|
|
|
|
|
|
|
|
| Power Search | |||||
 |
|||||
|
|
||||
|
|||||
| うちのLAN環境 |
|---|
目次:
| ||||||||||||||||||||||||||||||||
はじめに
Red Hat 5.2にバージョンアップしてみました。ちょいと面白いサービスを見つけたんで、自宅のPCを
インターネットに公開しようと思って改造を始めました。ちょうど俺は大田区に住んでいることもあって
NTTの定額制が始まればOCNエコノミーみたいに、専用線感覚になることを見越しています。
あ、その面白いサービスってのが、ISP(プロバイダ)から割り振られるグローバルアドレスを
あるサーバに通知してやると、そこのDNSサーバに今割り振られたIPアドレスを登録してくれるもので
ダイナミックDNSと言う奴です。詳しくは
http://www.dyn.toに載っています。
このサービスを利用すると xxxx.dyn.toってドメインを取得できて、ISPに接続する際に割り振られたIP
アドレスを通知してやれば、xxxx.dyn.toでそのマシンにインターネットから接続できる仕組みです。
注意点としては、
- 接続した際にグローバルアドレスが割り当ててくれるISPに加入していなければならない。 (CATVの常時接続はおそらくプライベートアドレスしか割り当ててくれない。)
- IPアドレスからドメインを逆引きすると、ISPのアドレスがでる(当然ですね。)
僕はkamata-net.comっていうドメインを取得しました。 http://www.kamata-net.comでもしなんか表示されたとしたらそれは自宅の俺のマシン上にあるもの です。まぁ今はテレホタイムに自動で接続しているんで夜しかあがっていないけどね…。 あ、お金は50ドル/年で一年分前払いで5000円超だから安いと思います。
[戻る]
わざわざ gw を2イーサにして10系にしているのは訳があって、
将来的には下の図のようにしたいからです。
[戻る]
RedHat5.2(6.0にすれば良かったかなー)のインストールで苦労したのは
2枚目のNICを認識させることです。
なかなか認識してくれなくて大変でした。
結局オチは、BASE I/Oが一緒だったってことです。
まず、一番大事なことはそれぞれのNICのIRQとBase I/Oはしっかりメモを
とっておきましょう。NICにはジャンパーピンでIRQと、BaseI/Oを
設定する箇所があるはずです。
もしくは、付属のユーティリティでソフトウェアで設定できる
はず。
実はこれだけではうまく認識してくれなくて
以下のように、/etc/conf.moduleに指定してあげたら認識してくれました。
もちろん、カーネルを再構築して上記2つのドライバを
組み込んでいます。
参考までにカーネル再構築時のconfigも載せておきますか…。
なお、PPPのモジュールとIPマスカレードの設定も
入れています。
[戻る]
構想
さてさて、
うちのLAN環境です。PCは2台しかありません。みそは一台のマシンからダイアルアップルータに対して
10BASE-Tとシリアルケーブルの2本でつながっている点かな?普段はデフォルトルータを
10.254.0.1のrtに向けておいて、DynamicDNSを使うときには、シリアル接続したMN128のTAを使用して
ISPに接続しています。MN128-SOHOからダイアルアップルータ機能を
使ってISPに接続してしまうと、IPアドレスはルータに割り当てられてしまうので、DynamicDNSを使うと
http://www.kamata-net.comにアクセスしてもルータの設定画面が出ちゃうんだよねー ^^;
PRINTER
SAMBA
InterNet WWW
|| MAIL
|| DNS Server Client
+-------------+ +-------------+ +-------------+
| | | | | |
| rt |シリアル接続| gw | 192.168.0.1 192.168.0.100 | lets |
| MN128 +------------+ +-------------□---------------+ |
| -SOHO | | | HUB | |
| | | | | |
+------+------+ +-----+-------+ +-------------+
|10.254.0.1 |10.254.0.100
+-------------------------+
PRINTER
InterNet WWW SAMBA
|| MAIL MAIL
|| DNS Server DNS Server
+-------------+ +-------------+ +-------------+
| | | | | |
| rt |シリアル接続| www |10.254.0.1 10.254.0.100 | gw |
| MN128 +------------+ +------------------------------+ |
| -SOHO | | | 192.168.0.1 | |
| | | | +----------------+ |
+------+------+ +-------------+ | +-------------+
|192.168.0.10 |HUB
+-----------------------------------------------□ +-------------+
| | |
| 192.168.0.100| lets |
+----------------+ |
| | |
| | |
| +-------------+
|
+--------// other clients
なんでMN128がイーサでつながっているかと言うと、単にブラウザ上でメンテナンス
したいからだけです。
将来的にはwwwっていう、外向けのDNSとメールサーバを立ててみたいな。と。
そう思っているわけです。
Red Hatインストール
さて、でわgwって言うマシンの設定について書いていきます。
ここでは自分がした設定に的をしぼります。具体的なことは
面倒臭いので他のサイトにお任せです。
====/etc/conf.module=====
alias scsi_hostadapter aic7xxx
alias eth0 ne
options ne io=0x300
alias eth1 3c503
options 3c503 io=0x280
=========================
自宅のNICは NE2000互換のカードがBase I/Oが0x300で、
3Com EtherLinkII(3c503/TP)のが 0x280にハードウェア的に
設定してあるからこうなっています。
====/usr/src/linux/.config=============
#
# Automatically generated make config: don't edit
#
#
# Code maturity level options
#
# CONFIG_EXPERIMENTAL is not set
#
# Loadable module support
#
CONFIG_MODULES=y
# CONFIG_MODVERSIONS is not set
CONFIG_KERNELD=y
#
# General setup
#
CONFIG_MATH_EMULATION=y
CONFIG_NET=y
# CONFIG_MAX_16M is not set
CONFIG_PCI=y
CONFIG_SYSVIPC=y
CONFIG_BINFMT_AOUT=y
CONFIG_BINFMT_ELF=y
CONFIG_KERNEL_ELF=y
CONFIG_M586=y
# CONFIG_MTRR is not set
#
# Floppy, IDE, and other block devices
#
CONFIG_BLK_DEV_FD=y
CONFIG_BLK_DEV_IDE=y
#
# Please see Documentation/ide.txt for help/info on IDE drives
#
# CONFIG_BLK_DEV_HD_IDE is not set
CONFIG_BLK_DEV_IDECD=y
# CONFIG_BLK_DEV_IDETAPE is not set
# CONFIG_BLK_DEV_IDEFLOPPY is not set
# CONFIG_BLK_DEV_IDESCSI is not set
CONFIG_BLK_DEV_IDE_PCMCIA=y
# CONFIG_BLK_DEV_CMD640 is not set
# CONFIG_BLK_DEV_RZ1000 is not set
CONFIG_BLK_DEV_TRITON=y
# CONFIG_IDE_CHIPSETS is not set
#
# Additional Block Devices
#
CONFIG_BLK_DEV_LOOP=y
# CONFIG_BLK_DEV_MD is not set
# CONFIG_BLK_DEV_RAM is not set
# CONFIG_BLK_DEV_XD is not set
CONFIG_PARIDE=y
#
# Parallel IDE high-level drivers
#
CONFIG_PARIDE_PD=m
CONFIG_PARIDE_PCD=m
CONFIG_PARIDE_PF=m
CONFIG_PARIDE_PT=m
CONFIG_PARIDE_PG=m
#
# Parallel IDE protocol modules
#
CONFIG_PARIDE_ATEN=m
CONFIG_PARIDE_BPCK=m
CONFIG_PARIDE_COMM=m
CONFIG_PARIDE_DSTR=m
CONFIG_PARIDE_FIT2=m
CONFIG_PARIDE_FIT3=m
CONFIG_PARIDE_EPAT=m
CONFIG_PARIDE_EPIA=m
CONFIG_PARIDE_FRPW=m
CONFIG_PARIDE_KBIC=m
CONFIG_PARIDE_KTTI=m
CONFIG_PARIDE_ON20=m
CONFIG_PARIDE_ON26=m
# CONFIG_BLK_DEV_HD is not set
#
# Networking options
#
CONFIG_FIREWALL=y <==== このへんIPマスカレードのための設定
CONFIG_NET_ALIAS=y
CONFIG_INET=y
CONFIG_IP_FORWARD=y
CONFIG_IP_MULTICAST=y
CONFIG_SYN_COOKIES=y
CONFIG_IP_FIREWALL=y
CONFIG_IP_FIREWALL_VERBOSE=y
CONFIG_IP_MASQUERADE=y
#
# Protocol-specific masquerading support will be built as modules.
#
CONFIG_IP_MASQUERADE_ICMP=y <==== このへんIPマスカレードのための設定
CONFIG_IP_ALWAYS_DEFRAG=y
CONFIG_IP_ACCT=y
# CONFIG_IP_ROUTER is not set
CONFIG_NET_IPIP=m
CONFIG_IP_ALIAS=m
#
# (it is safe to leave these untouched)
#
# CONFIG_INET_PCTCP is not set
CONFIG_INET_RARP=m
# CONFIG_NO_PATH_MTU_DISCOVERY is not set
CONFIG_IP_NOSR=y
CONFIG_SKB_LARGE=y
#
#
#
CONFIG_IPX=m
CONFIG_ATALK=m
# CONFIG_AX25 is not set
# CONFIG_NETLINK is not set
#
# SCSI support
#
CONFIG_SCSI=y
#
# SCSI support type (disk, tape, CD-ROM)
#
CONFIG_BLK_DEV_SD=y
CONFIG_CHR_DEV_ST=m
CONFIG_BLK_DEV_SR=y
CONFIG_CHR_DEV_SG=m
#
# Some SCSI devices (e.g. CD jukebox) support multiple LUNs
#
# CONFIG_SCSI_MULTI_LUN is not set
# CONFIG_SCSI_CONSTANTS is not set
#
# SCSI low-level drivers
#
# CONFIG_SCSI_7000FASST is not set
CONFIG_SCSI_AHA152X=m
CONFIG_SCSI_AHA1542=m
CONFIG_SCSI_AHA1740=m
CONFIG_SCSI_AIC7XXX=m
# CONFIG_OVERRIDE_CMDS is not set
# CONFIG_AIC7XXX_PROC_STATS is not set
CONFIG_AIC7XXX_RESET_DELAY=15
# CONFIG_SCSI_ADVANSYS is not set
# CONFIG_SCSI_IN2000 is not set
# CONFIG_SCSI_AM53C974 is not set
# CONFIG_SCSI_MEGARAID is not set
# CONFIG_SCSI_BUSLOGIC is not set
# CONFIG_SCSI_DTC3280 is not set
# CONFIG_SCSI_EATA_DMA is not set
# CONFIG_SCSI_EATA_PIO is not set
# CONFIG_SCSI_EATA is not set
# CONFIG_SCSI_FUTURE_DOMAIN is not set
# CONFIG_SCSI_GENERIC_NCR5380 is not set
CONFIG_SCSI_G_NCR5380_PORT=y
# CONFIG_SCSI_NCR53C406A is not set
# CONFIG_SCSI_NCR53C7xx is not set
# CONFIG_SCSI_NCR53C8XX is not set
# CONFIG_SCSI_PPA is not set
# CONFIG_SCSI_PAS16 is not set
# CONFIG_SCSI_QLOGIC_FAS is not set
# CONFIG_SCSI_QLOGIC_ISP is not set
# CONFIG_SCSI_SEAGATE is not set
# CONFIG_SCSI_DC390T is not set
# CONFIG_SCSI_T128 is not set
# CONFIG_SCSI_U14_34F is not set
# CONFIG_SCSI_ULTRASTOR is not set
# CONFIG_SCSI_GDTH is not set
#
# Network device support
#
CONFIG_NETDEVICES=y
CONFIG_DUMMY=y
CONFIG_EQUALIZER=m
# CONFIG_PLIP is not set
CONFIG_PPP=y <===== PPP
#
# CCP compressors for PPP are only built as modules.
#
# CONFIG_SLIP is not set
# CONFIG_NET_RADIO is not set
CONFIG_NET_ETHERNET=y
CONFIG_NET_VENDOR_3COM=y <===== 3COMドライバ
# CONFIG_EL1 is not set
CONFIG_EL2=y
# CONFIG_EL3 is not set
# CONFIG_3C515 is not set
# CONFIG_VORTEX is not set
# CONFIG_NET_VENDOR_SMC is not set
# CONFIG_NET_PCI is not set
CONFIG_NET_ISA=y
# CONFIG_LANCE is not set
# CONFIG_AT1700 is not set
# CONFIG_E2100 is not set
# CONFIG_DEPCA is not set
# CONFIG_EWRK3 is not set
# CONFIG_EEXPRESS is not set
# CONFIG_HPLAN_PLUS is not set
# CONFIG_HPLAN is not set
# CONFIG_HP100 is not set
CONFIG_NE2000=y <===== NE2000互換ドライバ
# CONFIG_SK_G16 is not set
# CONFIG_NET_EISA is not set
# CONFIG_NET_POCKET is not set
# CONFIG_TR is not set
# CONFIG_FDDI is not set
# CONFIG_ARCNET is not set
#
# ISDN subsystem
#
# CONFIG_ISDN is not set
#
# CD-ROM drivers (not for SCSI or IDE/ATAPI drives)
#
CONFIG_CD_NO_IDESCSI=y
# CONFIG_AZTCD is not set
# CONFIG_GSCD is not set
# CONFIG_SBPCD is not set
CONFIG_MCD=y
# CONFIG_MCDX is not set
# CONFIG_OPTCD is not set
# CONFIG_CM206 is not set
# CONFIG_SJCD is not set
# CONFIG_CDI_INIT is not set
# CONFIG_CDU31A is not set
# CONFIG_CDU535 is not set
#
# Filesystems
#
CONFIG_QUOTA=y
CONFIG_MINIX_FS=m
CONFIG_EXT_FS=m
CONFIG_EXT2_FS=y
CONFIG_XIA_FS=m
CONFIG_NLS=y
CONFIG_ISO9660_FS=y
CONFIG_FAT_FS=y
CONFIG_MSDOS_FS=y
CONFIG_UMSDOS_FS=m
CONFIG_VFAT_FS=y
CONFIG_NLS_CODEPAGE_437=m
CONFIG_NLS_CODEPAGE_737=m
CONFIG_NLS_CODEPAGE_775=m
CONFIG_NLS_CODEPAGE_850=m
CONFIG_NLS_CODEPAGE_852=m
CONFIG_NLS_CODEPAGE_855=m
CONFIG_NLS_CODEPAGE_857=m
CONFIG_NLS_CODEPAGE_860=m
CONFIG_NLS_CODEPAGE_861=m
CONFIG_NLS_CODEPAGE_862=m
CONFIG_NLS_CODEPAGE_863=m
CONFIG_NLS_CODEPAGE_864=m
CONFIG_NLS_CODEPAGE_865=m
CONFIG_NLS_CODEPAGE_866=m
CONFIG_NLS_CODEPAGE_869=m
CONFIG_NLS_CODEPAGE_874=m
CONFIG_NLS_ISO8859_1=m
CONFIG_NLS_ISO8859_2=m
CONFIG_NLS_ISO8859_3=m
CONFIG_NLS_ISO8859_4=m
CONFIG_NLS_ISO8859_5=m
CONFIG_NLS_ISO8859_6=m
CONFIG_NLS_ISO8859_7=m
CONFIG_NLS_ISO8859_8=m
CONFIG_NLS_ISO8859_9=m
CONFIG_NLS_KOI8_R=m
CONFIG_PROC_FS=y
CONFIG_NFS_FS=m
CONFIG_SMB_FS=m
CONFIG_SMB_WIN95=y
CONFIG_NCP_FS=m
CONFIG_HPFS_FS=m
CONFIG_SYSV_FS=m
CONFIG_UFS_FS=m
# CONFIG_BSD_DISKLABEL is not set
# CONFIG_SMD_DISKLABEL is not set
#
# Character devices
#
CONFIG_SERIAL=y
# CONFIG_DIGI is not set
CONFIG_CYCLADES=m
CONFIG_STALDRV=y
CONFIG_STALLION=m
CONFIG_ISTALLION=m
CONFIG_RISCOM8=m
CONFIG_PRINTER=m
CONFIG_SPECIALIX=m
# CONFIG_SPECIALIX_RTSCTS is not set
CONFIG_MOUSE=y
# CONFIG_ATIXL_BUSMOUSE is not set
# CONFIG_BUSMOUSE is not set
# CONFIG_MS_BUSMOUSE is not set
CONFIG_PSMOUSE=y
# CONFIG_82C710_MOUSE is not set
# CONFIG_UMISC is not set
# CONFIG_QIC02_TAPE is not set
CONFIG_FTAPE=m
#
# Set IObase/IRQ/DMA for ftape in ./drivers/char/ftape/Makefile
#
# CONFIG_APM is not set
# CONFIG_WATCHDOG is not set
CONFIG_RTC=y
#
# Sound
#
# CONFIG_SOUND is not set
#
# Kernel hacking
#
# CONFIG_PROFILE is not set
セキュリティ設定
OSのインストールが一通り済んだら次はセキュリティ設定です。
テレホタイムにはインタネットにさらされるので、
いたずらされるのは嫌だし、メール読まれるのも、ファイルの受渡し場所に
されるのも嫌だからねー。
とかいいつつ、ありきたりのことしかできませんでした。
| 1. | パスワードファイルのshadow化および/etcのマスク デフォルトだと、パスワードファイル(/etc/passwd)に暗号化された文字列も含まれてしまっています。 /etc/passwdのパーミションは-rw-r--r--ですので、誰でも中身を見ることができちゃいます。 そりゃまずいだろってことで、-r--------でrootでしか読めない/etc/shadowファイルに パスワード文字列(もちろん暗号化されている)を格納します。 =================== gw$ pwconv ===================たったこれだけです。ほら、/etc配下にshadowファイルができたでしょ?
あとは/etc配下っていろいろな設定ファイルがあるんで、
とりあえず、現在
|
| 2. | rootのログインを制限する これも超楽勝。/etc/securettyってファイルを編集するだけです。 このファイルによってrootでログインする端末デバイスの制限をします。 ==================== console tty1 ====================と、tty1以外を全て削除するだけです。 これで外からこのマシンに対してrootでログインすることは不可能になります。 重要なのはttypxっていうところを削除するところです。 外からtelnet経由でログインするときには端末デバイスはttypxを使用するようです。
この設定をすることによって、侵入者はまず一般ユーザでログインして、
さらにrootにログインするという2重の手間がかかることになります。
(まぁ所詮そんなもん。^^;) |
| 3. | telnetでのアクセス制限 お次ぎはtelnetのポートを変えましょう。 普通に gw$ telnet hogehoge.domain って打つと23番ポートに接続に行きます。 23番は広く知られたポートなんで、 例えば telnet kamata-net.comってやられると、 とりあえず、ログインプロンプトが出て ユーザ名とパスワードを入力される可能性もあります。 本当はtelnetを殺してしまうのがベストだとは 思うんだけど、自分もtelnetは使いたいので ポート番号を変えるだけにします。 /etc/servicesってファイルで ==================== telnet 23/tcp ====================ってところがあるんだけど、 ここの23を違う番号に変更します。 これでポートが変わっりました。 これからはtelnetを使用するときには gw$ telnet hogehoge.domain 23 のように明示的にポートの23に接続に行くように しないと、今変更したポートにアクセスにいくんで 接続できないので注意が必要です。 |
| 4. | 他ネットからのアクセス制限 /etc/inetd.confには自マシンにアクセスがあった際に 起動するデーモンの記述がありますが、余分なものは コメントアウトしましょう。 例えば、talkとかexecとかfingerとかnetstatなんて 要らないんじゃないかな? 編集し終ったら gw$ ps aux | grep inetでプロセス番号 ==================== gw$ kill -1 <PID> ====================で設定情報の再読み込みをさせましょう。 |
| 5. | 『su』コマンドの使用者を制限する ここまでの設定で他ネットからrootでログインされることは なくなりました(普通に考えると)。 もし、ログインされてもrootになられなければまだ被害は少ないんで、 他のユーザやrootになるコマンドの『su』コマンド の使用者を制限することにします。
|
| 6. | その他 r系コマンドの使用者を制限する suコマンドと同様に、使われたらまずそうなコマンドの制限をします。 ==================== -rwxr-x--- 1 root admhome 13876 Sep 11 1998 /usr/bin/rcp* -rwxr-x--- 1 root admhome 4180 Aug 17 1998 /usr/bin/rdate* -rwxr-x--- 1 root admhome 54332 Aug 17 1998 /usr/bin/rdist* -rwsr-x--- 1 root admhome 10352 Sep 11 1998 /usr/bin/rlogin* -rwsr-x--- 1 root admhome 7044 Sep 11 1998 /usr/bin/rsh* -rwxr-x--- 1 root admhome 10928 Sep 11 1998 /usr/bin/rup* -rwxr-x--- 1 root admhome 95564 Sep 11 1998 /usr/bin/telnet* -rwsr-x--- 1 root admhome 14116 Jun 18 1998 /bin/ping* ====================こんなところです。自宅マシンに一回侵入してそこから他のマシンに悪さされて 俺のせいにされるのも嫌なんでtelnetも使わせないリストに加えておきました。 |
| 7. | このマシンへのアクセス制限(Tcp Wrapper) Tcp Wrapperってのはサーバにアクセス制限をかけるためのツールで、tcpdっていう名前で 提供されています。 通常では、/etc/inetd.conf中に ==================== # # These are standard services. # ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd ====================と書いてあるところを、下記のように ==================== # # These are standard services. # ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd ====================tcp wrapper経由で起動するように変更するのですが、 RedHat 5.2ではデフォルトでtcpdはインストールされているし、、/etc/inetd.confでも 設定されているのであまりいじることはありません。 いじるのは、/etc/hosts.allow, /etc/hosts.denyファイルで、このファイルによって 実際にアクセス制限をかけます。 ==================== # # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! ALL EXCEPT in.fingerd: ALL: spawn (/usr/sbin/safe_finger -l @%h |\ /bin/mail -s %d-%h postmaster@kamata.rim.or.jp)& ALL : ALL : spawn (/bin/mail -s %d-%h postmaster@kamata.rim.or.jp)& ====================これでhosts.allowに書かれている端末以外すべてアクセス禁止します。 Linux Japan 1月号(1999)を参考に フィンガー以外のアクセスがかかると 相手にsafe_finger(セキュリティホールをつぶしたfinger)をかけて 結果を管理者にメールします。fingerが来た場合は、相手がもしこっちと 同じ設定をしていた場合に無限ループしてしまいますので、 相手にfingerは打たずに管理者に通知だけします。 ==================== # # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # #ALL : ALL ALL : 192.168.0.0/255.255.255.0 <==== 192.168.0.xxx(内部マシン)は全て許可 in.ftpd : ALL <==== ftpは外部からでも可 ====================ちゃんと ==================== gw$ tcpdchk -v gw$ tcpdmatch in.fingerd host ====================やって動作を確認しましょう…。 |
[戻る]
RedHat5.2の場合は特にコンパイルすることなく
/sbin配下にipfwadmが入っていますのでこれをそのまま使用してやります。
ただし、このままではftpや、irchatができないので、
いろいろとモジュールをロードしてやる必要があります。
以下は/etc/rc.d/init.d/ipmasです。
[戻る]
まず、カーネルでPPPを組み込んでいますよね?
まだの人はカーネルの再構築してくださいね。
まず、自分のISPの認証方式を知る必要があります。
おそらくPAP認証だと思うけどね。
俺はドリーム★ネットを使っていますが、
PAP認証方式です。
その前にまず、TAに接続してみましょう。
さて、今からPPP接続するために編集の必要があるファイルを編集します。
編集するファイルは、
次は pap-secretファイル。
さぁppp-onスクリプトを実行してみて、うまく接続できましたか?
できない場合は/var/log/messageを見ていろいろやってみてください。
[戻る]
[戻る]
[戻る]
あと、例えば、ポストスクリプトファイルをB5サイズで印刷したい場合には、
[戻る]
[戻る]
ってことでCD-ROMにアクセスがあったときに自動で
マウントして、使わなくなったら umountしてくれる
ように設定を行います。
いじるファイルは/etc/fstab, /etc/auto.master, /etc/auto.miscです。
まず、/etc/fstabを編集して、一般ユーザがマウントできるように
します。実はCD-ROMと一緒にMOもオートマウントできるように
しています。
userって文字列を足してあげるだけ。
これが終ったら/etc/auto.masterです。
/etc/rc.d/init.d/autofs stop, startでもう見えるようになったでしょ?
あとは、smb.confに/mnt/cdrom, /mnt/moの設定を追加して共有の設定をしておけば、
ノートPCからも便利に使えるようになります!
いや、俺のレッツノートっってCD-ROM付いていないから、これでだいぶ楽になったよ。
IPマスカレード設定
今まではダイアルアップルータのAutoNAT機能で、
クライアントに振られたプライベートアドレスを、
ISPがルータに振ったグローバルアドレスに変換してくれていました。
が、PPPで接続した場合、ルータと使用するのではなくTAとして
使用するために、このAutoNAT機能は働きません。
IPマスカレードを用いてプライベートアドレス<-->グローバルアドレス
変換をすることにします。
=======/etc/rc.d/init.d/ipmas==========
#!/bin/bsh
case "$1" in
start)
echo -n "Starting IP masquerade: "
depmod -a
/sbin/modprobe ip_masq_ftp <== ftpを使用できるようにする
/sbin/modprobe ip_masq_irc <== ircを使用できるようにする
/sbin/modprobe ip_masq_raudio <== Read Audio
/sbin/modprobe ip_masq_vdolive <== VDOLive
/sbin/modprobe ip_masq_cuseeme <== CuSeeMe
/sbin/modprobe ip_masq_quake <== Quake
(*) これらのモジュールはカーネルによる自動組み込みができません。
/sbin/ipfwadm -I -f <== 設定のフラッシュ
/sbin/ipfwadm -O -f
/sbin/ipfwadm -F -f
/sbin/ipfwadm -F -p deny <== とりあえず、全てパケットは通さない
/sbin/ipfwadm -F -b -o -a masquerade -P all -S 192.168.0.100/24 -D 0.0.0.0/0
<== 192.168.0.100からデフォルトルートへ
全てのパケットを通す
;;
stop)
echo -n "Shutting down IP masquerade: "
/sbin/rmmod ip_masq_ftp
/sbin/rmmod ip_masq_irc
/sbin/rmmod ip_masq_raudio
/sbin/rmmod ip_masq_vdolive
/sbin/rmmod ip_masq_cuseeme
/sbin/rmmod ip_masq_quake
/sbin/ipfwadm -F -p deny
;;
*)
echo "usage: ipmas { start | stop }"
exit 1
esac
exit 0
=======================================
192.168.0.100から10.254.0.1にping打ってみて、通れば問題なく動作しています。
PPP設定
今回一番はまったのはPPPの設定かも知れない…。
おもわず、MLに投稿して聞いちゃおうかと思った。
でもなんとかできて良かった良かった。
====================================
gw$ cu -l cua0 -s 115200
Connected.
AT <== 入力(もしかしたら表示されないかも)
OK
~. <== 切断コマンド
Disconnected.
gw$
====================================
となれば、デバイス/dev/cua0でTAに接続できたこととなります。
====================================
-r-------- 1 root root 134 Oct 11 04:54 /etc/ppp/pap-secrets
-rwsr-x--- 1 root pppusers 374 Oct 11 23:35 /etc/ppp/ppp-on-dialer*
-rwsr-x--- 1 root pppusers 1984 Oct 12 02:15 /etc/ppp/ppp-on*
====================================
です。
まず、ppp-onから見ていきます。
====================================
#!/bin/sh
#
# Script to initiate a ppp connection. This is the first part of the
# pair of scripts. This is not a secure pair of scripts as the codes
# are visible with the 'ps' command. However, it is simple.
#
# These are the parameters. Change as needed.
TELEPHONE=035201xxxx # The telephone number for the connection
ACCOUNT=hogehoge # The account name for logon (as in 'George Burns') <== PPP接続用ユーザ名
LOCAL_IP=0.0.0.0 # Local IP address if known. Dynamic = 0.0.0.0
REMOTE_IP=0.0.0.0 # Remote IP address if desired. Normally 0.0.0.0
NETMASK=255.255.255.0 # The proper netmask if needed
#
# Export them so that they will be available at 'ppp-on-dialer' time.
export TELEPHONE ACCOUNT
#
# This is the location of the script which dials the phone and logs
# in. Please use the absolute file name as the $PATH variable is not
# used on the connect option. (To do so on a 'root' account would be
# a security hole so don't ask.)
#
DIALER_SCRIPT=/etc/ppp/ppp-on-dialer
#
# Initiate the connection
#
# I put most of the common options on this command. Please, don't
# forget the 'lock' option or some programs such as mgetty will not
# work. The asyncmap and escape will permit the PPP link to work with
# a telnet or rlogin connection. You are welcome to make any changes
# as desired. Don't use the 'defaultroute' option if you currently
# have a default route to an ethernet gateway.
#
if [ -f /var/run/ppp0.pid ]
then
echo "PPP is locked by cua0"
exit 1
fi
/sbin/route del default <=== 僕の環境オリジナル。デフォルトルータを削除します。
/usr/sbin/pppd noauth debug lock modem crtscts /dev/cua0 115200 \
asyncmap 20A0000 escape FF kdebug 7 $LOCAL_IP:$REMOTE_IP \
noipdefault netmask $NETMASK defaultroute connect $DIALER_SCRIPT \ <== 文末の\を追加
user $ACCOUNT <=== 追加(pap認証の時)
(*) noauthオプションはpppdのバージョンによっては
要らない。
デフォルトルータを削除しておかないと defaultrouteオプションを
指定しても、/dev/ppp0をデフォルトルートに設定しなおしてくれないので
注意が必要。
====ここから下は俺の環境に合わせて追加しました。=======
sleep 10
if [ ! -f /var/run/ppp0.pid ] <=== ppp接続がうまくできなかったら、
then
/sbin/route add default gw 10.254.0.1 <== デフォルトルータを設定し直す
echo "PPP Failed"
exit 1
fi
#Restart sendmail
echo 'Restarting sendmail:'
kill -1 `ps aux | grep sendmail | /bin/awk '{print $2}'`
<== キューに溜っていたメールを配送するために再起動をかけます
#Registration
echo 'Regist IP Address'
exec /etc/ppp/AutoDNS update <== DynamicDNSを設定します。
<== これでkamata-net.comが有効になるよ。と。
====================================
ppp-onから$DIALER_SCRIPTを呼んでchatコマンドでISPに電話をしています。
それでは、ppp-on-dialerをみてみましょう。
====================================
#!/bin/sh
#
# This is part 2 of the ppp-on script. It will perform the connection
# protocol for the desired connection.
#
exec /usr/sbin/chat -v \
TIMEOUT 3 \
ABORT '\nBUSY\r' \
ABORT '\nNO ANSWER\r' \
ABORT '\nRINGING\r\n\r\nRINGING\r' \
'' '\rATE1X2\Q0$S12&Q5!B1' \ <== ATコマンドでTAの設定をする
'OK-+++\c-OK' ATH0 \
TIMEOUT 30 \
OK ATDT$TELEPHONE \
CONNECT '\r' <== ''じゃなくて'\r'に変更
====================================
ATコマンドはTAとか、モデムによって違うと思うので
リファレンスマニュアルをよく読んでください。
注意点としては
ちなみにMN128-SOHOだとATコマンドの意味は
とりあえず、全部設定すると以下のように表示されるはずです。
====================================
gw$ cu -l cua0 -s 115200
Connected.
AT\S0
AT\S0
CMD DESCRIPTION OPTION CMD DESCRIPTION OPTION
--- ------------------------------ --- ------------------------------
DTE RATE.............115200bps DATA FORMAT................8N1
A AUTO ANSWER.................ON E COMMAND ECHO................ON
Q RESULT CODE.................ON V RESULT TYPE...........ALPHABET
W RING DISPLAY TYPE.......NORMAL X RESULT CODE FORM.............2
Y BREAK MODE..........DISCONNECT &C DCD SIGNAL..............ONLINE
&D DTR SIGNAL..........DISCONNECT &E REPORTING RATE.......LINE RATE
&K FLOW CONTROL..............NONE &Q COMMUNICATION MODE........HDLC
&S DSR SIGNAL..............ALWAYS &Y PROFILE NUMBER...............1
\Q FLOW CONTROL..............NONE \T ABORT TIMER................OFF
%B MAX RATE ON ANSWER.....128Kbps $S CALL LINE RATE..........64Kbps
!A COMMAND MODE............AT BCH !B SEND CPN...............NETWORK
!C PREFERENTIAL CALL CONNECT..OFF !E GLOBAL CALL ANSWER..........ON
!H AUTO MP....................OFF !I BASE CH COUNT................2
!J THROUGHPUT BOD.............OFF !K CH ADD BASED ON...........BOTH
!L CH SUB BASED ON...........BOTH !P AUTO BACP..................OFF
!Q BACP RESPONSE MODE..........21 !S RESOURCE BOD......DEPEND ON @U
!T DTE AUDIO MODE.............OFF
*A POWER DOWN OPERATION........ON *B EXCLUSIVE LINE.............OFF
CMD DESCRIPTION NUMBER
--- --------------------------------------------------------------------
$C TA DIALIN NUMBER....................................................
$E TA SUB ADDRESS......................................................
OK
~.
Disconnected.
gw$
====================================
俺がだいぶはまったのは、このppp-on-dialer中にあーでもない
こーでもない、といろいろコマンドを書いていて、必要の無いところを
#でコメントアウトしていたんだよね。
#入れることによって一行と見なされなくなっちゃって
スクリプトが途中で終っちゃっていることに気づいたのは
2週間悪戦苦闘した末でした。みなさんも気を付けましょう。
====================================
# PAP secrets file
# remotenames ppp
ここでppp接続用ユーザ名とppp接続用パスワードを書いておきます。
DNS設定
DNSの設定は省略。
メールサーバ設定
だいぶ書くの疲れて来た。
sendmail8.9.0を使用しているので、sendmail.cfを書くのにCF-3.7Wを使いました。
sendmail.defを載せます。参考にしてください。
====================================
### Standard sendmail.cf for sendmail 8.9 or later ###
### type of sendmail.cf
CF_TYPE=R8V8 <== CFのタイプ
# version number for Received: header line
VERSION=3.7W <== CFのバージョン
VERSION_SEPARATOR='-' <== セパレータ
LOCAL_VERSION='MailExchanger' <== ローカルバージョン
<== 以上の設定でメールのヘッダに
(8.9.0/3.7W-MailExchanger)風に入ります。
# OS type (choose a file name in ostype directory)
OS_TYPE=linux <== OSはLinux使用
# [general]
# with sendmail.mx (yes/no)
MX_SENDMAIL=yes <== MXを使用しているのでyesに変更
# local domain name (defined automatically)
make sendmail.cf後 /etcにコピーする前に sendmail -bt -C ./sendmail.cfで
/parse hogehoge@domain
として試験することをお忘れ無く。
プリンタサーバ
ポストスクリプトを印刷するためにページサイズ毎、解像度毎に
仮想的にプリンタを設定してやって、それぞれに対して、gsのフィルタを
書けてやります。以下は自分ちの/etc/printcapです。
プリンタはEpson MJ-910C(古い!!)です。
====================================
#
# This printcap is being created with printtool v.3.27
# Any changes made here manually will be lost if printtool
# is run later on.
# The presence of this header means that no printcap
# existed when printtool was run.
#
#
# EPSON Mach Jet Printer MJ-910C
# without filter.
##PRINTTOOL3## LOCAL mjc720 360x360 a4 {}
lp:\
:sd=/var/spool/lpd/lp:\
:mx#0:\
:lf=/var/log/lpd-errs:\
:lp=/dev/lp1:\
:sh:\
:if=/var/spool/lpd/lp/filter:\
:pw#80:\
:pl#66:
#
# EPSON Mach Jet Printer MJ-910C
# with a PS filter in MJC360.
##PRINTTOOL3## LOCAL
ps1|Epson Mach Jet Printer MJ-910C:\
:sd=/var/spool/lpd/lp:\
:lp=/dev/lp1:\
:lf=/var/log/lpd-errs:\
:if=/usr/local/lib/LBP/ps2mjc360:\
:mx#0:\
:sh:
#
# EPSON Mach Jet Printer MJ-910C
# with a PS filter in MJC720.
##PRINTTOOL3## LOCAL
ps1fine|Epson Mach Jet Printer MJ-910C:\
:sd=/var/spool/lpd/lp:\
:lp=/dev/lp1:\
:lf=/var/log/lpd-errs:\
:if=/usr/local/lib/LBP/ps2mjc720:\
:mx#0:\
:sh:
#
# EPSON Mach Jet Printer MJ-910C
# with a PS filter in MJC360 B5.
##PRINTTOOL3## LOCAL
ps1b5|Epson Mach Jet Printer MJ-910C:\
:sd=/var/spool/lpd/lp:\
:lp=/dev/lp1:\
:lf=/var/log/lpd-errs:\
:if=/usr/local/lib/LBP/ps2mjc360b5:\
:mx#0:\
:sh:
#
# EPSON Mach Jet Printer MJ-910C
# with a PS filter in MJC720 B5.
##PRINTTOOL3## LOCAL
ps1b5fine|Epson Mach Jet Printer MJ-910C:\
:sd=/var/spool/lpd/lp:\
:lp=/dev/lp1:\
:lf=/var/log/lpd-errs:\
:if=/usr/local/lib/LBP/ps2mjc720b5:\
:mx#0:\
:sh:
#
# End of printcap
#
====================================
例えばB5で360dpiで印刷する場合は、
/usr/local/lib/LBP/ps2mjc360b5ってフィルターをかましていますが、
このファイルの中身は↓です。
====================================
#!/bin/sh
/usr/bin/gs -q -sDEVICE=mjc360 -sOutputFile=- -dNOPAUSE -sPAPERSIZE=b5 -
====================================
ご参考に。
====================================
gw$ lpr -Pps1b5 aaa.ps
====================================
とするわけです。(もちろんaaa.psがb5サイズで作られていることが前提ですよん)
後述するSAMBAの設定をしてやって、プリンタサーバのできあがり。
ファイルサーバ(SAMBA)
僕は、WindowsのクライアントからLINUXのファイルを共有するために
Samba-2.0.3を使用しています。
下記はこのマシンの/usr/local/samba/lib/smb.confです。
smbpasswd -a hogehoge で、hogehogeが、サンバを使用できるように
パスワードを設定してあげるのを忘れないように。
====================================
; The global setting for a default install
; Copyright(C) John H Terpstra & Jeremy Allison - 1997
;======================= Global Settings =====================================
[global]
workgroup = HOME
comment = File & Print Server
log file = /var/log/samba/log.%m
interfaces = 192.168.0.100/24
passwd program = /usr/bin/passwd
;Windowsを使うときには以下を設定しておいた方がよい。(SMB-HOWTOより)
mangle case = no
case sensitive = no
default case = upper
preserve case = yes
short preserve case = yes
;プリンタの設定
printcap name = /etc/printcap
load printers = no <== yesにすると/etc/printcapに書いてある全てのプリンタが
表示されちゃうのでやめる。
;デバッグ
; syslog = 3
; debuglevel = 3
;暗号化パスワードを通す
security = user
encrypt passwords = yes
;パフォーマンスアップ
socket options = TCP_NODELAY
dns proxy = no
;日本語の設定
client code page = 932
coding system = euc
[homes]
comment = Home Directory
browseable = no
writable = yes
public = yes
create mode = 0750
;[printers]
; comment = Epson 910C
; path = /var/spool/lpd/lp
; browseable = no
; printable = yes
; writable = no
; public = yes
; create mask = 0700
[Printer]
comment = Epson MJ-910C
path = /usr/local/samba/var/spool <== ユーザの権限で書き込めるディレクトリを指定してやる
printer name = lp
browseable = yes
writable = yes
public = yes
printable = yes
print command = /usr/bin/lpr -P %p %s
[public]
comment = Public Space
path = /export/public
browseable = yes
public = yes
writable = yes
printable = no
write list = hogehoge
create mask = 0775
====================================
Samba-2.0以上からswatっていうバイナリがあって、
ブラウザからsmb.confを書けるみたいですけど、古くさい俺は
一生懸命手で書いています。^^;
書き終ったら、smbdを起動して、
====================================
gw$ smbclient -L gw
====================================
でサービスが
====================================
Added interface ip=192.168.0.100 bcast=192.168.0.255 nmask=255.255.255.0
Password:
Domain=[HOME] OS=[Unix] Server=[Samba 2.0.3]
Sharename Type Comment
--------- ---- -------
Printer Printer Epson MJ-910C
public Disk Public Space
IPC$ IPC IPC Service (Samba 2.0.3)
Server Comment
--------- -------
GW Samba 2.0.3
Workgroup Master
--------- -------
HOME GW
====================================
のように見えればオウケイです。
WindowsのクライアントからLinuxのディスクが見えますね?
CD-ROMのオートマウント
CD-ROMを使うときって面倒臭くありません?
毎回毎回 mount /dev/cdrom /mnt/cdromなんて
やるの面倒臭いじゃない?
しかもSamba経由でCD-ROM使うときに
わざわざ telnet してマウントするのも使い勝手悪いし。
====================================
/dev/hda2 / ext2 defaults 1 1
/dev/hda1 /boot ext2 defaults 1 2
/dev/hdb3 /export ext2 defaults 1 2
/dev/hdb2 /tmp ext2 defaults 1 2
/dev/hda3 /usr ext2 defaults 1 2
/dev/hdc1 /usr/local ext2 defaults 1 2
/dev/hda4 /var ext2 defaults 1 2
/dev/hdc4 /home ext2 defaults 1 2
/dev/hdb1 swap swap defaults 0 0
/dev/cdrom /mnt/cdrom iso9660 user,noauto,ro 0 0
/dev/sda /mnt/mo vfat user,noauto,rw 0 0
/dev/fd- /mnt/floppy vfat user,noauto,rw 0 0
none /proc proc defaults 0 0
====================================
====================================
# $Id: auto.master,v 1.2 1997/10/06 21:52:03 hpa Exp $
# Sample auto.master file
# Format of this file:
# mountpoint map options
# For details of the format look at autofs(8).
/mnt /etc/auto.misc --timeout 30
====================================
これは、設定ファイルをは/etc/auto.miscで/mntディレクトリ配下にマウントして
30秒アクセスがなかったら、マウントを解除すると言う意味です。
====================================
# $Id: auto.misc,v 1.2 1997/10/06 21:52:04 hpa Exp $
# This is an automounter map and it has the following format
# key [ -mount-options-separated-by-comma ] location
# Details may be found in the autofs(5) manpage
kernel -ro,soft,intr ftp.kernel.org:/pub/linux
cdrom -fstype=iso9660,ro :/dev/cdrom
mo -fstype=vfat,rw,umask=0 :/dev/sda
floppy -fstype=vfat,rw,umask=0 :/dev/fd0
# the following entries are samples to pique your imagination
#floppy -fstype=auto :/dev/fd0
#floppy -fstype=ext2 :/dev/fd0
#e2floppy -fstype=ext2 :/dev/fd0
#jaz -fstype=ext2 :/dev/sdc1
====================================
これがauto.miscの設定で、一番左のキーワードが
/mnt配下にマウントされるときの名前になります。
だから、この設定ファイルだと、
/mnt/kernel, /mnt/cdrom, /mnt/mo, /mnt/floppyに
アクセスがあったときに自動でマウントします。