この文書を終える前に、もう一つの設定をお見せしましょう。今までに紹介し てきた例で大部分の人には十分だと思いますが、より複雑な設定を紹介するこ とで、いくつかの疑問に答えることもできるでしょう。今までの話で疑問点が あったり、プロキシサーバやファイアウォールのより複雑な設定に興味がある 人は読んでみてください。
例えば、あなたは millisha のリーダで、自分のサイトをネットワーク化した いと考えているとします。あなたの手元には 50 台のコンピュータがあり、5 bits のサブネットで区切られた 32の IP アドレスが割りあてられています。 あなたは支持者のレベルに従って違うこと教えているので、ネットワークにも 複数のアクセスレベルを用意して、特定の部分を隠しておく必要があります。
レベルは以下のように設定します。
IP アドレスは以下のように割りあてます:
次に隠された 2 つのネットワークをそれぞれ別の部屋に用意します。両者と も赤外線を使ったイーサネットで結ばれているので、部屋の外からはネットワー クでつながっていることが分りません。幸いなことに赤外線イーサネットも通 常のイーサネットのように使える(と考えます)ので、専用の設定をする必要は ありません。
これらのネットワークはそれぞれ 1 つ余計に IP アドレスを与えた Linux マ シン一台ずつを経由して結ばれています。
2 つの隔離されたネットワークには一台のファイルサーバが用意されています。
両者に同じファイルサーバを用意するというのも、高位の軍団によって世界を
支配する計画の一部です。ファイルサーバには 2 枚のイーサネットカードが
用意され、「軍団」レベルのネットワークには192.168.2.17
の IP
アドレスを、「傭兵」レベルのネットワークには192.168.2.23
の IP
アドレスを割りあてます。ファイルサーバマシンでは IP Forwarding は無効
(off)にしておきます
隔離されたネットワークと接続している 2 台の Linux マシンの IP Forwarding も無効にしておきます。インターネットに接続しているルータは、 明示的に指示されないかぎり、 プライベートアドレスである 192.168.2.xxx 宛のパケットは通さないので、インターネットから隔離された 2 つのネット ワークにパケットを送りこむことはできません。IP Forwarding を無効にして いる理由は「軍団」ネットワークと「傭兵」ネットワーク間でパケットをやり とりしないためです。
NFS サーバ(ファイルサーバ)も、それぞれのネットワークに異なるファイルを 提供します。これはシンボリック・リンクを使えば、多少トリッキーな形です が、両者で共有できるファイルも含めて、簡単に実現できます。ファイルサー バにもう一枚のイーサネットカードを挿せば、このマシンは一台で 3 つのネッ トワークに接続されることになります。
さて、3つのレベルのネットワークはそれぞれの深遠な目的からインターネッ トを監視しようと考えています。そのためには、3つのネットワークそれぞれ からインターネットに接続できなければなりません。そのためにはプロキシサー バを用意する必要があります。「傭兵」レベルと「軍団」レベルのネットワー クはファイアウォールの背後にありますので、ここにプロキシサーバを用意し ましょう。
この 2 つのネットワークの設定はよく似ており、両者とも同じ IP アドレス を割りあてています。もう少しややこしくするために別の条件を加えてみましょ う。
この場合、「軍団」ネットワーク用のプロキシサーバとなっている Linux マ シンの sockd.conf はこのようになります。
deny 192.168.2.17 255.255.255.255
一方、「傭兵」レベルのネットワークではこうです。
deny 192.168.2.23 255.255.255.255
「軍団」レベルのネットワークのプロキシサーバには WWW を禁止する設定も 追加します。
deny 0.0.0.0 0.0.0.0 eq 80
この設定は、あらゆるマシンからの http のポートである 80 番のポートへの アクセスは拒否する、という意味です。他のポートを利用したサービスは全て 利用でき、Web へのアクセスのみが禁止されます。
両者とも permit には以下の設定をします。
permit 192.168.2.0 255.255.255.0
この設定で、192.168.2.xxx のネットワーク上の全てのマシンは、既に禁止さ れているサービス(ファイルサーバへの接続と「軍団」ネットワークから Web へのアクセス)を除いてこのプロキシサーバを使うことが可能になります。
その結果、「軍団」ネットワークのプロキシサーバの sockd.conf はこのよう になります。
deny 192.168.2.17 255.255.255.255 deny 0.0.0.0 0.0.0.0 eq 80 permit 192.168.2.0 255.255.255.0
「傭兵」ネットワークのプロキシサーバの sockd.conf はこうです。
deny 192.168.2.23 255.255.255.255 permit 192.168.2.0 255.255.255.0
これで全ての設定が終了しました。「軍団」と「傭兵」のネットワークは適切 な程度に交りながらも分離されました。これでみんな幸せになるでしょう。
さぁ、世界の征服を始めましょう!