・クライアントと連絡を 取ることができるように IP マスカレードを設定できますか?はい! IPPORTFW を使えば、全部のもしくは少数の決まったインターネットホストが マスカレード接続されたネットワーク内部の任意のコンピュータに 接続できるように設定することができます。 このトピックはこのHOWTOの フォワーダ (ポート転送ツール) の章で完全に網羅されています。 7.21 SYSLOG ファイルに "kernel: ip_masq_new(proto=UDP): no free ports." の メッセージがあります。どうしたのでしょう?ネットワーク内部のマスカレードされているコンピュータの 1 つが、 インターネットに向けて異常に大きな数のパケットを発生しています。 IP マスカレード・サーバがマスカレード・テーブルを作って、 インターネット上にこれらのパケットを転送するときのテーブルが急速に 書かれています。 テーブルが満杯になるとこのエラーが生じます。 私が知っている 一時的にこの状態を作り出すただ一つのアプリケーションは、 ゲームプログラムの "GameSpy" です。 なぜでしょうか? Gamespy はサーバリストを作ってリストにあるすべての数千ものサーバに ping を打ちます。 この ping を打つことにより、非常に短い時間内に数万もの急速な接続を 作ります。 IP マスカレード のタイムアウトによってこのセッションがタイムアウトするまで、 マスカレード・テーブルは満杯になります。 どうしたらいいでしょうか? 現実的には、このようなプログラムを使用しないことです。 もしログからこのようなエラーを見つけたら、その原因になっているプログラムを 見つけて、使うのを止めてください。 もし本当に GameSpy が好きなら、サーバ・リフレッシュだけは行わないでください。 とにかく、このマスカレードされたプログラムの実行をやめれば、この マスカレード・エラーはマスカレード・テーブルの接続タイムアウトにより、 自然に解消します。 7.22 IPPORTFW を使おうとすると "ipfwadm: setsockopt failed: Protocol not available" というエラーが出ます。もし、 "ipfwadm: setsockopt failed: Protocol not available" 【訳注: "ipfwadm: setsockopt が失敗: プロトコルは無効です"】 というエラーメッセージが出るなら、新しいカーネルが動作していません。 新しいカーネルに移行した事を確認し、LILO を再実行してからもう一度再起動して ください。 詳しくは フォワーダ (ポート転送ツール) の章の最後のほうを見てください。 this Microsoft KnowledgeBase article を見てください。最初の方法は フォワーダ (ポート転送ツール) の章を参考にして IPPORTFW を設定し、 TCP ポートの 137, 138, 139 番を内部の Windows マシンの IP アドレスに ポートフォワードします。 これでも動作しますが、この方法では内部ネットワークのマシンのうちの 1台 でしか動作しません。 第 2 の解決法は、 Linux マスカレードサーバ上で Samba をインストールし、設定する事です。 Samba が動作するなら、 Samba サーバ上に内部の Windows のファイルと プリンタの共有 (Windows File and Print shares) をマッピングできます。 それから新しくマウントされた SMB 共有を、全ての外部クライアントに マウントできます。 Samba の設定方法は Linux Documentation Project の中にある HOWTO にて 完全に網羅されており、またこれと同様に TrinityOS の文書にもあります。 第 3 の解決法は、2 台のウインドウズマシン間で、或は 2 つのネットワーク間で VPN (仮想プライベート・ネットワーク) を形成することです。 これは PPTP 経由か IPSEC VPN による解決方法のどちらでも行うことができます。 Linux 用の PPTP パッチがありますし、IPSEC の実装は 2.0.x と 2.2.x のどちらのカーネルでも可能です。 この解決法が恐らく 3 つの全ての解決法の中で最も確実で最も安全な方法に なるでしょう。 これらの解決方法の全貌は、この HOWTO では網羅されていません。 IPSEC のヘルプは TrinityOS の文書を見てください。 更に多くの情報を得たいなら、 JJohn Hardin の PPTP のページを見てください。 また、 Microsoft の SMB プロトコルはセキュリティ上非常に問題が あることを理解してください。 このため、 Microsoft ファイルとプリンタの共有 (File and Print sharing) や Windows ドメインログインを、インターネット上で暗号化されないトラフィックの まま使うことは非常に危険です。 7.24 ( IDENT ) - IRC がマスカレード・クライアントの IRC ユーザでうまく 動作しません。なぜでしょうか?最も可能性が高い原因は、多くの Linux ディストリビューションにおいて共通に 装備されている IDENT, すなわち "Identity" サーバは、 IP マスカレード・ リンクに対処できないことです。 でも心配は無用です。 Linux で動作する、これに対応できる IDENT プログラムが他にあります。 このソフトウェアのインストールはこの HOWTO の範囲外です。 しかし、各ツールにはその為の文書があります。 ここに、その URL を幾つか紹介します -
サーバが Ident 情報を得てユーザが異なっていたと知っても、同じホストからの 多重接続を許そうとしないいくつかのインターネット IRC サーバがあることに 注意してください。 サーバのシステム管理者に苦情を言ってください。 :) 7.25 ( DCC ) - mIRC の DCC 送信が動作しません。これは mIRC の設定の問題です。 これを解決するには、最初に mIRC を IRC サーバから切断してください。 それから mIRC で、 File → Setup と進み、 IRC servers タブをクリックします。 ポート 6667 が設定されていることを確かめてください。 他のポートを要求するなら後述の記載を参照してください。 次に、 File → Setup → Local Info を開いて、 Local Host と IP Address の フィールドをクリアしてください。 次に "LOCAL HOST" と "IP address" のチェックボックスを選択します。 ( IP address はチェックできるかもしれませんが無効になります。) 次に "Lookup Method" の下で "normal" に設定します。 もし "server" が選択されていると動作しません。 それだけです。 IRC サーバに再び繋いでみてください。 【訳注: mIRC は http://www.mirc.com/ にある、 Windows 系 OS 向けの、シェアウェアの IRC クライアントです。 なお、訳者がダウンロードして試用してみましたが、日本語の表示はできません でした。】 もし 6667 以外 (例えば6969) のIRC サーバのポートを要求するなら、IRC マスカレード・モジュールをロードする為に、起動ファイル /etc/rc.d/rc.firewall を編集する必要があります。 このファイルの "modprobe ip_masq_irc" の行に "ports=6667,6969" を追加します。 更に、カンマで区切ってポートの指定を追加できます。 最後に、全てのマスカレードマシン上の全ての IRC クライアントを切断して、 IRC マスカレード・モジュールをリロードしてください - /sbin/rmmod ip_masq_irc /etc/rc.d/rc.firewall 7.26 ( IP Aliasing ) - IP マスカレードは1枚だけのイーサネット ネットワークカードで動作しますか?「はい」とも「いいえ」とも言えます。 ユーザはカーネルの "IP Alias" 機能を使って、 eth0:1, eth0:2 のように 別名を使った多重のインターフェースを設定できます。 しかし、 IP マスカレードをこの別名インターフェースに使うことはお薦め しません。 何故なら、単一の NIC カードでは安全なファイアウォールを提供することが 非常に困難になります。 これに加えて、入って来たパケットがほとんど同時に発送されるので、この リンク上で異常な量のエラーを経験するでしょう。 この理由と、現在は NIC カードが $10 未満の価格ですから、私はそれぞれの マスカレード接続されたネットワーク・セグメント毎に 1 つずつの NIC を 手に入れることを強くお奨めします。 またIPマスカレードは eth0, eth1 のような物理的なインターフェース上でしか 動作しないと思ってください。 "eth0:1, eth1:1, など" の別名インターフェースを使ってもマスカレードは 動作しないでしょう。 言い替えれば、以下のようなものは動作しません -
それでも別名インターフェースにまだ興味を持っているのでしたら、カーネルの "IP Alias" 機能を有効にする必要があります。 その後、再コンパイルし、リブートします。 一度新しいカーネルを実行すると、新しいインターフェース (つまり /dev/eth0:1 など) を使用するために Linux の設定が必要になります。 その後は上記のような幾つかの制限がありますが、通常のイーサネット・ インターフェースのように扱うことができます。 7.27 ( MULTI-LAN ) - 私は 2 つのマスカレードされた LANを持っていますが、それらは互いに通信できません。詳細は 複数の内部ネットワークへの IP マスカレード を見てください。 7.28 ( SHAPING ) - 私は、特定のタイプのトラフィックの速度を制限したいと思います。このトピックは実際は IP マスカレードとは関係なく、Linux カーネルに 組み込まれているトラフィックシェーピングとレート制限機能が全てを行います。 詳細はカーネルソースツリーにある /usr/src/linux/Documentation/networking/shaper.txt を見てください。 【訳注: 「トラフィックシェーピング」は、カーネルの Traffic Shaper (CONFIG_SHAPER) というスイッチで指定される機能で、一般にネットワーク機器の 出力側で行われる機能を指します。 「レート制限」という言葉は、広い意味でのネットワークの帯域制限技術全体を 指し、前述のトラフィックシェーピングだけでなく、具体的にはポリシングやキューの マネジメント、スケジューリング等の機能も含まれます。】 これに関して、IPROUTE2 の為の 2.2.x カーネルの必要条件 の章の下に、いくつかの URL を含む多くの情報があります。 7.29 ( ACCOUNTING ) - 私は誰がネットワークを使用しているかについて管理する必要があります。IP マスカレードでできることはそう多くはありませんが、ここに幾つかの アイデアがあります。 もし、もっと良い解決法を知っているなら、この HOWTO の著者にメールを 送ってください。 そうすれば、HOWTO に載せられます。
7.30 ( MULTIPLE IPs ) - いくつかの外部 IP アドレスを使って、いくつかの内部マシンへ PORTFW したいのですがどのようにやるのでしょうか。できません。 マスカレードは 1対多の NAT セットアップです。 あなたが捜しているようなツールではありません。 あなたが捜しているのは多対多の NAT による解決方法で、従来の NAT セットアップです。 あなたが必要なのは IPROUTE2 ツールで、詳しくは FAQ の章の トラフィックシェーピング にある IPROUTE2 に関する箇所を見てください。 1 つの内部 NIC を "IP Alias" を使って複数 IP アドレスにし、そしてこれらすべてのポート (0-65535) をポートフォワードし、IPROUTE2 を使って適切なソース/ディスティネーションの IP ペアを維持することを考えている人への回答になります。これはカーネル 2.0.x でうまくいき、カーネル 2.2.x でもよりうまくいきました。この成功にかかわらず、このやりかたはそれを行う適切な方法でなく、サポートされたマスカレードの使い方ではありません。IPROUTE2 を見てください.. 本当の NAT を行う正しい方法があります。 またもう一つの注意ですが - もし、ブリッジされた DSL かケーブル・モデム (PPPoEではない)を使って 接続していれば、あなたの構成では経路を決められないので、少し難しくなります。 でも心配はいりません。 LDP の "Bridge+Firewall, Linux Bridge+Firewall Mini-HOWTO" をチェックして ください。 Linux ボックスが一つのインターフェース上で、複数の IP アドレスを サポートする方法を教えてくれるでしょう。 7.31 私はマスカレードされた接続を見る為、 NETSTAT コマンドを 使おうとしましたが、これが動作してくれません。2.0.x ベースの Linux ディストリビューションに含まれる "netstat" プログラムに 問題があるかもしれません。 Linux をリブートした後、"netstat -M" を起動すると、うまく動作します。 しかし、マスカレードされたコンピュータが ping や traceroute のような、 ICMP トラフィックを発生した後に、以下のようなエラーを見るかもしれません -
masq_info.c: Internal Error `ip_masquerade unknown type'. このための代替手段は "/sbin/ipfwadm -M -l" コマンドを使用することです。 また一度リストされた ICMP マスカレード・エントリがタイムアウトすると、 "netstat" は再び動作することに気が付くでしょう。 7.32 ( VPNs ) - Microsoft PPTP (GRE tunnels) または IPSEC (Linux SWAN) トンネルを IP マスカレード を通して使いたいのですが。これは可能です。それは多少この文書の範囲外ですが、詳しくは John Hardin の PPTP Masq ページをチェックしてください。 7.33 XYZ ネットワーク・ゲームを IP マスカレード を通して使いたいのですが、 うまくいきません。助けて!まず、 Steve Grevemeyer's MASQ Applications page をチェックしてください。 もし解決法がそこになかったら、LINUX カーネルに Glenn Lamb の LooseUDP パッチを当ててください。 それはこの文書の LooseUDP の章の中に網羅されています。 またもっと多くの情報は Dan Kegel の NAT Page をチェックしてください。 もし技術的に興味があるなら、"tcpdump" プログラムを使って、あなたの ネットワークを覗いてみてください。 そして XYZ ゲームが使っているプロトコルとポート番号を見つけ出してください。 この情報をメモしたら、 IP Masq メーリングリスト を閲覧して、調べた結果をメールして 助けてもらってください。 7.34 IP マスカレード は暫くの間はうまく動作します。 しかし、その後、動作しなくなります。再起動すると暫くの間これが解決されたように見えます。なぜでしょうか?あなたは IPAUTOFW を使っているか、或はそれをカーネルにコンパイルしている ことに賭けましょう。 ね、そうじゃないですか? これは IPAUTOFW に関する既知の問題です。 Linux カーネルに IPAUTOFW を使わないで、代わりにIPPORTFW を使ってください。 詳細は フォワーダ (ポート転送ツール) の章の中で網羅されています。 7.35 ネットワーク内部のマスカレードされているコンピュータが SMTP や POP-3 メールを送ってくれません!これはマスカレーディングの問題ではないのですが、多くの人がこうなるので、言及します。 SMTP - 問題は、恐らく SMTP 中継サーバとして Linux ボックスを使用しており、 以下のエラーが発生しているのではないでしょうか -
Sendmail のより新しいバージョンや他のメール転送エージェント (MTA) サーバは、 デフォルトで中継を禁止しています。(これはよいことです) 従って、これを解決するために下記を行ってください -
7.36 ( IPROUTE2 ) - 私は、外に出るための異なる外部 IP アドレスを、異なる 内部マスカレードネットワークの各々に割り当てる必要があります。この問題を言い換えるとこういうことです - 複数の内部ネットワークと更に 複数の外部 IP アドレスまたはネットワークを持っています。 やりたいことは LAN #1 からは外部 IP #1 だけを使用し、LAN #2 からは 外部 IP #2 を使用することです。 内部 LAN -%#045;--------> 公式な IP LAN #1 外部 IP #1 192.168.1.x --> 123.123.123.11 LAN #2 外部 IP #2 192.168.2.x --> 123.123.123.12 基本的に、ここで記述したものは宛先アドレスによるルーティング (典型的な IP ルーティング) だけでなく、送信元アドレスに基づいてのルーティングについてです。 これは一般的に "policy-based routing" 【訳注: ポリシーに基づいた ルーティング】 あるいは "source routing" 【訳注: 送信元ルーティング】と 呼ばれます。 この機能はカーネル 2.0.x では提供されていませんが、カーネル 2.2.x では IPROUTE2 パッケージによって提供されています。 そしてこれは IPTABLES を使う新しいカーネル 2.4.x には組み込まれていません。 先ず、 IPFWADM 及び IPCHAINS は両方共、ルーティングシステムが受け取った パケットをどこへ送るべきか決定した *後になって* 初めて関与するものだという ことを理解しなければなりません。 この動作の仕組みは、全ての IPFWADM/IPCHAINS/IPMASQ の文書に大きな赤い スタンプで押されるほど、本当に重要なことです。 この理由は、ユーザは最初にルーティングを正しく設定しなければならず、 その後に IPFWADM/IPCHAINS 及び/又はマスカレード機能を追加し始めることが できるからです。 とにかく、上に示された例のケースについては、ルーティングシステムが 192.168.1.x からのパケットは 123.123.123.11 経由に、 192.168.2.x からの パケットは 123.123.123.12 経由となるようにさせる必要があります。 ここが難しい部分で、ルーティングが正しくなればその上にマスカレードを 加えるのは簡単です。 この気まぐれなルーティングを行うために、IPROUTE2 を使用します。 この機能は全く IP マスカレードと関係がないので、このHOWTO はこのトピックを それほど詳しく網羅しません。 このトピックについては 2.2.x カーネルの必要条件 にある完全な URL と文書を見てください。 "iprule" と "iproute" コマンドは "ip rule" と "ip route" コマンドと同じです。 (私は検索し易いので前者のほうが好きです。) 下記のコマンドは全て完全には試験されていません。 これが動作しない場合、 IPROUTE2 の著者と連絡をとってください..これは全く IP マスカレーディングと関係がありませんので、David Ranch や IP マスカレード・メーリングリストの誰とも関係しません。 最初のいくつかのコマンドは起動時に一度だけ実行する必要があるだけですので、 /etc/rc.d/rc.local ファイルの中に記述します。
7.37 なぜ新しい 2.1.x 及び 2.2.x カーネルは、IPFWADM の代わりに IPCHAINS を使うのですか?IPCHAINS は IPFWADM が持っていない次の機能をサポートします。 -
7.38 カーネルを 2.2.x にアップグレードしたら、 IP マスカレードが 動かなくなりました。なぜでしょう?IP マスカレードを行っている Linux マシンが、既にインターネットと LAN に 正しく接続されているのであれば、以下の項目をチェックしてみてください -
7.39 カーネルを 2.0.38 (あるいはそれ以降) にアップグレードしたら、 IP マスカレードが動かなくなりました。なぜでしょう?IP マスカレードを行っている Linux マシンが、既にインターネットと LAN に 正しく接続されているのであれば、以下の項目をチェックしてみてください -
7.40 EQL 接続と IP マスカレードを使たいのですが。EQL は IP マスカレードは、よく Linux ボックス上で組み合わせられますが、 これらは全く関係ありません。 EQL が必要なら、 Robert Novak's EQL HOWTO の最新バージョンをチェックすることを薦めます。 7.41 IP マスカレードが動作してくれません! Windows プラットフォーム上での選択肢はありますか?最低限のハードウェアで動作し、フリーで信頼性があり、高性能な解決法を 諦めて、重いハードウェアを必要とする、性能の低い、その上信頼性もない 方法の為に金を払うのですか? (これは私の個人的な意見です。勿論、私も実際に このような経験をしたことがあります ;-) いいでしょう、あなたが必要だと言うなら仕方がありません。 Windows NAT 及び/又は プロキシによる解決を望むのなら、ここに丁度良い一覧が あります。 私はこれらのツールに関して今まで使ったことがないので、これらの好みは わかりません。
最後に "MS Proxy Server", "Wingate", "WinProxy" でウェブサーチをするか、 www.winfiles.com に行ってみてください。でも、絶対に誰にも私たちが教えたと言わないでください。 【訳注: 日本では BlackJumboDog が有名でしょう。】 7.42 IPマスカレード開発に協力したいのですが、何ができますか?Linux IP マスカレード開発者メーリングリストに参加して、あなたのできることを開発者に尋ねてください。リストへの参加についてのより詳細は、FAQの章の IP マスカレード・メーリングリスト をチェックしてください。 そこで IP マスカレードの開発に関係ない質問はしないでください!!!! 7.43 IP マスカレードの情報がもっと欲しいのですが。IP マスカレードに関するより多くの情報は David Ranch が管理している Linux IP マスカレードの情報源 で見つけられます。 また TrinityOS と他の Linux の文書が含まれている Dranch's Linux page にて、より多くの情報を見つけられます。 IP マスカレードメーリングリストを提供している Indyramp Consulting が管理している The Semi-Original Linux IP Masquerading Web Site でも、もっと多くの情報を見つけられるでしょう。 最後に IP マスカレードメーリングリストのアーカイブや IP マスカレード 開発者メーリングリストのアーカイブの中から特定の質問を捜すことができますし、 これらのメーリングリストに質問をすることもできます。 詳細は FAQ の IP マスカレード・メーリングリスト をチェックしてください。 7.44 この HOWTO を別の言語に翻訳したいのですが、どうすればいいでしょう?訳そうとする言語での翻訳を、まだ誰も出していないことを確認してください。 しかし、翻訳された HOWTO の殆どは今古くなっていて、更新する必要があります。 現在ある HOWTO 翻訳の一覧は Linux IP マスカレードの情報源 で見つけられます。 もし翻訳したい言語の IP マスカレード HOWTO の現バージョンの コピーが無ければ、 Linux IP マスカレードの情報源 から IP マスカレード HOWTO の SGML コードの最新版をダウンロードしてください。 そこから、良い SGML コーディングを維持しながら翻訳を進めてください。 SGML に関するより多くのヘルプについては、 www.sgmltools.org をチェックしてください。 7.45 この HOWTO は古くなっているように見えますが、まだこれを保守し続けて いますか?...に関する情報を追加してもらえますか?この HOWTO を改善する予定はありますか?はい、この HOWTO は保守され続けています。 ごめんなさい。 過去に私たちは 2 つの仕事で忙し過ぎて、この改訂に費やす時間が取れずに いました。 v1.50 の時点で、 David Ranch は文書を大幅に改訂し、現在のものになっています。 HOWTOに 含めた方がよいと思われるトピックがあれば、 ambrose@writeme.com 及び dranch@trinnet.net 宛に メールを送ってください。 詳しい情報を提供してくれるともっといいですね。 その後、その情報が適切であることがわかり、またテストで確認できたら HOWTO へ 含めます。ご協力に感謝します! 私達はこの HOWTO を改善するためのアイデアと計画を持っています。 その中には IP マスカレードを使い、異なったネットワークのセットアップを カバーするケース・スタディや、 IPFWADM/IPCHAINS を使った強い ファイアウォール・ルールセットでの安全性強化、 IPCHAINS の使用法、 より多くの FAQ エントリ等があります。 もしあなたが協力してくれるなら、是非お願いします! 宜しくお願いします。 7.46 IPマスカレードが動作してくれました。 これは素晴らしい!私はあなたがたに感謝したいのですが、何ができるでしょうか?
次のページ 前のページ 目次へ |
[ |