9. より進んだ設定

この文書を終える前に、もう一つの設定をお見せしましょう。今までに紹介し てきた例で大部分の人には十分だと思いますが、より複雑な設定を紹介するこ とで、いくつかの疑問に答えることもできるでしょう。今までの話で疑問点が あったり、プロキシサーバやファイアウォールのより複雑な設定に興味がある 人は読んでみてください。

9.1 セキリティを重視した大きなネットワーク

例えば、あなたは millisha のリーダで、自分のサイトをネットワーク化した いと考えているとします。あなたの手元には 50 台のコンピュータがあり、5 bits のサブネットで区切られた 32の IP アドレスが割りあてられています。 あなたは支持者のレベルに従って違うこと教えているので、ネットワークにも 複数のアクセスレベルを用意して、特定の部分を隠しておく必要があります。

レベルは以下のように設定します。

1. 外部レベル。このレベルは誰にでも見えるレベルです。このレベルで新しい志 願者をさまざまな手法を用いて勧誘しましょう。
2. 軍団レベル。外部レベルをクリアした人のレベルです。このレベルの人々には 政府の邪悪さや爆弾の作り方を教えています。
3. 傭兵レベル。このレベルの人々にのみ真の計画が教えられています。 このレベルの人々にこそ、どのように第三世界の政府が世界を乗っ取ろうとし ているか、ニュート・ギングリッチやオクラホマシティ、芝の手入れをする器 具などを用いた作戦、エリア 51 のハンガーに何が隠してあるのか、といった あらゆる秘密が明かされています。

ネットワークの設定

IP アドレスは以下のように割りあてます：

• 192.168.2.255 はブロードキャストアドレスで使用できません。
• 用意された 32 の IP アドレスのうち 23 はインターネットに接続可能 な23 台のマシンに割りあてます。 [ 訳注：23 という数字は一部の人にとって神秘的な意味を持つ数字だそ うです。]
• 余分の IP アドレスを一つ、そのネットワーク上の linux マシンに割 りあてます。
• もう一つ余分の IP アドレスをそのネットワーク上の linux マシンに 割りあてます。
• 2 つの IP アドレスをルータに割りあてます。
• 残りの 4 つのIP アドレスには paul, ringo, john, george というド メイン名を割りあてて、偽装工作を図ります。
• 2 つの隠されたネットワーク双方はプライベートアドレスである 192.168.2.xxx の IP を割りあてます。

次に隠された 2 つのネットワークをそれぞれ別の部屋に用意します。両者と も赤外線を使ったイーサネットで結ばれているので、部屋の外からはネットワー クでつながっていることが分りません。幸いなことに赤外線イーサネットも通 常のイーサネットのように使える(と考えます)ので、専用の設定をする必要は ありません。

これらのネットワークはそれぞれ 1 つ余計に IP アドレスを与えた Linux マ シン一台ずつを経由して結ばれています。

2 つの隔離されたネットワークには一台のファイルサーバが用意されています。 両者に同じファイルサーバを用意するというのも、高位の軍団によって世界を 支配する計画の一部です。ファイルサーバには 2 枚のイーサネットカードが 用意され、「軍団」レベルのネットワークには192.168.2.17の IP アドレスを、「傭兵」レベルのネットワークには192.168.2.23の IP アドレスを割りあてます。ファイルサーバマシンでは IP Forwarding は無効 (off)にしておきます

隔離されたネットワークと接続している 2 台の Linux マシンの IP Forwarding も無効にしておきます。インターネットに接続しているルータは、 明示的に指示されないかぎり、 プライベートアドレスである 192.168.2.xxx 宛のパケットは通さないので、インターネットから隔離された 2 つのネット ワークにパケットを送りこむことはできません。IP Forwarding を無効にして いる理由は「軍団」ネットワークと「傭兵」ネットワーク間でパケットをやり とりしないためです。

NFS サーバ(ファイルサーバ)も、それぞれのネットワークに異なるファイルを 提供します。これはシンボリック・リンクを使えば、多少トリッキーな形です が、両者で共有できるファイルも含めて、簡単に実現できます。ファイルサー バにもう一枚のイーサネットカードを挿せば、このマシンは一台で 3 つのネッ トワークに接続されることになります。

プロキシサーバの設定

さて、3つのレベルのネットワークはそれぞれの深遠な目的からインターネッ トを監視しようと考えています。そのためには、3つのネットワークそれぞれ からインターネットに接続できなければなりません。そのためにはプロキシサー バを用意する必要があります。「傭兵」レベルと「軍団」レベルのネットワー クはファイアウォールの背後にありますので、ここにプロキシサーバを用意し ましょう。

この 2 つのネットワークの設定はよく似ており、両者とも同じ IP アドレス を割りあてています。もう少しややこしくするために別の条件を加えてみましょ う。

1. ファイルサーバ経由ではインターネットにアクセスできないようにしま す。ファイルサーバからインターネットに接続すると、ウィルスやその他さま ざまなものに汚染される可能性があります。
2. 「軍団」ネットワークからは World Wide Web にアクセスできないよう にします。彼らは修行中で、WWW が与えるような各種の情報は悪い影響を及ぼ します。

この場合、「軍団」ネットワーク用のプロキシサーバとなっている Linux マ シンの sockd.conf はこのようになります。

    deny 192.168.2.17 255.255.255.255

一方、「傭兵」レベルのネットワークではこうです。

    deny 192.168.2.23 255.255.255.255

「軍団」レベルのネットワークのプロキシサーバには WWW を禁止する設定も 追加します。

    deny 0.0.0.0 0.0.0.0 eq 80

この設定は、あらゆるマシンからの http のポートである 80 番のポートへの アクセスは拒否する、という意味です。他のポートを利用したサービスは全て 利用でき、Web へのアクセスのみが禁止されます。

両者とも permit には以下の設定をします。

    permit 192.168.2.0 255.255.255.0

この設定で、192.168.2.xxx のネットワーク上の全てのマシンは、既に禁止さ れているサービス(ファイルサーバへの接続と「軍団」ネットワークから Web へのアクセス)を除いてこのプロキシサーバを使うことが可能になります。

その結果、「軍団」ネットワークのプロキシサーバの sockd.conf はこのよう になります。

    deny 192.168.2.17 255.255.255.255
    deny 0.0.0.0 0.0.0.0 eq 80
    permit 192.168.2.0 255.255.255.0

「傭兵」ネットワークのプロキシサーバの sockd.conf はこうです。

    deny 192.168.2.23 255.255.255.255
    permit 192.168.2.0 255.255.255.0

これで全ての設定が終了しました。「軍団」と「傭兵」のネットワークは適切 な程度に交りながらも分離されました。これでみんな幸せになるでしょう。

さぁ、世界の征服を始めましょう！