...

Mac OS X Server ネットワークサービスの管理

by user

on
Category: Documents
32

views

Report

Comments

Transcript

Mac OS X Server ネットワークサービスの管理
Mac OS X Server
ネットワークサービスの管理
バージョン 10.4 以降用
 Apple Computer, Inc.
© 2005 Apple Computer, Inc. All rights reserved.
Mac OS X Server ソフトウェアの正規ライセンス製品の
使用許諾を受けたお客様、またはかかるお客様の許諾を
得た者は、本ソフトウェアの使用を学習する目的で本書
を複製することができます。本書のいかなる部分も、本書
のコピーの販売または有償のサポートサービスなどの商
用目的で、複製または譲渡することは禁じられています。
本書には正確な情報を記載するように努めました。 ただ
し、誤植や制作上の誤記がないことを保証するものでは
ありません。
Apple
1 Infinite Loop
Cupertino CA 95014-2084
U.S.A.
www.apple.com
アップルコンピュータ株式会社
〒 163-1480 東京都新宿区西新宿 3 丁目 20 番 2 号
東京オペラシティタワー
www.apple.com/jp
キーボードから入力可能な Apple ロゴについても、これ
を Apple Computer, Inc. からの書面による許諾なしに商
業的な目的で利用すると、連邦および州の商標法および
不正競争防止法違反となる場合があります。
Apple、Apple ロゴ、 AppleScript 、AppleShare、
AppleTalk、Mac、Mac OS、Macintosh 、Power Mac、
Power Macintosh、QuickTime、 Sherlock、および
WebObjects は、米国その他の国で登録された Apple
Computer, Inc. の商標です。 AirMac は Apple
Computer, Inc. の商標です。
Java および Java ベースの商標とロゴは、米国およびそ
の他の国における Sun Microsystems, Inc. の商標または
登録商標です。
UNIX は、X/Open Company, Ltd. が独占的にライセンス
している米国その他の国における登録商標です。
本書に記載されているその他の会社名および製品名は、
それぞれの会社の商標です。 他社製品に関する記載は、
情報の提供のみを目的としたものであり、 保証または推
奨するものではありません。 Apple Computer, Inc. は他
社製品の性能または使用につきましては一切の責任を負
いません。
J019-0165/3-24-05
1
序章
第1章
第2章
目次
9
9
9
10
10
11
12
12
このガイドについて
15
15
16
16
17
18
19
ネットワークをインターネットに接続する
23
23
24
24
24
25
25
25
25
25
26
26
26
27
27
28
28
DHCP サービス
DHCP サービスを設定する前に
バージョン 10.4 の新機能
このガイドの構成
このマニュアルを使う
オンスクリーンヘルプを使用する
Mac OS X Server マニュアル
マニュアルのアップデートを入手する
その他の情報
ゲートウェイ設定アシスタントを理解する
ゲートウェイ設定アシスタントを使用する
設定例
有線 LAN をインターネットに接続する
有線 LAN とワイヤレスクライアントをインターネットに接続する
ワイヤレス LAN をインターネットに接続する
サブネットを作成する
IP アドレスを動的に割り当てる
静的 IP アドレスを使用する
DHCP サーバを検索する
ほかの DHCP サーバとやり取りする
ネットワーク上の複数の DHCP サーバを使用する
予約済み IP アドレスを割り当てる
DHCP プロセスの詳しい情報を見る
DHCP サービスをはじめて設定する
DHCP サービスを管理する
DHCP サービスを開始する/停止する
DHCP サービスでサブネットを作成する
DHCP サービスでサブネットの設定を変更する
DHCP サービスからサブネットを削除する
一時的にサブネットの使用を停止する
3
28
29
29
30
30
31
31
31
32
32
32
33
36
第3章
4
37
38
38
38
38
41
41
41
42
42
43
44
44
45
45
45
46
47
48
48
49
49
49
49
50
50
50
51
52
サブネットの IP アドレスのリース期間を変更する
DHCP サブネット用の DNS サーバを設定する
サブネットの LDAP オプションを設定する
サブネットの WINS オプションを設定する
DHCP を使用して静的 IP アドレスを割り当てる
静的アドレスマップを削除する/変更する
DHCP サービスを監視する
DHCP の状況の概要を表示する
DHCP サービスのログの詳細レベルを設定する
DHCP のログエントリーを表示する
DHCP クライアントのリストを表示する
DHCP を使用する一般的なネットワーク設定
その他の情報
DNS サービス
DNS サービスを設定する前に
DNS と BIND
複数のネームサーバを設定する
DNS サービスをはじめて設定する
DNS サービスを管理する
DNS サービスを開始する/停止する
ゾーン転送を使用可能にする/使用不可にする
再帰を使用可能/使用不可にする
DNS ゾーンを管理する
プライマリゾーンを追加する
セカンダリーゾーンを追加する
ゾーンを複製する
ゾーンを変更する
ゾーンを削除する
既存のゾーンファイルを使用する
DNS マシンレコードを管理する
マシンレコードを DNS ゾーンに追加する
DNS ゾーン内のマシンレコードを変更する
DNS ゾーンからマシンレコードを削除する
DNS を監視する
DNS サービスの状況を表示する
DNS ログエントリーを表示する
DNS ログの詳細レベルを変更する
DNS ログファイルの場所を変更する
DNS サーバを保護する
DNS スプーフィング
サーバマイニング
DNS サービスのプロファイリング
目次
52
52
53
53
55
56
56
57
58
58
第4章
59
60
61
62
62
64
64
64
65
66
66
66
67
67
68
68
69
70
70
71
72
72
72
73
73
73
74
74
74
75
76
76
DoS(サービス拒否)
サービスのピギーバック
DNS サービスを使用する一般的なネットワーク管理作業
MX レコードを設定する
NAT ゲートウェイの背後にあるネームスペースを設定する
ネットワーク負荷分散(ラウンドロビン)
プライベートな TCP/IP ネットワークを設定する
1 つの IP アドレスで複数のインターネットサービスをホストする
同一のサーバで複数のドメインを管理する
その他の情報
IP ファイアウォールサービス
ファイアウォールの基本的な手法
ファイアウォールの起動
ファイアウォール・ルールを理解する
ファイアウォール・ルールとは
アドレスの範囲を使用する
ルールのメカニズムと優先順位
複数の IP アドレス
ファイアウォールサービスをはじめて設定する
ファイアウォールサービスを管理する
Tiger Server 10.4 のサーバ管理を使用して Panther Server 10.3 のファイアウォールを管理する
ファイアウォールサービスを開始する/停止する
アドレスグループを作成する
アドレスグループを編集する/削除する
アドレスグループを複製する
標準サービスにファイアウォールを開放する
サービスリストに追加する
サービスリストの項目を編集する/削除する
詳細な IP ファイアウォール・ ルールを作成する
詳細な IP ファイアウォール・ ルールを編集する/削除する
詳細な IP ファイアウォール・ ルールの順序を変更する
ステルスモードを有効にする
到達不能なサーバをリセットする
ファイアウォールサービスを監視する
「 使用可能なルール」パネルを理解する
ファイアウォールの状況の概要を表示する
有効なファイアウォール・ルールを表示する
ファイアウォールサービスのログを設定する
ファイアウォールのログを確認する
拒否されたパケットを確認する
ファイアウォール・ルールでログに記録されたパケットを確認する
詳細な IP ファイアウォール・ ルールの問題を解決する
目次
5
77
77
77
78
79
79
80
80
81
81
82
86
第5章
第6章
6
87
87
88
89
89
90
90
91
93
93
93
93
95
95
97
99
99
99
100
101
101
102
102
102
102
103
103
105
106
使用例
IP ファイアウォールを NAT で使用する
インターネットユーザの Web アクセスをブロックする
ローカル・ネットワーク・ユーザによるインターネットアクセスのログを記録する
迷惑メールをブロックする
Apple ファイルサーバへのユーザのアクセスを許可する
ファイアウォールサービスを使用する一般的なネットワーク管理作業
DoS(サービス拒否)攻撃を防止する
ピアツーピアネットワークの使用を制御する/使用可能にする
ネットワークゲームの使用を制御する/使用可能にする
ポートリファレンス
その他の情報
NAT サービス
ほかのネットワークサービスで NAT を使用する
NAT LAN 設定の概要
NAT サービスを開始する/停止する
NAT サービスを設定する
NAT を使用しないでゲートウェイを作成する
ポート転送を設定する
ポート転送の例
NAT サービスを監視する
NAT の状況の概要を表示する
NAT を使用する一般的なネットワーク管理作業
1 つの IP アドレスを使って LAN をインターネットに接続する
ゲーム用の LAN パーティを設定する
「 仮想サーバ」を設定する
その他の情報
VPN サービス
VPN とセキュリティ
転送プロトコル
認証方法
VPN サービスを設定する前に
VPN 用のほかのネットワークサービスを設定する
VPN サービスを管理する
VPN サービスを開始する/停止する
L2TP 転送プロトコルを使用可能にする/設定する
PPTP 転送プロトコルを使用可能にする/設定する
VPN クライアント用に追加のネットワーク設定を行う
VPN のネットワークルーティング定義を設定する
特定のユーザまたはグループへの VPN アクセスを制限する
特定の受信 IP アドレスへの VPN アクセスを制限する
目次
107
109
109
109
109
110
110
110
112
追加の設定手順
VPN サービスを監視する
VPN の状況の概要を表示する
VPN サービスのログの詳細レベルを設定する
VPN のログを表示する
VPN クライアント接続を表示する
VPN を使用する一般的なネットワーク管理作業
家庭のコンピュータをリモートネットワークに接続する
リモート・ネットワーク・ファイアウォールの背後にある単一のコンピューティングアセットに
アクセスする
112
116
第7章
第8章
第9章
複数のリモート・ネットワーク・サイトを接続する
その他の情報
117
117
118
118
119
119
NTP サービス
NTP の動作
121
121
121
122
VLAN のサポート
VLAN を理解する
VLAN のクライアントメンバーシップを設定する
123
124
124
124
124
125
125
125
126
IPv6 サポート
IPv6 対応サービス
サーバ管理での IPv6 アドレス
IPv6 アドレス
用語集
127
索引
139
ネットワークで NTP を使用する
NTP サービスを設定する
クライアントで NTP を設定する
その他の情報
その他の情報
表記
IPv6 の予約アドレス
IPv6 のアドレッシングモデル
IPv6 アドレスの種類
その他の情報
目次
7
序章
このガイドについて
このマニュアルでは、Mac OS X Server のネットワークサービスを設
定および管理する方法について説明します。
バージョン 10.4 の新機能
Mac OS X Server バージョン 10.4 は、バージョン 10.3 に比べて多くの点で強化されており、機能が
追加されています。以下に、その内容を示します:
•
•
•
•
•
•
•
新しい「ゲートウェイ設定アシスタント」
改訂および強化された DNS インターフェイス
DHCP を使用した静的 IP アドレスマッピング
改訂および強化されたファイアウォールインターフェイス
拡張された VPN ヘルプ
拡張された NAT ヘルプ
VLAN のサポート情報
このガイドの構成
このガイドは、9 つの章と用語集で構成されています:
• 15 ページの第 1 章「ネットワークをインターネットに接続する」では、
「ゲートウェイ設定アシス
タント」を使用してネットワークをインターネットに接続する方法について説明します。
• 23 ページの第 2 章「 DHCP サービス」では、DHCP を設定および使用して、ネットワーク上で IP ア
ドレスを割り当てる方法について説明します。
• 37 ページの第 3 章「DNS サービス」では、Mac OS X Server をドメイン・ネーム・サーバとして
使用する方法について説明します。
• 59 ページの第 4 章「IP ファイアウォールサービス」では、ファイアウォールを使用してネットワー
クのセキュリティを管理する方法について説明します。
• 87 ページの第 5 章「NAT サービス」では、NAT を設定および使用して、1 つのパブリック IP アドレ
スだけを使って多数のコンピュータをインターネットに接続する方法について説明します。
• 99 ページの第 6 章「 VPN サービス」では、リモートユーザがプライベート LAN に安全にアクセス
できるように、VPN を設定および使用する方法について説明します。
• 117 ページの第 7 章「NTP サービス」では、サーバをタイムサーバとして使用する方法について説
明します。
9
• 121 ページの第 8 章「VLAN のサポート」では、一部のサーバハードウェア設定に対する VLAN の
サポートについて説明します。
• 123 ページの第 9 章「 IPv6 サポート」では、IPv6 と、IPv6 アドレスをサポートするサービスについ
て説明します。
• 127 ページの「用語集」では、このガイドで使用する用語について説明します。
このマニュアルを使う
各章では、特定 のネットワークサービ スを扱います。ユーザに提 供する予定のサービス について書
かれた章を お読みください。サー ビスの仕組み、機能、使い かた、初期の設定方法、お よび日常の
管理方法について説明しています。
また、あまりな じみのないサービスに 関する章もお読みくだ さい。これまで使ったこと のないサー
ビスの中に、ネ ットワークをより効率 的に運用し、ユーザのため にパフォーマンスを向 上するのに
役立つサービスが見つかるかもしれません。
ほとんどの 章の最後に「その他の情 報」というセクションが あります。このセクシ ョンでは、この
サービスに関してより詳しい情報を見つけることができる Webサイトと参考資料を紹介しています。
オンスクリーンヘルプを使用する
オンスクリーンヘルプを使用すると、サーバマニュアル一式に含まれるガイドに記載されている、手
順やその他の役立つ情報を参照できます。
「ワークグループマネージャ」または「サーバ管理」
Mac OS X Server が動作するコンピュータでは、
を開く と、オンスク リーンヘ ルプを利 用できます。
「ヘ ルプ」メニュ ーから、次の いずれか のオプ
ションを選びます:
• 「ワークグループマネージャヘルプ」または「サーバ管理ヘルプ 」を選ぶと、アプリケーションに
関する情報が表示されます。
• 「Mac OS X Server ヘルプ」を選ぶと、サーバヘルプのメインページが表示されます。ここから、
サーバ情報を検索またはブラウズできます。
• 「マニュアル」を選ぶと、www.apple.com/jp/server/documentation にアクセスして、サーバの
マニュアルをダウンロードできます。
サーバまた は管理用コンピュー タの「Finder 」またはその他のアプ リケーションからオ ンスクリー
ンヘルプを利用することもできます。(管理用コンピュータとは、サーバ管理ソフトウェアがインス
トールされ ている Mac OS X コンピ ュータのことです。)「ヘ ルプ」メニューを使用 して「ヘルプ
ビューア」を開き、「ライブラリ」>「Mac OS X Server ヘルプ」と選択します。
サーバの最新のヘルプトピックを参照するには、「ヘルプビューア」を使用している間、サーバまた
は管理用コンピュータがインターネットに接続されていることを確認してください。「ヘルプビュー
ア」は、サーバの最新のヘルプトピックをインターネットから自動的に取得してキャッシュします。
インターネットに接続されていないときは、「ヘルプビューア」は、キャッシュされているヘルプト
ピックを表示します。
10
序章
このガイドについて
Mac OS X Server マニュアル
Mac OS X Server のマニュアルには、各サービスについて解説し、それらのサービスの設定、管理、
および問題 を解決する手順を説明 しているガイドが含ま れています。これらのガイ ドはすべて、次
の場所から PDF 形式で入手できます:
www.apple.com/jp/server/documentation/
ガイド名
ガイドの内容:
Mac OS X Server お使いになる前
Mac OS X Server をインストールし、はじめて設定する方法について説明
に バージョン 10.4 以降用
します。
Mac OS X Server アップグレード
古いバージョンのサーバで現在使用されているデータとサービス設定を使
および移行 バージョン 10.4 以降用
用する方法について説明します。
Mac OS X Server ユーザの管理
ユーザ、グループ、およびコンピュータのリストを作成および管理する方
バージョン 10.4 以降用
法について説明します。また、Mac OS X クライアントの管理された環境
設定を設定する方法について説明します。
Mac OS X Server ファイルサービ
スの管理 バージョン 10.4 以降用
AFP、NFS、FTP、および SMB/CIFS プロトコルを使って、選択したサーバ
のボリュームまたはフォルダを複数のサーバクライアントの間で共有する
方法について説明します。
Mac OS X Server プリントサービ
共有プリンタを管理する方法と、共有プリンタに関連付けられたキューと
スの管理 バージョン 10.4 以降用
プリントジョブを管理する方法について説明します。
Mac OS X Server システムイメー
NetBoot とネットワークインストールを使用して、Macintosh コンピュー
ジおよびソフトウェア・アップデー
トの管理 バージョン 10.4 以降用
タがネットワーク経由で起動できるディスクイメージを作成する方法につ
いて説明します。また、クライアントコンピュータをネットワーク経由で
アップデートするためのソフトウェア・アップデート・サーバを設定する
方法について説明します。
Mac OS X Server メールサービス
の管理 バージョン 10.4 以降用
メールサービスをサーバ上で設定、構成、および管理する方法について説
明します。
Mac OS X Server Web テクノロ
ジーの管理 バージョン 10.4 以降用
WebDAV 、WebMail、および Web モジュールを含めて、Web サーバを設
Mac OS X Server ネットワーク
DHCP、DNS、VPN 、NTP 、IP ファイアウォール、および NAT の各サービ
サービスの管理 バージョン 10.4
以降用
スをサーバ上で設定、構成、および管理する方法について説明します。
Mac OS X Server オープンディ
レクトリの管理 バージョン 10.4
ディレクトリサービスと認証サービスを管理する方法について説明します。
定および管理する方法について説明します。
以降用
Mac OS X Server QuickTime
QuickTime ストリーミングサービスを設定および管理する方法について説
Streaming Server の管理 バージョ
ン 10.4 以降用
明します。
Mac OS X Server Windows サー
ビスの管理 バージョン 10.4 以降用
PDC 、BDC、ファイル、Windows コンピュー タユーザ用のプリントなど
Mac OS X Server Windows NT か
らの移行 バージョン 10.4 以降用
アカウント、共有フォルダ、およびサービスを Windows NT サーバから
Mac OS X Server に移動する方法について説明します。
Mac OS X Server Java アプリケー
ションサーバの管理 バージョン
Mac OS X Server 上で JBoss アプリケーションサーバを設定および管理す
のサービスを設定および管理する方法について説明します。
る方法について説明します。
10.4 以降用
Mac OS X Server コマンドライン
コマンドと設定ファイルを使って、
サーバ管理タスクを UNIX コマンドシェ
管理 バージョン 10.4 以降用
ル内で実行する方法について説明します。
序章
このガイドについて
11
ガイド名
ガイドの内容:
Mac OS X Server コラボレーショ
ユーザ間で簡単に対話できるようにするウェブログ、チャット、およびそ
ンサービスの管理 バージョン 10.4
以降用
の他のサービスを設定および管理する方法について説明します。
Mac OS X Server 高可用性の管理
バージョン 10.4 以降用
Mac OS X Server サービスの高い可用性を確保するように IP フェイルオー
Mac OS X Server Xgrid の管理
Xgrid アプリケーションを使用して Xserve の計算クラスタを管理する方法
バージョン 10.4 以降用
について説明します。
Mac OS X Server 用語集:Mac
サーバおよび記憶装置製品で使用される用語の意味について説明します。
バー、リンクアグリゲーション、負荷分散、その他のハードウェアおよび
ソフトウェア設定を管理する方法について説明します。
OS X Server、Xserve、Xserve
RAID、および Xsan の用語
マニュアルのアップデートを入手する
アップルで は必要に応じて、オンス クリーンヘルプの新し いトピック、改訂された ガイド、および
ソリューシ ョンに関する書類を公 開しています。新しいヘル プトピックには、最新のガ イドの改訂
分が含まれます。
• オンスクリーン ヘルプの新しいトピックを表示 するときは、サーバまたは管理用 コンピュータが
インターネットに接続されていることを確認し、 Mac OS X Server ヘルプのメインページにある
「最新情報」のリンクをクリックします。
• PDF 形式の最新のガイドおよびソリューションに関する書類をダウンロードするときは、
Mac OS X Server のマニュアルの Web ページ(www.apple.com/jp/server/documentation)に
アクセスしてください。
その他の情報
さらに詳しい情報が必要な場合は、次の資料を参照してください:
大切な情報 — 重要なアップデートや特別な情報を記載しています。この書類はサーバディスクにあ
ります。
Mac OS X Server の Web サイト — 製品およびテクノロジー に関するさまざまな情報 を入手でき
ます。
www.apple.com/jp/server/macosx/
AppleCare のサービス&サポート— アップルのサポート部門から寄せられた数多くの記事を利用で
きます。
www.apple.com/jp/support/
アップルのカスタマートレーニング — サーバ管理のスキルアップのための、インストラクターの指
導による、自分のペースに合わせて進められるコースです。
www.apple.com/jp/training/
12
序章
このガイドについて
アップルのディスカッショングループ — 質問、知識、およびアドバイスをほかの管理者と共有でき
る場です。
discussions.info.apple.com/jp
アップルのメーリング・リスト・ディレクトリ — メーリングリストに登録して、メールを使ってほ
かの管理者と意見の交換ができます。
www.lists.apple.com
序章
このガイドについて
13
1
ネットワークをインターネットに接続
する
1
ネットワークをインターネットに接続するには、
「ゲートウェイ設定
アシスタント」を使用します。これを使用して、プライベートネット
ワークとインターネット間のゲートウェイとして動作するサーバの
初期設定を実行できます。
ゲートウェイ設定アシスタントを理解する
「ゲートウェイ設定アシスタント」を使用すると、Mac OS X Server 10.4 の設定をすばやく簡単に行
い、インターネット接続をローカルネットワークで共有できます。いくつかの設定を選択すると、適
切な設定がすべて保存され、サーバの接続の共有が開始されます。
選択した設定に応じて、アシスタントの終了時に以下の操作が実行されます:
• 内部のネットワークインターフェイスごとに、サーバに静的 IP アドレスを割り当てます。
割り当て られるアドレ スは、192.168.x.1 です。x に使用される 数値は、
「システム環 境設定」の
「ネットワーク」パネルにあるネットワークインターフェイスの順序で決まります。たとえば、リ
ストの最初のインターフェイスの場合、x は 0 になり、2 番目のインターフェイスの場合、x は 1
になります。
• DHCP を 有効にして内部ネットワ ークにアドレスを割り当 て、既 存の DHCP サブネッ トを削除し
ます。
• 特定の内部(192.168.x.x)アドレスを DHCP 用に取り分けます。
VPN が有効になっていない場合は、各インターフェイスに 192.168.x.2 ∼ 192.168.x.254 を割り当
てることができます。
• VPN を有効にして(省略可能)、承認された外部クライアントがローカルネットワークに接続でき
るようにします。
VPN L2TP が有効になるため、クライアント接続で使用する共有シークレットを入力する必要があ
ります。
• 特定の内部(192.168.x.x)アドレスを VPN 用に取り分けます。
VPN が選択されている場合は、DHCP 範囲で割り当てられた IP アドレスの半分が VPN 接続用に
予約されます。192.168.x.128 ∼ 192.168.x.254 のアドレスが、VPN 接続に割り当てられます。
15
• 内部ネットワークのセキュリティ保護に役立つ IP ファイアウォールを有効にします。
内部ネットワークインターフェイスごとにアドレスグループが追加され、新たに作成された DHCP
アドレス範囲から任意の宛先アドレスへのトラフィックがすべて許可されます。
• 内部ネットワークで NAT を有効にし、NAT 変換ルールを IP ファイアウォールに追加して、ネット
ワークトラフィ ックを適切なコンピュータ に転送します。また、これにより、望 まない外部の接
続から内部ネットワークを保護します。
• サーバ上で DNS を有効にし、ルックアップのキャッシュを設定して、内部クライアントに対する
DNS 応答を向上させます。
これらのい ずれかの設定を行う前 に、提案された変更を確認 してから確定する機会 があります。変
更を確定すると、既存の設定はアシスタントで行った設定によってすべて上書きされます。
「サーバ管理」を使用して、サービスの設定に変更を加えることができます。各ネットワークサービ
スの詳細は、このガイドの該当するセクションを参照してください。
「ゲートウェイ設定アシスタント」を再度実行すると、手動で行った設定はすべて上書きされます。
ゲートウェイ設定アシスタントを使用する
「ゲートウェイ設定アシスタント」には、次の 2 通りの方法でアクセスできます。
• 「/ アプリケーション / サーバ / ゲートウェイ設定アシスタント」を開きます。
または
• 「サーバ管理」で、「表示」>「ゲートウェイ設定アシスタント」と選択します。
アシスタン トの指示に従って操 作を行い、各ページの最 後で「続ける」をクリック します。最終出
力を注意深く読み、設定が適切であることを確認してから、設定を確定します。
警告:「ゲートウェイ設定 アシスタント」を使用してリモートサーバを設 定できますが、リモート
サーバへの管理アクセスが意図せずに切断される可能性があります。
設定例
以下のセクションでは、
「ゲートウェイ設定アシスタント」を使用した設定例をいくつか紹介します。
すべての設定例で、次の情報を前提として使用します:
• サーバで使用する静的 IP アドレスが、ISP(インターネット・サービス・プロバイダ)により割り
当てられています。
• サーバは XServe G5 で、特に言及されていない限り、ネットワークインターフェイスとして 2 基の
Ethernet ポート、つまり Ethernet 1(en0)と Ethernet 2(en1)が内蔵されています。
• 内部 LAN で使用する IP アドレスは、内部 LAN の標準 IP アドレスである 192.168.x.x です。
16
第1章
ネットワークをインターネットに接続する
有線 LAN をインターネットに接続する
「ゲートウェイ設定アシスタント」を使用して、有線 LAN をインターネットに接続できます。LAN
には、Ethernet ハブおよびスイッチを介して相互に接続されたすべてのコンピュータをいくつでも
含めることができますが、インターネットとの接続ポイントはゲートウェイだけです。
このプロセスが完了すると、LAN 上のすべてのコンピュータで次のことができます:
•
•
•
•
•
IP アドレスとネットワーク設定を DHCP を使用して設定できます。
インターネットにアクセスできます(ゲートウェイのインターネット接続がある場合)。
インターネットから来る承認されていないネットワーク接続を防止できます。
承認された VPN クライアントにインターネット経由でアクセスできます(設定されている場合)
。
ゲートウェイの DNS ルックアップキャッシュを利用して、DNS の名前解決を高速化します。
有線 LAN をインターネットに接続するには:
1
インターネット接続用のコネクタを XServe の内蔵 Ethernet 1(en0)ポートに差し込みます。
2 LAN 接続用のコネクタを XServe の内蔵 Ethernet 2 (en1)ポートに差し込みます。
3
「ゲートウェイ設定アシスタント」を開きます。
「/ アプリケーション / サーバ / 」フォルダ、または「サーバ管理」の「表示」メニューから開くこと
ができます。
設定するサーバのアドレス、管理者名、およびパスワードを入力します。
4
「内蔵 Ethernet 1」 を WAN(インターネット)インターフェイスに指定します。
5
「内蔵 Ethernet 2」 を LAN(共有)インターフェイスに指定します。
LAN インターフェイスは、ローカルネットワークに接続されるインターフェイスです。LAN 上のす
べてのコンピュータは、サーバの WAN インターフェイスを介してサーバのインターネット接続を共
有します。
この時点で利用可能なインターフ ェイスがサーバに複数(Ethernet 2、 Ethernet 3 など)ある場合
は、有効にするインターフェイスを選択します。
6
このゲートウェイを LAN への VPN エントリーポイントにするかどうかを選択します。
「共有シークレット」が必要になります。共有シークレットは、VPN ゲー
VPN を有効にする場合は、
トウ ェイへの 安全な 接続を確 立する ためにす べての ユーザが 指定す る必要の あるパ スフレー ズで
す。これは安全 性の非常に高いパスフ レーズにする必要があ ります。ゲートウェイサー バのユーザ
または管理者のパスワードは使用しないでください。
VPN について詳しくは、99 ページの第 6 章「VPN サービス」を参照してください。
7
変更点を調べて確認します。
第1章
ネットワークをインターネットに接続する
17
オプション:
この基本設定を基にして、さまざまな設定を調整できます。設定の調整には、常に「サーバ管理」を
使用します。
たとえば、
「サーバ管理」を使用して、特定のコンピュータに常に一定の IP アドレスを割り当てるこ
とができます。「 DHCP」セクシ ョンの「設定」タブで、静的アドレスマッピン グを追加する必要が
あります。詳しくは、第 2 章「DHCP サービス」を参照してください。
また、IP ファイアウォールの設定を変更して、インターネットから LAN への特定の接続を許可する
こともできます。ファイアウォール設定を変更して、目的の IP ポートを開き、ポート転送を設定し
て(コマンドラインから UNIX ファイルを編集します)、着信するトラフィックを受け取る LAN 上の
コンピュータを指定する必要があります。
有線 LAN とワイヤレスクライアントをインターネットに接続する
「ゲート ウェイ設定 アシスタン ト」を使用し て、有線 LAN とワイヤレ スクライア ントをイン ター
ネットに接 続できます。LAN には、Ethernet ハブおよびスイッ チを介して相互に接続 されたコン
ピュータをい くつでも含めることが できますが、インターネッ トとの接続ポイントは ゲートウェイ
だけです。
また、ワイヤレ スコンピュータを有 線ネットワーク上の ほかのコンピュータ に接続するには、LAN
に AirMac ベースステーションが必要です。すべてのワイヤレスクライアントを有線 LAN に接続す
るためには、それらのワイヤレ スクライアントが AirMac ベースステー ションのワイヤレスネット
ワークに接続できる必要があります。
このプロセスが完了すると、LAN 上のコンピュータおよび AirMac ベースステーションに接続され
たコンピュータで次のことができます:
•
•
•
•
•
IP アドレスとネットワーク設定を DHCP を使用して設定できます。
インターネットにアクセスできます(ゲートウェイのインターネット接続がある場合)。
インターネットへの有線接続から来る承認されていないネットワーク接続を防止できます。
承認された VPN クライアントにインターネット経由でアクセスできます(設定されている場合)
。
ゲートウェイの DNS ルックアップキャッシュを利用して、DNS の名前解決を高速化します。
有線 LAN とワイヤレスクライアントをインターネットに接続するには:
1
インターネット接続用のコネクタを XServe の内蔵 Ethernet 1(en0)ポートに差し込みます。
2 LAN 接続用のコネクタを XServe の内蔵 Ethernet 2 (en1)ポートに差し込みます。
3 AirMac ベースステーションのポート(ポートが 2 つ存在する場合は WAN ポート)を有線ネットワー
クに接続します。
4
「AirMac 管理ユーティリティ」(または「AirMac 設定アシスタント」)を使用して、Ethernet を使用
して接続し、DHCP を使用して独自のアドレスを取得するようにベースステーションを設定します。
18
5
「ネットワーク」パネルで、「IP アドレスを割り当てる」が選択解除されていることを確認します。
6
「アップデート」をクリックして、ベースステーションの設定を変更します。
第1章
ネットワークをインターネットに接続する
7
「ゲートウェイ設定アシスタント」を開きます。
「/ アプリケーション / サーバ / 」フォルダ、または「サーバ管理」の「表示」メニューから開くこと
ができます。
設定するサーバのアドレス、管理者名、およびパスワードを入力します。
8
「内蔵 Ethernet 1」 を WAN(インターネット)インターフェイスに指定します。
9
「内蔵 Ethernet 2」 を LAN(共有)インターフェイスに指定します。
LAN インターフェイスは、ローカルネットワークに接続されるインターフェイスです。LAN 上のす
べてのコンピュータは、サーバの WAN インターフェイスを介してサーバのインターネット接続を共
有します。
この時点で利用可能なインターフ ェイスがサーバに複数(Ethernet 2、 Ethernet 3 など)ある場合
は、有効にするインターフェイスを選択します。
10
このゲートウェイを LAN への VPN エントリーポイントにするかどうかを選択します。
「共有シークレット」が必要になります。共有シークレットは、VPN ゲー
VPN を有効にする場合は、
トウ ェイへの 安全な 接続を確 立する ためにす べての ユーザが 指定す る必要の あるパ スフレー ズで
す。これは安全 性の非常に高いパスフ レーズにする必要があ ります。ゲートウェイサー バのユーザ
または管理者のパスワードは使用しないでください。
VPN について詳しくは、99 ページの第 6 章「VPN サービス」を参照してください。
11
変更点を調べて確認します。
オプション:
この基本設定を基にして、さまざまな設定を調整できます。設定の調整には、常に「サーバ管理」を
使用します。
たとえば、
「サーバ管理」を使用して、特定のコンピュータに常に一定の IP アドレスを割り当てるこ
とができます。「 DHCP」セクシ ョンの「設定」タブで、静的アドレスマッピン グを追加する必要が
あります。詳しくは、第 2 章「DHCP サービス」を参照してください。
また、IP ファイアウォールの設定を変更して、インターネットから LAN への特定の接続を許可する
こともできます。ファイアウォール設定を変更して、目的の IP ポートを開き、
「 NAT 」パネルでポー
ト転送を設定して、着信するトラフィックを受け取る LAN 上のコンピュータを指定する必要があり
ます。
ワイヤレス LAN をインターネットに接続する
Mac OS X Server の ゲートウェイを使用してワイヤレスクライアントを インターネットに接続する
と、ベースステ ーションに内蔵の機能 を使用する場合に比べ ていくつかの利点があ ります。ゲート
ウェイを使用すると、IP ファイアウォールの詳細な制御、DHCP による静的 IP アドレスの割り当て、
DNS キャッシュ、 および LAN への着信 VPN 接続が可能になります。
こ れら の高 度 な機 能が 必 要な い場 合 は、AirMac ベー スス テ ーシ ョン と イン ター ネ ット の間 に
Mac OS X Server を 配置せずに、ベースステーションの内蔵機能を使用し てワイヤレスクライアン
トをインターネットに接続できます。
第1章
ネットワークをインターネットに接続する
19
ゲートウェイ の機能を利用する場合 は、ワイヤレスクライアン トとゲートウェイ間の ブリッジとし
てベースステーションを使用します。各クライアントはベースステーションに接続し、ベースステー
ションはゲー トウェイ経由でネット ワークトラフィックを 送信します。すべてのワイ ヤレスクライ
アントをゲートウェイに接 続するためには、それらのワイヤレスクライアントが AirMac ベースス
テーションのワイヤレスネットワークに接続できる必要があります。
このプロセスが完了すると、AirMac ベースステーションに接続されたコンピュータで次のことがで
きます:
•
•
•
•
•
IP アドレスとネットワーク設定を DHCP を使用して設定できます。
インターネットにアクセスできます(ゲートウェイのインターネット接続がある場合)。
インターネットへの有線接続から来る承認されていないネットワーク接続を防止できます。
承認された VPN クライアントにインターネット経由でアクセスできます(設定されている場合)
。
ゲートウェイの DNS ルックアップキャッシュを利用して、DNS の名前解決を高速化します。
有線 LAN とワイヤレスクライアントをインターネットに接続するには:
1
インターネット接続用のコネクタを XServe の内蔵 Ethernet 1(en0)ポートに差し込みます。
2 AirMac ベースステーションのポート(ポートが 2 つ存在する場合は WAN ポート)を XServe の内蔵
Ethernet 2( en1)ポートに接続します。
3
「AirMac 管理ユーティリティ」(または「AirMac 設定アシスタント」)を使用して、Ethernet を使用
して接続し、DHCP を使用して独自のアドレスを取得するようにベースステーションを設定します。
4
「ネットワーク」パネルで、「IP アドレスを割り当てる」が選択解除されていることを確認します。
5
「アップデート」をクリックして、ベースステーションの設定を変更します。
6
「ゲートウェイ設定アシスタント」を開きます。
「/ アプリケーション / サーバ / 」フォルダ、または「サーバ管理」の「表示」メニューから開くこと
ができます。
設定するサーバのアドレス、管理者名、およびパスワードを入力します。
7
「内蔵 Ethernet 1」 を WAN(インターネット)インターフェイスに指定します。
8
「内蔵 Ethernet 2」 を LAN(共有)インターフェイスに指定します。
LAN インターフェイスは、ローカルネットワークに接続されるインターフェイスです。LAN 上のす
べてのコンピュータは、サーバの WAN インターフェイスを介してサーバのインターネット接続を共
有します。
この時点で利用可能なインターフ ェイスがサーバに複数(Ethernet 2、 Ethernet 3 など)ある場合
は、有効にするインターフェイスを選択します。
9
このゲートウェイを LAN への VPN エントリーポイントにするかどうかを選択します。
「共有シークレット」が必要になります。共有シークレットは、VPN ゲー
VPN を有効にする場合は、
トウ ェイへの 安全な 接続を確 立する ためにす べての ユーザが 指定す る必要の あるパ スフレー ズで
す。これは安全 性の非常に高いパスフ レーズにする必要があ ります。ゲートウェイサー バのユーザ
または管理者のパスワードは使用しないでください。
VPN について詳しくは、99 ページの第 6 章「VPN サービス」を参照してください。
20
第1章
ネットワークをインターネットに接続する
10
変更点を調べて確認します。
オプション:
この基本設定を基にして、さまざまな設定を調整できます。設定の調整には、常に「サーバ管理」を
使用します。
たとえば、
「サーバ管理」を使用して、特定のコンピュータに常に一定の IP アドレスを割り当てるこ
とができます。「 DHCP」セクシ ョンの「設定」タブで、静的アドレスマッピン グを追加する必要が
あります。詳しくは、第 2 章「DHCP サービス」を参照してください。
また、IP ファイアウォールの設定を変更して、インターネットから LAN への特定の接続を許可する
こともできます。ファイアウォール設定を変更して、目的の IP ポートを開き、
「 NAT 」パネルでポー
ト転送を設定して、着信するトラフィックを受け取る LAN 上のコンピュータを指定する必要があり
ます。
第1章
ネットワークをインターネットに接続する
21
2
DHCP サービス
2
DHCP(Dynamic Host Configuration Protocol)サービスを使用すると、サーバからクライアント
コンピュータに IP アドレスを提供して管理できます。 DHCP サーバを設定するときに、クライアン
ト用に利用可能な IP アドレスのブロックを割り当てます。 DHCP を使用するように設定されたクラ
イアントコンピュータは、起動するたびに、ネットワーク上で DHCP サーバを検索します。DHCP
サーバが見つかると、クライアントコンピュータは IP アドレスを要求します。DHCP サーバは利用
可能な IP アドレスを確認し、
「リース期間」
(クライアントコンピュータが IP アドレスを使用できる
期間)および設定情報と共に IP アドレスをクライアントコンピュータに送信します。
「サーバ管理」の DHCP モジュールを使用して、次のことを行うことができます。
•
•
•
•
DHCP サービスの設定と管理
サブネットの作成と管理
クライアントコンピュータの DNS 、LDAP、および WINS オプションの設定
DHCP アドレスのリース状況の確認
組織のクライアント数が IP アドレス数よりも多い場合は、 DHCP サービスの使用が役に立ちます。
IP アドレスは必要に応じて割り当てられます。不要になると、ほかのクライアントがその IP アドレ
スを使用できます。必要であれば、ネットワークで静的 IP アドレスと動的 IP アドレスを組み合わせ
て使用できます。IP アドレスの静的な割り当てと動 的な割り当てについて詳しくは、次のセクショ
ンをお読みください。
組織は、クライアントに追加設定せずに、クライアントコンピュータの DNS(ドメインネームサー
ビス)および LDAP(Lightweight Directory Access Protocol )オプションを設定できるなど、DHCP
サービスの機能からさまざまな利点を受けています。
DHCP サービスを設定する前に
DHCP サービスを設定する前にこのセクションをお読みください。ここには、サブネットの作成、静
的および動的 IP アドレスの割り当て、ネットワーク上のサーバの検索、および予約済み IP アドレス
の回避について書かれています。
23
サブネットを作成する
同一ネットワ ーク上で複数のコンピ ュータをグループ化し たものをサブネットとい います。これに
より、ネットワークでの管理がしやすくなります。サブネットは、目的に合わせて構成できます。た
とえば、組織内 のグループごとに、また 建物のフロアごとにサ ブネットを作成でき ます。クライア
ントコンピュ ータをサブネットにグ ループ化すると、サブネッ ト内のすべてのコンピ ュータに対し
て一度にオプ ションを設定すること ができます。クライアント コンピュータに個別に オプションを
設定する必 要はありません。それぞれ のサブネットには、ほかの サブネットと接続する 手段が必要
です。サブネット同士をつなぐには、通常、ルーターと呼ばれるハードウェア装置を使用します。
IP アドレスを動的に割り当てる
IP アドレスを動的に割り当てると、IP アドレスは、制限された一定の期間(「リース期間 」といいま
す)が過ぎるか、クライアントコンピュータが IP アドレスを必要としなくなるまでの間、クライア
ントコンピュータに割り当てられます。リース期間を短くすると、ネットワークで利用可能な IP ア
ドレスよりもコンピュータ数が多い場合でも、DHCP によって IP アドレスを効率的に再割り当てで
きます。ほかの コンピュータがそのア ドレスを必要としない 場合、リース期間は自動的 に更新され
ます。
仮想プライベートネ ットワーク(VPN )クライアントに割り当てられた アドレスは、DHCP アドレ
ス同様に提供されますが、DHCP と同じアドレス範囲から使用することはありません。 VPN を使用
する場合は、DHCP で割り当てないアドレスを VPN で使用するために残しておくようにしてくださ
い。VPN について詳しくは、99 ページの第 6 章「VPN サービス」を参照してください。
静的 IP アドレスを使用する
静的 IP アドレスは、コンピュータまたは装置に一度 割り当てられると、その後は変更されません。
Web サーバなど、インターネットに常駐する必要のあるコンピュータには静的 IP アドレスを割り当
てるとよい でしょう。また、プリンタな ど、継続的にネットワー クユーザが使用できる ようにする
必要のある装置にも、静的 IP アドレスを使用することをお勧めします。
静的 IP アドレスを設定するには、アドレスを割り当てるコンピュータまたは装置に IP アドレスを手
動で 入力する か、特定の コンピ ュータ または装 置に要 求ごとに 同じア ドレス を割り当 てるよ うに
DHCP を設定します。 DHCP を使用してアドレスを割り当てると、各クライアントではなく DHCP
サーバでアドレス設定を変更できます。IP アドレスを手動で設定すると、 DHCP で割り当てた場合
に特定のサービスで発 生する可能性のある問題を回避できます。また、 DHCP がアドレスを割り当
てるのを待つ必要もありません。
手動で割り当てる静的 IP アドレスの範囲を、DHCP で提供する範囲に含めないでください。
同じコンピュータに同じアドレスを割り当てるように DHCP を設定できます。これにより、静的ア
ドレスの利点とネットワーク設定を集中管理する利点を得ることができます。詳 しくは、30 ページ
の「DHCP を使用して静的 IP アドレスを割り当てる」を参照してください。
24
第2章
DHCP サービス
DHCP サーバを検索する
DHCP サーバを検索してい るとき、クライアントコンピュータはメッセージ をブロードキャストし
ます。DHCP サーバがクライ アントコンピュータとは異なるサブネット 上にある場合は、サブネッ
ト間を接続するルーターがクライアントのブロードキャストと DHCP サーバの応答を転送できるこ
とを確認する必要があります。ネット ワーク上にある、BootP 通 信をリレー可能なリレーエージェ
ントまたはルーターが、DHCP 用に動作します。BootP 通信をリレーする手段がない場合は、DHCP
サーバをクライアントと同じサブネットに配置する必要があります。
ほかの DHCP サーバとやり取りする
AirMac ベースステーションなど、ネットワークにほかの DHCP サーバがすでに存在していることが
あります。それぞれの DHCPサーバが一意の IP アドレスのプールを使用している場合のみ、
Mac OS X
Server はほかの DHCP と共存できます。ただし、管理された環境で、クライアントの自動構成のた
めに DHCP サーバが LDAP サーバのアドレスを提供するようにしたい場合があります。AirMac ベー
スステーションは LDAP サーバのアドレスを提供できません。したがって、クライアントの自動構
成機 能を使用 したい 場合は、Ethernet ブリ ッジモー ドで AirMac ベースス テーシ ョンを設 定し、
Mac OS X Server が DHCP サービスを提供するようにします。別のサブネットに AirMac ベースス
テーション がある場合は、前述のよう に、ルーターを設定してク ライアントのブロード キャストを
転送し、DHCP サーバが応答する必要があります。AirMac ベースステーションで DHCP サービスを
提供する場合、クライアントの自動構成機能は使用できません。さらに、クライアントワークステー
ションで LDAP サーバのアドレスを手動で設定する必要があります。
ネットワーク上の複数の DHCP サーバを使用する
同一ネットワーク上で、複数の DHCP サーバを使用できます。ただし、お互いを妨害しないように、
適切に設定することが重要です。それぞれのサーバには、提供する IP アドレスの一意のプールが必
要です。
予約済み IP アドレスを割り当てる
個別のホストに割り当てることができない IP アドレスがあります。ループバック用の予約済みアド
レスとブロードキャスト用の予約済みアドレスなどです。ISP は、このようなアドレスをユーザに割
り当てません。 DHCP をこの ようなアドレスを使うように設定しようと すると、アドレスが無効な
ため、有効なアドレスを入力する必要があるという警告が出されます。
DHCP プロセスの詳しい情報を見る
Mac OS X Server では「bootpd 」というデーモンプロセスを使用して、DHCP サービスのアドレス
割り当てを行います。
「 bootpd」およびその詳細な設定オプションについて詳しくは、
「ターミナル」
で次のように入力して、「bootpd 」のマニュアルページにアクセスしてください。
man bootpd
第2章
DHCP サービス
25
DHCP サービスをはじめて設定する
Mac OS X Server を インストールするときに「設定アシスタント」を使用 してサーバにポートを設
定した 場合、いくつかの DHCP 情報はすでに 設定されてい ます。このセクシ ョンの手順に 従って
DHCP サービスの設定を完了してください。各手順の設定について詳しくは、 26 ページの「DHCP
サービスを管理する」を参照してください。
手順 1 : サブネットを作成する
ネットワークでクライアントコンピュータが共有する IP アドレスのプールを作成する手順を次に示
します。サブネットごとに共有するアドレス範囲を 1 つ作成します。これらのアドレスは、クライ
アントが要求を発行したときに DHCP サーバによって割り当てられます。
27 ページの「 DHCP サービスでサブネットを作成する」を参照してください。
手順 2 : DHCP サービスのログを設定する
DHCP の動作とエラーを 記録して、要求を監視したり、サーバ内で問題を識 別するのに役立てるこ
とができます。
DHCP サービスはシステム ログファイルに診断メッセージを記録します。こ のファイルが大きくな
りすぎないように、 DHCP サービス設定の「ログ」パネルでログの設定を 変更し、ほとんどのメッ
セージを記録されないようにすることができます。DHCP サービスのログの設定について詳しくは、
32 ページの「 DHCP サービスのログの詳細レベルを設定する 」を参照してください。
手順 3 : DHCP サービスを開始する
26 ページの「DHCP サービスを開始する/停止する」を参照してください。
DHCP サービスを管理する
このセクションでは、Mac OS X Server で、DHCP サービスを設定して管理する方法について説明
します。サービスの開始、サブネットの作成、およびサブネットの LDAP や DNS のようなオプショ
ンの設定が含まれます。
DHCP サービスを開始する/停止する
次の手順に従って、DHCP を開始または停止します。サブネットを少なくとも 1 つ作成し、有効に
する必要があります。
DHCP サービスを開始または停止するには:
1
2
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
少なくとも 1 つのサブネットとネットワークインターフェイスが設定され、選択されていることを確
認します。
3 「サービスを開始」または「サービスを停止」をクリックします。
サービスが使用可能になっているときは、「サービスを停止」ボタンが表示されています。
26
第2章
DHCP サービス
DHCP サービスでサブネットを作成する
サブネットは、同一ネットワークで複数のクライアントコンピュータをグループ化したものです。サ
ブネットは、場所(建物のフロアなど)または用途(中学 2 年生全員など)で分けて構成されるこ
とがあります。各サブネットには、少なくとも 1 つの IP アドレスの範囲が割り当てられています。
新しいサブネットを作成するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「設定」をクリックします。
3
「サブネット」タブを選択します。
4
5
追加(+)ボタンをクリックします。
「一般」タブを選択します。
6
新しいサブネットに、分かりやすい名前を入力します(省略可能)。
7
サブネットの範囲となる最初の IP アドレスと、最後の IP アドレスを入力します。
アドレスは、連続していて、ほかのサブネットの範囲と重複しないようにする必要があります。
8
入力したネットワークアドレスの範囲に適用するサブネットマスクを入力します。
9
ポップアップメニューから「ネットワークインターフェイス」を選択します。
10
このサブネットのルーターの IP アドレスを入力します。
設定しているサーバがサブネットのルーターである場合は、このサーバの内部 LAN の IP アドレスを
ルーターのアドレスとして入力します。
11
リース期間(時、日、週、または月)を定義します。
12
このサブネットの DNS 、LDAP、または WINS 情報を設定する場合は、ここで入力します。
詳しくは 29 ページの「DHCP サブネット用の DNS サーバを設定する」、 29 ページの「サブネット
の LDAP オプションを設定する」、および 30 ページの「サブネットの WINS オプションを設定する」
を参照してください。
13
「保存」をクリックします。
DHCP サービスでサブネットの設定を変更する
「サーバ管理」を使用して、既存の DHCP のサブネットの設定を変更できます。IP アドレスの範囲、
サブネットマスク、ネットワークインターフェイス、ルーター、またはリース期間を変更できます。
サブネットの設定を変更するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「設定」をクリックします。
3
「サブネット」タブを選択します。
4
サブネットを選択します。
5
編集(/)ボタンをクリックします。
6
目的の変更を加えます。
第2章
DHCP サービス
27
DNS、 LDAP、または WINS 情報を追加することもできます。また、アドレス範囲を再定義したり、
DHCP 要求に応答するネットワークインターフェイスをリダイレクトすることもできます。
7 「保存」をクリックします。
DHCP サービスからサブネットを削除する
サブネットやサブネットの IP アドレス範囲は、クライアントに提供しなくなったら削除できます。
サブネットまたはアドレス範囲を削除するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「設定」をクリックします。
3
サブネットを選択します。
4
取り除く(−)ボタンをクリックします。
5
「保存」をクリックして、削除内容を確認します。
一時的にサブネットの使用を停止する
サブネットの設定内容のすべてを失わずに、サブネットを一時的に終了できます。つまり、サブネッ
トの範囲の IP アドレスは、選択したインターフェイスからクライアントに提供されません。
サブネットを使用しないようにするには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「設定」をクリックします。
3
「サブネット」タブを選択します。
4
使用不可にするサブネットの隣にある「使用可能」を選択解除します。
サブネットの IP アドレスのリース期間を変更する
クライアントコンピュータで、サブネットの IP アドレスを利用できる期間を変更できます。
サブネットのアドレス範囲のリース期間を変更するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「設定」をクリックします。
3
「サブネット」タブを選択します。
4
28
サブネットの範囲を選択して、編集(/)ボタンをクリックします。
5
「一般」タブを選択します。
6
「リース期間」ポップアップメニューから、タイムスケールを選択します(時、日、週、または月)。
7
「リース期間」フィールドに数値を入力します。
8
「保存」をクリックします。
第2章
DHCP サービス
DHCP サブネット用の DNS サーバを設定する
サブネットが使用する DNS サーバとデフォルトのドメイン名を指定できます。DHCP サービスは、
サブネット内のクライアントコンピュータにこの情報を提供します。
サブネットの DNS オプションを設定するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「設定」をクリックします。
3
「サブネット」タブを選択します。
4
5
6
サブネットを選択して、編集(/)ボタンをクリックします。
「DNS」タブを選択します。
サブネットのデフォルトのドメインを入力します。
7 DHCP クライアントで使用するプライマリおよびセカンダリー・ネーム・サーバの IP アドレスを入力
します。
8
「保存」をクリックします。
サブネットの LDAP オプションを設定する
各クライアントの LDAP の情報を手動で設定するのではなく、DHCP を使用して、クライアントに
LDAP サーバの情報を提供できます。リストに表示される LDAP サーバの順序は、オープンディレク
トリの検索方式で自動的に検索される順序になります。
Mac OS X Server を LDAP マスターとして使用している場合、LDAP オプションには、必要な設定
情報があらか じめ入力されています。 LDAP マスターサ ーバが別のマシンである 場合は、使用する
LDAP データベースのドメイン名または IP アドレスを調べる必要があります。また、LDAP 検索ベー
スについても知っておく必要があります。
サブネットの LDAP オプションを設定するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「設定」をクリックします。
3
「サブネット」タブを選択します。
4
5
6
サブネットを選択して、編集(/)ボタンをクリックします。
「LDAP 」タブをクリックします。
このサブネットの LDAP サーバのドメイン名または IP アドレスを入力します。
7 LDAP 検索用の検索ベースを入力します。
8
標準でないポートを使用している場合は、LDAP のポート番号を入力します。
9
必要に応じて、SSL を使った LDAP を選択します。
10 「保存」をクリックします。
第2章
DHCP サービス
29
サブネットの WINS オプションを設定する
Windows 固有の設定を DHCP で提供するネットワーク設定データに追加することで、サブネット内
で Windows を実行するクライアントコンピュータに追加情報を提供できます。これらの Windows
固有の設定を使用すると、Windows クライアントが「ネットワーク関連グループ」をブラウズでき
るようになります。
WINS/NBNS のプライマリおよびセカンダリーサーバのドメイン名または IP アドレス(通常は DHCP
サーバ自身の IP アドレス)と、NBT ノードの種類(通常は「broadcast」)を知っておく必要があり
ます。NBDD サーバと NetBIOS スコープ ID は通常使用しませんが、Windows クライアントの設定
とWindows ネットワークのインフラストラクチャによっては、使用する必要がある場合もあります。
サブネットの WINS オプションを設定するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「設定」をクリックします。
3
「サブネット」タブを選択します。
4
5
6
サブネットを選択して、編集(/)ボタンをクリックします。
「WINS」タブをクリックします。
このサブネットの WINS/NBNS のプライマリおよびセカンダリーサーバのドメイン名または IP アド
レスを入力します。
7
このサブネットの NBDD サーバのドメイン名または IP アドレスを入力します。
8
ポップアップメニューから NBT ノードの種類を選択します。
9 NetBIOS スコープ ID を入力します。
10 「保存」をクリックします。
DHCP を使用して静的 IP アドレスを割り当てる
必要に応じて、同じコンピュータに同じアドレスを割り当てることができます。これにより、DHCP
を使用した簡単な設定を維持すると共に、一部の静的なサーバまたはサービスを利用できます。
同じコンピュータに同じ IP アドレスを割り当てるには、コンピュータの Ethernet アドレス(MAC
アドレスまたはハードウェア・アドレスとも呼ばれます)が必要です。各ネットワークインターフェ
イスには、独自の Ethernet アドレスがあります。
コンピュータ で有線ネットワークと ワイヤレスネットワー クを切り替えて使用する 場合、そのコン
ピュータは 2 つの異なる Ethernet アドレスを使用することに留意してください。 1 つは有線接続用
で、もう 1 つはワイヤレス接続用です。
30
第2章
DHCP サービス
静的 IP アドレスを割り当てるには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「設定」をクリックします。
3
「静的マップ」をクリックします。
4
追加(+)ボタンをクリックします。
5
静的アドレスを取得するコンピュータの Ethernet アドレスを入力します。
6
コンピュータに割り当てる IP アドレスを入力します。
7
コンピュータの名前を入力します。
8
「OK」をクリックします。
9
「保存」をクリックします。
静的アドレスマップを削除する/変更する
必要に応じて、静的マッピングを変更または削除できます。
静的アドレスマップを変更するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「設定」をクリックします。
3
「静的マップ」をクリックします。
4
編集または削除するマッピングを選択します。
5
編集(/)ボタンまたは取り除く(−)ボタンをクリックします。
6
マッピングを編集する場合は、必要な変更を加えて「 OK」をクリックします。
7
「保存」をクリックします。
DHCP サービスを監視する
DHCP サービスは監視する必要があります。DHCP サービスを監視するには、大きく分けて 2 つの
方法があります。1 つ目はクライアントリストを表示する方法で、2 つ目はサービスで生成されるロ
グファイル を監視する方法です。サー ビスログを使用すると、ネ ットワークの問題を解 決するのに
役立ちます。以下のセクシ ョンでは、DHCP サービスの監視におけるこれら の側面について説明し
ます。
DHCP の状況の概要を表示する
状況の概要には、 DHCP サー ビスの簡単な概要が表示されます。サービスが 実行されているかどう
か、クライアン トの数、サービスの開始 時刻などが表示され ます。また、サブネットか ら静的に割
り当てられた IP アドレスの数や、クライアントデータベースの最終更新時刻も表示されます。
概要を表示するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「概要」ボタンをクリックします。
第2章
DHCP サービス
31
DHCP サービスのログの詳細レベルを設定する
DHCP サービスで記録する詳細のレベルを選択できます。
• 「低(エラーのみ)」を選択すると、すぐに対応する必要がある状態(たとえば、DHCP サーバが起
動できないとき)だけを示すように設定できます。このレベルは、
「quiet 」モード(「-q」フラグ)
の bootpd レポートに対応します。
• 「中(エラーと警告)」を選択すると、データに矛盾はあるが、DHCP サーバは動作を続けられると
きに警告するように設定できます。このレベルはデフォルトの bootpd レポートに対応します。
• 「高(すべてのイベント)」を選択すると、DHCP サービスによるすべてのアクティビティを記録し
ます。ルーチン機能も含まれます。このレベルは、「verbose」モード(「-v」フラグ)の bootpd
レポートに対応します。
ログの詳細レベルを設定するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「設定」をクリックします。
3
「ログ」タブを選択します。
4
5
必要なログオプションを選択します。
「保存」をクリックします。
DHCP のログエントリーを表示する
DHCP サービスのログを有効にしている場合は、DHCP エラーのシステムログを確認できます。
表示さ れるログは、「 bootpd」用にフィ ルタリングさ れた system.log フ ァイルです。テ キスト・
フィルタ・ボックスを使用して、ルールをさらにフィルタリングできます。
DHCP のログエントリーを表示するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「ログ」をクリックします。
DHCP クライアントのリストを表示する
「DHCP クライアント」ウインドウには、各クライアントに関する次の情報が表示されます。
• クライアントに与えられた IP アドレス。
• リース期間の残り日数。24 時間未満の場合は、時間および分単位。
• DHCP クライアントの ID。通常は、ハードウェア・アドレスと同じですが、そうでない場合もあり
ます。
• コンピュータ名。
• Ethernet ID。
DHCP クライアントのリストを表示するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
2
「クライアント」をクリックします。
異なった条件でリストを並べ替えるには、任意の列の見出しをクリックします。
32
第2章
DHCP サービス
DHCP を使用する一般的なネットワーク設定
以下のセクションでは、さまざまなネットワークで使用する DHCP の設定例をいくつか紹介します。
プライベ ートネットワーク を設定するときは、 IANA (Internet Assigned Numbers Authority)が
プライベートイントラネット用に確保している次の IP アドレスのブロックから、IP アドレスを選択
します:
• 10.0.0.0 ∼ 10.255.255.255(10/8 プレフィクス)
• 172.16.0.0 ∼ 172.31.255.255( 172.16/12 プレフィクス)
• 192.168.0.0 ∼ 192.168.255.255(192.168/16 プレフィクス)
DHCP を使用して、NAT ゲートウェイの背後に IP アドレスを提供する
DHCP を使用して、NAT ゲートウェイの背後にあるコンピュータに IP アドレスを割り当てることが
できます。厳密には必須ではありませんが(NAT は、DHCP の代わりに静的 IP アドレスで使用でき
ます)、これにより、クライアントコンピュータの設定が簡単になります。
詳しくは、93 ページの「 1 つの IP アドレスを使って LAN をインターネットに接続する」を参照し
てください。
ワークグループ用の設定
独自の DHCP アドレスグループを持つ小規模なワークグループについて考えてみましょう。 IP 接続
されたプリンタ、ファイルサーバ、およびユーザ管理用のオープンディレクトリ・サーバ(サブネッ
ト上にあってもなくてもかまいません)がある場合があります。この状況で DHCP を使用するには、
次のものがすでにある必要があります:
• LDAP 接続およびプリンタ( IP プリント)接続が可能な、設定済みで稼働中のファイアウォール。
詳しくは、第 4 章「IP ファイアウォールサービス」を参照してください。
• ユーザが定義された、設定済みで稼働中のオープンディレクトリ・サーバまたは LDAP サーバ。
詳しくは、
「Mac OS X Server オープンディレクトリの管理 バージョン 10.4 以降用」および「Mac
OS X Server ユーザの管理 バージョン 10.4 以降用」を参照してください。
この例では、DHCP の設定には、静的 IP アドレスマッピングの使用と追加のクライアントネットワー
ク設定が含まれます。次のように設定できます:
• 静的 IP アドレスを指定する必要があるプリンタの場合、割り当て済みの DHCP アドレス範囲にプリ
ンタの真に静的な IP が含まれていないことを確認します。DHCP を使用してアドレスを受け取る
ようにプリンタを設定できる場合は、重複を心配する必要はありません。
詳しくは、24 ページの「 静的 IP アドレスを使用する」を参照してください。
• 常に同じアドレスを割り当てる必要があファイルサーバの場合は、Mac OS X Serverの静的 IP マッ
ピングを使用して、その Ethernet アドレスに常に同じ IP アドレスを割り当てます。
詳しくは、30 ページの「 DHCP を使用して静的 IP アドレスを割り当てる」を参照してください。
第2章
DHCP サービス
33
• DHCP の設定の場合は、DHCP クライアント用の LDAP オプションを設定します。これにより、ク
ライアントに必要なディレクトリ情報が自動的に提供されます。
詳しくは、29 ページの「サブネットの LDAP オプションを設定する 」を参照してください。
「システム環境設定」の「ネットワーク」
• Mac OS X クライアントでのクライアント設定の場合は、
パネルで、IPv4 の設定方法が「DHCP」に設定されていることを確認します。
この設定により、ネットワーク上のコンピュータを LDAP サーバまたはオープンディレクトリ・サー
バ経由で管理することができ、コンピュータのすべてのネットワーク設定を DHCP から取得できま
す。それらのコンピュータは、同じネットワーク上の真に静的な IP アドレスや継続的に割り当てら
れる IP アドレスにアクセスできます。また、すべてのコンピュータクライアントの設定を集中管理
できます。
教室用の設定
教室用の設定はワーク グループ用の設定とよく似ていますが、 DHCP を 使用する別のサービス、つ
まり Netboot を追加します。Netboot では、DHCP を使用したネットワーク設定の集中管理に加え
て、各クライアントコンピュータを中央の Netboot サーバ上のディスクイメージから起動すること
で、起動環境が標準化されます。
設定は 33 ページの「ワークグループ用の設定」の場合と似ていますが、 次の点が異なります:
• 静的アドレスのリソースがある場合もあり、ない場合もあります。
もちろん、これは教 室の構成によって決まります 。クラス用のプリンタやファイ ルサーバがある
場合もあります が、カートを使って教室間を移動 する場合でも、サーバやプリン タを各クラスに
持ち運ぶことはしません。
• NetBoot を有効にして設定し、 Netboot をサポートするようにファイアウォールを設定します。
ネットワーク上のどのクライアントでも、NetBoot サーバから起動するように設定できます。新
しいコンピュータを展開する場合は、そのコンピュータの起動ディスクを NetBoot イメージに設
定できます。追加 の設定は不要であり、ハード・ドラ イブは変更できないように することもでき
るため、コンピュータの用途を簡単に変更できます。
この設定により、ネットワーク上のコンピュータを LDAP サーバまたはオープンディレクトリ・サー
バ経由で管理することができ、コンピュータのすべてのネットワーク設定を DHCP から取得できま
す。すべてのコ ンピュータクライアント のコンピューティング 環境の設定を集中管理 することもで
きます。新しいクライアントの追加や交換を最小限の労力で行うことができます。
34
第2章
DHCP サービス
コーヒーショップ用の設定
「コーヒーショップ用の設定」と言っても、コーヒーショップだけを対象とするものではありません。
これは純粋に動 的なアドレッシング環境向け の設定であり、ユーザ管理を行わ ず、Web アクセス、
DNS アクセス、および必要な場合にその他のサービスをいくつか提供する以外はサービスを提供し
ません。この設 定の特徴は、立ち寄ってイ ンターネットにアクセ スしては去ってゆく多 数のモバイ
ルユーザに あります。この設定は、大学 によく見られるワイヤ レスネットワークや、コ ンサルタン
トの来訪用の有線接続された応接オフィスなど、現実の状況で簡単に利用できます。
警告:認証されていない一時ユーザを受け入れる場合は、LAN 上にある機密情報が別のネットワー
ク上にある追加のファイアウォールの背後で十分保護されていることを確認してください。
この状況で DHCP を使用するには、次のものがすでにある必要があります:
• 外部へ向かう Web アクセスのトラフィックおよび DNS ルックアップのみを許可する、設定済みで
稼働中のファイアウォール。このネットワーク をファイアウォールの外部に配置して、DHCP か
ら割り当てられる IP アドレスのネットワークトラフィックを厳重に制御および管理できます。
詳しくは、第 4 章「IP ファイアウォールサービス」を参照してください。
次のように DHCP サービスを設定できます:
• ネットワーク設定を自動 化します。可能なすべてのネットワーク設定を DHCP 経由で取得するよ
うに DHCP クライアントを設定します。
• クライアントが 保持すべきでないオプションを 設定しないようにします。組織に 関する追加情報
を LDAP 情報を利用して DHCP クライアントに提供しないようにします。Windows クライアン
トに追加のネットワークオプションを提供することはできます。
詳しくは、30 ページの「 サブネットの WINS オプションを設定する」を参照してください。
• リソースの使用 を制限します。ユーザが多くなる と帯域幅の使用量が多くな るため、割り当てる
アドレスの数を少なくすることで、同時に接続可能な DHCP クライアントの数を減らすことがで
きます。
詳しくは、27 ページの「 DHCP サービスでサブネットを作成する」を参照してください。
• アドレスの回転 率を高い状態に保ちます。アドレ スのリース期間をできるだ け短くします。これ
により、ユーザがネ ットワークの利用を終了した ときに、できるだけすばやくア ドレスを再割り
当てできます。
詳しくは、27 ページの「 DHCP サービスでサブネットを作成する」を参照してください。
• トラフィックを監視します。DHCP の接続やクライアント、ファイアウォール・ルールのパケット
ログ記録、またはそ の他の監視ツールを注意深く 監視できます。オープンになっ ているアクセス
ポイントは、注意深く保護していないと問題の原因になる場合があります。
第2章
DHCP サービス
35
その他の情報
RFC(Request for Comments)書類には、プロトコルやサービスの概要と、プロトコルの動作に関
する詳しい情報が記載されてい ます。サーバの管理を始めたばかりの方にとって、 RFC の背景情報
は参考になるでしょう。経験豊富 なサーバ管理者の場合、RFC 書類 によって、プロトコルに関する
詳細な技術情報をすべて確認できます。RFC 書類は、次の Web サイトで番号で検索することができ
ます:
www.ietf.org/rfc.html
DHCP について詳しくは、RFC 2131 を参照してください。
「bootpd」およびその詳細な設定オプションについて詳しくは、「ターミナル」で次のように入力し
て「bootpd」のマニュアルページを参照してください:
man bootpd
36
第2章
DHCP サービス
3
DNS サービス
3
クライアントが Web サーバやファイルサーバなどのネットワークリソースに接続する場合、通常、
IP アドレス(192.168.12.12 など)ではなく、ドメイン名( www.example.com など)を使用して、
リソースを要求します。DNS( Domain Name System)は、IP アドレスをドメイン名にマッピング
する分散データベースです。この機能により、クライアントは数字のアドレスではなく、名前によっ
てリソースを検索できます。
DNS サーバは、ドメイン名と、各ドメイン名に関連付けられている IP アドレスのリストを保持して
います。コンピュータは、名前に対応する IP アドレスを検索する必要がある場合、DNS サーバ(ネー
ムサーバとも呼ばれます)にメッセージを送信 します。ネームサーバでは IP アドレスを探し出し、
コンピュータに送り返します。ネームサーバがローカルに IP アドレスを所有していない場合は、イ
ンターネット上の別のネームサーバにメッセ ージを送信します。この処理は、IP アドレスが見つか
るまで続きます。
DNS サーバの設 定と管理の 作業は複雑で す。そのため、管理 者の多くは、 ISP(インター ネット・
サービス・プロバイダ)が提供する DNS サービスを利用します。ISP を利用する場合は、ISP から提
供されたネームサーバの IP アドレスを使用してネットワークを設定するだけで済みます。
ネットワークの DNS 要求の処理を ISP にまかせていない場合で、かつ次のいずれかに該当する場合
は、DNS サービスを設定する必要があります。
•
•
•
•
ISP またはほかのソースから DNS が提供されていない場合。
ネームスペースを頻繁に変更し、自分でネームスペースを管理する必要がある場合。
ネットワーク上にメールサーバがあり、ドメインを管理する ISP との調整が困難な場合。
ネットワークのコンピュータ名およびアドレスを外部の組織(ご利用の ISP)に提供することに関
して、セキュリティ上の懸念がある場合。
Mac OS X Server は、BIND(Berkeley Internet Name Domain 9.2.2)を使用して、 DNS プロトコ
ルを実装します。BIND は、オープンソースを実現しており、インターネットの大半のネームサーバ
で使われています。
37
DNS サービスを設定する前に
このセクションでは、ネットワークに DNS を設定する前に考慮する必要がある情報について説明し
ます。DNS の管理には数多くの複雑な問題が含まれます。DNS の管理に関する豊富な経験がない場
合、ネットワークに DNS を設定しないでください。
「hostmaster 」というメールエイリアスを作成する必要があります。このエイリアスはメールを受信
し、サイトで DNS サーバを実行している担当者にメールを配信します。これにより、ユーザおよび
その他の DNS 管理者が DNS の問題について、担当者に問い合わせることができます。
DNS と BIND
独自の DNS サーバを設定する前に、DNS について十分に理解する必要があります。DNS に関する
役に立つ情報源として、Paul Albitz、Cricket Liu 共著の「DNS and BIND」第 4 版(O’Reilly and
Associates 社発行、2001 年)があります。
複数のネームサーバを設定する
少なくとも 1 台のプライマリネームサーバとセカンダリー・ネーム・サーバを設定する必要があり
ます。こうしておくと、プライマリネームサーバが予期せず停止したときでも、セカンダリー・ネー
ム・サーバがユーザにサービスを提供し続けることができます。セカンダリー・ネーム・サーバは、
プライマリサ ーバから定期的にすべ てのドメイン情報をコ ピーすることによって、必 要な情報を取
得します。
ネームサー バが別のドメイン(提供す るドメインの外側)のホス トの名前/アドレスペ アを取得す
ると、その情報 はキャッシュされま す。このようにして、後で 使用するために、最近解 決した名前
の IP アドレスが格納されるようになります。DNS 情報は、通常、ネームサーバに設定された時間
キャッシュされます。この時間は TTL(time-to-live)値と呼ばれます。ドメイン名と IP アドレスの
組み合わせがキャッシュに保存されている時間が TTL 値を超えると、ネームサーバのキャッシュか
らエントリーが削除され、サーバは必要に応じてその情報を再度要求します。
DNS サービスをはじめて設定する
外部 DNS ネームサーバを使用していて、その IP アドレスを「設定アシスタント」で入力した場合、
ほかには何もする必要はありません。独自の DNS サーバを設定するときは、このセクションの手順
に従ってください。
手順 1 : ドメイン名を登録する
ドメイン名の登録は、集中管理組織である IANA (Internet Assigned Numbers Authority)によっ
て管理されています。IANA に登録することによって、ドメイン名がインターネット上で一意である
ことが保証されます。(詳しくは、www.iana.org を参照してください。)ドメイン名を登録しない
と、ネットワークではインターネットを介して通信することができません。
38
第3章
DNS サービス
ドメイン名 を登録すると、そのドメ イン内にサブドメイン を作成できます。ただし、サ ブドメイン
名と IP アドレスを追跡する DNS サーバをネットワークに設定する必要があります。
たとえばドメイン名「example.com」を登録すると、
「 host1.example.com」、
「mail.example.com」、
または「www.example.com」のようなサブドメインを作成できます。サブドメイン内のサーバは、
「primary.www.example.com 」または「backup.www.example.com」のよ うに名前をつ けること
ができます。example.com の DNS サーバは、ホスト(コンピュータ)名、静的 IP アドレス、エイ
リアス、メールエクスチェンジャなどのサブドメインの情報を追跡します。ISP でユーザの DNS サー
ビスを処理している場合は、サブドメインの追加など、ネームスペースに変更を加えたら、ISP に連
絡する必要があります。
特定のドメインで使用する IP アドレスの範囲は、設定する前に明確に定義されている必要がありま
す。これらのア ドレスは、特定のドメイ ンで独占的に使用され ます(別のドメインやサ ブドメイン
では使用されません)。アドレスの範囲は、ネットワーク管理者または ISP が調整します。
手順 2 : 学習し、計画する
はじめて DNS を操作する場合は、 DNS の概念、 ツール、および Mac OS X Server と BIND の機能
について学習し、理解してください。58 ページの「その他の情報」を参照してください。
次に、DNS(Domain Name System)サービスを計画します。計画するときは、次の点を検討します:
• ローカル DNS サーバが必要ですか? お使いの ISP で DNS サービスを提供していますか? 代わり
に、マルチキャスト DNS 名を使用できますか?
• 予想される負荷に対して何台のサーバが必要ですか? バックアップ用に何台のサーバが必要です
か? たとえば 2 番目や場合によっては 3 番目のコンピュータを、 バックアップ DNS サービスと
して指定する必要があります。
• 認証されていない使用に対処するために、セキュリティ計画はどうなっていますか?
• データの整合性を検証するために、DNS レコードを定期的に検査またはテストするスケジュール
はどうなっていますか?
• 名前を必要とするサービスまたは装置(イントラネットの Web サイトやネットワークプリンタな
ど)はいくつありますか?
Mac OS X Server で DNS サービスを設定するには、大きく分けて 2 つの方法があります。1 つ目は、
「サーバ管理」を使用して DNS サービスを設定する方法で、こちらを推奨します。詳しくは、41 ペー
ジの「DNS サービスを管理する」で手順を参照してください。
2 つ目は、BIND 設定ファイルを編集する方法です。BIND は、DNS を実装するために Mac OS X
Server で使用する一連のプログラムです。その 1 つにネームデーモン、つまり「named」がありま
す。BIND を設定するには、設定ファイルとゾーンファイルを変更する必要があります。
第3章
DNS サービス
39
設定ファイルは次のファイルです:
/etc/named.conf
ゾーンファイル名は、ゾーン名に基づいています。たとえば、ゾーンファイル「example.com 」は、
次のファイルになります。
/var/named/example.com.zone
named.conf を編集して BIND を設定する場合は、controls 文の inet の設定を変更しないようにし
てください。変更すると、「サーバ管理」が DNS の状況情報を取得できなくなります。
inet の設定は次のようになります:
controls {
inet 127.0.0.1 port 54 allow {any;}
keys { "rndc-key"; };
};
手順 3 : 基本的な DNS 設定を行う
詳しくは、41 ページの「DNS サービスを管理する」を参照してください。
再帰またはゾーン転送を許可するかどうかを決定する必要があります。
手順 4 : DNS ゾーンを作成する
「サーバ管理」を使用して、DNS ゾーンを設定します。詳しくは、42 ページの「 DNS ゾーンを管理
する」を参照してください。プライマリゾーンを追加したら、
「サーバ管理」では、Source of Authority
(SOA、ルート権限局)と同じ名前の NS レコードを自動的に作成します。作成するそれぞれのゾー
ンについて、Mac OS X Server では逆引き参照ゾーンを作成します。通常 のルックアップではドメ
イン名を IP アドレスに変換しますが、逆引き参照ゾーンでは IP アドレスをドメイン名に変換します。
手順 5 : DNS マシンレコードをゾーンに追加する
「サーバ管理」を使用して、レコードをゾーンに追加します。静的 IP アドレスを持ち、名前を必要と
するコンピ ュータまたは装置(プリ ンタ、ファイルサーバな ど)のそれぞれに、アドレ スレコード
を作成します。さまざまな DNS ゾーンレコードが、DNS マシンエントリーから作成されます。詳し
くは、46 ページの「DNS マシンレコードを管理する」を参照してください。
手順 6 : MX (Mail Exchange )レコードを設定する(省略可能)
インターネットを介してメールサービスを提供するときは、サーバに MX レコードを設定する必要
があります。詳しくは、53 ページの「 MX レコードを設定する」を参照してください。
手順 7 : IP ファイアウォールを設定する
ファイアウォールを設定して、DNS サービスが攻撃から保護されていること、およびクライアント
からアクセス可能であることを確認する必要があります。
IP ファイアウォールの設定について詳しくは、第 4 章「IP ファイアウォールサービス」を参照して
ください。
40
第3章
DNS サービス
手順 8 : DNS サービスを開始する
Mac OS X Server には、DNS サービスを開始および停止するための単純なインターフェイスが用意
されています。
詳しくは、41 ページの「DNS サービスを開始する/停止する」 を参照してください。
DNS サービスを管理する
Mac OS X Server には、DNS サービスの開始と停止およびログと状況の表示を行うための単純なイ
ンターフェイスが用意されています。基本的な DNS 設定は、「サーバ管理」で設定できます。より
高度な機能は、コマンドラインから BIND を設定する必要がありますが、ここでは説明しません。
DNS サービスを開始する/停止する
次の手順に従って、DNS サービスを開始または停止します。「サーバ管理」で DNS サービスに変更
を加えたときは、必ず DNS サービスを再起動するようにしてください。
DNS サービスを開始または停止するには:
1
2
「サーバ管理」で、「コンピュータとサービス」リストから「 DNS」を選択します。
少なくとも 1 つはゾーンとその逆引き参照ゾーンが作成されていて、完全に設定されていることを確
認します。
3 「サービスを開始」または「サービスを停止」をクリックします。
サービスの開始(または停止)には少々時間がかかる場合があります。
ゾーン転送を使用可能にする/使用不可にする
ドメインネームシステムでは、ゾーンデータは信頼のおける DNS サーバ間で、「ゾーン転送」を使
用して複製されます。セカンダリー DNS サーバ(「セカンダリー」)は、ゾーン転送を使用して、プ
ライマリ DNS サーバ(「プライマリ」)からデータを取得します。ゾーン転送は、セカンダリー DNS
サーバを使用できるようになっている必要があります。 .
ゾーン転送を使用可能または使用不可にするには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「一般」タブを選択します。
4
必要に応じて、「許可:ゾーン転送」を選択または選択解除します。
第3章
DNS サービス
41
再帰を使用可能/使用不可にする
再帰は、ドメイン名を IP アドレスに完全に解決するプロセスです。ユーザアプリケーションでこの
機能を 実行できる かどうかは、 DNS サー バに依存し ます。ユーザの 要求を問い 合わせるそ の他の
DNS サーバでは、 再帰を実行する必要はありません。
悪意のあるユーザがプライマリゾーンのレコードを変更したり(
「キャッシュの汚染」)、DNS サービ
スのサーバを不正に使用したりすることのないように、再帰を使用不可にできます。ただし、再帰を
停止すると、ユーザが DNS サービスを使用して、ゾーン外の名前をルックアップできなくなります。
再帰を使用不可にするのは、この DNS サーバを名前解決に使用するクライアントがなく、かつ転送
に使用するサーバがない場合だけにしてください。
再帰を使用可能または使用不可にするには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「一般」タブを選択します。
4
必要に応じて、「再帰」を選択または選択解除します。
「再帰」を選択 すると、再帰が使用可能 になります。
「再帰」を選 択解除すると、再帰が 使用不可に
なります。
再帰を使用可能にする場合は、外部の IP アドレスに対しては使用不可にし、LAN の IP アドレスに
対しては使用可能にすることを検討してください。これは、BIND の named.conf ファイルを編集し
て実現します。詳しくは、BIND のマニュアルを参照してください。
DNS ゾーンを管理する
ゾーンとは、ド メインネームシステ ムの基本的な組織単位 です。ゾーンにはレコー ドが含まれ、そ
れらのレコードの取得方法や、DNS 要求に対する応答方法が定義されています。通常、ゾーンの基
本的な種類は 3 つあります(ほかにも何種類かありますが、ここでは説明しません):
プライマリ
プライマリ ゾーンには、ゾーンのレ コードのマスターコピ ーがあります。また、ルック アップ要求
に対して信頼のある応答をします。
セカンダリー
セカンダリー ゾーンは、セカンダリーネ ームサーバに格納され ているプライマリゾー ンのコピーで
す。各セカンダ リーゾーンには、プライマ リゾーン内のレコード のアップデートを受信 するときに
問い合わせ るプライマリサーバの リストが保持されてい ます。セカンダリーは、プライ マリゾーン
のデータの コピーを要求するよう に設定する必要があり ます。セカンダリーゾーン では、ゾーン転
送を使用して、プライマリゾーンのデータのコピーを取得します。セカンダリーネームサーバでは、
プライマリサーバと同様にルックアップ要求を処理できます。1 つのプライマリにリンクされた複数
のセカンダリ ーゾーンを使用すること で、DNS クエリーの 負荷を複数のコンピュー タに分散でき、
プライマリネームサーバに障害が起きても、ルックアップ要求に応答できるようになります。
42
第3章
DNS サービス
セカンダリーゾーンには、リフレッシュ間隔もあります。リフレッシュ間隔では、セカンダリーゾー
ンがプライマリゾーンからの変更をチェックする頻度を決定します。ゾーンのリフレッシュ間隔は、
BIND の設定ファイルを使用して変更できます。詳しくは、BIND のマニュアルを参照してください。
フォワード
フォワードゾーンでは、そのゾーンに対するすべてのルックアップ要求をほかの DNS サーバに転送
しま す。フォワ ードゾ ーン では、ゾー ン転送 を実行 できま せん。フォ ワー ドゾー ンは、ファ イア
ウォールの背後にあるプライベートネットワークに DNS サービスを提供するためによく使用されま
す。この場合、DNS サーバはインターネットと、ファイアウォールの外部にある DNS サーバにアク
セスできる必要があります。最後に、フォワードゾーンは、転送したクエリーに対する応答をキャッ
シュします。これにより、フォワードゾーンを使用するクライアントによるルックアップのパフォー
マンスが向上します。
「サーバ管理」は、フォワードゾーンの作成や変更をサポートしていません。フォワードゾーンを作
成するには、コマンドラインで BIND を手動で設定する必要があります。詳しくは、BIND のマニュ
アルを参照してください。
プライマリゾーンを追加する
プライマリ ゾーンにはゾーンのレ コードのマスターコピ ーがあります。また、ルックア ップ要求に
対して信 頼のある応答をし ます。プライマリゾ ーンを追加したら、
「サ ーバ管理」では、Source of
Authority(SOA、ルート権限局)と同じ名前の NS レコードを自動的に作成します。
プライマリゾーンを追加するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「ゾーン」タブを選びます。
4
「ゾーン」リストの下にある追加(+)ボタンをクリックします。
5
ゾーン名を入力します。
ゾーン名とは、ドメイン名のことです。
6
ドメインの SOA のホスト名を入力します。
このコンピュ ータがドメインの信頼 のあるネームサーバに なる場合は、コンピュータ のホスト名を
入力します。たとえば「ns.example.com.」のようになります。
7
ゾーンサーバの IP アドレスを入力します。
8
ゾーン管理者のメールアドレスを入力します。
9
ゾーンが有効な時間を入力します。
これがゾーンの TTL(Time to Live)になります。これにより、信頼のあるサーバにクエリーを再実
行する前にクエリーの応答情報をリモート DNS システム内にキャッシュしたままにできる期間が決
まります。
10 「保存」をクリックします。
第3章
DNS サービス
43
セカンダリーゾーンを追加する
セカンダリー ゾーンは、セカンダリーネ ームサーバに格納され ているプライマリゾー ンのコピーで
す。各セカンダ リーゾーンには、プライマ リゾーン内のレコード のアップデートを受信 するときに
問い合わせ るプライマリサーバの リストが保持されてい ます。セカンダリーは、プライ マリゾーン
のデータの コピーを要求するよう に設定する必要があり ます。セカンダリーゾーン では、ゾーン転
送を使用して、プライマリゾーンのデータのコピーを取得します。セカンダリーネームサーバでは、
プライマリサーバと同様にルックアップ要求を処理できます。
セカンダリーゾーンを追加するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「セカンダリーゾーン」タブを選択します。
4
「ゾーン」リストの下にある追加(+)ボタンをクリックします。
5
ゾーン名を入力します。
これは、セカンダリーサーバの完全修飾ドメイン名です。
6
追加(+)ボタンをクリックします。
7
このセカンダリーゾーンのプライマリサーバの IP アドレスを入力します。
8
「OK」をクリックします。
9
「保存」をクリックします。
ゾーンを複製する
既存のゾーンのコピーを同一コンピュータに作成できます。これを使って、単一の物理 LAN の複数
のゾーンまたは複数のドメイン名の設定をでスピードアップきます。
ゾーンを複製するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「ゾーン」タブを選びます。
4
「ゾーン」リストの下にある複製ボタンをクリックします。
5
必要に応じて、新しく複製したゾーンをダブルクリックしてゾーン情報を変更します。
6 「保存」をクリックします。
44
第3章
DNS サービス
ゾーンを変更する
このセクシ ョンでは、ゾーンのタイプ や設定の変更について 説明しますが、ゾーン内の レコードの
変更につい ては説明しません。ゾー ンの管理者アドレス、タイ プ、またはドメイン名を 変更しなけ
ればならない場合があります。
ゾーンを変更するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「ゾーン」タブを選びます。
4
「ゾーン」リストの下にある編集(/)ボタンをクリックします。
5
必要に応じてゾーンの名前、タイプ、または管理者のメールアドレスを変更します。
ゾーンタイプについて詳しくは、42 ページの「DNS ゾーンを管理する」を参照してください。
6 「OK」をクリックし、「保存」をクリックします。
ゾーンを削除する
このセクシ ョンでは、既存のゾーン を削除する方法を説明 します。ゾーンと、ゾーンに 関連付けら
れたすべてのレコードを削除します。
ゾーンを削除するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「ゾーン」タブを選びます。
4
削除するゾーンを選択します。
5
「ゾーン」リストの下にある取り除く(−)ボタンをクリックします。
6
「保存」をクリックして、削除内容を確認します。
既存のゾーンファイルを使用する
別のプラットフォームの DNS サーバの BIND ゾーンファイルがすでにある場合があります。すべて
の情報を「サーバ管理」に手入力する代わりに、そのゾーンファイルを直接 Mac OS X Server で使
用できます。
既存のゾーンファイルを使用するには、BIND 設定ファイル(「/etc/named.conf」)に対するルート
アクセス権、作業用のゾーンディレクトリ(「 /var/named/」)、BIND 9 の基本的な知識、および
「ター ミナル」ア プリケ ーショ ンの使 用経験 が必要で す。これら の条件 を満た してい ない場 合は、
「サーバ管理」の DNS ツールを使用することを強くお勧めします。
第3章
DNS サービス
45
ゾーンファイルを読み込むには:
1
ゾーンディレクティブを BIND の設定ファイル「 /etc/named.conf」に追加します。
named.conf を編集するには、ルートアクセス権が必要です。
作業用のゾーンディレ クトリ「/var/named/」内 のゾーンファイル「db.xyz.com 」に記述されてい
るゾーン「xyz.com」の場合、ディレクティブは次のようになります:
zone "xyz.com" IN {
type master;
file "db.xyz.com";
allow-update { none;
};
2
// Forward lookup zone for xyz.com
// It’s a primary zone
// Zone info stored in /var/named/db.xyz.com
};
ゾーンファイルが作業用のゾーンディレクトリ(「/var/named/」)に追加されていることを確認し
ます。
3
「サーバ管理」を使用して、DNS サービスを再起動します。
DNS マシンレコードを管理する
それぞれの ゾーンには、多くのレコー ドが含まれています。クラ イアントコンピュータ でドメイン
名(www.example.com)を IP アドレスに変換するときに、これらのレコードが要求されます。Web
ブラウザ、メー ルクライアント、および その他のネットワーク アプリケーションで は、ゾーンのレ
コードを信 頼して、適切なサーバに問 い合わせます。プライマリ ゾーンのレコードはイ ンターネッ
トを通じて問 い合わされるため、ネット ワークアプリケーショ ンはネットワークサー ビスに接続で
きます。DNS レコードにはタイプがいくつかあります。
「サーバ管理」のユーザインターフェイスで
使用可能なレコードは、次の通りです:
• A(アドレス): ドメイン名に関連付けられた IP アドレスを格納します。
• CNAME(Canonical Name): サーバの「実際の名前」と関連のあるエイリアスを格納します。
たとえば、mail.apple.com は、MailSrv473.apple.com という正規の名前を持つコンピュータの
エイリアスです。
: ゾーン内でメールに使用されるコンピュータのドメイン名を格
• MX(メールエクスチェンジャ)
納します。
•
•
•
•
•
NS(ネームサーバ): 特定のゾーンを認証するネームサーバを格納します。
PTR(ポインタ): 特定の IP アドレスのドメイン名を格納します(逆引き参照)。
TXT(テキスト): テキスト文字列を DNS クエリーの応答として保管します。
SRV(サービス): コンピュータが提供するサービスに関する情報を保管します。
HINFO(ハード ウェア情報): コンピュータのハードウェアお よびソフトウェアに関する情報を
保管します。
その他のタイプのレコードにアクセスする必要がある場合は、BIND の設定ファイルを手動で編集す
る必要があります。詳しくは、BIND のマニュアルを参照してください。
Mac OS X Server で は、レコード自体ではなく、ゾーンに追加されるコン ピュータに焦点を合わせ
ることで、これ らすべてのレコードの 作成が簡単になります。コ ンピュータレコードを ゾーンに追
加すると、Mac OS X Server により適切なゾーンレコードがすべて作成 され、それらが特定のコン
ピュータアドレスに解決されます。
46
第3章
DNS サービス
この モデル では、コン ピュータ の機能 に適用 される レコー ドタイ プではな く、ドメイ ン内で コン
ピュータが実行する内容に焦点を合わせることができます。
マシンレコードを DNS ゾーンに追加する
DNS プライマリゾーンが担当 する各コンピュータにつ いて、レコードを追加する必 要があります。
このゾーンが制御できないコンピュータについて、レコードを追加しないでください。マシンレコー
ドは、その IP アドレスに関連付けられています。これにより、ゾーン内で重複する IP アドレスは指
定できないため、IP アドレスごとにマシンを 1 台だけ割り当てることができます。
DNS マシンレコードを追加するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「ゾーン」タブを選びます。
4
このレコードを追加するゾーンを選択します。
5
ゾーンリストの下にある編集(/)ボタンをクリックします。
6
「コンピュータ」タブを選択します。
7
コンピュータリストの下にある追加(+)ボタンをクリックします。
8
コンピュータの IP アドレスを入力します。
9
コンピュータのホスト名を入力します。
このフィールドに基づいて、コンピュータの A レコードが有効になります。逆引き参照ポインタレ
コードは、このコンピュータ用に自動作成されます。
ホスト名の下に表示される名前が、このコンピュータの完全修飾ドメイン名になります。
10
このコンピュータに別名を追加する場合は、「エイリアス」ボックスのそばにある追加(+)ボタン
をクリックします。
このフィールドに基づいて、コンピュータの CNAME レコードが有効になります。逆引き参照ポイ
ンタレコードは、このコンピュータ用に自動作成されます。
エイリアスは必要な数だけ追加できます。
11
コン ピュータ がゾー ンのメー ルサー バである 場合は、 該当す るボック スにチ ェックマ ークを 付け
ます。
このフィールドに基づいて、コンピュータの MX レコードが有効になります。
このボック スにチェックマークを 付ける場合は、メールサー バの優先番号を設定し ます。番号の小
さいメール サーバからメール が配信されます。詳し くは、53 ページの「 MX レコードを 設定する」
を参照してください。
12
コンピュータのハードウェアとソフトウェアに関する情報を該当するボックスに入力します。
このフィールドに基づいて、コンピュータの HINFO レコードが有効になります。
13 「コメント」ボックスに、コンピュータに関するコメントを入力します。
第3章
DNS サービス
47
このフィールドに基づいて、コンピュータの TXT レコードが有効になります。
コメントボックスには、ほとんどの 7 ビットの ASCII テキスト文字列を保管できます( ASCII 文字で
最大 255 )。たとえば、コンピュータの物理的な場所(2 階のサーバ室 B など)やコンピュータの所
有者(John のコンピュータなど)を含めて、コンピュータについて記録しておきたい情報を入力で
きます。
14
「OK」をクリックし、「保存」をクリックします。
DNS ゾーン内のマシンレコードを変更する
ドメインのネームスペースを頻繁に変更する場合は、ネームスペースの変更に合わせて DNS レコー
ドを更新す る必要があります。ハード ウェアをアップグレー ドしたり、ドメイン名を追 加したりす
ると、DNS レコードの更新も必要になることがあります。
レコードを複製してから編集して、設定に要する時間を短縮することもできます。
レコードを変更するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「ゾーン」タブを選びます。
4
編集するコンピュータレコードがあるゾーンを選択します。
5
ゾーンリストの下にある編集(/)ボタンをクリックします。
6
「コンピュータ」タブを選択します。
7
編集するレコードを選択します。
8
コンピュータリストの下にある編集(/)ボタンをクリックします。
9
必要に応じてレコードを変更します。
10 「OK」をクリックします。
DNS ゾーンからマシンレコードを削除する
コンピュータ とドメイン名や有効な アドレスとの関連付け が解除された場合は常に、 レコードを削
除する必要があります。
レコードを削除するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「ゾーン」タブを選びます。
4
削除対象のレコードを含むゾーンを選択します。
5
ゾーンリストの下にある編集(/)ボタンをクリックします。
6
48
「コンピュータ」タブを選択します。
第3章
DNS サービス
7
削除するレコードを選択します。
8
「レコード」リストの下にある取り除く(−)ボタンをクリックします。
9
「保存」をクリックして、削除内容を確認します。
DNS を監視する
DNS の状況を監視すると、名前解決の問題の解決、DNS サービスを使用する頻度のチェック、また
は認証を受けていない悪意のある DNS サービスの使用のチェックも行うことができます。このセク
ションでは、DNS サービスの一般的な監視作業について説明します。
DNS サービスの状況を表示する
「DNS のステータス」 ウインドウをチェックすると、次のことを確認できます:
•
•
•
•
•
サービスが実行中かどうか
実行中の BIND(DNS の基になるソフトウェア)のバージョン
サービスの開始時間および停止時間
割り当て済みのゾーンの数
ログが有効かどうか
DNS サービスの状況を表示するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「概要」ボタンをクリックして、一般的な DNS サービス情報を表示します。
DNS ログエントリーを表示する
DNS サービスは、システムログ内に、エラーや警告メッセージのエントリーを作成します。ログは、
named.log で確認できます。テキスト・フィルタ・ボックスを使用して、ルールをさらにフィルタ
リングできます。
DNS ログエントリーを表示するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「ログ」をクリックします。
3
フィルタフィールドを使用して、ログエントリーの表示をさらに絞り込みます。
DNS ログの詳細レベルを変更する
DNS サービスログの詳細レベルを変更できます。デバッグのために非常に詳細なログを作成したり、
重要な警告だけを表示するように簡潔なログを作成することができます。
ログの詳細レベルを変更するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「ログ」タブを選択します。
第3章
DNS サービス
49
4
「ログのレベル」ポップアップメニューから詳細レベルを選択します。
選択できるログレベルは次の通りです:
•
•
•
•
•
•
重大(簡易)
エラー
警告
通知
情報
デバッグ(詳細)
DNS ログファイルの場所を変更する
DNS サービスログの場所を変更できます。ログは、デフォルトパス以外のほかの場所におくことが
できます。
ログの詳細レベルを変更するには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「ログ」タブを選択します。
4 DNS
サービスログのファイルパスとして、希望するパスを入力するか、ブラウズボタンを使用して
パスを選択します。
パスを入力しない場合のデフォルトパスは「/ ライブラリ /Logs/named.log」です。
DNS サーバを保護する
DNS サーバは、ほかの正当なインターネットサーバ同様に、悪意のあるコンピュータユーザ(一般
に「ハッカー」と呼ばれます)の標的となります。DNS サーバに想定される攻撃にはさまざまな種
類がありま す。警戒を深めることで、悪意 のあるユーザによる問 題やダウンタイムをな くすことが
できます。DNS サービスに関連するセキュリティハックには、さまざまな種類があります。
•
•
•
•
•
DNS スプーフィング
サーバマイニング
DNS サービスのプロファイリング
DoS (サービス拒否)
サービスのピギーバック
DNS スプーフィング
DNS スプーフィングは、DNS サーバのキャッシュに誤ったデータを追加します。これにより、ハッ
カーは次のようなことが可能になります:
• 実際のドメイン名の問い合わせを別の IP アドレスにリダイレクトする。
たとえばある銀行に対する偽の A レコードで、ハッカーが制御する実際とは異なる IP アドレスを
コンピュータユーザのブラウザに示します。複製された Web サイトにユーザはだまされ、自分の
銀行口座番号およびパスワードをハッカーに知らせてしまいます。
50
第3章
DNS サービス
また、偽のメールレ コードを利用すると、ハッカー はそのドメインに対して送受 信されるメール
を傍受すること ができてしまいます。さらにハッ カーがそのメールをコピーして から正しいメー
ルサーバに転送すると、決して検知されることなく実行できてしまいます。
• 正しいドメイン名解決とインターネットへのアクセスを妨げる。
これは最も害のない DNS なりすまし攻撃です。単に DNS サーバが不調に見えるだけです。
このような 攻撃から守るために一 番効率の良い方法は、警 戒を怠らないことで す。これには、最新
のソフトウェアを保守することや、DNS レコードを定期的に監査することも含まれます。現在のバー
ジョンの BIND に悪用が見つかると、パッチが適用され、Mac OS X Server のセキュリティアップ
デート が使用でき るようにな ります。そのよ うなセキュ リティパッ チをすべて 適用してく ださい。
DNS レコードを定期的に監査することは、 これらの攻撃から守るのに役立ちます。
サーバマイニング
サーバマイニ ングは、ゾーン転送に要求 して完全なプライマリ ゾーンをコピーしよう とすることで
す。この場合、ハッ カーは別のプライマ リゾーンに対するセカ ンダリーゾーンにな りすまし、すべ
てのプライマリゾーンのレコードのコピーを要求します。
プライマリゾーンがコピーされると、ドメインで提供しているサービスの種類や、提供しているサー
バの IP アドレスが分かってしまいます。そこでハッカーはそれらのサービスを基に、特定の攻撃を
仕掛けることができます。サーバマイニングは、別の攻撃の前の調査として行われます。
この攻撃から守るには、ゾーン転送を要求でき る(セカンダリーゾーンサーバの)IP アドレスを指
定し、それ以外はすべて許可しないようにする必要があります。ゾーン転送は TCP のポート 53 で行
われます。ゾーン転送を制限する方法は、セカンダリー DNS サーバ以外のだれからも、ゾーン転送
の要求をブロックすることです。
ゾーン転送の IP アドレスを指定するには:
m ファイアウォール内の IP アドレスだけが TCP ポート 53 にアクセスするようなファイアウォールフィ
ルタを作成します。
第 4 章「IP ファイアウォールサービス」の「詳細な IP ファイアウォール・ルールを作成する」の指
示に従います。次の設定を使用します:
• パケットを許可する。
• ポート 53。
• TCP プロトコル。
• 「ソース IP」は、セカンダリー DNS サーバの IP アドレスである。
• 「宛先 IP」は、プライマリ DNS サーバの IP アドレスである。
第3章
DNS サービス
51
DNS サービスのプロファイリング
悪意のあるユーザが使用する別の一般的な調査技術に、 DNS サービスをプロファイルする方法があ
ります。まず、ハッカーは BIND バージョン要求を行います。サーバは実行している BIND のバー
ジョンを報告します。次にハッカーは、既知の悪用に対する応答と、そのバージョンの BIND の脆弱
性とを比較します。
この攻撃から守るには、本来とは異なる応答を返すように BIND を設定します。
1
BIND のバージョンによる応答を変更するには:
コマンドラインのテキストエディタ(vi 、emacs、pico など)を起動します。
2
編集するために named.conf を開きます。
3
次の内容を、設定ファイルのオプションを定義するブラケット内に追加します。
version
4
"[your text, maybe ‘we're not telling!’]";
設定ファイルを保存します。
DoS(サービス拒否)
とても 一般的で、実行 されやす い攻撃です。ハ ッカーは多 くのサービ ス要求や クエリーを 送信し、
サーバはそ の処理能力とネットワ ーク帯域幅のすべてを 使用して、応答しようとし ます。高負荷を
かけることで、サービスを正当に使用できなくします。
この攻撃は開始前に防ぐことは困難です。DNS サービスやサーバの負荷を継続して監視することで、
管理者は攻撃を早期に発見し、被害の影響を抑えることができます。
この攻撃から守る一番簡単な方法は、攻撃している IP アドレスをファイアウォールでブロックする
ことです。70 ページの「詳細な IP ファイアウォール・ルールを作成する」を参照してください。残
念なことに この攻撃はすでに進行 中であり、ハッカーによる クエリーは応答され、アク ティビティ
はログに記録されています。
サービスのピギーバック
この攻撃は、悪 意のある侵入者ではな く、一般のインターネット ユーザが行ってしまう ことがあり
ます。ユーザの利用する ISP の DNS 応答時間が、遅すぎると感じることがあります。そのようなと
きに、ほかのユーザからこの方法を教わるのです。インターネットユーザは、利用 している ISP の
DNS サーバの代わりに、別の DNS サーバを問い合わせるように、自分のコンピュータを設定しま
す。こうして、計画されたよりも多くのユーザが、その DNS サーバにアクセスすることになります。
この攻撃から守るには、DNS 再帰を制限するか使用不可にします。DNS サービスを自分の LAN ユー
ザに提供する場合、LAN ユーザはドメイン名の解決に再帰が必要ですが、インターネットユーザに
はこのサービスを提供しません。
再帰を完全に防ぐときは、42 ページの「再帰を使用可能/使用不可にする」を参照してください。
52
第3章
DNS サービス
最も一般的なのは、ユーザが使用する範囲の IP アドレスからの要求では再帰を許可し、範囲外のア
ドレスには再帰を拒否するようにすることです。BIND を使用すると、設定ファイル named.conf で、
このように指定できます。named.conf ファイルを編集して、以下の内容を含めます:
options {
...
allow-recursion{
127.0.0.0/8;
[your internal IP range of addresses, like 192.168.1.0/27];
};
};
詳しくは、BIND のマニュアルを参照してください。
DNS サービスを使用する一般的なネットワーク管理作業
以下のセクションでは、DNS サービスを必要とする一般的なネットワーク管理作業をいくつか説明
します。
MX レコードを設定する
ネットワーク でメールサービスを提 供する予定がある場合 は、受信メールがネットワ ークの適切な
メールホストに送信されるように DNS を設定する必要があります。メールサービスを設定するとき
は、「メールエクスチェンジャ」または「MX ホスト」と呼ばれる一連のホストを、優先順位を指定
して定義し ます。優先順位の一番高い ホストが最初にメール を受信します。このホスト を利用でき
ない場合は、次 の優先順位のホストが メールを受信し、そのホス トが利用できなければ さらに次の
優先順位のホストというように続きます。
たとえ ば、メールサ ーバのホス ト名が「reliable」で、「example.com」ドメイン にあると します。
MX レコードがない場合、ユーザのメールアドレスにはメールサーバコンピュータの名前が含まれま
す。したがって、次のようになります:
[email protected]
メールサーバを変更する場合やメールをリダイレクトする場合は、メールを送信してくる可能性があ
るすべての ユーザに、新しいアドレ スを通知する必要があ ります。これに対して、メー ルサーバで
処理するドメインごとに MX レコードを作成すると、メールを正しいコンピュータに送信できます。
第3章
DNS サービス
53
MX レコードを設定する場合は、ドメインでメールを受信できるすべてのコンピュータのリストを含
める必要が あります。これによって、サ ーバにアクセスが集中 している場合や、サーバ が停止して
いる場合は、リストの別のコンピュータにメールが送信されます。リストの各コンピュータには、優
先順位(優先番 号)が割り当てられます 。一番小さな番号が割 り当てられたコンピ ュータに、最初
にメールの 送信が試行されます。その コンピュータを使用で きない場合は、次に小さな 番号を持つ
コンピュータへ試行されます。コンピュータが使用できる場合は、コンピュータがメールを保持し、
メインのメールサーバが使用可能になった時点で、サーバにメールを送信します。そして、そのサー
バがメールを配信します。以下に、リストの例を示します。
example.com
10 reliable.example.com
20 our-backup.example.com
30 last-resort.example.com
MX レコードは、送信メールにも使用されます。メールサーバは、メールを送信するときに、MX レ
コードを参照 して、送信先がローカルま たはインターネット上 の別の場所のどちらで あるかを確認
します。次に、同じ処理が逆の順序で行われます。送信先のメインサーバを利用できない場合、メー
ルサーバは、メールを受信するコンピュータを見つけるまで、その送信先の MX レコードリストに
あるすべてのコンピュータにメールの送信を試行します。
参考:DNS サーバに MX 情報を正しく入力しないと、メールは機能しません。
DNS をメールサービスに設定する
メールサービス用に DNS を設定すると、メールサーバの DNS 内に MX(Mail Exchange)レコード
が作成されます。利用している ISP(インターネット・サービス・プロバイダ)が DNS サービスを
提供している場合は、ISP に問い合わせて、 MX レコードの設定を依頼してください。独自の DNS
サービスを提供している場合は、次の手順に従うだけで設定できます。
冗長性を確保するために、複数のメールサーバを設定する必要がある場合があります。その場合、各
補助サーバの MX レコードを作成する必要があります。
メールサーバの MX レコードを有効にするには:
1
「サーバ管理」の「コンピュータとサービス」リストで「 DNS 」を選択します。
2
「設定」をクリックします。
3
「ゾーン」タブを選びます。
4
このレコードを追加するゾーンを選択します。
5
ゾーンリストの下にある編集(/)ボタンをクリックします。
6
54
「コンピュータ」タブを選択します。
7
コンピュータリストの下にある追加(+)ボタンをクリックします。
8
コンピュータの IP アドレスを入力します。
第3章
DNS サービス
9
コンピュータのホスト名を入力します。
このフィールドに基づいて、コンピュータの CNAME および最初の A レコードが有効になります。
逆引き参照ポインタレコードは、このコンピュータ用に自動作成されます。
ホスト名の下に表示される名前が、このコンピュータの完全修飾ドメイン名になります。
10
このコンピュータの別名を追加する場合は、「エイリアス」ボックスのそばにある追加(+)ボタン
をクリックします。
このフィールドに基づいて、コンピュータの追加の A レコードが有効になります。逆引き参照ポイ
ンタレコードは、このコンピュータ用に自動作成されます。
エイリアスは必要な数だけ追加できます。
11
メールサー バの「このコンピュータを ゾーンのメールサーバ にする」ボックスにチェッ クマークを
付けます。
このフィールドに基づいて、コンピュータの MX レコードが有効になります。
12
メールサーバの優先番号を入力します。
番号の小さいメールサーバからメールが配信されます。
13
コンピュータのハードウェアとソフトウェアに関する情報を該当するボックスに入力します。
このフィールドに基づいて、コンピュータの HINFO レコードが有効になります。
14 「コメント」ボックスに、コンピュータに関するコメントを入力します。
このフィールドに基づいて、コンピュータの TXT レコードが有効になります。
「コメント」ボックスに入力する文字列には、ほとんど制限はありません。たとえば、コンピュータ
の物理的な場所(2 階のサーバ室 B など)やコンピュータの所有者(John のコンピュータなど)を
含めて、コンピュータについて記録しておきたい情報を入力できます。
15 「OK」をクリックします。
16
メールサーバごとに手順 7 ∼ 15 を繰り返して、各メールサーバが個別の優先番号を保持するようにし
ます。
17
「保存」をクリックします。
NAT ゲートウェイの背後にあるネームスペースを設定する
NAT(Network Address Translation)ゲートウェイの背後にいる場合は、NAT 環境内部でのみ使用
できる、IP アドレスの特殊な組があります。ドメイン名を NAT ゲートウェイの外側のアドレスに割
り当てると、ドメイン名は正しいコンピュータに解決されません。NAT について詳しくは、87 ペー
ジの第 5 章「NAT サービス」を参照してください。
第3章
DNS サービス
55
ただし、ゲートウェイの背後でも DNS サービスを実行して、ホスト名を NAT の IP アドレスに割り
当てることができます。この方法では、NAT ゲートウェイの背後にいる場合、 IP アドレスではなく
ドメイン名 を入力して、サーバ、サービス、お よびワークステーショ ンにアクセスできます 。DNS
サーバではフォワードゾーンで DNS 要求を NAT ゲートウェイの外部に送信できるようにして、ルー
トしたエリア の外部の名前を解決で きるようにする必要が あります。クライアントの ネットワーク
設定では、NAT ゲートウェイの背後にある DNS サーバを指定する必要があります。このようなネッ
トワークを設定するプロセスは、プライベートネットワークの設定と同じです。詳し くは、93 ペー
ジの「1 つの IP アドレスを使って LAN をインターネットに接続する」を参照してください。
このようにする場合、NAT ゲートウェイの外部のユーザが入力した名前は、NAT ゲートウェイの背
後のアドレスに解決されません。NAT ルーティングされるエリアの外部の DNS レコードが NAT ゲー
トウェイを指すように設定し、かつ NAT ポート転送を使用して、
NAT ゲートウェイ背後のコンピュー
タにアクセスするようにする必要があります。ポート転送について詳しくは、 90 ページの「ポート
転送を設定する」を参照してください。
Mac OS X のマルチキャスト DNS 機能では、DNS を使用せずに、末尾が「 .local」で終わるローカ
ルサブネットでホスト名を使用できます。マルチキャスト DNS をサポートするあらゆるサービスや
装置では、DNS を設定しなくても、ローカルサブネットでユーザ定義のネームスペースを使用でき
ます。
ネットワーク負荷分散(ラウンドロビン)
BIND では、ラウンドロビンと呼ばれるアドレスのシャッフル方式を使用して、単純な負荷分散を実
行できます。同じ内容がミラーリングされた複数のホストの IP アドレスのプールを設定し、BIND が
問い合わせ に答えるときに、これら のアドレスを順に循環 します。ラウンドロビン には、サーバの
負荷や処理能 力を監視する機能はあ りません。単純に特定のホ スト名に対するアドレ スリストを順
に循環するだけです。
ラウンドロビンを有効にするには、特定のホス ト名に複数の IP アドレスエントリーを追加します。
たとえば、同じ内容がミラーリングされたネットワークの 3 台のサーバに Web サーバのトラフィッ
クを分散するとします。サーバの IP アドレスは 192.168.12.12 、192.168.12.13、および 192.168.12.14 で
す。3 つの IP アドレスを持つ 3 つのマシンレコードを追加します。それぞれのドメイン名は同一に
します。
1 つのホストに対して複数のエントリーを検出した場合、デフォルトでは、DNS サービスはこのリ
ストを循環して順番に送信することによって問い合わせに応答します。最初の要求は、 A、B、C の
順序でアドレスを取得します。次の要求は、B、C、 A の順序でアドレスを取得し、その次の要求は
C、A、B というように続きます。ゾーンの TTL(Time-to-Live)の数値にかなり短い値を設定する
ことで、ローカルキャッシュの効果を抑えることもできます。
プライベートな TCP/IP ネットワークを設定する
ローカル・エリア・ネットワークをインターネッ トに接続する場合は、インターネットで一意の IP
アドレスとその他の情報を使って、サーバとクライアントコンピュータを設定する必要があります。
IP アドレスは ISP(インターネット・ サービス・プロバイダ)から取得します。
56
第3章
DNS サービス
ローカル・エリ ア・ネットワークをイン ターネットに接続しな くても、ネットワークで 情報を転送
するプロトコルとして TCP/IP を使用する場合があります。そのような場合は、「プライベート」な
TCP/IP ネットワークを設定できます。プライベートネットワークを設定するときは、IANA(Internet
Assigned Numbers Authority)がプライベートイントラネット用に確保している次の IP アドレス
のブロックから、IP アドレスを選択します:
• 10.0.0.0 ∼ 10.255.255.255(10/8 プレフィクス)
• 172.16.0.0 ∼ 172.31.255.255( 172.16/12 プレフィクス)
• 192.168.0.0 ∼ 192.168.255.255(192.168/16 プレフィクス)
重要:将来イン ターネットに接続する 可能性がある場合は、プラ イベートネットワーク を設定する
ときに、インターネットレジストリに登録し、レジストリから提供される IP アドレスを使用するよ
うにしてく ださい。これを行わない と、インターネットに接続 するときに、ネットワー クのすべて
のコンピュータを再設定する必要が生じます。
プライベートな TCP/IP ネットワークを設定する場合は、DNS サービスを提供することもできます。
ローカル・エリア・ネットワークに TCP/IP と DNS を設定すると、ユーザがファイルサービス、Web
サービス、メールサービスなどのネットワークのサービスに、簡単にアクセスできます。
1 つの IP アドレスで複数のインターネットサービスをホストする
1 台のサーバに、すべてのインターネットサービス(メールや Web など)を提供させることができ
ます。これらのサービスは、1 つの IP アドレスを持つ、1 台のコンピュータですべて実行できます。
たとえばドメイン名 www.example.com を、 ftp.example.com や mail.example.com と同じ IP ア
ドレスに解決 することができます。サー ビスにアクセスする側 からは複数のサーバが 存在するよう
に見えますが、実際には 1 つの IP アドレスに 1 台のサーバだけが存在します。
このサービスの DNS レコードは簡単に設定できます。マシンの DNS レコードにエイリアスを追加
するだけです。これらのサービスの DNS 名を設定しても、サービスを有効にしたり設定したことに
はなりませ ん。提供する各サービス の名前を覚えやすくす るだけです。これにより、各 サービスの
クライアントソフトウェアの設定が簡単になります。
たとえば、表示するすべてのサービスで次の設定を行います:
• mail.example.com を作成します。これはメールクライアントに入力します。
「コンピュータ」パネルの「メールサーバ」ボックスにチェックマークが付いていることを確認し
ます。
• www.example.com を作成します。これは Web ブラウザに入力します。
• 「Finder」の Apple ファイル共有で使用する afp.example.com を作成します。
• ftp.example.com を作成します。これは ftp クライアントに入力します。
拡張する必 要が生じたら、別のコンピ ュータをネットワーク に追加して、これらのサー ビスを引き
継がせることができます。後は、マシンの DNS レコードからエイリアスを削除して、新しいマシン
のレコード を新たに作成するだけ です。これで、クライアントの 設定を変更せずにその ままにして
おくことができます。
第3章
DNS サービス
57
同一のサーバで複数のドメインを管理する
1 台のサーバで、複数の異 なるドメイン名について、す べてのインターネットサ ービス(メールや
Web など)を提供することができます。たとえば、ドメイン名 www.example.com を、
www.example.org と同じ IP アドレスに解決することが必要な場合があります。ドメインにアクセ
スする側からは複数のサーバが存在するように見えますが、実際には 1 つの IP アドレスに 1 台の
サーバだけが存在します。
このサービスの DNS レコードは簡単に設定できます。メインサーバのマシン DNS レコードのパネ
ルに、ほかのドメイン名のエイリアスを追加するだけです。これらのサービスの DNS 名を設定して
も、これらのド メイン名のサービス を有効にしたり設定し たことにはなりませ ん。これは、メール
サービスや Web サービスの仮想ドメイン管理に関連して使用されます。
その他の情報
DNS および BIND に関する詳しい情報は、次を参照してください:
• 「DNS and BIND」第 4版、Paul Albitz、Cricket Liu 共著(O’Reilly and Associates 社発行、2001 年)
• International Software Consortium の Web サイト:
www.isc.org および www.isc.org/products/BIND/
• DNS Resources Directory:
www.dns.net/dnsrd/
Request For Comments 書類
RFC(Request for Comments)書類には、プロトコルやサービスの概要と、プロトコルの動作に関
する詳しい情報が記載されてい ます。サーバの管理を始めたばかりの方にとって、 RFC の背景情報
は参考になるでしょう。経験豊富 なサーバ管理者の場合、RFC 書類 によって、プロトコルに関する
詳細な技術情報をすべて確認できます。RFC 書類は、 Web サイト www.ietf.org/rfc.html で、番号
で検索できます。
• A 、PTR 、CNAME、 MX について詳しくは、RFC 1035 を参照してください。
• AAAA について詳しくは、 RFC 1886 を参照してください。
58
第3章
DNS サービス
4
4
IP ファイアウォールサービス
ファイアウォールサービス は、Mac OS X Server で実行しているネットワ ークアプリケーションを
保護するた めのソフトウェアです。フ ァイアウォールサービ スを開始することは、アク セスを制限
する壁を作るようなものです。ファイアウォールサービスは、受信した IP パケットを調べ、管理者
が作成した ルールのセットに基づ いてパケットを拒否し たり受け取ったりしま す。管理者は、サー
バで実行している IP サービスへのアクセスを制限したり、すべての受信クライアントまたは一定範
囲のクライアント IP アドレス用にルールをカスタマイズしたりできます。
ファイアウォールプロセスの例を下図に示します。
ポート 80 用の
ルールがある
アドレス
いいえ
10.221.41.33 を
含む、特定された
アドレス範囲で、
はい
IP アドレス 10.221.41.33
サーバがルールを
のコンピュータが、
探し始めます。
インターネット(ポート 80)
経由でサーバに接続
しようとしています。
「すべてのポート」
ルールを
IP アドレス
10.221.41.33 を
見つけます。
含むルールが
ある
はい
ルールの設定
拒否
許可
接続に
接続は
成功します。
拒否されます。
Web や FTP などのサービスは、サーバでは、TCP(Transmission Control Protocol)ポート番号ま
たは UDP(User Datagram Protocol)ポート番号によって識別されます。コンピュータがサービス
に接続しよ うとすると、ファイアウォ ールサービスは、そのサー ビスに該当するポート 番号をルー
ルリストで探します。
59
パケットがネットワークインターフェイスに着信すると、ファイアウォールが有効になっていれば、
そのパケットは番号の最も小さい(優先順位の最も高い)ルールから順に各ルールと比較されます。
ルールがパ ケットに一致すると、ル ールに指定された処 理(許可や拒否など)が実 行されます。そ
の後、処理に応じて、追加のルールがチェックされることもあります。
作成するルールは、TCP パケットに適用されます。UDP パケットに適用することもできます。この
ほかに、詳細なルールを作成して、ICMP(Internet Control Message Protocol)または IGMP(Internet
Group Management Protocol)を制限するルールも設定できます。
重要:最初 にファイアウ ォールサービ スを開始する ときは、Secure Shell(22)など、サー バのリ
モート管理 に必要なポートだけが 開いています。追加のポー トが動的に開かれて、サー バからのク
エリーに対し て特定の応答を行うこ とが可能になります。コン ピュータ上のほかのサ ービスに対す
るリモートアクセスを許可する場合は、追加のポートを開く必要があります。これは、「設定」パネ
ルの「サービス」セクションで行えます。
インターネッ トを介してデータを共 有する場合に、不正なアク セスからデータを保護 するための専
用ルーターまたはファイアウォールがないときは、ファイアウォールサービスを使用してください。
このサービ スは、中小規模の企業、学校、お よび小さいオフィス またはホームオフィス で効果があ
ります。
ファイアウ ォールを備えた大規模 な組織の場合は、ファイア ウォールサービスを使 用すると、サー
バをより細 かく制御できます。たとえ ば、大規模な企業内の個々 のワークグループや学 校組織内の
個々の学校で、独自のサーバへのアクセスを制御できます。
IP ファイアウォールでは、ステートフルなパケット 検査も提供しています。受信パケットが送信さ
れる要求また は処理中のセッション の一部に対する正当な 応答であるかどうかを判 断し、そうでな
い場合はパケットを拒否することができます。
ファイアウォールの基本的な手法
デフォルトでは、 Mac OS X Server は、簡単なモデルを使用して有用で安 全なファイアウォールを
実現します。フ ァイアウォールの制限 が厳しすぎると、背後にあ るネットワークがほと んど孤立し
てしまいま す。ファイアウォールの制 限が緩すぎると、背後にあ る資産を侵入者から安 全に保護で
きません。基本モデルの 3 つの方法に従うことで、柔軟性と実用性を最大にし、意図しない危険を
最小にすることができます。
重要な IP アクティビティを許可する
重要な IP アクティビティには、IP 環境内での IP や機能の使用に必要なネットワーク処理が含まれま
す。これらのア クティビティにはル ープバックなどの操作 が含まれており、優先順 位の高い(番号
の小さい)ルー ルとして表現され、フ ァイアウォール設 定の「詳細」パネルで確認で きます。これ
らは自動的に設定されます。
60
第4章
IP ファイアウォールサービス
サービス固有のアクティビティを許可する
サービス固有のアクティビティとは、Web サービスやメールサービスなどの特定のサービスに固有
のポートに宛 てたネットワークパケ ットのことです。サービス を指定および設定した ポートにトラ
フィックを 許可することで、ファイア ウォール経由のアクセ スをサービスごとに許 可できます。こ
れらは、優先順 位が中位のルールと して表現され、ファイア ウォール設定の「サー ビス」パネルの
チェックボックスで設定できます。これらの変更は、管理者の設定とアドレスグループに基づいて、
管理者自身が行います。
許可済みでないパケットをすべて拒否する
これは、あらゆ る状況に対応できる最 終的な手法です。ポートへ のパケットまたはトラ フィックが
不要なもの である場合、そのパケッ トは破棄され、宛先への着 信は許可されません。こ れは優先順
位の低い(番号 の大きい)ルールとし て表現され、ファイア ウォール設定の「詳細」パ ネルで確認
できます。ファイアウォールの「拒否」ルールの基本的なセットが、デフォルトで作成されます。
ファイアウォールの起動
ファイアウォールは、「サーバ管理」アプリケーションによりサービスとして扱われますが、ほかの
サービスのように実行されるプロセスによっては実装されません。ファイアウォールは、 ipfw およ
び sysctl ツールにより制御されるカーネルの動作セットにすぎません。ファイアウォールを開始お
よび停止するために、「サーバ管理」アプリケーションは sysctl ツールを使ってスイッチを設定しま
す。コン ピュ ータ の起 動時 に、IPFilter とい う名 前の 起動 項目 が「/etc/hostconfig」フ ァイ ルの
「IPFILTER 」フラグをチェックします。このフラグが設定されている場合は、次に示すように、sysctl
ツールを使ってファイアウォールが有効にされます:
sysctl -w net.inet.ip.fw.enable=1
フラグが設定されていない場合は、次のようにしてファイアウォールが無効にされます:
sysctl -w net.inet.ip.fw.enable=0
ファイアウォ ールに読み込まれたル ールは、この設定に関係な くファイアウォールに 保持されるこ
とに注意してください。ファイアウォールが無効になっている場合、ルールは無視されるだけです。
ほとんどの起動項目と同様、起動項目 IPFilter は、前提条件の起動項目が完了してはじめて、事前に
定義された順序で起動します。Mac OS X Server バージョン 10.4 では、起動項目の実行中でもログ
インウインドウが表示される場合があります。このため、ファイアウォールが所定の設定状態になっ
ていなくて もログインすることが 可能です。通常、ファイアウ ォールを設定する起 動項目は、シス
テムの起動後数分以内に終了します。
第4章
IP ファイアウォールサービス
61
ファイアウォール・ルールを理解する
ファイアウ ォールサービスを開始 すると、デフォルトの設定 では、リモート設定のポー トを除くリ
モートコンピュータからの受信パケットに対して、アクセスをすべて拒否します。この設定では、セ
キュリティ のレベルが高くなりま す。加えてステートフルな ルールも存在するため、お 使いのコン
ピュータから外部へ送信されるクエリーへの応答も許可されます。この設定から、新しい IP ルール
を追加するこ とによって、サービスにア クセスする必要のある クライアントにサーバ へのアクセス
を許可できます。
IP ルールの動作については、次のセクションを参照してください。IP ルールの作成方法については、
66 ページの「ファイアウォールサービスを管理する」を参照してください。
ファイアウォール・ルールとは
ファイアウォール・ルールは、 IP パケットの特性と、そ の特性に一致する各パケットの処理方法の
セットです。特性には、送信元や送信先のアドレス、送信元や送信先のポート、プロトコル、ネット
ワークインターフェイスなどが含まれます。アドレスは、単一の IP アドレスとして表現するか、ま
たはアドレ スの範囲を含めるこ とができます。サービス ポートは、単一の値、値の リスト、または
値の範囲として表現できます。IP アドレスとサブネットマスクによって、ルールが適用される IP ア
ドレスの範囲が決まります。また、すべてのアドレスに適用されるように設定することもできます。
IP アドレス
IP アドレスは、値が 0 ∼ 255(8 ビット番号の範囲)の 4 つのセグメントで構成されていて、ドッ
トで区切られています(例:192.168.12.12 )。IP アドレスのセグメントは、一般的なものから特定さ
れたものの順に並んでいます(たとえば、最初のセグメントは社内のすべてのコンピュータを表し、
最後のセグメントは建物のあるフロアの特定のコンピュータを表します)。
サブネットマスク
サブネットマスクは、指定した IP アドレスのどの部分が、指定したネットワークでどのくらい変化
するかを示します。サブネットマスクは CIDR (Classless Inter Domain Routing)表記で指定しま
す。IP アドレスの後にスラッシュ( /)と、 1 ∼ 32 の数字をつけます。この数字を IP プレフィクス
と呼びます。IP プレフィクスは、ネットワークを特定 するために使用される重要なビットの数を指
定します。
たとえば 192.168.2.1 /16 では、最初の 16 ビット(ピリオドで区切られた最初の 2 つの数字)がネッ
トワークを表すのに使用され(ネットワーク上の各マシンは 192.168 で始まる)、残りの 16 ビット
(ピリオドで区切られた残りの 2 つの数字)がホストを特定するのに使用されます(各マシンは、こ
の 2 つの数字による一意の組み合わせを持つ)。
サブネットマスクは、IP アドレスの後にコロン(:)およびネットマスクを指定する方法でも表記で
きます。ネットマスクは、ピリオドで区切られた 0 ∼ 255 の数値 4 つで構成されます。これは、CIDR
表記の重要なビットに対応する 10 進数です。
62
第4章
IP ファイアウォールサービス
CIDR 表記によるサ ブネットマスク付 きのアドレスは、 アドレス表記のサ ブネットマスク に対応し
ます。
CIDR
対応するネットマスク
範囲内のアドレス数
/1
128.0.0.0
4.29 × 109
/2
192.0.0.0
2.14 × 109
/3
224.0.0.0
1.07 × 109
/4
240.0.0.0
5.36 × 108
/5
248.0.0.0
1.34 × 108
/6
252.0.0.0
6.71 × 107
/7
254.0.0.0
3.35 × 107
/8
255.0.0.0
1.67 × 107
/9
255.128.0.0
8.38 × 106
/10
255.192.0.0
4.19 × 106
/11
255.224.0.0
2.09 × 106
/12
255.240.0.0
1.04 × 106
/13
255.248.0.0
5.24 × 105
/14
255.252.0.0
2.62 × 105
/15
255.254.0.0
1.31 × 105
/16
255.255.0.0
65536
/17
255.255.128.0
32768
/18
255.255.192.0
16384
/19
255.255.224.0
8192
/20
255.255.240.0
4096
/21
255.255.248.0
2048
/22
255.255.252.0
1024
/23
255.255.254.0
512
/24
255.255.255.0
256
/25
255.255.255.128
128
/26
255.255.255.192
64
/27
255.255.255.224
32
/28
255.255.255.240
16
/29
255.255.255.248
8
/30
255.255.255.252
4
/31
255.255.255.254
2
/32
255.255.255.255
1
第4章
IP ファイアウォールサービス
63
アドレスの範囲を使用する
「サーバ管理」を使ってアドレスグループを作成するときは、IP アドレスとサブネットマスクを入力
します。指定可能なアドレス表記には、次の 3 つの種類があります:
• 単一のアドレス: 192.168.2.1
• CIDR 表記で表現した範囲: 192.168.2.1/24
• ネットマスク表記で表現した範囲: 192.168.2.1:255.255.255.0
「サーバ 管理」によっ てその結果 のアドレ ス範囲が表 示されま す。範囲を変更 したい場 合は、サブ
ネットマス クを変更します。アドレス 内のセグメントに値の 範囲を指定するとき、その セグメント
はワイルドカ ードと呼ばれます。特定の 目的を達成するために 作成されたアドレス範 囲の例を次の
表に示します。
目的
サンプルの
アドレスフィールドの
入力内容:
を作成します。
10.221.41.33 または
10.221.41.33/32
IP アドレス
1 つの IP アドレスを指定するルール 10.221.41.33
4 番目のセグメントをワイルドカー
10.221.41.33
(1 つのアドレス)
10.221.41.33
10.221.41.33/24
10.221.41.0 ∼
10.221.41.255
10.221.41.33
10.221.41.33/22
10.221.40.0 ∼
10.221.43.255
ドとして残すルールを作成します。
3 番目のセグメントの一部と 4 番目
影響するアドレス範囲
のセグメントのすべてをワイルド
カードにしたルールを作成します。
すべての受信アドレスに適用する
「すべて」を選択します すべての IP アドレス
ルールを作成します。
ルールのメカニズムと優先順位
「設定」>「サービ ス」パネルのルールは、
「 詳細ルール」パネルの ルールと併せて作 用します。通
常、「詳細」パネルのさまざまなルールは、すべてのポートに対するアクセスをブロックします。こ
れらは優先順位の低い(番号の大きい)ルールであり、
「一般」パネルのルールの後に適用されます。
「一般」パネルで作成したルールでは、特定のサービスに対するアクセスを開きます。また、優先順
位は高くな ります。優先順位は、
「詳細 」パネルで作成したル ールよりも上にな ります。
「詳細」パ
ネルで 複数のル ールを作成 する場合、ル ールの優先 順位は、
「詳細」パ ネルのルー ルの順番 である
ルール番号によって決まります。「詳細」パネルのルールは、リスト内でルールをドラッグして並べ
替えることができます。
通常の使用のほとんどでは、「詳細」パネルで指定したサービスへのアクセスを開けば十分です。必
要な場合は、「詳細」パネルを使用してルールを追加したり、作成および並べ替えたりできます。
複数の IP アドレス
サーバでは複数の IP アドレスの使用がサポートされますが、 ファイアウォールサービスでは、1 つ
のルールセットがすべてのサーバ IP アドレスに適用されます。複数のエイリアス IP アドレスを作成
する場合は、作成するルールがこれらの IP アドレスすべてに適用されます。
64
第4章
IP ファイアウォールサービス
ファイアウォールサービスをはじめて設定する
作成するル ールが決まったら、以下の 手順に従ってファイア ウォールサービスを設 定します。これ
らの手順について詳しくは、66 ページの「ファイアウォールサービスを管理する」、およびこの手
順の中で示すトピックを参照してください。
手順 1 : 学習し、計画する
はじめて IP ファイアウォールを操作する場合は、ファイアウォールの概念、ツール、および Mac OS X
Server と BIND の機能について学習し、理解してください。詳しくは、62 ページの「ファイアウォー
ル・ルールを理解する」を参照してください。
次に、アクセスを提供するサービスを検討して 、IP フ ァイアウォールサービスを計画します。一般
に、メールサービス、Web サービス、および FTP サービスの場合は、インターネット上のコンピュー
タからのア クセスが必要です。ファイ ルサービスとプリント サービスの場合は、ローカ ルサブネッ
トに制限することがほとんどです。
ファイアウォ ールサービスを使用し て保護するサービスが 決まったら、サーバへのア クセスを許可
する IP アドレスと拒否する IP アドレスを決める必要があります。次に、適切なルールを作成します。
手順 2 : ファイアウォールサービスを開始する
「サーバ管理」で、「ファイアウォール」を選択し、「サービスを開始」をクリックします。デフォル
トで、サーバをリモートで設定するためのポートを除く、すべての受信ポートがブロックされます。
サーバをローカルで設定している場合は、外部アクセスをすぐにオフにしてください。
重要:ファイアウォールサービスを開始した後でルールを追加または変更すると、新しいルールは、
サーバとの 間にすでに確立してい る接続に影響を与えま す。たとえば、ファイアウォー ルサービス
を開始した後で FTP サーバへのアクセスをすべて拒否した場合、すでに FTP サーバに接続していた
コンピュータの接続は解除されます。
手順 3 : ルールを適用する IP アドレスグループを作成する
デフォルトでは、すべての受信 IP アドレス用に作成された IP アドレスグループがあります。このグ
ループに適用したルールは、すべての受信ネットワークトラフィックに効果があります。
詳しくは、67 ページの「アドレスグループを作成する」を参照してください。
手順 4 : 各アドレスグループのサービスルールを有効にする
「サービス」パネルで、アドレスグループに基づくルールを送信先の IP 番号として有効にできます。
サービスル ールの有効化につ いては、68 ペー ジの「標準サービスに ファイアウォール を開放する」
を参照してください。
手順 5 : 詳細なルールを作成する(省略可能)
IP ルールのしくみについて詳しくは、62 ページの「ファイアウォール・ルールを理解する」を参照
してください。その他のすべてのサービスを詳しく設定し、ネットワークセキュリティを強化し、さ
らにファイアウォールを介したネットワークトラフィックを調整します。
第4章
IP ファイアウォールサービス
65
デフォルトでは、送信クエリーへの応答の場合を除いて、すべての UDP がブロックされます。UDP
ポートへのル ールの適用は慎重に行っ てください。特定の UDP 応答を拒否する と、通常のネット
ワーク運用が妨げられることがあります。
「サーバ管理」のルール設定ウインドウで、
「許可したパケッ
UDP ポートにルールを適用する場合は、
トをすべて記 録する」は選択しないでくださ い。UDP は コネクションレス型のプロ トコルのため、
このオプションを選択すると、UDP ポートに対するすべてのパケットがログに記録されます。
新しいルールの作成について詳しくは、70 ページの「詳細な IP ファイアウォール・ルールを作成す
る」を参照してください。
手順 6 : ファイアウォールサービスの変更を保存する
ルールを設 定し、許可するサービスを 決定したら、変更内容を保 存して新しい設定が反 映されるよ
うにします。
重要:ファイアウォールサービスを開始した後でルールを追加または変更すると、新しいルールは、
サーバとの 間にすでに確立してい る接続に影響を与えま す。たとえば、ファイアウォー ルサービス
を開始した後で FTP サーバへのアクセスをすべて拒否した場合、すでに FTP サーバに接続していた
コンピュータの接続は解除されます。
ファイアウォールサービスを管理する
このセクシ ョンでは、ファイアウォ ールのアドレスグルー プおよびルールを開 始、停止、および設
定する手順を 1 つ 1 つ説明します。
Tiger Server 10.4 のサーバ管理を使用して Panther Server 10.3 のファイア
ウォールを管理する
Panther Server 10.3 では、標準ポートルールへの追加や、ドラッグ&ドロップを使ったルールの配
置はサポートしていません。
Tiger Server 10.4 の「サーバ管理 」を使って Panther10.3 サーバのファイアウォールを管理してい
る 場 合 は、標 準 ポー ト ル ー ル を 編 集 し た り、ル ール を 再 配 置 し た り す る こ とは で き ま せ ん。
「サーバ管理」のこれらの機能にはアクセスできません。
Panther 10.3 サーバに接続しているときは、
ファイアウォールサービスを開始する/停止する
デフォルト では、ファイアウォールサ ービスは、サーバから送信 された要求への応答の 場合を除い
て、すべての受信 TCP 接続をブロックし、すべての UDP パケットを拒否します。ファイアウォール
サービスを有効にする前に、任意の IP アドレスからのアクセスを許可するルールを設定してくださ
い。フィルタを設定しないと、サーバへのアクセスがすべて拒否されます。
重要:ファイア ウォールサービスを開 始した後でルールを追 加または変更すると、新し いルールは
サーバとの 間ですでに確立してい る接続に影響を与えま す。たとえば、ファイアウォー ルサービス
を開始した後で FTP サーバへのアクセスをすべて拒否した場合、すでに FTP サーバに接続していた
コンピュータの接続は解除されます。
66
第4章
IP ファイアウォールサービス
ファイアウォールサービスを開始または停止するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「サービスを開始」をクリックします。
サービスが開始されると、「サービスを停止」ボタンが利用できるようになります。
アドレスグループを作成する
ファイアウォールのフィルタ用に、 IP アドレスのグ ループを定義できます。グループはルールを整
理してルールの適用対象とするために使用します。「すべて」のアドレスグループは、すべてのアド
レス用です。その他の 2 つの IP アドレスグループはデフォルトで存在するグループで、プライベー
トアドレスの「 10-net」の範囲 全体、およびプライベートアドレスの「 192.168-net 」の範囲全体を
対象とします。
アドレスは、個別のアドレス(192.168.2.2)、IP アドレスと CIDR 表記(192.168.2.0/24)、または IP
アドレスとネットマスク表記(192.168.2.0:255.255.255.0)としてリストできます。
アドレスグループを作成するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「一般」タブを選択します。
4
「アドレスグループ」パネルにある追加(+)ボタンをクリックします。
5
グループ名を入力します。
6
ルールを適用するアドレスとサブネットマスクを入力します。
追加(+)ボタンと取り除く(−)ボタンを使用します。
すべての IP アドレスを指定するには、「any 」という語を使用します。
7
「OK」をクリックします。
8
「保存」をクリックします。
アドレスグループを編集する/削除する
アドレスグループを編集して、適用される IP アドレスの範囲を変更できます。デフォルトのアドレ
スグループは すべてのアドレス用で す。ファイアウォールのル ールリストからアドレ スグループを
削除できます。そのアドレスに関連付けられているルールも削除されます。
アド レス は個 別の アド レス(192.168.2.2)とし てリ スト する こと も、CIDR 形 式の ネッ トマ スク
(192.168.2.0/24)としてリストすることもできます。
アドレスグループを編集または削除するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「一般」タブを選択します。
4
「アドレスグループ」パネルからグループ名を選択します。
第4章
IP ファイアウォールサービス
67
5
編集する場合は、「アドレスグループ」パネルの右にある編集( /)ボタンをクリックします。
削除する場合は、「アドレスグループ」パネルの右にある取り除く(−)ボタンをクリックします。
6
7
必要に応じてグループ名やアドレスを編集して、「OK」をクリックします。
「保存」をクリックします。
アドレスグループを複製する
ファイアウ ォールのルールリスト からアドレスグループ を複製できます。これによ り、類似したア
ドレスグループをすばやく設定できます。
アドレスグループを複製するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「一般」タブを選択します。
4
「アドレスグループ」パネルからグループ名を選択します。
5
「アドレスグループ」パネルの右にある「複製」ボタンをクリックします。
標準サービスにファイアウォールを開放する
デフォルト では、ファイアウォールサ ービスは、サーバのリモー ト管理に必要でないポ ート上の受
信 TCP 接続をブロックし、すべての UDP 接続を許可します。また、送信される要求への特定の応答
を許可するス テートフルなルールも デフォルトで存在しま す。ファイアウォールサー ビスを開始す
る前に、任意の IP アドレスからのアクセスを許可するルールを設定してください。ルールを設定し
ないと、サーバへのアクセスがすべて拒否されます。
標準サービ スは、高度で詳細な設定を しなくても、簡単にファイ アウォールを通過させ ることがで
きます。標準サービスには次のものがあります(これは一部です):
•
•
•
•
•
•
•
•
•
•
•
SSH アクセス
Web サービス
Apple ファイルサービス
Windows ファイルサービス
FTP サービス
プリンタ共有
DNS/ マルチキャスト DNS
ICMP Echo Reply (着信 ping)
IGMP(Internet Gateway Multicast Protocol)
PPTP VPN
L2TP VPN
• QTSS メディアストリーミング
• iTunes ミュージック共有
68
第4章
IP ファイアウォールサービス
重要:ファイアウォールサービスを開始した後でルールを追加または変更すると、新しいルールは、
サーバとの 間ですでに確立してい る接続に影響を与えま す。たとえば、ファイアウォー ルサービス
を開始した後で FTP サーバへのアクセスをすべて拒否した場合、すでに FTP サーバに接続していた
コンピュータの接続は解除されます。
標準サービスにファイアウォールを開放するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「サービス」タブを選択します。
4
「サービスを編集」ポップアップメニューからアドレスグループを選択します。
5
アドレスグル ープのトラフィックを すべて許可するか、指定し たポイントでのトラフ ィックを許可
するかを選択します。
6
アドレスグループに対して許可するサービスごとに、「許可」をクリックします。
必要なサービスが表示されない場合は、サービスリストにポートと説明を追加できます。
カスタムルールを作成する場合は、70 ページの「詳細な IP ファイアウォール・ルールを作成する」
を参照してください。
7
「保存」をクリックします。
サービスリストに追加する
サービスリストにカスタムポートを追加できます。これにより、詳細な IP ルールを作成しなくても、
アドレスグループに対して特定のポートを開くことができます。
サービスリストに追加するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「サービス」タブを選択します。
4
サービスリストの下にある追加(+)ボタンをクリックします。
5
サービスのルール名を入力します。
6
単一のポート(22 など)またはポート範囲( 650 ∼ 750 など)を入力します。
7
プロトコルを選択します。
TCP または UDP 以外のプロトコルを使用する場合は、「詳細」パネルを使ってカスタムルールを作
成する必要があります。
8
「OK」をクリックします。
9
「保存」をクリックします。
第4章
IP ファイアウォールサービス
69
サービスリストの項目を編集する/削除する
サービスリ ストのポートを削除し たり編集したりできま す。これにより、サービスの選 択をカスタ
マイズできるため、設定が簡単になります。
サービスリストを変更するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「サービス」タブを選択します。
4
変更するサービスを選択します。
5
編集する場合は、サービスリストの下にある編集(/)ボタンをクリックします。
削除する場合は、サービスリストの下にある取り除く(−)ボタンをクリックします。
6
必要に応じて名前、ポート、またはプロトコルを編集して、「 OK」をクリックします。
7 「保存」をクリックします。
詳細な IP ファイアウォール・ルールを作成する
「詳細設定」パネルを使用すると、IP ファイアウォールに対して非常に詳細なルールを設定できます。
IP ファイアウォールのルールには、サブネットマスクが指定された、送信元と送信先の IP アドレス
が含まれま す。これには、受信したネット ワークトラフィックに 対して実行する処理も 指定されて
います。すべての IP アドレス、特定の IP アドレス、または IP アドレスの範囲にルールを適用できます。
アドレスは個別のアドレス(192.168.2.2)としてリストすることも、IP アドレスと CIDR ネットマス
ク(192.168.2.0/24)で定義した範囲としてリストすることもできます。
詳細な IP ファイアウォール・ ルールを作成するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「詳細」タブを選択します。
4
追加(+)ボタンをクリックします。
代替の方法 として、作成するルールに 似たルールを選択して 複製ボタンをクリック し、編集ボタン
をクリックすることもできます。
5 「操作」 ポップアップ メニューか ら、このルー ルでアクセ スを許可す るのか拒否 するのかを選 択し
ます。
「その他」を選択した場合は、目的の操作を入力します(例:ログ)。
6
「プロトコル」ポップアップメニューから選択します。
「その他」を選択した場合は、目的のプロトコルを入力します(例: icmp、 esp、 ipencap)。
7
ポップアップメニューからサービスを選択します。
標準でないサービスのポートを選択する場合は、「その他」を選択します。
8
70
必要に応じて、ルールに一致するパケットのログを作成するように選択します。
第4章
IP ファイアウォールサービス
9
ポップアップ メニューから、フィルタリ ングしたトラフィック の送信元のアドレスグ ループを選択
します。
既存のアドレスグループを使用したくない場合は、フィルタリングする送信元 IP アドレスの範囲を
(CIDR 表記で)入力します。
任意のアドレスに適用する場合は、ポップアップメニューから「すべて」を選択します。
10
標準以外のサービスのポートを選択した場合は、ソースのポート番号を入力します。
11
ポップアップ メニューから、フィルタリ ングしたトラフィック の送信先のアドレスグ ループを選択
します。
既存のアドレスグループを使用したくない場合は、送信先 IP アドレスの範囲を(CIDR 表記で)入力
します。
任意のアドレスに適用する場合は、ポップアップメニューから「すべて」を選択します。
12
標準以外のサービスのポートを選択した場合は、送信先のポート番号を入力します。
13
このルールを適用するネットワークインターフェイスを選択します。
「受信」は、指定した WAN インターフェイスを示します。
「送信」は、指定した LAN インターフェイスを示します。
「その他」を選択した場合は、インターフェイス名(en0、 en1、fw1 など)を入力します。
14 「OK」をクリックします。
15
「保存」をクリックして、ルールをすぐに適用します。
詳細な IP ファイアウォール・ルールを編集する/削除する
詳細な IP ファイアウォール・ルールを削除または編集できます。ルールを無効にして再度使用した
い場合は、ルールを削除せずに、選択解除することができます。
ファイアウォ ールサービスを開始し た後でルールを編集す ると、サーバとの間ですで に確立してい
る接続に影響を与えます。たとえば、Web サーバに接続中のコンピュータがある場合、Web サーバ
へのアクセス をすべて拒否するよう にルールを変更すると、接 続中のコンピュータの 接続は解除さ
れます。
詳細な IP ファイアウォール・ ルールを変更するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「詳細」タブを選択します。
4
変更するルールを選択します。
5
編集する場合は、サービスリストの下にある編集(/)ボタンをクリックします。
削除する場 合は、サービスリストの 下にある取り除く(−)ボ タンをクリックしま す。ルールを削
除するだけの場合は、これで手順は終了です。
6
7
必要に応じてルールを編集して、「OK」をクリックします。
「保存」をクリックします。
第4章
IP ファイアウォールサービス
71
詳細な IP ファイアウォール・ルールの順序を変更する
詳細な IP ファイアウォール・ルールの順序は、「詳細ルール」タブでの順序で決まります。
ルールの順序を変更するには:
m ルールを目的の順序にドラッグします。
ステルスモードを有効にする
ファイアウォ ールがブロックした接 続に対して接続障害通 知を送信しないようにす ることで、ファ
イアウォー ルの存在を隠すことが できます。これにより、サー バの閉じたポートが 効果的に「隠さ
れ」ます。たとえば、 ネットワークの侵入 者がサーバへの接続 を試みる場合、ポートが ブロックさ
れていても、侵入者はサーバの存在を知り、ほかの侵入方法を見つけるかもしれません。「ステルス
モード」が有効 になっていれば、侵入者 は拒否されるのではな く、接続が試行されたこ とを示すも
のを何も受け取りません。
ステルスモードを有効にするには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「詳細」タブを選択します。
4
5
必要に応じて、「TCP に対して有効にする」または「 UDP に対して有効にする」を選択します。
「保存」をクリックします。
到達不能なサーバをリセットする
ファイアウォ ールの設定エラーが原 因で、サーバが到達不能に なってリモート管理を 実行できない
ことがあります。このような場合は、「サーバ管理」でサーバを管理できるように、ファイアウォー
ルをデフォルトの状態にリセットする必要があります。
この回復手 順は、物理的にサーバにア クセスできる管理者が 実行する必要がありま す。この手順を
実行するには、コマンドラインインターフェイスの使用に慣れている必要があります。
ファイアウォールをデフォルトにリセットするには:
1
サーバを外部のインターネットから切断します。
2
コマンドキーを押しながら起動して、サーバをシングルユーザモードで再起動します。
3
アドレスグループのファイルを削除するか、名前を変更します。
これは、「/etc/ipfilter/ip_address_groups.conf 」にあります。
4
設定ファイル ipfw を削除するか、名前を変更します。
これは、「/etc/ipfilter/ipfw.conf」にあります。
5
次のように入力して、ファイアウォール・ルールを強制的にフラッシュします:
ipfw -f flush
6
72
「/etc/hostconfig」を編集して、 IPFILTER=-YES- を設定します。
第4章
IP ファイアウォールサービス
7
次のように入力して、ログインウインドウまでの Mac OS X Server の起動を完了します:
exit
コンピュー タがデフォルトのファ イアウォール・ルールで起 動し、ファイアウォールが 有効になっ
て、「サーバ管理」を使用してファイアウォールの設定を調整できます。
8
サーバのロー カル管理者アカウント でログインし、ファイアウ ォールがデフォルトの 設定に復元さ
れたことを確認します。
9
ホストをインターネットに再接続します。
ファイアウォールサービスを監視する
ファイアウ ォールは、悪意のある コンピュータユーザ (一般に「ハッカー」と呼ばれ ます)に対す
る防御の、ネットワークの第一線です。コンピュータとユーザのセキュリティを維持するには、ファ
イアウォー ルのアクティビティを 監視し、潜在的な脅威を阻 止する必要があります。こ のセクショ
ンでは、ファイアウォールのログの作成方法と監視方法について説明します。
「使用可能なルール」パネルを理解する
「使用可能なルール」パネルには、各ルールに関連付けられたパケットとバイトのカウントが表示さ
れます。「サーバ管理」を使用してファイアウォールの設定に変更を加えると、古いファイアウォー
ル・ルールがフラッシュされ、新しいルールが生成されてファイルに保存されます。さらに、ipfw(1)
コマンドが 呼び出され、ルールをサ ービスに読み込みます。フ ラッシュ操作の一部 として、各ルー
ルに関連付けられたパケットとバイトのカウントが消去されます。
「使用可能なルール」パネルには、その時点でのファイアウォールの状態のスナップショットが反映
されます。この パネルには、静的なルール と共に動的なルールも 表示される場合がある ことに注意
してください。動的なルールは、ネットワークの動作に応じて秒単位で切り替わります。これらは、
ステートフルなルール(「keep-state 」句を含むルール)の結果です。「使用可能なルール」パネル
には、動的なルールの作成の原因となったステートフルなルールのルール番号が表示されます。
ファイアウォールの状況の概要を表示する
状況の概要には、ファイアウォールサービスの簡単な概要が表示されます。有効なルールの数、サー
ビスが実行さ れているかどうか、および ファイアウォールによ り処理されたパケット 数が表示され
ます。
概要を表示するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「概要」ボタンをクリックします。
第4章
IP ファイアウォールサービス
73
有効なファイアウォール・ルールを表示する
「使用可能なルール」パネルには、ファイアウォール・ルールの簡単な概要が表示されます。次のも
のが表示されます:
•
•
•
•
ipfw コードフォーマット内のルール
各ルールの優先順位
各ルールのパケットカウント
各ルールの処理された総バイト数
概要を表示するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「使用可能なルール」ボタンをクリックします。
ファイアウォールサービスのログを設定する
設定したルー ルによって拒否された パケットのみまたは許 可されたパケットのみ、あ るいはその両
方のログを記 録できます。両方をログに 記録すると大量のログ エントリーが生成され ることがあり
ますが、次の方法で量を制限できます:
• すべてのパケッ トをログに記録するのではなく、 許可または拒否されたパケット だけをログに記
録します。
• 必要な場合にだけ、パケットをログに記録します。
• 「ログ」設定パネルを使って、パケットの総数を制限します。
• 「詳細」設定パネルで「カウント」ルールを追加して、計測したい特性に一致するパケットの数を
集計します。
許可された パケット、拒否されたパケ ット、および指定した数の パケットについてログ を作成する
ように選択できます。
ログを設定するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「一般」タブを選択します。
4
5
必要なログオプションを選択します。
「保存」をクリックして、ログ作成を開始します。
ファイアウォールのログを確認する
「サーバ管理」で作 成する各ルールは、基礎とな るファイアウォールソフ トウェアでは 1 つ以上の
ルールに相当します。ログエントリーには、適用されるルール、クライアントとサーバの IP アドレ
ス、およびその他の情報が表示されます。
ログに表示されるのは、「/var/log/ipfw.log 」の内容です。テキスト・フィルタ・ボックスを使用し
て、ルールをさらにフィルタリングできます。
74
第4章
IP ファイアウォールサービス
ファイアウォールサービスのログを表示するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「ログ」タブを選択します。
ファイアウォールのログエントリーの例とそれらの解釈を次に示します。
ログの例 1
Dec 12 13:08:16 ballch5 mach_kernel: ipfw: 65000 Unreach TCP
10.221.41.33:2190 192.168.12.12:80 in via en0
このエントリーは、ファイアウォールサービスがルール 65000 を使用して、 10.221.41.33:2190 のリ
モートクライアントが Ethernet ポート 0 を経由して Web ポート 80 のサーバ 192.168.12.12 にアク
セスすることを拒否した(未到達)ことを示しています。
ログの例 2
Dec 12 13:20:15 mayalu6 mach_kernel: ipfw: 100 Accept TCP
10.221.41.33:721 192.168.12.12:515 in via en0
このエントリーは、ファイアウォールサービスがルール 100 を使用して、10.221.41.33:721 のリモー
トクライアントが Ethernet ポート 0 を経由して LPR プリントポート 515 のサーバ 192.168.12.12 にア
クセスすることを許可したことを示しています。
ログの例 3
Dec 12 13:33:15 smithy2 mach_kernel: ipfw: 10 Accept TCP
192.168.12.12:49152 192.168.12.12:660 out via lo0
このエントリーには、送信パケットに適用される NAT 変換ルールが表示されます。この場合、ルー
ルは、NAT デーモンが使用するポートであるサービスポート 660 に変換されます。
拒否されたパケットを確認する
ファイアウォ ールサービスに関する 問題を特定して解決す るときは、拒否されたパケ ットを確認す
ると役立ちます。
拒否されたパケットを確認するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「一般」タブを選択します。
4
「拒否したパケットをすべて記録する」が選択されていることを確認します。
5
「ログ」ボタンをクリックして、「サーバ管理」のログエントリーを表示します。
6
テキスト・フィルタ・ボックスに、「unreach」という語を入力します。
第4章
IP ファイアウォールサービス
75
ファイアウォール・ルールでログに記録されたパケットを確認する
ファイアウ ォールサービスに関す る問題を特定して解決 するときは、ファイアウォ ール・ルールで
フィルタリングされたパケットを確認すると役立ちます。
フィルタリングされたパケットを確認するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「一般」タブを選択します。
4
「許可したパケットをすべて記録する」が選択されていることを確認します。
特定のルー ルのログ作成を有 効にしていない場 合は、71 ペ ージの「詳細な IP ファイア ウォール・
ルールを編集する/削除する」を参照してください。
5 「ログ」ボタンをクリックして、「サーバ管理」のログエントリーを表示します。
6
テキスト・フィルタ・ボックスに、「Accept」という語を入力します。
詳細な IP ファイアウォール・ルールの問題を解決する
ファイアウ ォール設定の「詳細」パネル では、管理者の設定する ルールが正しいという 前提ですべ
ての入力を受け入れます。ルールが保存され、「サーバ管理」が ipfw コマンドを使用してすべての
ルールを適 用するまで、エラーは通 知されません。その後、構文 エラーのある最初のル ールが原因
で処理が停 止し、エラーメッセージが ログに記録されます。この エラーはどのルールが 無効かを示
すものではあ りませんが、無効なルール より前の有効なルール はすべてファイアウォ ールに読み込
まれます。無効なルールを見分けるのに役立つ方法を、以下に示します。
無効なルールを見分けるには:
1
2
ログ内のメッセージを確認します。
「サーバ管理」により有効なルールが「概要」セクションに表示されるまで、数分待ちます。
3 「概要」内の有効なルールのリストを、「設定」セクション内のルールリストと比較します。
4
「/etc/ipfilter/ipfw.conf.apple」ファイルの内容を調べて、
「サーバ管理」がファイアウォールに読み
込もうとしたルールを確認します。
ファイ ル内の、「概要」パ ネルに存 在しない 最初のルー ルが、ほぼ確 実に無効 なルール です。その
ルールの後に、無効なルールがさらに存在する可能性もあります。
5
そのルールが詳細パネル内のルールに対応している場合は、これを無効にするか修正できます。
無効にしたルールは先頭にコメント文字が付いた形で「 /etc/ipfilter/ipfw.conf.apple」に表示される
ため、ipfw ツールによって処理されることはありません。
76
第4章
IP ファイアウォールサービス
使用例
作成した IP ファイアウォール・ルールは、相互に連携しながらネットワークのセキュリティを確保
します。特定の目的を達成するためのルールの使いかたの例を以下に示します。
IP ファイアウォールを NAT で使用する
NAT(Network Address Translation)を使用するには、IP ファイアウォールを使用可能にする必要
があります。NAT を使用可能に すると、変換ルールがファイアウォール設定に自動的に作成されま
す。Tiger Server の「サーバ管理」アプリケーションを使って NAT サービスとファイアウォールサー
ビスを個別に使用可能および使用不可にできますが、NAT サービスを稼働させるためには、NAT サー
ビスとファ イアウォールサー ビスの両方を使用 可能にする必要があ ります。NAT の重 要な部分は、
ファイアウォールで使用されるパケット変換ルールです。
警告:NAT が機能するためには、 IP ファイアウォールを使用可能にする必要があります。
作成した IP ファイアウォール・ルールによって、NAT ゲートウェイの背後のネットワークから来る
ネットワークトラフィックをルーティングする方法がファイアウォ ールに通知されます。NAT ゲー
トウェイの背後に LAN がある場合は、LAN に対応するアドレスグループを作成するか、知っている
必要があります。
IP ファイアウォールが NAT で動作するように設定する最も簡単な方法は、「ゲートウェイ設定アシ
スタント」を使用することです。これにより、ファイアウォール内の IP アドレスグループが自動的
に設定され、適切なパケット変換ルールが作成されます。ゲートウェイ経由の NAT LAN をはじめて
設定する場合は、「ゲートウェイ設定アシスタント」を使用することをお勧めします。
「ゲートウェイ設定アシスタント」を使用したくないか、上書きしたくない既存のゲートウェイ設定
がある場合は、NAT と IP ファイアウォールを手動で設定できます。
NAT LAN の設定手順について詳しくは、93 ページの「 1 つの IP アドレスを使って LAN をインター
ネットに接続する」を参照してください。
インターネットユーザの Web アクセスをブロックする
このセクションでは、例として、サブネット内のユーザにサーバの Web サービスへのアクセスを許
可し、インターネット上の一般的な公開リソースへのアクセスを拒否する方法を説明します。
この例では、10.0.1.1 ∼ 10.0.1.254 の範囲のプライベート IP アドレスがローカルネットワークで使用
されます。サーバの Web サービスは、サーバの en2 ポート上の 10.0.2.1 で提供されます。
第4章
IP ファイアウォールサービス
77
詳細なルールを使用してこれを行うには:
1
「サーバ管理」で、
「LAN 」という名前のアドレスグループを 10.0.1.1/24 のアドレス範囲で作成します。
これには、10.0.1.x サブネットの範囲内のすべてのアドレスが含まれます。
詳しくは、67 ページの「アドレスグループを作成する」を参照してください。
2
次の設定で詳細ルールを作成します:
•
•
•
•
•
•
操作:許可
プロトコル: TCP
サービス: Web
ソースのアドレスグループ:LAN
宛先のアドレス: その他 10.0.2.1
インターフェイス: en2
詳しくは、70 ページの「詳細な IP ファイアウォール・ルールを作成する」を参照してください。
標準ルールを使用してこれを行うには:
1
「サーバ管理」で、
「 Web サーバ」というアドレスグループを 10.0.2.1 のアドレス範囲で作成します。
詳しくは、67 ページの「アドレスグループを作成する」を参照してください。
2
「設定」をクリックします。
3
「サービス」タブを選択します。
4
「サービスを編集」ポップアップメニューからアドレスグループ「 Web サーバ」を選択します。
5
指定した Web サービスポート上で、グループ「 Web サーバ」 のトラフィックを許可します。
「Web サービスを許可」を選択します。
6
「保存」をクリックします。
ローカル・ネットワーク・ユーザによるインターネットアクセスのログを記録
する
このセクションでは、例として、LAN 上のユーザにほかのサーバの Web サービスへのアクセスを許
可し、インター ネット上の一般的な公開 リソースへのアクセス のログを記録する方法 について説明
します。
この例では、10.0.1.1 ∼ 10.0.1.254 の範囲のプライベート IP アドレスがローカルネットワークで使用
されます。
1 「サーバ管理」の「ファイアウォール」パネルで、「設定」をクリックします。
2
「サービス」タブを選択します。
3
「サービスを編集」ポップアップメニューからアドレスグループ「すべて」を選択します。
4
指定した Web サービスポート上で、グループ「 Web サーバ」 のトラフィックを許可します。
「Web サービスを許可」を選択します。
5
78
「保存」をクリックします。
第4章
IP ファイアウォールサービス
6
「一般」タブをクリックします。
7
「許可したパケットをすべて記録する」を選択します。
「ログ」パネルでログを表示します。
迷惑メールをブロックする
このセクシ ョンでは、例として、迷惑メ ール送信者からのメー ルを拒否し、その他のイ ンターネッ
トメールはすべて許可する方法を説明します。迷惑メール送信者の IP アドレスは 17.128.100.0 とし
ます。
重要:受信 SMTP メールをブロックするときは、非常に特定されたアドレス範囲をルールに設定し
てください。たとえば、すべてのアドレスからのメールを拒否するようにポート 25 のルールを設定
すると、ユーザにメールが配信されなくなります。
次のように操作します:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「サービス」タブを選択します。
4
ポップアップメニューからアドレスグループ「すべて」を選択します。
5
「SMTP メール」を使用可能にします。
6
「一般」タブを選択します。
7
追加(+)ボタンをクリックして、アドレス範囲を作成します。
8
アドレスグループに名前を付けます。
9
アドレス範囲に 17.128.100.0 と入力し、迷惑メール送信者のアドレスを指定します。
10 「OK」をクリックします。
11
新しく作成したアドレスグループを選択します。
12
メール転送を使用不可にする場合は、「サービス」タブで「 SMTP メール」を選択解除します。
13
「保存」をクリックします。
Apple ファイルサーバへのユーザのアクセスを許可する
このセクションでは、例として、ユーザが IP アドレス 10.221.41.33 を使用して、Apple ファイルサー
バにアクセスできるようにする方法を説明します。
次のように操作します:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「サービス」タブを選択します。
4
アドレスグループ「すべて」を選択します。
5
サービスパネルで「Apple ファイルサービス」を使用不可にします。
6
「一般」タブを選択します。
第4章
IP ファイアウォールサービス
79
7
追加(+)ボタンをクリックして、アドレス範囲を作成します。
8
アドレスグループに名前を付けます。
9
アドレス範囲に 10.221.41.33 と入力し、ユーザのアドレスを指定します。
10 「OK」をクリックします。
11
「サービス」タブを選択します。
12
新しく作成したアドレスグループを選択します。
13
サービスパネルで「Apple ファイルサービス」を選択して、ファイルアクセスを使用可能にします。
14 「保存」をクリックします。
ファイアウォールサービスを使用する一般的なネットワーク管理作業
ファイアウ ォールは、不正なネット ワーク侵入者、悪意のある ユーザ、およびネットワ ークのウイ
ルス攻撃に対する防御の最前線です。このような攻撃によって、データが破損されたり、ネットワー
クリソース を使用されてしまうケ ースはたくさんありま す。このセクションでは、ネッ トワーク管
理におけるファイアウォールサービスの一般的な使いかたをいくつか示します。
DoS(サービス拒否)攻撃を防止する
サーバは、アクセスを拒否するクライアントから TCP 接続要求を受信すると、デフォルトで接続拒
否の通知を 送ります。こうすることで、拒 否されたクライアント が要求を繰り返し送信 することを
防止できます。ただし、悪意のあるユーザが、拒否される IP アドレスから TCP 接続要求を送信し続
け、サーバに強 制的に応答を送信さ せ続けることがありま す。この場合、ほかのユーザ がサーバに
接続しようとしても接続できなくなります。これは「サービス拒否攻撃(Dinial of Service Attacks)」
の一種です。
ping によるサービス拒否攻撃を防止するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「設定」タブを選択します。
4
アドレスグループ「すべて」を選択します。
5
「ICMP Echo Reply (incoming pings)」を選択解除します。
6
「保存」をクリックします。
重要:サービス 拒否攻撃を受けるこ とはまれです。そのため、サ ーバがこの攻撃を受け やすいと思
われる場合のみ、この設定を行ってください。ICMP エコーの返信を拒否すると、ping を使ってネッ
トワークサービスを探すサービスがサーバを検出できなくなります。
80
第4章
IP ファイアウォールサービス
ピアツーピアネットワークの使用を制御する/使用可能にする
ネットワーク管理者は、ピアツーピア( P2P )ファイル共有アプリケーションの使用を制御する必要
がある場合 があります。そのようなア プリケーションでは、ネッ トワーク帯域幅とリソ ースを不適
切に、または極端に使用することがあります。また P2P ファイル共有では、企業においてセキュリ
ティや知的財産を危険にさらす可能性があります。
P2P アプリケー ションで使用するポート番号上で送受信されるすべて のトラフィックをブロックす
ると、P2P ネットワークをさえぎることができます。それぞれの P2P ネットワークで実際に使用し
ているポートを判別する 必要があります。デフォルトでは、Mac OS X Server のファイアウォール
は、開いていないポートをすべてブロックします。
P2P ネットワークの使用を、 ファイアウォール背後の IP アドレスに制限することもできます。その
ようにするには、LAN インターフェイスでは P2P ポートを開きますが、インターネットに接続する
インターフェイス(WAN インターフェイス)ではポートをブロックし続ける必要があります。ファ
イアウォールのルールを作成する方法については、70 ページの「詳細な IP ファイアウォール・ルー
ルを作成する」を参照してください。
ネットワークゲームの使用を制御する/使用可能にする
ネットワーク管理者は、ネットワークゲームの使用を制御する必要がある場合があります。そのよう
なゲームでは、ネットワーク帯域幅とリソースを不適切に、または極端に使用することがあります。
ゲー ムで使用 するポ ート番 号上で送 受信さ れるす べてのト ラフィ ックを ブロック すると、ネ ット
ワークゲーム の使用をさえぎること ができます。それぞれのネ ットワークゲームで実 際に使用して
いるポートを判別する必要があります。デフォルトでは、Mac OS X Server のファイアウォールは、
開いていないポートをすべてブロックします。
ネットワークゲームの使用を、ファイアウォール背後の IP アドレスに制限することもできます。そ
のようにするには、LAN インターフェイスでは適切なポートを開きますが、インターネットに接続
するインターフェイス( WAN インターフェイス)ではポートを ブロックし続ける必要があります。
ゲームによ っては、遊ぶためにゲーム サービスへの接続を必 要とする場合がありま すが、その場合
は効果がありません。ファイアウォールのルールを作成する方法については、 70 ページの「詳細な
IP ファイアウォール・ルールを作成する」を参照してください。
ファイアウォ ールを特定のゲームに 対して開き、ネットワーク ゲームでファイアウォ ールの外部の
プレーヤー やゲームサービスに 接続できるようにす ることができます。その ようにするには、LAN
および WAN インターフェイスで適切なポートを開く必要があります。一部のゲームは、複数のポー
トを開く必 要があります。ネットワー キングについて詳しく は、ゲームのマニュアルを 参照してく
ださい。ファイアウォールのル ールを作成する方法については、70 ページの「詳細な IP ファイア
ウォール・ルールを作成する」を参照してください。
第4章
IP ファイアウォールサービス
81
ポートリファレンス
次の表に、Mac OS X コンピュータと Mac OS X Server で通常使用される TCP および UDP ポートの
番号を示し ます。これらのポートは、ル ールを設定するときに 使用できます。表で参照 されている
RFC を確認するときは、次の Web サイトを参照してください:
www.faqs.org/rfcs
TCP ポート
7
使用目的
参照
echo
RFC 792
20
FTP データ
RFC 959
21
FTP コントロール
RFC 959
22
SSH( Secure Shell)
23
Telnet
25
SMTP(メール)
RFC 821
53
DNS
RFC 1034
79
Finger
RFC 1288
80
HTTP(Web)
RFC 2068
88
Kerberos V5 KDC
RFC 1510
106
オープンディレクトリ・パスワード・
サーバ(3659 も使用)
110
POP3(メール)
RFC 1081
111
RPC (リモート・プロシージャ
RFC 1057
オープンディレクトリの複製の設定
RFC 854
コール)
113
AUTH
115
sftp
RFC 931
119
NNTP(ニュース)
123
Network Time Server 同期(NTP) RFC 1305
RFC 977
137
Windows の名前
138
Windows のブラウザ
139
Windows ファイルサービスと
プリントサービス(SMB/CIFS)
RFC 100
143
IMAP(メールアクセス)
「RFC 2060」
201-208
AppleTalk
311
サーバ管理 SSL、AppleShare IP
リモート Web 管理、サーバモニタ、
、
サーバ管理(servermgrd)
ワークグループマネージャ
(DirectoryService )
389
LDAP (ディレクトリ)
Sherlock 2 LDAP 検索
82
第4章
IP ファイアウォールサービス
RFC 2251
TCP ポート
407
Timbuktu
427
SLP(サービスの場所)
443
SSL(HTTPS)
445
Microsoft ドメインサーバ
497
Dantz Retrospect
使用目的
514
シェル、syslog
515
LPR (プリントスプール)
532
netnews
548
参照
RFC 1179
AFP( Apple ファイルサービス)
554
Real Time Streaming Protocol
(QTSS)
591
RFC 2326
FileMaker Web アクセス
600–1023
Mac OS X の RPC ベースのサービス
(NetInfo など)
625
リモート・ディレクトリアクセス
626
IMAP 管理(Mac OS X メールサービ
スおよび AppleShare IP 6.x メール)
631
IPP(プリンタ共有)
636
LDAP SSL
660
サーバ設定、サーバマネージャ
687
AppleShare IP の共有ユーザと
グループ、サーバモニタ、サーバ
管理(servermgrd)
749
kadmind コマンドラインツールを
使用した Kerberos 管理と
changepw
985
NetInfo の静的ポート
993
SSL を使用した IMAP(メール)
995
SSL を使用した POP3 (メール)
1085
Web Objects
1099 、8043
JBoss へのリモート RMI および
RMI/IIOP アクセス
1220
QTSS Admin
1694
IP フェイルオーバー
1723
PPTP VPN
2049
NFS
2236
Macintosh マネージャ
2399
FileMaker データアクセスレイヤー
第4章
IP ファイアウォールサービス
RFC 2637
83
TCP ポート
3004
3031
使用目的
iSync
プログラムリンク機能、リモート
AppleEvent
3283
ARD 2.0
3306
MySQL
3632
XCode 分散コンパイラ
3659
オープンディレクトリ・パスワード・
3689
iTunes ミュージック共有
4111
XGrid
5003
FileMaker の名前のバインディング
サーバ(106 も使用)
およびトランスポート
5100
カメラおよびスキャナ共有
5190
iChat、および iChat ファイル転送
5222
iChat サーバ
5223
iChat サーバ SSL
5269
iChat サーバ−サーバ間
5298
iChat −ローカルサブネット
5432
ARD 2.0 データベース
5900
ARD 2.0 VNC
7070
Real Time Streaming Protocol
(QTSS)
7777
iChat サーバ−ファイル転送
8000–8999
Web サービス
8000-8001
QTSS MP3 ストリーミング
8005
Tomcat リモートシャットダウン
8043、 1099
JBoss へのリモート RMI および
RMI/IIOP アクセス
8080、 8443、9006
Tomcat スタンドアロンおよび
JBoss
8080
Web サービス代替( Apache 2
9007
AIP ポートへのリモート Web
プロキシ
デフォルト)
サーバアクセス
84
16080
パフォーマンスキャッシュのリダイ
レクトを使用する Web サービス
42000-42999
iTunes Radio ストリーム
第4章
IP ファイアウォールサービス
参照
UDP ポート
7
echo
53
DNS
67
DHCP サーバ(BootP)、NetBoot
使用目的
参照
サーバ
68
DHCP クライアント
69
TFTP( Trivial File Transfer Protocol)
111
RPC (リモート・プロシージャ
123
Network Time Protocol
137
WINS( Windows ネームサービス)
コール)
138
RFC 1305
Windows データグラムサービス
(NETBIOS )
161
SNMP( Simple Network
Management Protocol )
192
AirMac 管理
427
SLP(サービスの場所)
497
Retrospect
500
VPN ISAKMP/IKE
513
who
514
Syslog
554
Real Time Streaming Protocol
(QTSS)
600–1023
Mac OS X の RPC ベースのサービス
(NetInfo など)
626
シリアル番号サポート
985
NetInfo(「NetInfo ドメイン設定」
を使って共有ドメインを作成した
場合)
1701
VPN L2TP
3283
ARD 1.2
5353
マルチキャスト DNS
(mDNSResponder )
2049
Network File System(NFS)
3031
プログラムリンク機能
3283
Apple ネットワークアシスタント、
Apple Remote Desktop
4500
IKE NAT Traversal
5060
iChat 開始
5297、5678
iChat −ローカル
第4章
IP ファイアウォールサービス
85
UDP ポート
5353
使用目的
参照
マルチキャスト DNS
(mDNSResponder )
6970 -6999
QTSS RTP ストリーミング
7070
Real-Time Streaming Protocol の
代替(QTSS)
16384-16403
iChat オーディオ/ビデオ RTP
および RTCP
その他の情報
「ipfw」に関するその他の情報:
IP ファイアウォールサービスを制御するツールである「ipfw」についての詳しい情報は、マニュア
ル(man で表示)を参照してください。機能へのアクセス方法および機能の実装方法について説明
されています。マニュアルページにアクセスするには、「ターミナル」アプリケーションを使って以
下を入力します:
man ipfw
Request For Comments 書類
RFC(Request for Comments)書類には、プロトコルやサービスの概要と、プロトコルの動作に関
する詳しい情報が記載されてい ます。サーバの管理を始めたばかりの方にとって、 RFC の背景情報
は参考になるでしょう。経験豊富 なサーバ管理者の場合、RFC 書類 によって、プロトコルに関する
詳細な技術情報をすべて確認できます。以下の Web サイトの RFC セクションには、さまざまなプ
ロトコルの RFC 番号が掲載されています:
www.ietf.org/rfc.html
IANA(Internet Assigned Number Authority)では、「よく 知られ たポート」で ある TCP お よび
UDP ポートのリストが管理されています。これらのポートは、組織によりさまざまなプロトコルに
割り当てられています。リストは次の Web サイトにあります:
www.iana.org/assignments/port-numbers
さらに、重 要なマル チキャスト アドレス については、
「 Assigned Numbers」に関 する最新の RFC
(現時点では RFC 1700)を参照してください。
86
第4章
IP ファイアウォールサービス
5
NAT サービス
5
NAT(Network Address Translation)は、IP マスカレードと呼ばれることもあります。NAT は、複
数のコンピュータが割り当てられたパブリックまたは外部の IP アドレス 1 つだけを使用して、イン
ターネットにアクセスできるようにするために使用されます。 NAT を使用すると、NAT ルーターや
ゲートウェイを経由してインターネットにアクセスするプライベートネットワークを作成できます。
NAT ルーターはプライベートネ ットワークからのトラフィックをすべて受け取り、要求を送った内
部アドレスを記憶します。NAT ルーターが要求に対する応答を受信すると、要求元のコンピュータ
に応答を転 送します。ポート転送が使 用可能でない場合、インタ ーネットから発生した トラフィッ
クは、NAT ルーターの背後にあるコンピュータに到達しません。
ほかのネットワークサービスで NAT を使用する
NAT を Mac OS X Server で使用可能にする場合、しばしば DHCP を詳細に制御する必要がありま
す。DHCP は「サーバ管理」で別途設定します。DHCP について詳しくは、23 ページの第 2 章「DHCP
サービス」を参照してください。
NAT を使用可能にすると、変換ルールがファイアウォール設定に自動的に作成されます。Mac OS X
Server の「サーバ管理」アプリケーションを使用すると、 NAT サービスとファイアウォールサービ
スを個別に使用可能および使用不可にできます。ただし、 NAT サービスを動作させるには、NAT と
ファイアウォールサービスの両方を使用可能にする必要があります 。これは、NAT の重要な部分が
パケット変換ルールであるためです。NAT サービスを使用可能にするとこのルールがファイアウォー
ルに追加さ れますが、パケット変換ル ールまたはいずれかの ファイアウォール・ルール を有効にす
るには、ファイアウォールサービスを有効にする必要があります。
警告:NAT が機能するためには、 IP ファイアウォールを使用可能にする必要があります。
87
NAT LAN 設定の概要
ネットワークセグメントを NAT LAN として設定するには、複数の異なる手順を実行する必要があり
ます。各手順は、NAT ゲートウェ イの背後にあるプライベートネットワークを機能させるために必
要です。詳細な設定例については、93 ページの「1 つの IP アドレスを使って LAN をインターネッ
トに接続す る」を参照してください。次 のセクションでは、設定 プロセス全体の概要に ついて説明
します。
手順 1 : NAT ゲートウェイおよびそのインターフェイス機能を選択する
Mac OS X Server コンピュータに、少なくとも 2 つのネットワークインターフェイス、つまりイン
ターネッ トへの接続用( WAN ポー ト)とプライベー トネットワー クセグメント への接続用(LAN
ポート)のネットワークインターフェイスが必要です。
手順 2 : NAT LAN クライアントが IP アドレスを取得する方法を決定する
プライベート LAN の承認された範囲内で独自の静的 IP アドレス を割り当てることも、Mac OS X
Server の DHCP 機能を使ってアドレスを割り当てることもできます。
手順 3 : ゲートウェイのネットワーク設定を行う
パブリック IP アドレスをWANポートに、内部ゲートウェイのアドレスを LAN ポートに割り当てます。
手順 4 : NAT の設定を行う
89 ページの「 NAT サービスを設定する」を参照してください。
手順 5 : ポート転送の設定を行う
90 ページの「ポート転送を設定する」を参照してください。
手順 6 : NAT サービスを開始する
89 ページの「 NAT サービスを開始する/停止する」を参照してください。
手順 7 : ファイアウォールサービスを開始する
NAT サービスを動作させるには、NAT とファイアウォールサービスの両方を使用可能にする必要が
あります。詳しくは、66 ページの「ファイアウォールサービスを開始する/停止する」を参照して
ください。
手順 8 : 該当する場合は、DHCP サービスを設定および開始する
クライアントに動的にアドレスを割り当てる場合は、この時点で DHCP を設定して開始します。詳
しくは、第 2 章「DHCP サービス」を参照してください。
88
第5章
NAT サービス
NAT サービスを開始する/停止する
「サーバ管
NAT サービスをデフォルトのネットワークインターフェイスで開始または停止するには、
理」を使用します。NAT サービスを開始しても、NAT インターフェイス上で DHCP が自動的に開始
されるわけではありません。このため、LAN アドレッシングを別に扱う必要があります。
NAT サービスを開始することは、ネットワークセグメントを NAT LAN として設定することと同じで
はありません。
NAT サービスを開始するには:
1
「サーバ管理」で、「コンピュータとサービス」パネルから「 NAT 」を選択します。
2
「サービスを開始」をクリックします。
サービスの実行中は、「サービスを停止」が使用可能になります。
NAT サービスを設定する
「サーバ管理」を使用すると、インターネットや外部ネットワークに接続するネットワークインター
フェイスを指定できます。
NAT サービスを設定することは、ネットワークセグメントを NAT LAN として設定することと同じで
はありません。
NAT サービスを設定するには:
1
「サーバ管理」で、「コンピュータとサービス」パネルから「 NAT 」を選択します。
2
「設定」をクリックします。
3
「IP 転送とネットワークアドレス変換」を選択します。
4
「共有す るネットワ ーク接続」ポ ップアップ メニューから ネットワー クインター フェイスを選 択し
ます。
このインター フェイスが、インターネッ トや外部ネットワーク 接続するためのインタ ーフェイスに
なります。
5 「保存」をクリックします。
第5章
NAT サービス
89
NAT を使用しないでゲートウェイを作成する
時には、コンピュータをネットワークセグメント間のゲートウェイとして使用する必要があるが、パ
ブリック範囲とプライベート範囲間で IP アドレス を変換する必要はない、ということがあります。
これは、「IP アドレス転送」と呼ばれます。Mac OS X Server では、「サーバ管理」の NAT セクショ
ンを使用して IP アドレス転送をサポートしています。
この設定では、さまざまなネットワーク設定が可能です。たとえば、ほかのサーバでは NAT を使用
してプライベート IP アドレスをパブリックアドレスに変換するが、お使いの Mac OS X Server の
ゲートウェイではさまざまなプライベート・アドレス・サブネット間で情報をルーティングする、と
いうことができます。同様に、独自の LAN 内のネットワークセグメント間でファイアウォールを実
行することもできます。 IP アドレスのマスカレードを 使用しないでサーバを介してネットワークト
ラフィックをルーティングする場合は、常に IP アドレス転送が関係してきます。
アドレス転送用 のゲートウェイを作成する手順 は、NAT LAN を作成する手順 と同じです。これは、
ネッ トワーク ポート を正し く設定す る必要 がある こと、および ゲート ウェイ を機能さ せるた めに
ファイアウォールサービスを使用可能にする必要があることを意味します。
NAT サービスを使用しないでゲートウェイを設定するには:
1 「サーバ管理」で、「コンピュータとサービス」パネルから「NAT 」を選択します。
2
「設定」をクリックします。
3
「IP 転送のみ」を選択します。
4
「保存」をクリックします。
ポート転送を設定する
NAT ネットワークが受信するトラフィックを、NAT ゲートウェイの背後にある特定の IP アドレスに
転送することができます。これにより、特定の受信接続を処理する内部ネットワーク上のコンピュー
タを設定し つつ、ほかのコンピュータ を外部の接続にさらさ ないようにすることが できます。たと
えば、Web サーバを NAT の背後に設定し、ポート 80 のすべての受信 TCP 接続要求を指定した Web
サーバに転送することができます。
同一 のポート を複数 のコン ピュータ に転送 するこ とはでき ません が、異なる ポートを 同一の コン
ピュータにいくつでも転送することはできます。
ポート転送を使用可能にするには、「ターミナル」の使用、および sudo を使用したルート権限への
管理アクセスに習熟している必要があります。plist を編集する必要があります。その plist の内容
は、「/etc/nat/natd.conf.apple」の生 成に使 用されま す。これは、NAT デーモン の開始時 に NAT
デーモン に渡されます。「 /etc/nat/natd.conf.apple 」は、直接編集しな いでください。コ マンドラ
インのテキストエディタの代わりに plist エディタを使用する場合は、次の手順を調整する必要があ
る場合があります。
90
第5章
NAT サービス
ポート・トラフィックを転送するには:
1
「/etc/natd.plist」ファイルが存在しない場合は、NAT デーモンのデフォルト plist のコピーを作成し
ます。
sudo cp /etc/nat/natd.plist.default /etc/natd.plist
2
「ターミナル」エディタを使用して、「/etc/natd.plist」ファイルの最後の 2 行(</dict> および
</plist>)の前に XML テキストの新しいブロックを追加します。
次のブロックを追加し、イタリックで示した部分を目的の設定に置き換えます:
<key>redirect_port</key>
<array>
<dict>
<key>proto</key>
<string>TCP または UDP</string>
<key>targetIP</key>
<string>LAN_ip</string>
<key>targetPortRange</key>
<string>LAN_ip_range</string>
<key>aliasIP</key>
<string>WAN_ip</string>
<key>aliasPortRange</key>
<string>WAN_port_range</string>
</dict>
</array>
3
ファイルの変更を保存します。
サーバ設定ツール(「サーバ管理」、「ゲートウェイ設定アシスタント」、および serveradmin)は、
「サーバ管理」で変更およびコメント化できる設定を除いて、加えられた変更を順守します。
4
必要に応じて、「サーバ管理」で NAT サービスを設定します。
詳しくは、89 ページの「NAT サービスを設定する」を参照してください。
5
「保存」をクリックします。
ポート転送の例
1 つまたは任意の数のポートを、指定した IP アドレスに転送できます。WAN 側のポートと LAN 側
のポートは一致している必要はありませんが、対応している必要があります。たとえば、WAN 側か
ら 10 個の連続したポートを転送する場合は、それらを LAN 側の 10 個の連続したポートに転送する
必要がありますが、同一である必要はありません。
第5章
NAT サービス
91
単一のポート転送
この例では、WAN アドレス 17.128.128.128 上の TCP ポート 80( Web サービス)の接続を、プライ
ベート LAN アドレス 192.168.1.1 上の TCP ポート 80( Web サービス)に転送する設定を示します。
「/etc/natd.plist」ファイルに追加するテキストブロックは次の通りです:
<key>redirect_port</key>
<array>
<dict>
<key>proto</key>
<string>TCP</string>
<key>targetIP</key>
<string>192.168.1.1</string>
<key>targetPortRange</key>
<string>80</string>
<key>aliasIP</key>
<string>17.128.128.128</string>
<key>aliasPortRange</key>
<string>80</string>
</dict>
</array>
複数のポート転送
この例では、WAN アドレス 17.128.128.128 上の TCP および UDP ポート 600 ∼ 1023(NetInfo、範
囲全体)の接続を、プライベート LAN アドレス 192.168.1.1 上の対応するポートに転送する設定を示
します。「/etc/natd.plist」ファイルに追加するテキストブロックは次の通りです:
<key>redirect_port</key>
<array>
<dict>
<key>proto</key>
<string>TCP</string>
<key>targetIP</key>
<string>192.168.1.1</string>
<key>targetPortRange</key>
<string>600-1023</string>
<key>aliasIP</key>
<string>17.128.128.128</string>
<key>aliasPortRange</key>
<string>600-1023</string>
</dict>
</array>
<array>
<dict>
<key>proto</key>
<string>UDP</string>
<key>targetIP</key>
<string>192.168.1.1</string>
<key>targetPortRange</key>
<string>600-1023</string>
<key>aliasIP</key>
<string>17.128.128.128</string>
92
第5章
NAT サービス
<key>aliasPortRange</key>
<string>60-1023</string>
</dict>
</array>
NAT サービスを監視する
問題解決やセキュリティの目的で、NAT サービスを監視することができます。このセクションでは、
NAT の状況の概要と、 NAT 変換アクティビティの監視について説明します。
NAT の状況の概要を表示する
NAT の状況の概要では、サービ スが実行しているかどうかと、アクティブなプロトコルリンクの数
を確認できます。
概要を表示するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから NAT サービスを選択します。
2 「概要」ボタンをクリックします。
NAT を使用する一般的なネットワーク管理作業
以下のセクションでは、NAT サー ビスを使用する一般的なネットワーク管理作業をいくつか説明し
ます。
1 つの IP アドレスを使って LAN をインターネットに接続する
NAT LAN をインターネットに接続する最も簡単な方法は、
「ゲートウェイ設定アシスタント」を使用
することです。これにより、ファイアウォール内の IP アドレスグループが自動的に設定され、適切
なパケット変換ルールが作成されます。ゲートウェイ経由の NAT LAN をはじめて設定する場合は、
「ゲートウェ イ設定アシスタント」を使 用することをお勧め します。
「ゲートウェイ設定 アシスタン
ト」について詳しくは、 15 ページの「ネットワークをインターネット に接続する」を参照してくだ
さい。
「ゲートウェイ設定アシスタント」を使用したくないか、上書きしたくない既存のゲートウェイ設定
がある場合は、NAT と IP ファイアウォールを手動で設定できます。そのためには、インターネット
接 続用 とプ ラ イベ ート ネ ット ワー ク 接続 用の 2 つの ネッ ト ワー クイ ン ター フェ イ スを 備え た
Mac OS X Server が必要です。 この例では、次の設定を想定しています:
• Ethernet インターフェイス名と機能: 内蔵 Ethernet(インターネットに接続)、PCI Ethernet ス
ロット 1 (内部ネットワークに接続)
• インターネットまたはパブリック IP アドレス: 17.254.0.3(例にすぎません。実際の IP 番号は ISP
から提供されます)
• インターネットまたはパブリック DNS IP アドレス: 17.254.1.6(例にすぎません。実際の IP 番号
は ISP から提供されます )
• プライベートネットワーク IP アドレスの範囲とネットマスク: 192.168.0.2 ∼ 192.168.0.254
(192.168.0.0/24 または 192.168.0.0:255.255.255.0 とも表現されます)
• サーバのプライベートネットワーク IP アドレス: 192.168.0.1
第5章
NAT サービス
93
• LAN クライアントの IP アドレス設定: DHCP を使用して IPv4 を設定
厳密には必須ではありませんが( NAT は、DHCP の代わりに静的 IP アドレスで使用できます)、こ
れにより、クライアントコンピュータの設定が簡単になります。
NAT LAN を設定するには:
1
ゲートウェイサーバで、「システム環境設定」の「ネットワーク」パネルを開きます。
2
有効なネットワークポート設定画面で、
「内蔵 Ethernet」インターフェイスがリストの一番上にある
ことを確認します。
一番上にな い場合は、リストの一番 上にドラッグします。これ により、ルーティングテ ーブルにデ
フォルトの ゲートウェイが設定さ れます。一番上のインター フェイスは、常にインター ネットまた
は WAN の外部に設定されます。
3
「内蔵Ethernet 」のIPアドレスと設定がISP から提供されたパブリックアドレス設定と一致しているこ
とを確認します。この例では、次のようになります:
• IP アドレス: 17.254.0.3
• ネットマスク: 255.255.252.0
• DNS: 17.254.1.6
4
「PCI Ethernetスロット 1」の IP アドレスと設定がローカルアドレス設定と一致していることを確認し
ます。この例では、次のようになります:
• IP アドレス: 192.168.0.1
• ネットマスク: 255.255.255.0
• DNS: 17.254.1.6
5
必要に応じて、「変更内容を適用」をクリックします。
6
「サーバ管理」を開きます。
7
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
8
「サーバ管理」で、次の設定パラメータを使用して内部 LAN 用のアドレスグループを作成します:
• サブネット名: < 任意 >
• 開始 IP アドレス: 192.168.0.2
• 終了 IP アドレス: 192.168.0.254
• サブネットマスク: 255.255.255.0
• ネットワークインターフェイス: en1
• ルーター: 192.168.0.1
• リース期間: < 任意 >
• DNS: 17.254.1.6
DHCP の設定手順について詳しくは、24 ページの「サブネットを作成する」を参照してください。
9 DHCP サービスを使用可能にします。
10 「サーバ管理」で、「コンピュータとサービス」リストから「NAT 」を選択します。
11
次の設定を使用して NAT を設定します:
• 共有するネットワーク接続:内蔵 Ethernet
12
94
必要に応じて、「保存」をクリックします。
第5章
NAT サービス
13 NAT サービスを使用可能にします。
14
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
15
ファイアウォールを使用可能にします。
16
プライベート ネットワークへのアク セス、およびプライベート ネットワークからのア クセスを許可
するファイアウォール・ルールを作成します。
たとえば、アドレス 192.168.0.0/24 に対して、「プライベート LAN」という IP アドレスグループを
作成します。
詳細な手順については、67 ページの「アドレスグループを作成する」を参照してください。
17
「プライベート LAN」グループを使って、「プライベート LAN」からアクセスできるようにするすべ
てのサービス(Web、SSH、ファイル共有など)を使用可能にします。
詳細な手順については、68 ページの「標準サービスにファイアウォールを開放する」を参照してく
ださい。
18
アドレスグ ループ「任意」を使用して、イン ターネットからアク セスできるようにする プライベー
ト LAN 上のすべてのサービス(Web、SSH、ファイル共有など)を使用可能にします。
詳細な手順については、68 ページの「標準サービスにファイアウォールを開放する」を参照してく
ださい。
19
「保存」をクリックします。
ゲーム用の LAN パーティを設定する
LAN パーティの設定方法は、「1 つの IP アドレスを使って LAN をインターネットに接続する」の方
法と基本的に同じです。特に考慮する必要がある点を以下に示します:
• インターネット対応のゲームをするのに必要なポートだけを開くよう、特に注意を払います。
• LAN 内だけでゲームをする場合は、ゲームポートのファイアウォールを開く必要はありません。
• LAN に参加したり LAN から切断したりするコンピュータがある場合は、クライアントのアドレス
設定に DHCP を使用できます。
「仮想サーバ」を設定する
仮想サーバは、NAT ウォールの背 後のサービスを実際のサーバにポート単位で送信するゲートウェ
イサーバです。たとえば、 Web トラフィック(ポート 80)をファ イアウォールの背後の 10.0.0.5
(ポート 80)に転送するように設定され、 SSH トラフィック(ポート 22)の要求によってパケット
を 10.0.0.15( ポート 22 )に送信できる 17.100.0.1 (domain.example.com )の NAT ゲートウェイを
考えてみましょう。上の例では、実際に Web コンテンツを提供しているのは、NAT ゲートウェイで
はなく 10.0.0.5 のサーバですが、 Web サイトをブラウズするクライアントにはそのことは分かりま
せん。
インターネットに接続するサーバは 1 台ですが、NAT の障壁の背後に、必要な数のサーバを設置で
きます。これは、負 荷分散やネットワー ク配置のための組織上 のスキーマとして使 用できます。ま
た、仮想サーバを使用すると、ゲートウェイを再設定して、ネットワークトラフィックを LAN 上の
ほかのコンピュータに簡単に再ルーティングすることもできます。
仮想サーバには、NAT、 DNS、および IP ファイアウォールの 3 つのサービス設定が必要です。
第5章
NAT サービス
95
NAT サービスは、目的の仮想ポートのポート転送を使って設定する必要があります。サーバの DNS
レコードは、一般的なサービスのエイリアスをいくつか受け入れて、それらをすべて同じ IP アドレ
スに解決する必要があります。最後に、ファイアウォールは、特定のポートでの NAT LAN へのトラ
フィックを許可する必要があります。
この例では、NAT ゲートウェイを設定して、 2 つのドメイン名とサービスがゲートウェイファイア
ウォールの 背後にある異なるコン ピュータをポイントす るようにします。設定の詳 細は、次のよう
に想定します:
• Ethernet インターフェイス名と機能: 内蔵 Ethernet(インターネットに接続)、PCI Ethernet ス
ロット 1 (内部ネットワークに接続)
• インターネットまたはパブリック IP アドレス: 17.100.0.1(例にすぎません。実際の IP 番号および
ネットマスク情報は ISP から提供されます)
• プライベートネットワーク IP アドレスの範囲とネットマスク: 192.168.0.0 ∼ 192.168.0.255
(192.168.0.0/24 または 192.168.0.0:255.255.255.0 とも表現されます)
• ゲートウェイサーバのプライベートネットワーク IP アドレス: 192.168.0.1
• Web サーバのプライベートネットワーク IP アドレス: 192.168.0.2
• メールサーバのプライベートネットワーク IP アドレス: 192.168.0.3
• Web およびメールサーバの IP アドレス設定: DHCP を使用して IPv4 を設定
厳密には必須ではありませんが( NAT は、DHCP の代わりに静的 IP アドレスで使用できます)、こ
れにより、クライアントコンピュータの設定が簡単になります。
仮想サーバを設定するには:
1
「サーバ管理」を開きます。
2
「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。
3
「サーバ管理」で、次の設定パラメータを使用して内部 LAN 用のアドレスグループを作成します:
• サブネット名: < 任意 >
• 開始 IP アドレス: 192.168.0.2
• 終了 IP アドレス: 192.168.0.254
• サブネットマスク: 255.255.255.0
• ネットワークインターフェイス: en1
• ルーター: 192.168.0.1
• リース期間: < 任意 >
• DNS: <ISP から提供されたもの >
• 静的マッピング(Web): 192.168.0.2 にマッピングされた <Web サーバの Ethernet アドレス >
: 192.168.0.3 にマッピングされた < メールサーバの Ethernet アドレス >
• 静的マッピング(メール)
DHCP の 設定手順に ついて詳 しくは、24 ページの「サブ ネットを 作成する」お よび 30 ペ ージの
「DHCP を使用して静的 IP アドレスを割り当てる」を参照してください。
4 DHCP サービスを使用可能にします。
5
6
「サーバ管理」で、「コンピュータとサービス」リストから「 NAT 」を選択します。
次の設定を使用して NAT を設定します:
• 共有するネットワーク接続:内蔵 Ethernet
96
第5章
NAT サービス
• ポート転送: TCP ポート 80(Web)から 192.168.0.2
• ポート転送: TCP ポート 25(メール)から 192.168.0.3
7
「保存」をクリックします。
8 NAT サービスを使用可能にします。
9
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
10
ファイアウォールを使用可能にします。
11
プライベートネットワークへのアクセスを許可するファイアウォール・ルールを作成します。
詳細な手順については、67 ページの「アドレスグループを作成する」を参照してください。
12
アドレスグ ループ「任意」を使用して、イン ターネットからアク セスできるようにする プライベー
ト LAN 上の 2 つのサービス(Web および SMTP メール)を使用可能にします。
詳細な手順については、68 ページの「標準サービスにファイアウォールを開放する」を参照してく
ださい。
13
14
「保存」をクリックします。
ゲートウェイサーバの DNS レコードに 2 つのエイリアスを追加します。
DNS プロバイダ (通常はご利用の ISP)に問い合わせて、IP アドレス 17.100.0.1 に対して
「www.example.com 」という名前で追加する「A 」レコードを要求します。同じ IP アドレスに対す
る「mail.example.com 」という名前の MX レコードを要求します。これらのレコードは、お使いの
ドメインの既存の A レコードと CNAME レコードに加えて使用されます。
これで、www.example.com へのすべての Web トラフィックが 192.168.0.2 の内部サーバに転送さ
れ、mail.example.com への受信メールトラフィックが 192.168.0.3 の内部サーバに配信されます。
NAT の背後にあるサーバを変更する場合は(ハードウェア・アップグレードなど)、DHCP の静的 IP
アドレッシングを新しいサーバの Ethernet アドレスに変更するだけです。 Web およびメール用に
指定された既存の内部 IP アドレスが新しいサーバに割り当てられ、ゲートウェイによってトラフィッ
クが新しいサーバにシームレスに転送されます。
その他の情報
「natd」に関するその他の情報:
NAT サービスを 制御するデ ーモンプロ セスであ る「natd」につい ての詳しい 情報は、マニ ュアル
(man で表示)を参照してください。機能へのアクセス方法および機能の実装方法について説明され
ています。マニュアルページにアクセスするには、「ターミナル」アプリケーションを使って以下を
入力します:
man natd
第5章
NAT サービス
97
Request For Comments 書類
RFC(Request for Comments)書類には、プロトコルやサービスの概要と、プロトコルの動作に関
する詳しい情報が記載されてい ます。サーバの管理を始めたばかりの方にとって、 RFC の背景情報
は参考になるでしょう。経験豊富 なサーバ管理者の場合、RFC 書類 によって、プロトコルに関する
詳細な技術情報をすべて確認できます。RFC 書類は、次の Web サイトで番号で検索することができ
ます:
www.ietf.org/rfc.html
NAT の説明については、以下を参照してください:
• 「RFC 1631 」
• 「RFC 3022」
98
第5章
NAT サービス
6
VPN サービス
6
VPN( Virtual Private Network)は、2 つ以上のコンピュータまたはネットワーク(ノード)を暗号
化データのプ ライベートリンクで接 続します。このリンクはロ ーカル接続をシミュレ ートしたもの
で、リモートコンピュータが LAN (ローカル・エリア・ネットワーク)に接続しているかのように
振舞います。
VPN では、自宅や、LAN から離れた場所にいるユーザが、インターネットなどのネットワーク接続
を使用し、LAN に安全に接続できます。ユーザからすると、VPN 接続は専用のプライベートリンク
のように見えます。
VPN テクノロジーを使用すると、安全な通信を維持しながら、組織がインターネットを介して支社
に接続することも可能にします。インターネット上の VPN 接続は、サイト間の WAN(広域ネット
ワーク)リンクとして機能します。
VPN には、物理的に離 れたコンピュータ リソースのある組織 において、利点がいくつ かあります。
たとえば、各リ モートユーザまたはノ ードは、メインのノードま で直接接続されたリン クを使用す
るのではなく、ISP (インターネット・サービス・プロバイダ)のネットワークリソースを使用でき
ます。また、VPN を使用すると、承認を受けたモバイルユーザがインターネット接続を使用して個
人のコンピ ュータリソース(ファイ ルサーバなど)にアクセ スすることもでき ます。最後に、既存
のインターネットインフラを使用して、非常に離れた複数の LAN をリンクできます。
この章では、VPN の認証方法、転送プロトコル、および VPN サービスの管理および監視を設定する
方法について説明します。VPN サーバを使用するように VPN クライアントを設定する手順は含まれ
ません。
VPN とセキュリティ
VPN ではデータの秘匿と不変性を守るために、強力な ID 認証およびノード間の暗号化データ転送を
使用して、セキ ュリティを強化して います。次のセクションで は、サポートされる転送 および認証
の方法について説明します。
転送プロトコル
暗号化転送 プロトコルは片方また は両方を使用すること ができます。それぞれに、長所 と要件があ
ります。
99
L2TP/IPSec(Layer Two Tunnelling Protocol, Secure Internet Protocol)
L2TP/IPSec では強い IPSec 暗号化を使用して、ネットワークノードとの間でデータを「トンネル」
します。これは、Cisco の L2F プロトコルに基づいています。IPSec では、セキュリティ証明書(自
己署名または Verisign などの認証局によるもの)か、接続するノード間で事前定義された共有シー
クレットが 必要です。共有シークレッ トは、サーバとクライアン トの両方で入力する必 要がありま
す。これは認証 用のパスワードではな く、暗号化キーを生成して ノード間に安全なトン ネルを確立
することもしません。これは、鍵管理システム間の相互信頼を可能にするトークンです。
L2TP は、優れた転送暗号化と Kerberos による認証機能のため、Mac OS X Server で優先使用され
る VPN プロトコルです。
PPTP(Point to Point Tunneling Protocol )
PPTP は、一般的な VPN プロトコルであり、Windows 標準の VPN プロトコルでもあります。PPTP
の暗号化は優れており(使用するパスワードが強力なパスワードである場合)、多数の認証方式をサ
ポートして います。ユーザが指定し たパスワードを使用し て、暗号化キーを生成し ます。デフォル
トの 128 ビット(強い)暗号化だけでなく、VPN クライアントで必要であれば 40 ビット(弱い)セ
キュリティ暗号化も使用できます。
PPTP は、古い Windows クライアントまたは Mac OS X 10.2.x クライアントがある場合に必要です。
認証方法
Mac OS X Server L2TP VPN で は、Kerberos v5 ま た は Microsoft の Challenge Handshake
Authentication Protocol version 2(MS-CHAPv2)を 認証 に使 用し ます。 Mac OS X Server PPTP
VPN では、MS-CHAPv2 だけを認証に使用します。
Kerberos は、Kerberos Key Distribution Server を「信頼された第三者」としてサーバに対してク
ライアントを認証する安全な認証プロトコルです。MS-CHAPv2 認証には、Kerberos と同じ認証イ
ンフラスト ラクチャは必要ありま せん。この認証方法では、パス ワードはネットワーク に送信する
ときエンコ ードされ、サーバではスク ランブル形式で格納さ れます。こうしてネットワ ーク転送中
のセキュリティを実現します。これはまた、VPN における Windows の標準的な認証スキームです。
Mac OS X Server PPTP VPN では、追加の認証方法を使用できます。それぞれに、長所と要件があり
ます。「サーバ管理」を使用して、 PPTP 用のほかの認証方 法を選択することはできません。デフォ
ルトとは違う認証スキームを設定する(たとえば RSA Security の SecurID 認証を使用する)必要が
ある場合は、VPN 設定ファイルを手動で編集する必要があります。設定ファイルは、次の場所にあ
ります:
/ ライブラリ /Preferences/SystemConfiguration/com.apple.RemoteAccessServers.plist
詳しくは、107 ページの「 VPN サーバを使用して SecurID 認証を提供する」を参照してください。
100
第6章
VPN サービス
VPN サービスを設定する前に
VPN(Virtual Private Network)サービスを設定する前に、使用する転送プロトコルを決定する必要
があります。次のテーブルに、プラットフォーム別にサポートされているプロトコルを示します。
L2TP/IPSec を使用可能
Mac OS X 10.4 および 10.3.x クライ X
プラットフォーム
PPTP を使用可能
X
アント
X
Mac OS X 10.2.x クライアント
Windows クライアント
X(Windows XP の場合)
X
Linux または Unix クライアント
X
X
L2TP を使用している場合は、セキュリティ証明書(認証局からのものか、自己署名によるもの)か、
接続するノー ド間で事前定義された 共有シークレットが必 要です。共有シークレット を選択する場
合は、それを安全に保護し(空白なしの英数字と句読点で 8 文字以上ですが、 12 文字以上を推奨)、
ユーザは秘密を保つ必要があります。
PPTP を使用している場合は、転送時のセキュリティを最大限にするために、すべてのクライアント
で 128 ビットの PPTP 接続をサポートするようにする必要があります。40 ビットの転送セキュリティ
を使用可能にすると、重大なセキュリティ上の危険があります。
VPN 用のほかのネットワークサービスを設定する
Mac OS X Server で VPN を使用可能にするには、 DHCP を詳細に制御する必要があります。DHCP
の設定は、「サーバ管理」で別に行います。VPN クライアントに指定する IP アドレスとローカルの
DHCP クライアントに指定するアドレスを重複させることはできません。DHCP について詳しくは、
23 ページの第 2 章「DHCP サービス」を参照してください。
VPN を使用可能にするには、IP ファイアウォールの設定も必要です。ファイアウォールは、外部 IP
アドレスからのネットワークトラフィックをファイアウォールを介して LAN に渡すことができる必
要があります。ファイアウォールは必要に応じて開いたり制限したりできます。たとえば、 VPN ク
ライアントが広範な IP アドレス範囲から着信する(多数のユーザが任意の数の ISP から接続してく
る)場合、「任意」のファイアウォールのアドレスグループを VPN 接続に対して開く必要がありま
す。アクセスを静的アドレスを含む狭い範囲の IP アドレスに制限する場合は、その狭い範囲を反映
するアドレスグループを作成して、そのリストから送信された VPN トラフィックだけを有効にでき
ます。
第6章
VPN サービス
101
VPN サービスを管理する
このセクションでは、VPN サービスの管理に関する作業を説明します。サービスの開始、停止、お
よび設定が含まれます。
VPN サービスを開始する/停止する
VPN サービスを開始または停止するときは、「サーバ管理」を使用します。
VPN サービスを開始または停止するには:
1
2
3
「サーバ管理」で、「コンピュータとサービス」リストから VPN サービスを選択します。
少なくとも 1 つの転送プロトコルが選択され、設定されていることを確認します。
「サービスを開始」または「サービスを停止」をクリックします。
サービスが使用可能になっているときは、「サービスを停止」ボタンが表示されています。
L2TP 転送プロトコルを使用可能にする/設定する
L2TP を転送プロ トコルとして指定するには、「サーバ管理」を使用しま す。このプロトコルを使用
可能にする場合は、接続の設定も行う必要があります。IPSec 共有シークレット(署名されたセキュ
リティ証明書を使用しない場合)、クライアントに提供する IP アドレス割り当ての範囲、および VPN
権限を持たせるグループ(必要な場合)を指定する必要があります。 L2TP と PPTP の両方を使用す
る場合は、それぞれのプロトコルに重複しない個別のアドレス範囲を指定する必要があります。
L2TP を使用可能にするには:
1
「サーバ管理」で、「コンピュータとサービス」リストから VPN サービスを選択します。
2 「設定」をクリックします。
3
「L2TP」タブを選択します。
4
「L2TP over IPsec を有効にする」を選択します。
5
割り当てる IP アドレス範囲の開始アドレスを設定します。
6
割り当てる IP アドレス範囲の終了アドレスを設定します。
7 PPP 認証のタイプを選択します。
お使いのコンピュータが Kerberos 認証サーバにバインドされている場合は「 Kerberos」を選択し、
そうでない場合は「MS-CHAPv2」を選択します。
8
9
共有シークレットを入力するか、使用する証明書を選択します。
「保存」をクリックします。
PPTP 転送プロトコルを使用可能にする/設定する
PPTP を転送プロトコルとして指定するには、「サーバ 管理」を使用します。このプロトコルを使用
可能にする場合は、接続の設定も行う必要があります。暗号鍵の長さ(128 ビットのほかに 40 ビッ
ト)、クライアントに提供する IP アドレス割り当ての範囲、および VPN 権限を持たせるグループ(必
要な場合)を指定する必要があります。L2TP と PPTP の両方を使用する場合は、それぞれのプロト
コルに重複しない個別のアドレス範囲を指定する必要があります。
102
第6章
VPN サービス
PPTP を使用可能にするには:
1
「サーバ管理」で、「コンピュータとサービス」リストから VPN サービスを選択します。
2 「設定」をクリックします。
3
「PPTP」タブを選択します。
4
「PPTP を有効にする」を選択します。
5
必要に応じて、「128 ビットの暗号化キー以外に 40 ビットの暗号化キーを許可する」を選択し、128
ビット鍵に加えて 40 ビット鍵も使用できるようにします。
警告:40 ビ ット暗号鍵を使用すると安全 性が大幅に低下しますが、 VPN クライア ントアプリケー
ションによっては必要となる場合があります。
6
7
割り当てる IP アドレス範囲の開始アドレスと終了アドレスを設定します。
「保存」をクリックします。
VPN クライアント用に追加のネットワーク設定を行う
ユーザが VPN 経由でサーバに接続するとき、そのユーザには割り当てた範囲の IP アドレスが提供さ
れます。この範囲は DHCP サーバで提供できないため、追加でネットワーク設定を行う必要があり
ます。これらの設定にはネットワークマスク、DNS アドレス、および検索ドメインがあります。
追加のネットワーク設定を行うには:
1
「サーバ管理」で、「コンピュータとサービス」リストから VPN サービスを選択します。
2 「設定」をクリックします。
3
「クライアント情報」タブを選択します。
4 DNS サーバの IP アドレスを入力します。
5
6
必要に応じて検索ドメインを入力します。
「保存」をクリックします。
VPN のネットワークルーティング定義を設定する
ネットーワークルーティング定義を使用すると、VPN トンネル(「プライベート」)または VPN ユー
ザの ISP 接続(「パブリック」)を介してデータを VPN クライアントからアドレスグループにルーティ
ングするかどうかを選択できます。たとえば、LAN 内の IP アドレス範囲に対する VPN のクライア
ントのすべてのトラフィックは、安全なトンネルを介して LAN に送信し、それ以外のアドレスに対
するすべての トラフィックは、ユーザの 通常の安全でないイン ターネット接続を介し てルーティン
グすることができます。これにより、VPN トンネルを通過するトラフィックをより詳細に制御でき
ます。
第6章
VPN サービス
103
VPN ルーティング定義に関する重要な注意事項:
• ルーティング定義が追加されない場合は、デフォルトですべてのトラフィックが VPN 接続を介し
てルーティングされます。
• ルーティング定義が追加される場合は、VPN 接続はデフォルトルートでなくなるため、明確にプ
ライベートルートと宣言されていないアドレスに宛てたすべてのトラフィックは VPN 接続経由で
送信されません。
• 現在のところ、すべての DNS ルックアップは、設定されたルートに関係なく VPN 接続経由で実行
されます。
• 定義は整理され たものではありません。ルーティ ングするパケットに一番近い説 明だけを適用し
ます。
例
LAN の IP アドレスがすべて 17.x.x.x である場合を考えてみましょう。ルーティング定義を作成しな
い場合は、すべての VPN クライアントのネットワークトラフィック( Web ブラウザの URL 要求、
LPR プリンタキューのプリ ントジョブ、ファイルサーバのブラウズ)はクラ イアントコンピュータ
から VPN トンネルを経由して 17.x.x.x の LAN にルーティングされます。
ここで、LAN 上にない Web サイトおよびファイルサーバに向かうトラフィックをすべて扱うことは
しないことに決めます。17.x.x.x のネットワークに送信するトラフィック、およびクライアントの通
常のインター ネット接続を経由する トラフィックに制限を 加えることができます。ト ンネルが扱う
トラフィックに制限を加えるには、17.x.x.x のネットワークに向かうトラフィックをプライベートに
指定し、トンネル経由で送信を行うルーティング定義を入力します。ルーティング定義テーブルに、
次のように入力します:
17.0.0.0 255.0.0.0 Private
これで、LAN に向かうすべてのトラフィックが VPN 接続経由で送信されます。デフォルトでは、定
義テーブルに ないほかのすべてのア ドレスは、ユーザの暗号化 されていないインター ネット接続経
由で送信されます。
ここで、17.x.x.x の範囲内のいくつかの IP アドレスには、VPN 接続経由でのアクセスを許可しない
ことに決め ます。トラフィックはユー ザ独自のインターネッ ト接続経由で送信し、トン ネル経由で
は送信しないものとします。アドレスはファイアウォールの外部にあり、17.x.x.x の LAN からはアク
セスできないものとします。例として、17.100.100.x の範囲のアドレスを使ってみましょう。次のよ
うに追加のルーティング定義を入力します:
17.100.100.0 255.255.255.0 Public
アドレス定義は 17.x.x.x よりも限定的であるため、このルールはより広範で一般的なルールより優先
されます。また、17.100.100.x の範囲内のどのアドレスに向かうトラフィックも、VPN ユーザ独自の
インターネット接続経由で送信されます。
要約すると、ルートを追加する場合、Private として指定するルートはすべて VPN 接続経由で送信さ
れ、Public と宣言したルートはすべて VPN 接続経由で送信されません。その他の指定されていない
ルートもすべて、VPN 接続経由で送信されません。
104
第6章
VPN サービス
ルーティング定義を設定するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから VPN サービスを選択します。
2 「設定」をクリックします。
3
「クライアント情報」タブを選択します。
4
ルーティング定義リストの下にある追加ボタンをクリックします。
5
次のように指定して、ルーティングするパケットの宛先アドレス範囲を指定します:
a
b
6
ベースアドレス(例:192.168.0.0)
ネットワークマスク(例:255.255.0.0 )
ポップアップメニューからルーティング先を選択します。
a「プライベート」は、VPN トンネルを介してルーティングすることを表します。
b「パブリック」は、トンネルなしの通常のインターフェイスを使用することを表します。
7
「OK」をクリックします。
8
「保存」をクリックします。
特定のユーザまたはグループへの VPN アクセスを制限する
デフォルトでは、VPN アクセスを有効にすると、サーバ上またはマスターディレクトリ内のすべて
のユーザが VPN にアクセスできます。セキュリティを確保したり、管理を容易にしたりするために、
VPN アクセスを特定のユーザだけに制限することができます。VPN へのアクセスを制限するには、
Mac OS X Server のアクセス制御リスト機能を使用します。
アクセス制御リスト(ACL)は、特定のユーザまたはグループがサービスにアクセスできるかどうか
を個別に指定するための方法です。たとえば、 ACL を 使用して、あるユーザだけにファイルサーバ
へのアクセス(シェルログイン)を許可し、そのサーバのほかのユーザには許可しないようにします。
ACL を使ったログインによって VPN アクセスを制限するには:
1 「サーバ管理」に表示されるサーバから、VPN サービスを実行していて、VPN アクセスが可能なユー
ザまたはグループが登録されているサーバを選択します。
2
「アクセス」をクリックします。
3
「すべてのサービスに同じアクセス権を使用する」の選択を解除します。
4
「以下のユーザとグループのみを許可する」を選択します。
5
追加(+)ボタンをクリックして、「ユーザとグループ」パネルを表示します。
6
目的のユーザまたはグループをアクセスリストにドラッグします。
7
「保存」をクリックします。
第6章
VPN サービス
105
特定の受信 IP アドレスへの VPN アクセスを制限する
デフォルトでは、IP ファイアウォールはすべての受信 VPN 接続をブロックします。セキュリティを
確保したり、管理を容易にしたりするために、VPN アクセスを特定の IP アドレスだけに制限するこ
とができます。VPN へのアクセスを制限するには、Mac OS X Server の IP ファイアウォール機能を
使用します。
IP アドレスによって VPN アクセスを制限するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。
2
「設定」をクリックします。
3
「詳細」タブを選択します。
4
追加(+)ボタンをクリックします。
5
「操作」ポップアップメニューから「許可」アクセスを選択します。
6
「プロトコル」ポップアップメニューから選択します。
お使いの VPN アクセス用に L2TP を選択した場合は、「 UDP」を選択します。
お使いの VPN アクセス用に PPTP を選択した場合は、「TCP」を選択します。
7
ポップアップメニューから VPN サービスタイプとして「L2TP」または「 PPTP」を選択します。
適切な宛先ポートが自動的に追加されます。
8
必要に応じて、このフィルタルールに一致するパケットのログを作成するように選択します。
9 VPN へのアクセスを許可するソース IP アドレスの範囲を(CIDR 表記で)入力し、ポップアップメ
ニューは「その他」のままにしておきます。
これらが、VPN サービスに接続できる IP アドレスになります。
10
ポップアップメニューから、フィルタリングしたトラフィックの宛先用の VPN サーバがあるアドレ
スグループを選択します。
既存のアドレスグループを使用したくない場合は、送信先 IP アドレスの範囲を(CIDR 表記で)入力
します。
11
このルールを適用する「受信」ネットワークインターフェイスを選択します。
「受信」は、指定した WAN インターフェイスを示します。
12 「OK」をクリックします。
13 「保存」をクリックして、フィルタをすぐに適用します。
106
第6章
VPN サービス
追加の設定手順
次のセクションでは、オプションの追加のシナリオのための手順について説明します。これらは、既
存のディレクトリ・サービス・システムや他社製の認証サービスと統合する必要があります。
LDAP ドメイン内のユーザ用に VPN-PPTP アクセスを使用可能にする
Mac OS X 10.4 では、コマンドラインツールを使用して、LDAP ドメイン内のユーザ用に PPTP-VPN
接続を使用可能にできます。
これにより、ユーザが PPTP 経由で Mac OS X Server への VPN 接続を確立できるが、いったん確立
されると、ネッ トワークトラフィック によって使用されない という状況を解決でき ます。この影響
を受けるのは、Mac OS X Server 10.3 と 10.4 です。
1 /usr/sbin/vpnaddkeyagentuser ツールを、LDAP ノード(ユーザが存在するディレクトリ)
の名前を引数に指定して、ルートとして実行します。
たとえば、VPN サービスを実行中のサーバが LDAP マスターでもある場合、
「ターミナル」で次のコ
マンドを入力します:
sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/127.0.0.1
VPN サービスを実行中のサーバが LDAP マスターではなく、 LDAP ディレクトリが別のコンピュー
タ上にある場合は、LDAP サーバの IP アドレスをコマンドで使用します。たとえば、 LDAP サーバ
が 17.221.67.87 にある場合は、「ターミナル」で次のコマンドを入力します:
sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/17.221.67.87
2
ツールからユーザ名とパスワードの入力が求められます。
a VPN サーバが LDAP マスターである場合は、サーバの管理者名とパスワードを入力します。
b LDAP ディレクトリが別のサーバ上にある場合は、LDAP ディレクトリを管理するサーバの管理者
名とパスワード(または「ワークグループマネージャ」で LDAP ディレクトリにユーザを追加す
るのに使用する管理者名とパスワード)を入力します。ツールにより、ユーザが LDAP ディレク
トリに追加され、VPN サーバで追加の設定要素が設定されて、PPTP をサポートできるようにな
ります。
3
「サーバ管理」の VPN サービス設定パネルで、PPTP を設定します。
4 VPN サービスを開始します。
VPN サーバを使用して SecurID 認証を提供する
RSA Security では、その製品を通して強力な認証を提供しています。ユーザの識別情報の確認には、
ハードウェアおよびソフトウェアトークンが使用されます。 SecurID 認証は、L2TP および PPTP ト
ランスポートの両方で使用できます。詳細および提供される製品については、次の Web サイトを参
照してください:
www.rsasecurity.com
第6章
VPN サービス
107
「サーバ管理」アプリケーショ
Mac OS X Server の VPN サービスは SecurID 認証を提供できますが、
ン内でこれを設定することはできません。「サーバ管理」を使って標準の VPN サービスを設定する
ことはできますが、「サーバ管理」には認証方法を選択するインターフェイスがありません。デフォ
ルト(RSA Security の SecurID など)以外の認証方式を指定する必要がある場合は、VPN の設定を
手動で変更する必要があります。
SecurID を設定する
1 RSA Security の SecurID 認証を設定するには、まず sdconf.rec ファイルを SecurID サーバから
Mac OS X Server 上の新しいディレクトリ「 /var/ace」にコピーする必要があります。
これを行うには、いくつかの方法があります。以下の手順は、そのうちの 1 つです:
「ターミナル」を開きます(「/ アプリケーション/ ユーティリティ/」にあります)。
a お使いのサーバで、
b sudo mkdir /var/ace と入力して、Return キーを押します。
c 管理者のパスワードを入力して、Return キーを押します。
d「Dock」内の「 Finder」アイコンをクリックします。
e「移動」メニューから「フォルダへ移動」を選択します。
f 次のコマンドを入力します: /var/ace
g「移動」をクリックします。
h sdconf.rec ファイルを SecurID サーバから「ace」フォルダにコピーします。
i 「ace」フォルダは変更できないことを示すダイアログが表示されます。「認証」ボタンをクリック
して、コピーを許可します。
2
次に、お使いの Mac OS X Server 上で VPN サービスを設定して、使用するプロトコルの EAP-SecurID
認証を有効にします。これを PPTP で使用するには、次の 2 つのコマンドを「ターミナル」で実行し
ます(各コマンドは 1 行で入力します):
# sudo serveradmin settings
vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorEAPPlugins:_array_index
: 0 = "EAP-RSA"
# sudo serveradmin settings
vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorProtocol:_array_index:0
= "EAP"
これを L2TP で使用するには、次の 2 つのコマンドを「ターミナル」で実行します:
# sudo serveradmin settings
vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorEAPPlugins:_array_index
: 0 = "EAP-RSA"
# sudo serveradmin settings
vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorProtocol:_array_index:0
= "EAP"
これで、SecurID の設定は終了しました。Mac OS X Server の VPN サービス設定の残りは、
「サーバ
管理」アプリケーションを使って実行できます。
108
第6章
VPN サービス
VPN サービスを監視する
このセクションでは、機能している VPN サービスの監視に関する作業について説明します。状況レ
ポートへのアクセス、ログオプションの設定、ログの表示、および接続の監視などがあります。
VPN の状況の概要を表示する
VPN の概要では、有効な VPN サービスについての簡単な状況レポートを表示できます。接続してい
る L2TP および PPTP クライアント数、選択した認証方法、サービスの開始時刻などが分かります。
概要を表示するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから VPN サービスを選択します。
2 「概要」ボタンをクリックします。
VPN サービスのログの詳細レベルを設定する
VPN サービスで記録する詳細のレベルを選択できます。
• 詳細ログをオフにすると、すぐに対応する必要がある状態(たとえば、 VPN サービスが起動でき
ないとき)だけを示すように設定できます。
• 詳細ログをオンにすると、ルーティング機能を含む、VPN サービスによるすべてのアクティビティ
を記録します。
デフォルトでは詳細ログはオンになっています。
VPN ログの詳細を設定するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから VPN サービスを選択します。
2 「設定」をクリックします。
3
4
5
「ログ」タブを選択します。
必要に応じて詳細ログをオンにし、詳細なログの作成を有効にします。
「保存」をクリックします。
VPN のログを表示する
仮想プライベートネットワークを障害なく運用できるように、VPN ログを監視する必要があります。
VPN ログを使用すると、問題を解決するのに役立ちます。ログに表示されるのは、「/var/log/ppp/
vpnd.log 」ファイルです。テキスト・フィルタ・ボ ックスを使用して、ルールをさ らにフィルタリ
ングできます。
ログを表示するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから VPN サービスを選択します。
2 「ログ」をクリックします。
第6章
VPN サービス
109
VPN クライアント接続を表示する
仮想プライベートネットワークに安全にアクセスできるように、 VPN クライアント接続を監視する
ことができます。クライアント接続の画面には、接続しているユーザ、ユーザの接続元 IP アドレス、
ネットワークで割り当てられた IP アドレス、および接続の種類と期間が表示されます。
列の見出しをクリックして、リストを並べ替えることができます。
クライアント接続を表示するには:
1
「サーバ管理」で、「コンピュータとサービス」リストから VPN サービスを選択します。
2 「接続」をクリックします。
VPN を使用する一般的なネットワーク管理作業
以下のセクションでは、VPN サービスを使用する一般的なネットワーク管理作業をいくつか説明し
ます。
家庭のコンピュータをリモートネットワークに接続する
VPN を使用すると、コンピュータをリモートネットワークに接続して、リモートネットワークが物
理的に LAN に接続されているかのようにアクセスできます。この例では、次の情報を使用します:
• ユーザは、名前とパスワードを使って認証できます。
• 目的の VPN タイプ: L2TP
• 共有シークレット: prDwkj49fd!254
• VPN ゲートウェイのインターネットまたはパブリック IP アドレス: gateway.example.com
• プライベートネットワーク IP アドレスの範囲とネットマスク: 192.168.0.0 ∼ 192.168.0.255
(192.168.0.0/24 または 192.168.0.0:255.255.255.0 とも表現されます)
• DHCP の開始および終了アドレス: 192.168.0.3–192.168.0.127
• プライベートネットワークの DNS IP アドレス: 192.168.0.2
この設定の結果は VPN クライアントであり、L2TP 経由でリモート LAN にフルアクセス可能になり
ます。
手順 1 : VPN を設定する
1
「サーバ管理」で、「コンピュータとサービス」リストから VPN サービスを選択します。
2 「設定」をクリックします。
3
「一般」タブを選択します。
4
「L2TP」を選択します。
5
共有シークレットを入力します(prDwkj49fd!254)。
共有シークレットは、クラスタのメンバーを認証する一般的なパスワードです。IPSec は共有シーク
レットを事前共有鍵として使用して、クラスタノード間の安全なトンネルを確立します。
110
第6章
VPN サービス
6 VPN の割り当て範囲の開始 IP アドレスを設定します。
DHCP の割り当て範囲と重複することはできないため、192.168.0.128 を入力します。
7 VPN の割り当て範囲の終了 IP アドレスを設定します。
DHCP の割り当て範囲と重複することはできないため、192.168.0.255 を入力します。
8
グループを空白のままにして、すべてのワークグループが VPN ログインにアクセスできるようにし
ます。
9
10
「保存」をクリックします。
「クライアント情報」タブを選択します。
11
内部の LAN DNS サーバの IP アドレスを入力します(192.168.0.2)。
12
ルーティング定義を空のままにします。
クライアントからのすべてのトラフィックが VPN トンネルを経由します。
13 「保存」をクリックします。
14 VPN サービスを開始します。
手順 2 : ファイアウォールを設定する
1 VPN の割り当て範囲のアドレスグループを作成します。
詳しくは、67 ページの「アドレスグループを作成する」を参照してください。
2
「任意」のアドレスグループで L2TP 接続を有効にして、外部 VPN 接続に対してファイアウォールを開
きます。
詳しくは、68 ページの「標準サービスにファイアウォールを開放する」を参照してください。
3 VPN
アドレスグループのファイアウォールを設定して、必要に応じてポートおよびサービスを許可
または拒否します。
4
変更を保存し、必要に応じてファイアウォールを開始または再起動します。
手順 3 : クライアントを設定する
このクライアント例は、「インターネット接続」を使用する Mac OS X クライアントです。
1
「インターネット接続」を開きます。
2
「ファイル」>「新規 VPN 接続」と選択します。
3
「L2TP over IPSec 」を選択します。
4
「設定」ポップアップメニューから「設定を編集」を選択します。
5
次の設定情報を入力します:
a サーバ名: gateway.example.com
b アカウント名: < ユーザのショートネーム >
c 「認証」: パスワードを使用 < ユーザのパスワード >
d 共有シークレット: prDwkj49fd!254
6
「OK」をクリックします。
これで、ユーザは接続する準備ができました。
第6章
VPN サービス
111
リモート・ネットワーク・ファイアウォールの背後にある単一のコンピュー
ティングアセットにアクセスする
ファイアウォールの背後にある単一のコンピューティングアセットにアクセスすることは、クライア
ントがリモートネットワーク上のノードになるのを許可することとは異なります。前の例では、VPN
ユーザのコンピュータはリモート LAN の完全な参加者になります。この新しいシナリオでは、アク
セスするアセットは 1 台のファイルサーバであり、VPN ユーザのコンピュータはリモート LAN とそ
れ以外の接続を行いません。このシナリオでは、110 ページの「家庭のコンピュータをリモートネッ
トワークに接続する」のセクションにあるすべての情報に加えて、以下の情報を想定しています:
• ファイルサーバの IP アドレス: 192.168.0.15
• ファイルサーバのタイプ: Apple ファイル共有
このシナリオでは、以下の点を除いて、110 ページの「家庭のコンピュータをリモートネットワーク
に接続する」にあるすべての手順に従います:
m 手順 1 のパート 12 で、ルーティング定義を空のままにしません。
ファイルサーバの IP 番号( 192.168.0.15 255.255.255.255)を使ってプライベートルートを作成します。
m 手順 2 のパート 3 で、Apple ファイル共有プロトコルの接続および VPN アドレスグループからの DNS
だけを受け付けるようにファイアウォールを設定します。
これで、VPN ゲートウェイ経由でログインした VPN ユーザがファイルサーバにアクセスできるよう
になります。そ の他のネットワークトラ フィックが暗号化され たゲートウェイを経由 することはあ
りません。
複数のリモート・ネットワーク・サイトを接続する
VPN を使用すると、コンピュータをメインネットワークに接続するだけでなく、別のネットワーク
を接続することもできます。このため、2 つのネットワークが物理的に接続されているかのように対
話することができます。各サイトにはインターネットへの独自の接続が必要ですが、個人データは 2
つのサイト 間で暗号化されて送信 されます。この機能がよく 利用されるのは、サテライ トオフィス
を組織のメインオフィスの LAN に接続する場合です。
サイト間用の VPN 管理ツールについて
複数のリモート LAN サイトをメイン LAN に接続するには、Mac OS X Server にインストールされ
ている s2svpnadmin (「site-to-site VPN admin」の略)というコマンドラインユーティリティを
使用する必要があります。s2svpnadmin を使用するには、
「ターミナル」の使用、および sudo を
使用したルート権限への管理アクセスに習熟している必要があります。 s2svpnadmin について詳
しくは、次のように入力してマニュアルページを参照してください:
man s2svpnadmin
複数のリモート LAN サイトをメイン LAN に接続するには、セキュリティ証明書の作成も必要にな
ることがあります。 s2svpnadmin ツールでは、共有シークレット認証(両方のサイトの設定ファ
イルにパス ワードがあります)または 証明書認証を使用して リンクを作成できます。証 明書認証を
使用する場合は、 s2svpnadmin を実行する前に証明書を作成する必要があります。
サイト間の VPN 接続を作成するには、必ず L2TP/IPSec VPN 接続を使用する必要があります。PPTP
とこれらの手順を使用して 2 つのサイトを接続することはできません。
112
第6章
VPN サービス
この例では、次の情報を使用します:
• 目的の VPN タイプ: L2TP
• 共有シークレットを使用した認証
• 共有シークレット: prDwkj49fd!254
• VPN メイン LAN ゲートウェイ(「サイト 1」)のインターネットまたはパブリック IP アドレ
ス: A.B.C.D
• VPN リモート LAN ゲートウェイ(「サイト 2」)のインターネットまたはパブリック IP アドレ
ス: W.X.Y.Z
• サイト 1 のプライベート IP アドレス: 192.168.0.1
• サイト 2 のプライベート IP アドレス: 192.168.20.1
• サイト 1 のプライベートネットワーク IP アドレスの範囲とネットマスク: 192.168.0.0–
192.168.0.255 (192.168.0.0/24 または 192.168.0.0:255.255.0.0 とも表現されます)
• サイト 2 のプライベートネットワーク IP アドレスの範囲とネットマスク: 192.168.20.0–
• 192.168.20.255(192.168.20.0/16 または 192.168.0.0:255.255.0.0 とも表現されます)
• 組織の DNS IP アドレス: 192.168.0.2
この設定の結果は補助的なリモート LAN であり、L2TP 経由でメイン LAN に接続されます。
手順 1 : 両方のサイトのゲートウェイで s2svpnadmin を実行する
1
「ターミナル」で、次のように入力して s2svpnadmin を開始します:
sudo s2svpnadmin
2
3
「Configure a new site-to-site server」の番号を入力します。
識別するための設定名を入力します(空白は使用できません)。
この例では、サイト 1 のゲートウェイに対して「site_1」のように入力できます。
4
ゲートウェイのパブリック IP アドレスを入力します。
この例では、サイト 1 のゲートウェイに対して A.B.C.D を、サイト 2 のゲートウェイに対して W.X.Y.Z
を入力します。
5
ほかのサイトのパブリック IP アドレスを入力します。
この例では、サイト 1 のゲートウェイに対して W.X.Y.Z を、サイト 2 のゲートウェイに対して A.B.C.D
を入力します。
6
共有シークレット認証用に「s 」を入力して、共有シークレットを入力します:
(「prDwkj49fd!254」)。
証明書認証 を使用している場合は、
「 c 」を入力して、使用するイ ンストール済みの証明 書を選択し
ます。
7
この設定用のアドレッシングポリシーを 1 つ以上入力します。
8
ローカル・サブネット・アドレスを入力します(例:サイト 1 には 192.168.0.0 、サイト 2 には
192.168.20.0)。
9
アドレス範囲のプレフィクスビットを CIDR 表記で入力します。
この例では、サブネット範囲の CIDR 表記はサイト 1 の場合で 192.168.2.0/16 なので、「 16」を入力
します。
第6章
VPN サービス
113
10
リモート・サブネット・アドレスを入力します(例:サイト 1 には 192.168.20.0、サイト 2 には
192.168.0.0)。
11
アドレス範囲のプレフィクスビットを CIDR 表記で入力します。
この例では、サブネット範囲の CIDR 表記はサイト 1 の場合で 192.168.2.0/16 なので、「 16」を入力
します。
12
さらにポリシーを作成する場合は、ここで指定します。作成しない場合は、Return キーを押します。
接続するサイトがほかにもあるか、もっと複雑なアドレスを設定する(メイン LAN とリモート LAN
の一部だけを接続する)場合は、ここでこの設定用のポリシーをさらに作成します。
新しいポリシーを作成する場合は、前のポリシー手順を繰り返します。
13
「y」を押して、サイト設定を有効にします。
サーバの詳細設定を表示して設定名(この例では「site_1」)を入力することで、設定を二重にチェッ
クできます。
14 s2svpnadmin を終了します。
手順 2 : 両方のサイトのゲートウェイでファイアウォールを設定する
1 LAN ゲートウェイのパブリック IP アドレスだけを使ってアドレスグループを作成します。
この例では、サイト 1 には A.B.C.D/32 を、サイト 2 には W.X.Y.Z/32 を使用します。
詳しくは、67 ページの「アドレスグループを作成する」を参照してください。
2
「任意」のアドレスグループで L2TP 接続を有効にして、外部 VPN 接続に対してファイアウォールを開
きます。
詳しくは、68 ページの「標準サービスにファイアウォールを開放する」を参照してください。
3
両方のサイトのゲートウェイで次の詳細な IP フィルタルールを作成します:
ルール 1
操作:許可
プロトコル:UDP
ソースのアドレス: A.B.C.D
宛先のアドレス: W.X.Y.Z
インターフェイス: その他、
「 isakmp 」を入力
ルール 2
操作:許可
プロトコル:UDP
ソースのアドレス: W.X.Y.Z
宛先のアドレス: A.B.C.D
インターフェイス: その他、
「 isakmp 」を入力
114
第6章
VPN サービス
ルール 3
操作:許可
プロトコル: その他、
「 esp 」を入力
ソースのアドレス: A.B.C.D
宛先のアドレス: W.X.Y.Z
ルール 4
操作:許可
プロトコル: その他、
「 esp 」を入力
ソースのアドレス: W.X.Y.Z
宛先のアドレス: A.B.C.D
ルール 5
操作:許可
プロトコル: その他、
「 ipencap」を入力
ソースのアドレス: A.B.C.D
宛先のアドレス: W.X.Y.Z
ルール 6
操作:許可
プロトコル: その他、
「 ipencap」を入力
ソースのアドレス: W.X.Y.Z
宛先のアドレス: A.B.C.D
詳細なルールの作成について詳しくは、70 ページの「詳細な IP ファイアウォール・ルールを作成す
る」を参照してください。
4
これらのルールにより、暗号化されたトラフィックを両方のホストに渡すことが可能になります。
5
変更を保存し、必要に応じてファイアウォールを開始または再起動します。
手順 3 : 両方のサイトのゲートウェイで VPN サービスを開始する
1
両方の VPN ゲートウェイに対して、
「サーバ管理 」で、
「コンピュータとサービス」リストから VPN
サービスを選択します。
s2svpnadmin を正しく使用すれば、「サービスを開始」ボタンが有 効になり、使用できるようにな
ります。
2
「サービスを開始」をクリックします。
これで、ローカル LAN からリモート LAN 上のコンピュータにアクセスできるようになりました。
ping などの方法を使って、 リンクを確認できます。
第6章
VPN サービス
115
その他の情報
L2TP/IPSec に関する詳しい情報:
IETF( Internet Engineering Task Force )は、L2TP/IPSec ユーザ認証の公式な標準を策定していま
す。詳しくは、次の Web サイトを参照してください:
www.ietf.org/ids.by.wg/ipsec.html
Request For Comments 書類
RFC(Request for Comments)書類には、プロトコルやサービスの概要と、プロトコルの動作に関
する詳しい情報が記載されてい ます。サーバの管理を始めたばかりの方にとって、 RFC の背景情報
は参考になるでしょう。経験豊富 なサーバ管理者の場合、RFC 書類 によって、プロトコルに関する
詳細な技術情報をすべて確認できます。RFC 書類は、 Web サイト www.ietf.org/rfc.html で、番号
で検索できます。
• L2TP の説明については、 RFC 2661 を参照してください。
• PPTP の説明については、RFC 2637 を参照してください。
• Kerberos バージョン 5 については、 RFC 1510 を参照してください。
116
第6章
VPN サービス
7
NTP サービス
7
NTP(Network Time Protocol )は、ネットワーク上のコンピュータの時計を、時刻参照用時計に同
期する ために使 用される ネットワ ークプロト コルです。 NTP は、ネット ワーク上 のすべて のコン
ピュータから同じ時刻が報告されるようにするために使用されます。
ある独立した ネットワークや単体の コンピュータが正しく ない時間で運用されてい ると、時刻や日
付のスタンプを使用するサービス(メールサービスや、時刻の Cookie を使用する Web サービス)
では正しくな い時刻や日付のスタン プを送信し、インターネッ ト上のほかのコンピュ ータと時刻が
一致しなく なります。たとえば、メールメ ッセージの着信日時が 実際に送信されたタイ ムスタンプ
の日時より数 分または数年前だった り、返信したメッセージの 送信日時が実際に送信 した日時の前
になることがあります。
NTP の動作
NTP では、UTC(Universal Time Coordinated)をその参照時刻とします。UTC は、原子の振動を
基準にしていています。UTC に基づいて動作する時計は、「原子時計」とも呼ばれます。
インターネット全体で、信頼のおける NTP サーバ(Stratum 1 サーバと呼ばれます)では、現在の
UTC 時刻を監視し続けます。配下にあるその他のサーバ(Stratum 2 および 3 サーバと呼ばれます)
は Stratum 1 サーバに定期的に問い合わせて、ネットワーク上で問い合わせの送受信にかかった時
間を見積もります。問い合わせ結果にこの見積もりを考慮して、 Stratum 2 または 3 自身の時刻を
設定します。この見積もりでは、ナノ秒まで誤差がありません。
ローカルネットワークでは、Stratum 3 に対して時刻を問い合わせます。その後は、同じプロセスを
繰り返します。ネットワーク上の NTP クライアントコンピュータは UTC 時間参照を取得し、タイム
ゾーン設定に基づいてローカルタイムに変換し、それに従って内部時計を設定します。
117
ネットワークで NTP を使用する
Mac OS X Server は、 NTP クライアントとしてインターネットタイムサーバから信頼のおける時刻
を受信する だけでなく、ネットワーク で信頼のおけるタイム サーバとしても動作し ます。ローカル
クライアン トは設置したサーバに 問い合わせて、時計を設定 できます。サーバを時刻の 問い合わせ
に応答するよ うに設定する場合は、イン ターネットの信頼のお けるサーバに問い合わ せるようにも
設定してください。
NTP サービスを設定する
NTP サービスをネットワークで 実行することにした場合は、指定したサーバがより信頼のあるタイ
ムサーバにアクセスできるようにしてください。アップルでは Stratum 2 タイムサーバ
time.apple.com をお客様向けに用意しています。
さらにファイアウォールで、信頼のおけるタイムサーバへの NTP の問い合わせと、ローカルクライ
アントからの着信の問い合わせとが、それぞれ UDP ポート 123 で可能になるようにする必要があり
ます。ファイアウォールの設定について詳しくは、59 ページの第 4 章「IP ファイアウォールサービ
ス」を参照してください。
NTP サービスを設定するには:
1
2
「サーバ管理」を開きます。
サーバで「日付と時刻を自動的に設定」が設定されていることを確認します。
この設定は、サーバの「サーバ管理」の「設定」パネルの「日付と時刻」パネルにあります。
3
118
タイムサーバとして機能させるサーバを選択します。
4
「設定」をクリックします。
5
「一般」タブを選択します。
6
「NTP を有効にする」を選択します。
7
「保存」をクリックします。
第7章
NTP サービス
クライアントで NTP を設定する
ローカルのタ イムサーバを設定した ら、ネットワーク日付や時 刻を得るためにタイム サーバに問い
合わせるよ うに、クライアントを設 定できます。デフォルトで は、クライアントはアッ プルのタイ
ムサーバに 問い合わせできます。以下 の手順では、設置したタイ ムサーバに問い合わせ るようにク
ライアントを設定します。
クライアントの NTP を設定するには:
1
「システム環境設定」を開きます。
2
「日付と時刻」をクリックします。
3
「日付と時刻を自動的に設定」を選択します。
4
ポップアップメニューを使うのではなく、フィールドのテキストを選択して削除します。
5
タイムサーバのホスト名を入力します。
ホスト名はドメイン名(time.example.com など)でも IP アドレスでもかまいません。
6
「システム環境設定」を終了します。
その他の情報
NTP ワークグループ、書類、および NTP のよくある質問とその答えについては、次の Web サイト
にあります:
www.ntp.org
公開されている NTP サーバとその使用ポリシーのリストについては、次の Web サイトにあります:
www.eecis.udel.edu/~mills/ntp/servers.html
Request For Comments 書類
RFC(Request for Comments)書類には、プロトコルやサービスの概要と、プロトコルの動作に関
する詳しい情報が記載されてい ます。サーバの管理を始めたばかりの方にとって、 RFC の背景情報
は参考になるでしょう。経験豊富 なサーバ管理者の場合、RFC 書類 によって、プロトコルに関する
詳細な技術情報をすべて確認できます。RFC 書類は、次の Web サイトで番号で検索することができ
ます:
www.ietf.org/rfc.html
NTP バージョン 3 の公式な仕様は、RFC 1305 です。
第7章
NTP サービス
119
8
VLAN のサポート
8
VLAN を理解する
Mac OS X Server では、 Xserve で利用可能かまたは付属している Ethernet ポートおよびセカンダ
リー PCI ギガビット Ethernet カード上で、802.1q VLAN(Virtual Local Area Network)をサポー
トしています。VLAN を使用すると、異なる物理 LAN 上にある複数のコンピュータが同一の LAN 上
にあるかの ように相互に通信でき ます。利点としては、ネットワ ーク帯域幅の使用効率 の向上やセ
キュリティ の向上があります。これ は、ブロードバンドやマル チキャスト・トラフィッ クが共通の
ネットワークセグメント上のコンピュータにのみ送信されるためです。
Xserve G5 VLAN のサポートは、IEEE 標準 802.1q に準拠しています。
VLAN のクライアントメンバーシップを設定する
「システム環境設 定」の「ネットワーク」パネルの「 VLAN」領域で、 VLAN を設定お よび管理でき
ます。VLAN に対応していない( 802.1Q に準拠していない)装置がタグなしのフレームを転送する
ように設定されていることを確認することは重要です。多くの Ethernet カードは 802.1Q に準拠し
ていません。それらの Ethernet カードがタグ付きのフレームを受信すると、VLAN タグを認識でき
ないためにフレームを削除します。
参考:Xserve G5 システムなど、お使いのハードウェアがこの機能をサポートしている場合にのみ、
「ネットワーク」パネルのこの部分が表示されます。
VLAN を設定するには
1
サーバに管理者としてログインします。
2
「システム環境設定」の「ネットワーク」パネルを開きます。
3
「表示」ポップアップメニューから「ネットワークポート設定」を選択します。
4
「VLAN」ボタンをクリックします。
5 VLAN で使用したい Ethernet ポートを選択します。
6
「VLAN を作成」をクリックします。
121
7 VLAN の名前を入力し、「タグ」フィールドでタグ(1 ∼ 4094 の数字)を指定して「OK」をクリック
します。
この VLAN タグは VLAN ID(VID)を示しています。各論理ネットワークには一意の VID がありま
す。同じ VID を使って設定されたインターフェイスは、同じ仮想ネットワーク上にあります。
「今すぐ適用」をクリッ
8 VLAN を使用するには、ネットワークポート設定のリストで VLAN を選択し、
クします。
その他の情報
インターネット上にある、VLAN に関する詳しい情報については、次を参照してください:
www.ieee.org
VLAN 標準は IEEE によって定義されています。
リファレンスマニュアル
リファレンス マニュアルでは、プロトコ ルの概要とプロトコル の動作に関する詳しい 情報を得るこ
とができま す。サーバの管理を始めた ばかりの方にとって、リフ ァレンスマニュアルの 背景情報は
参考になる でしょう。経験豊富なサ ーバ管理者の場合、リファ レンスマニュアルに よって、プロト
コルに関する詳細な技術情報を確認できます。次の場所で利用できます:
standards.ieee.org/getieee802/download/802.1Q-1998.pdf
122
第8章
VLAN のサポート
9
IPv6 サポート
9
IPv6 は、「Internet Protocol Version 6」の省略形です。IPv6 は、インターネットの次世代プロトコ
ルで、現在の Internet Protocol である IP Version 4 (IPv4 、または単に IP)に取って代わるものと
して設計されています。
現在の Internet Protocol では、 インターネットの 成長と流行に対応す る上で問題が生じ るように
なっています。IPv4 の主な問題は次の通りです:
• 限定された IP アドレッシング。
IPv4 のアドレスは 32 ビットです。つまり、43 億個のネットワークアドレスしかありません。
• ルーティングと設定の負荷が増大してきた。
インターネットに新しいコンピュータが接続するにしたがって、 IPv4 情報をルーティングするた
めのネットワークのオーバーヘッド、メモリ、時間が急速に増大してきました。
• エンドツーエンドの通信がいつも遠回りになってしまう。
この点は、実際には IPv4 アドレッシングの問題から生じています。コンピュータの数が増加し、
アドレスの不足 がさらに深刻になってきたため に、別のアドレス方式およびルー ティングサービ
スである NAT(Network Address Translation)が開発されました。 NAT は、 2 つのネットワー
ク・エンド・ポイント を仲介および分離します。た だし、これによりネットワーク サービスの多
くが失敗したり、制限されてきました。
IPv6 ではこれらの問題を解決したり、改善したりします。ルーティングやネットワークの自動設定
を強化します。ネットワークアドレス数が 3 × 1038 個以上に増え、NAT を使用する必要性がなくな
ります。IPv6 は何年もかけて徐々に IPv4 に取って代わる計画で、移行中は両方が共存します。
この章では、Mac OS X Server で使用される IPv6 対応サービスをリスト し、それらのサービスで
IPv6 アドレスを使用する際のガイドラインを示し、IPv6 のアドレスの種類と表記を説明します。
123
IPv6 対応サービス
Mac OS X Server の次のサービスは、 アドレッシングに IPv6 をサポートしています:
• DNS( BIND )
• IP ファイアウォール
• メール(POP/IMAP/SMTP)
• SMB/CIFS
• Web(Apache 2)
さらに、Mac OS X Server にインストールされているコマンドラインツールにも、 IPv6 をサポート
するものがあります(ping6、traceroute6 など)。
サーバ管理での IPv6 アドレス
前述のサービスでは、ユーザインターフェイスでの IPv6 アドレスはサポートしていません。IPv6 ア
ドレスを追 加するにはコマンドラ インツールを使用して 設定できますが、同じアド レスを「サーバ
管理」のアドレスフィールドに入力してもエラーになります。
IPv6 アドレス
IPv6 のアドレスは IPv4 のアドレスと異なります。アドレスを変えると、アドレスの表記、予約済み
アドレス、アドレスモデル、アドレスの種類に変更があります。
表記
IPv4 アドレスは 4 バイト長で 10 進数で表記しますが、IPv6 アドレスは 16 バイトで、多くの方法で
表記できます。
IPv6 アドレスは、一般に次の形式で記述されます:
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
IPv6 のバイトのペアはコロン(:)で区切られ、それぞれのバイトは 16 進数のペアで表されます。た
とえば次のようになります:
E3C5:0000:0000:0000:0000:4AC8:C0A8:6420
または
E3C5:0:0:0:0:4AC8:C0A8:6420
IPv6 アドレスでは、値が 0 のバイトが多く含まれることがあるため、省略表記が利用できます。省
略表記では、テキスト表現から 0 を取り除いて、コロンを並べることができます:
E3C5::4AC8:C0A8:6420
124
第9章
IPv6 サポート
最後の表記法では、IPv4 アドレスを含めることができます。 多くの IPv6 アドレスは IPv4 アドレス
を拡張したものであるため、IPv6 アドレスで一番右側の 4 バイト(一番右側の 2 つのバイトペア)
を IPv4 表記で書き直すことができます。この混合表記は、(上記の例を使用すると)次のように表
現されます:
E3C5:4AC8:192.168.100.32
IPv6 の予約アドレス
IPv6 では、 2 つのアドレスを予約していて、ネットワークノードが通信目的に使用できないように
なっています:
0:0:0:0:0:0:0:0(指定なしアドレス、プロトコル内部で使用)
0:0:0:0:0:0:0:1(ループバックアドレス、IPv4 での 127.0.0.1 と同じ)
IPv6 のアドレッシングモデル
IPv6 アドレスは、インターフェイス(Ethernet カードなど)に割り当てられ、ノード(コンピュー
タなど)には割り当てられません。1 つのインターフェイスに複数の IPv6 アドレスを割り当てるこ
とができます。また、負荷を共有するために、1 つの IPv6 アドレスを複数のインターフェイスに割
り当てることもできます。ルーターには IPv6 アドレスが必要なく、ルーターにポイントツーポイン
トのユニキャストを設定する必要がありません。さらに、IPv6 では IPv4 アドレスのクラスを使用し
ません。
IPv6 アドレスの種類
IPv6 では、次の 3 種類の IP アドレスの種類をサポートしています:
• ユニキャスト(1 対 1 通信)
• マルチキャスト(1 対多通信)
• エニーキャスト
IPv6 ではブロードキャストをサポートしていません。マルチキャストをネットワークブロードキャ
ストに使用します。それ以外は、IPv6 のユニキャストとマルチキャストは IPv4 と同じです。IPv6 の
マルチキャストアドレスは、先頭が「FF」(255 )になります。
エニ ーキャス トはマ ルチキ ャストの 一種で す。マルチ キャスト はマル チキャ ストグル ープ内 の全
ノードにメッセージを配信しますが、エニーキャストはマルチキャストグループ内のいずれか 1 ノー
ドにメッセージを配信します。
第9章
IPv6 サポート
125
その他の情報
Internet Protocol Version 6 のワーキンググループの Web サイトは次の通りです:
www.ipv6.org
IPv6 推進者のグループは、次の Web サイトで IPv6 をサポートするアプリケーションのリストを管
理しています:
www.ipv6forum.com/navbar/links/v6apps.htm
Request For Comments 書類
RFC(Request for Comments)書類には、プロトコルやサービスの概要と、プロトコルの動作に関
する詳しい情報が記載されてい ます。サーバの管理を始めたばかりの方にとって、 RFC の背景情報
は参考になるでしょう。経験豊富 なサーバ管理者の場合、RFC 書類 によって、プロトコルに関する
詳細な技術情報をすべて確認できます。RFC 書類は、次の Web サイトで番号で検索することができ
ます:
www.ietf.org/rfc.html
29 以上の IPv6 関連 RFC 書類があります。関連書類のリストは次の Web サイトにあります:
www.ipv6.org/specs.html
126
第9章
IPv6 サポート
用語集
用語集
この用語集では、オンラインヘルプや「Mac OS X Server ネットワークサービスの管理 バージョン
10.4 以降用」で使用されている用語の定義と略語の意味を 説明します。用語集に定義されている語
句は太字で記載されています。
ACL Access Control List の略語。システムによって管理されるファイルの 1 つ。そのシステムのリ
ソースに対するユーザとグループのアクセス権限を定義しています。
Challenge Handshake Authentication Protocol 「CHAP」を参照してください。
CHAP Challenge Handshake Authentication Protocol の略語。一般 的な認証プロトコル。「MSCHAP」も参照してください。
DHCP Dynamic Host Configuration Protocol の略語。クライアントコンピュータに IP アドレスを
動的に割り当てるためのプロトコル。クライアントコンピュータが起動するたびに、DHCP は DHCP
サーバを検索し、見つかった DHCP サーバに IP アドレスを要求します。DHCP サーバは、使用可能
な IP アドレスを調べ、これをリース期間に合わせてクライアントコンピュータに送ります。リース
期間とは、クライアントコンピュータがアドレスを使用できる期間のことです。
DHCP リース期間 「リース期間」を参照してください。
DNS Domain Name System の略語。IP アドレスをドメイン名にマップする分散型のデータベース。
DNS サーバは、ネームサーバとも呼ばれ、名前および名前に関連付けられた IP アドレスのリストを
保持します。
DNS ドメイン Domain Name System で IP アドレスと名前の変換に使用する一意のコンピュータ
名。「ドメイン名」とも呼ばれます。
「ド
DNS 名 Domain Name System で IP アドレスと名前の変換に使用する一意のコンピュータ名。
メイン名」とも呼ばれます。
Domain Name System「DNS」を参照してください。
Dynamic Host Configuration Protocol「DHCP」を参照してください。
EAP Extensible Authentication Protocol の略語。認証プロトコルの 1 つで、複数の認証方法に対
応しています。
127
Ethernet ローカル・エリア・ネットワークで普及している技術の 1 つで、TCP/IP などのプロトコ
ルを使ってパケットと呼ばれる単位でデータが転送されます。
Ethernet ID 「MAC アドレス」を参照してください。
FTP File Transfer Protocol の略語。コンピュータがネットワーク経由でファイルを転送する際に使
用するプロトコル。FTP をサポートするオペレーティングシステムを使っている FTP クライアント
は、各自のアク セス権に応じて、ファイ ルサーバに接続し、フ ァイルをダウンロー ドできます。ほ
とんどのインターネットブラウザおよび多数のフリーウェア・アプリケーションを使って、FTP サー
バにアクセスできます。
GB ギガバイト。1,073,741,824(230)バイト。
HTTP Hypertext Transfer Protocol の略語。World Wide Web 用のクライアント/サーバ型のプロ
トコル。Web ブラウザは、HTTP プロトコルを利用して、Web サーバにアクセスし、HTML を使っ
て作成されたハイパーメディア書類を要求します。
Hypertext Transfer Protocol「HTTP」を参照してください。
IANA Internet Assigned Numbers Authority の略語。IP アドレスやプロトコルパラメータの割り
当て、ドメイン名の管理を行う組織。
ICMP Internet Control Message Protocol の略語。ホス トサーバ とゲート ウェイの 間で使用 する
メッセージ制御とエラーレポートのプロトコル。たとえば、一部のインターネット・ソフトウェア・
アプリケーションでは、ICMP を使用して、2 つのホスト間でパケットを巡回させて巡回時間を判別
し、ネットワークの問題を検出します。
IEEE Institute of Electrical and Electronics Engineers, Inc. の略語。コンピュータ技 術と電気技術
の規格を促進するために設立された組織。
IGMP Internet Group Management Protocol の略語。マルチキャストと呼ばれる処理の中で、ホ
スト およびル ーター が参加を 希望す るホスト のリス トにパケ ットを 送信する ために 使用する イン
タ ー ネッ ト プ ロ トコ ル。 QuickTime Streaming Server(QTSS)で は、SLP(Service Location
Protocol )と同様に、マルチキャストアドレス方式が使用されます。
Internet Assigned Numbers Authority 「IANA」を参照してください。
Internet Control Message Protocol 「ICMP」を参照してください。
Internet Group Management Protocol 「IGMP」を参照してください。
Internet Message Access Protocol「IMAP」を参照してください。
Internet Protocol 「IP」を参照してください。
IP Internet Protocol の略語。IPv4 とも呼ばれます。ローカルネットワークまたはインターネット
を経由してコンピュータ間でデータを送受信するために、TCP(Transmission Control Protocol)と
共に使用される方式。IP がデータパケットを実際に配送するのに対し、 TCP はデータパケットを管
理します。
128
用語集
IPSec IP のセキュリティを強化する技術。L2TP VPN 接続でデータを安全に転送するためのプロト
コル。IPSec はネットワーク層として機能して、 IPSec に参加しているノード間で転送される IP パ
ケットを保護および認証します。
IPv4「IP」を参照してください。
IPv6 Internet Protocol バージョン 6。IP(IPv4 とも呼ばれます)に代わる次世代の通信プロトコ
ル。IPv6 では、使用できるネットワークアドレスの数が大幅に増え、インターネット上のルーティ
ングの負荷を低下させることができます。
IP アドレス インターネット上のコンピュータを識別するために使われる、数字で構成される一意の
アドレス。
IP サブネット IP ネットワークの一部。ネット ワークアドレスはネットワークの ほかの部分と共有
し、サブネット 番号によって識別され ます。物理的に独立したネ ットワークセグメント の場合もあ
ります。
ISP Internet service provider の略語。インターネットへのアクセスを販売し、場合によってはメー
ルサービスや電子商取引用アプリケーションの Web ホストとしての機能を提供するビジネス。
KB キロバイト。1,024(210)バイト。
L2TP Layer Two Tunnelling Protocol の略語。VPN 接続で使用されるネットワーク・トランスポー
ト・プロトコル。基本的には、Cisco 社の L2F および PPTP の組み合わせです。 L2TP 自体は暗号化
プロトコルではないので、パケットの暗号化には IPSec が使用されます。
LAN ローカル・エリア・ネットワーク。特定の施設内を接続するネットワーク。WAN(広域ネット
ワーク)の場合は、地理的に離れた施設を接続します。
LDAP Lightweight Directory Access Protocol の略語。ディレクトリドメインにアクセスするため
の標準規格のクライアント/サーバ型のプロトコル。
Lightweight Directory Access Protocol 「LDAP」を参照してください。
Mac OS X ア ップルのオペレーテ ィングシステムの最 新バージョン。Mac OS X で は、Macintosh
の操作性に UNIX の信頼性が追加されています。
Mac OS X Server 簡単な設定だけで Mac 、Windows、UNIX、および Linux クライアントに対応す
る、業務用のサ ーバプラットフォーム。拡 張可能なワークグルー プサービスとネットワ ークサービ
スや、高度なリモート管理ツールが用意されています。
MAC アドレス Media Access Control アドレス。ネットワーク上の各ノードを一意に識別するハー
ドウェアのアドレス。AirMac 装置の MAC アドレスは、AirMac ID と呼ばれます。
Media Access Control「MAC アドレス」を参照してください。
Microsoft Challenge Handshake Authentication Protocol「MS-CHAP」を参照してください。
用語集
129
MS-CHAP Microsoft Challenge Handshake Authentication Protocol の 略語。Windows 標 準の
VPN 認証方式。この認証方式では、パスワードがネットワーク上に送信されるときにエンコードさ
れ、スクランブルされた状態でパスワードがサーバ上に保管されます。ネットワーク転送中のセキュ
リティが向上します。MS-CHAP は、 Windows 仕様の CHAP です。
MX レコード メール交換レコード。DNS テーブルのエントリーの 1 つ。特定のインターネットドメ
インのメール をどのコンピュータが 管理しているかが指定 されています。あるメール サーバに特定
のインターネットドメインに配信するメールがある場合、メールサーバはそのドメインの MX レコー
ドを要求します。メールサーバは、MX レコードに指定されているコンピュータにそのメールを送信
します。
NAT Network Address Translation の略語。1 つの IP アドレスを使用して複数のコンピュータをイ
ンターネット(またはその他の IP ネットワーク)に接続する方法の 1 つ。内部のプライベートネッ
トワーク上でコンピュータに割り当てられた IP アドレスを、インターネット通信のために一意の正
式な IP アドレスに変換します。
NetInfo アップルのプロトコルの 1 つ。ディレクトリドメインにアクセスするときに使います。
Network Address Translation 「NAT」を参照してください。
NTP Network Time Protocol の略語。ネットワークプロトコルの 1 つで、ネットワーク上のコン
ピュータのクロックを参照クロックに同期させるときに使用され ます。NTP は、ネットワーク上の
すべてのコンピュータから同じ時刻が報告されるようにするために使用されます。
Point to Point Tunneling Protocol「PPTP」を参照してください。
Post Office Protocol 「POP」を参照してください。
PPTP Point to Point Tunneling Protocol の略語。VPN 接続で使用されるネットワーク・トランス
ポート・プロトコル。Windows 標準の VPN プロトコルで、ユーザが入力したパスワードを使って
暗号化鍵が生成されます。
PTR レコード ポインタレコード。 IP( IPv4)アドレスをドメイン名に変換する DNS レコードタイ
プ。DNS 逆引き参照で使用されます。
QTSS QuickTime Streaming Server の略語。インターネットを経由してリアルタイムでメディアを
配送するためのテクノロジー。
QuickTime Streaming Server「QTSS」を参照してください。
Secure Sockets Layer 「SSL」を参照してください。
SLP DA Service Location Protocol Directory Agent の略 語。利用できるサービスをネットワーク
に登録して、ユ ーザが簡単にアクセス できるようにするため のプロトコル。あるサービ スをネット
ワークに追加すると、そのサービスは SLP によって自動的にネットワークに登録されます。SLP/DA
では、リポジトリを使用して、登録済みネットワークサービスを集中的に管理しています。
130
用語集
SMTP Simple Mail Transfer Protocol の略 語。メールの送信 および転送に 使用されるプ ロトコル。
受信メッセー ジをキューに保存する 能力に限界があるため、通 常はメールを送信する ときだけ使用
され、メールを受信するときには POP または IMAP が使用されます。
SPAM 迷惑メールやジャンクメール。
SSL Secure Sockets Layer の略語。暗号化された認証済みの情報をインターネットで送信するため
のインターネットプロトコル。新しいバージョンの SSL は TLS(Transport Level Security)として
知られています。
SSL Secure Sockets Layer の略語。暗号化された認証済みの情報をインターネットで送信するため
のインターネットプロトコル。新しいバージョンの SSL は TLS(Transport Level Security)として
知られています。
Stratum 1 インターネット上で使用される、基準となる Network Time Protocol(NTP)サーバで、
現在の UTC 時刻に同期されています。ほかの階層も利用することができます(Stratum 2、Stratum
3 など)。この場合、大きい階層番号のサーバは、小さい階層番号のサーバから時刻を取得します。
TCP Transmission Control Protocol の略語。インターネットを経由してコンピュータ間でメッセー
ジ単位の形式のデータを送信するときに、IP(Internet Protocol)と共に使用される方式。IP がデー
タを実際に配送する処理を行うのに対して、TCP は個々のデータの単位(パケット)を追跡します。
インターネ ットでは、メッセージを効 率的にルーティングす るために、メッセージがパ ケットに分
割されます。
Time-To-Live 「TTL」を参照してください。
Transmission Control Protocol 「TCP」を参照してください。
TTL Time-To-Live の略語。 DNS 情報がキャッシュに保管されている期間。ドメイン名と IP アドレ
スのペアがキャッシュに保管されている期間が TTL 値を超えると、そのエントリーはサーバのキャッ
シュから削除されます(プライマリ DNS サーバからは削除されません)。
TXT レコード テキストレコード。 DNS レコードタイプの 1 つ。DNS クエリーに応答するためのテ
キスト文字列が保管されます。
UCE 商用目的の迷惑メール。「SPAM」を参照してください。
UDP User Datagram Protocol の略語。通信方法の 1 つ。Internet Protocol(IP)を使ってあるコ
ンピュータ のデータ単位(データグラ ムと呼ばれます)をネット ワーク上の別のコンピ ュータに送
信します。交換するデータ単位 量が非常に少ないネットワークアプリケーションの 場合は、TCP で
はなく UDP を使用することをお勧めします。
User Datagram Protocol「UDP」を参照してください。
UTC 協定世界時。標準参照時刻。UTC は、原子の振動を基準にしていています。UTC に基づいて動
作する時計は、「原子時計」とも呼ばれます。
Virtual Private Network 「VPN」を参照してください。
用語集
131
VPN Virtual Private Network の略語。インターネッ トなどのパブリッ クネットワークで セキュリ
ティ保護された通信を提供するための、暗号化およびその他の技術を使ったネットワーク。一般に、
VPN は、専用回線を使用する実際のプライベートネットワークよりも安価ですが、両方の終端で同
じ暗号化システムを使用する必要があります。暗号化は、ファイアウォールソフトウェアまたはルー
ターによって行われます。
WAN 広域ネットワーク。地理的に離れた施設を接続するネットワーク。LAN(ローカル・エリア・
ネットワ ーク)の場合は、特定 の施設内を接 続します。WAN インター フェイスは通常 、インター
ネットに接続されるインターフェイスとなります。
Windows Internet Naming Service「WINS」を参照してください。
WINS Windows Internet Naming Service の略語。Windows コンピュータが、クライアント名と
IP アドレスを照合するときに使用する名前解決サービス。WINS サーバは、ローカルネットワークに
設置することも、外部のインターネットに設置することもできます。
WLAN ワイヤレス・ローカル・エリア・ネットワーク。
アクセス権(permissions) フ ァイルシステム内 の共有項目に対する ユーザアクセスの 種類を定義
する設定。共有ポイント、フォルダ、またはファイルに対して、「読み出し/書き込み」、「読み出し
専用」、「書き込み専用」、「不可」
(アクセス権なし)の 4 つのタイプのアクセス権を割り当てること
ができます。「アクセス権(privileges)」も参照してください。
アクセス権(privileges) システムの制限された領域にアクセスする権限、またはシステム内で特定
のタスク(管理タスクなど)を実行する権限。
アクセス制御 ネ ットワークま たはネット ワークサー ビスにアクセ スできるコ ンピュータを 制御す
る方式。
アクセス制御リスト 「ACL」 を参照してください。
アドレス ネットワーク上のコンピュータ、ディスクに保管されているデータブロック、またはコン
ピュータメモリ内の場所を一意に識別するための、数字などの識別子。「IP アドレス」、「MAC アド
レス」も参照してください。
暗号化 特別な知識がないと読むことができないように、データを不明瞭にする処理。通常は、機密
性を重視する場合や通信を公開したくない場合に行われます。「暗号解除」も参照してください。
インターネット 一 般に、共通の プロトコ ル(TCP/IP)を介 して通信 する、相互に 接続され たコン
ピュータネ ットワーク。固有名として のインターネットは、相互 に接続されたコンピュ ータネット
ワークの、世界で最も広範な公開システムです。
インターネット・サービス・プロバイダ 「ISP」を参照してください。
オープンソース インターネットコミュニティがソフトウェアを協調開発することを指す用語。コー
ドを作成して デバッグするときにで きるだけ多くの開発者 が関わることが、基本方針 となっていま
す。そのために、ソ ースコードを公開し、修 正や拡張を提出する 開発者のコミュニティ ができるだ
け大きくなるように運営されます。
132
用語集
オープンディレクトリ LDAP、NetInfo 、または Active Directory プロトコルを使用するディレクト
リドメイン内のユーザおよびネットワークリソースのアクセス権情報、 BSD 設定ファイル、および
ネットワークサービスにアクセスするための、アップルのディレクトリサービスのアーキテクチャ。
オープンリレー 受信 したメールを別のサーバに自 動的に転送するサーバ。迷惑メ ールの送信者は、
自分 のメール サーバ が迷惑メ ールの 送信元と してブ ラックリ ストに 登録され ないよ うにする ため
に、オープンリレーサーバを悪用します。
ギガバイト 「GB」を参照してください。
協定世界時 「UTC」を参照してください。
共有シークレット L2TP VPN 接続の各ノードに定義される値。認証接続およびデータ転送接続をネ
ゴシエートするための、暗号化鍵のシードとして使用されます。
クラッカー コン ピュータシステムに認証されて いないアクセスをしようとする悪 意のあるユーザ。
コンピュータまたはネットワークを混乱させたり、情報を不正に取得することを目的としています。
「ハッカー」と比較してください。
クリアテキスト 暗号化されていないデータ。
ゲートウェイ ネットワーク間の接点となるネットワークノード。 プライベート LAN とパブリック
WAN を連結するコンピュータを指すこともあります。ネットワークアドレス変換は、使用すること
もあれば使 用しないこともありま す。ルーターは、関連するネッ トワークセグメントを 連結する特
殊なゲートウェイです。
検索パス 「検索方式」を参照してください。
検索方式 Mac OS X コンピュータで設定情報が必要なときに検索するディレクトリドメインのリス
ト、およびドメインの検索順序。検索パスとも呼ばれます。
コマンドライン コマンドラインインターフェイスを使うときに、シェルプロンプトで入力するテキ
スト。
コマンドラインインターフェイス プログラムを実行したり、ファイルシステムのアクセス権を変更
する などの ために、コ ンピュー タシェ ルプロ ンプト にテキ ストコ マンドを 入力す る方法 で、コン
ピュータと対話する方法。
コンピュータ名 SLP および SMB/CIFS サービスの登録に使用するデフォルト名。「Finder」のネッ
トワークブラウザでは、SLP を使用して、パーソナルファイル共有および Windows ファイル共有を
アドバタイ ズするコンピュータを 検索します。ネットワーク ブラウザは、ネットワーク ルーターの
設定に応じて サブネットをブリッジ するように設定できま す。パーソナルファイル共 有を入にする
と、「Finder」の「サーバへ接続」ダイアログにコンピュータ名が表示されます。最初は「 < 最初に
作成したユーザ > のコンピュータ」(たとえば、「ジョンのコンピュータ」など)のようになります
が、好きなよう に変更できます。コンピ ュータ名は、ネットワー クアドレスではなくコ ンピュータ
名でコンピュータを識別するネットワーク・ファイル・サーバ、プリントキュー、 Bluetooth 検出、
Apple Remote Desktop クライアント、およびその他のネットワークリソースのブラウズに使用さ
れます。また、コンピュータ名は、デフォルトのローカルホスト名の基礎にもなります。
用語集
133
サーバ サービス (ファイルサービス、メールサービス、Web サービ スなど)をほかのコンピュー
タまたはネットワーク装置に提供するコンピュータ。
サービス拒否 「サービス拒否攻撃(DoS attack)
」を参照してください。
サービス拒否攻撃(denial of service attack)「サービス拒否攻撃(DoS attack)」を参照してくだ
さい。
サービス拒否攻撃(DoS attack) サービス拒否攻撃。インターネット攻撃の 1 つで、大量のネット
ワーク ping を使ってサーバの適正な使用を妨害します。
再帰 ドメイン名を完全な IP アドレスに解決する処理。非再帰的な DNS クエリーでは、IP アドレス
を解決する ときに、ほかの DNS サーバを参照すること ができます。一般的に、ユーザ アプリケー
ションはその DNS サーバに依存してこの機能を実行しますが、ほかの DNS サーバは再帰的なクエ
リーを実行する必要はありません。
サブドメイン ホスト名とも呼ばれます。インターネット上のコンピュータのドメイン名の一部。こ
れには、ドメイン、および .com、.net、 .us 、.uk などのトップ・レベル・ドメイン(TLD)は含ま
れません。ドメイン名「www.example.com 」は、サブドメイン「www」、ドメイン「 example」、
およびトップ・レベル・ドメイン「com」で構成されています。
サブネット 同じ ネットワーク内で、場所(建物のフロアな ど)や用途(中学 2 年生の生徒全員な
ど)によって分 類されたクライアント コンピュータのグルー プ。サブネットを使用する ことによっ
て、管理が簡単になります。「IP サブネット」も参照してください。
サブネットマスク IP ネットワークで、IP アドレスのどの部分がネットワーク番号かを指定するため
に使用される番号。
シェル ほかのプログラムを実行するプログラム。シェルプロンプトにコマンドを入力すれば、シェ
ルを使ってコンピュータと対話できます。
「コマンドラインインターフェイス」も参照してください。
シェルプロンプト コマンドラインインターフェイスの行の先頭に表示される文字。コマンドを入力
できることを示します。
手動ユニキャスト ライブストリームを 1 つの QuickTime Player クライアントまたは QTSS を実行
しているコンピュータに転送する方法。 SDP ファイルは通常、ブロードキャスターアプリケーショ
ンで作成してから、ビューアまたはストリーミングサーバに手動で送信する必要があります。
証明書 「 ID 証 明書」ま たは「公 開鍵 証明 書」と呼 ばれ るこ とも あり ます。特 定の フォ ーマッ ト
(Mac OS X Server では x.509 フォーマットが使用されます)のファイルで、鍵ペア(公開鍵と秘密
鍵)のうちの公開鍵、ユーザの識別情報(ユーザ名、コンタクト情報ど)
、および認証局(CA)また
は鍵使用者のデジタル署名が入っています。
スコープ サービスのグループ。スコープは、コンピュータの論理グループ(たとえば、制作部門で
使用されるすべてのコンピュータ)またはコンピュータの物理グループ(たとえば、1 階にあるすべ
てのコンピ ュータ)として定義でき ます。また、ネットワークの 一部またはすべてとし て定義でき
ます。
134
用語集
正規の名前 サーバに「ニックネーム」またはエイリアスを割り当てているときの、サーバの「実際
の」名前。たとえば、mail.apple.com の正規の名前は MailSrv473.apple.com のようになっています。
静的 IP アドレス コンピュータまたは装置に一度だけ割り当てられ、変更されることのない IP アド
レス。
ゾーン転送 ゾーンデータを信頼された DNS サーバの間で複製する方法。スレーブ DNS サーバは、
マスターサーバのデータを取得するために、マスターサーバにゾーン転送を要求します。
タイムサーバ ネットワークサーバの 1 つ。ネットワーク上のほかのコンピュータのクロックはこの
サーバのクロッ クに同期されるので、すべてのコン ピュータから同じ時刻が報告 されます。
「NTP」
も参照してください。
ディレクトリサービス ディレクトリドメインや、ユーザやリソースに関するその他の情報ソースへ
のアクセスを、システムソフトウェアおよびアプリケーションに統合的に提供するサービス。
動的 IP アドレス 一定期間またはク ライアントコンピュータ で必要としなくなるまで 割り当てられ
る IP アドレス。
ドメイン名 「DNS 名」を参照してください。
認証局 公開ネットワーク上でデータを安全に転送できるように、デジタル証明書を発行して管理す
る機関。「公開鍵インフラストラクチャ」および「証明書」も参照してください。
ネームサーバ 名前と、それぞれの名前に関連付けられている IP アドレスのリストを保持している
ネットワーク上のサーバ。「DNS」、「WINS」も参照してください。
ネットワークインターフェイス コ ンピュー タをネッ トワークに ハードウ ェアを介 して接続 するこ
と。Ethernet 接続、AirMac カード、および FireWire 接続などがあります。
ネットワーク・インターフェイス・カード 「NIC」を参照してください。
ノード 処理を実行する場所。ノードには、コンピュータのほかに、プリンタなどの装置が含まれま
す。各ノードには、一意のネットワークアドレスが割り当てられます。Xsan では、ストレージ・エ
リア・ネットワークに接続されたコンピュータを指します。
バイト データを測定するための基本単位。 1 バイトは 8 ビット(2 進数字)に相当します。
パケット デ ータ情報の 単位で、ヘッ ダレコード、情 報レコー ド、エラー検出 レコード、お よびト
レーラレコードで構成されます。QTSS では、TCP、UDP、および IP パケットを使って、ストリーミ
ングクライアントと通信が行われます。
パスワード ユーザの識別情報を認証したり、ファイルまたはサービスへのアクセスを承認するため
に使用される英数文字列。
パスワードサーバ 「オープンディレクトリ・ パスワード・サーバ」を参照してください。
パスワード方式 ユーザのパスワードの構成および検証を規定する一連のルール。
用語集
135
ハッカー プログラミングが趣味で、新しい機能のプログラミングやコンピュータシステムの機能の
拡張を追究する人のこと。「クラッカー」も参照してください。
ビット 情報の単位の 1 つで、値は 0 または 1。
標準テキスト 暗号化されていないテキスト。
ファイアウォール サ ーバで実行 するネット ワークアプ リケーション を保護する ためのソフ トウェ
ア。Mac OS X Server ソフトウェアの一部である IP ファイアウォールサービスは、受信 IP パケット
を調べ、管理者が作成したフィルタのセットに基づいてパケットを拒否するか、受け付けます。
フィルタ サーバへのアクセスを制御するための、アクセスの選別方法。フィルタは、IP アドレスと
サブネットマスクで構成されます。ボート番号 とアクセスの種類が含まれることもあります。IP ア
ドレスとサブネットマスクによって、フィルタが適用される IP アドレスの範囲が決まります。
フォワードゾーン 自身 ではレコードを持たずに、DNS クエリーをほかのゾーン に転送するだけの
DNS ゾーン。
負荷分散 ク ライ アント コン ピュー タの ネット ワーク サー ビス要 求を 複数の サー バに分 散し てパ
フォーマンスを最適化する処理。
ブリッジ コンピュータネットワーク装置の 1 つで、ワイヤレスや Ethernet などの 2 種類のネット
ワークメディアを接続します。ネットワークのゲートウェイとして機能し、ネットワークトラフィッ
クをルーテ ィングまたは加工しな いで、転送先のメディアに 直接渡します。ネットワー クブリッジ
で接続されているメディアは、両方とも同じ IP アドレスサブネットを使用している必要があります。
ブリッジは、小さな関連するネットワークセグメントを単純な方法で接続します。
ブロードキャスト 一般的なネットワーク用語では、ネットワーク上のすべてのクライアントが読み
込むことが できるメッセージまた はデータを転送するこ とを指します。ブロードキ ャストは、ユニ
キャスト(特定 のコンピュータにメ ッセージを送信するこ と)またはマルチキャス ト(一部の選択
した コンピ ュー タにメ ッセー ジを送 信す ること)と 対照さ れる概 念で す。QuickTime Streaming
Server では、1 つのストリームをネットワーク全体に転送する処理を指します。
プロキシサーバ Web ブラウザなどのクライアントアプリケーションと 実際のサーバのと間に配置
されるサー バ。プロキシサーバは、実際 のサーバへの要求を仲 介し、プロキシサーバで 要求に対応
できるかどうかを確認します。プロキシサーバで対応できない場合は、実際のサーバに転送します。
プロトコル 2 つのア プリ ケーシ ョンの 間で どのよ うに データ を送受 信す るかを 定義し た一 連の
ルール。
ポート 仮 想メールス ロットの一 種。サーバは、ポー ト番号を使 用して、どのア プリケーシ ョンが
データパケ ットを受け取るかを判 断します。ファイアウォ ールは、ポート番号を使 用して、データ
パケットがローカルネット ワークを通過していいかどうかを判断します。通常は、 TCP ポートまた
は UDP ポートを指します。
ポインタレコード 「PTR レコード」を参照してください。
136
用語集
ホスト名 サーバの一意名。従来は、 UNIX ホスト名と呼ばれていました。Mac OS X Server のホス
ト名は、主にクライアントから NFS ホームディレクトリにアクセスするときに使用されます。サー
バは、次のソースのうち最初に使用できる名前を使って、ホスト名を決定します:
「/etc/hostconfig」
ファイル(HOSTNAME=some-host-name)に指定されている名前、DHCP または BootP サーバか
ら渡されるプライマリ IP アドレスの名前、リバース DNS(アドレスから名前への変換)クエリーか
ら返されるプライマリ IP アドレスの最初の名前、ローカルホスト名、「 localhost 」という名前。
マスターゾーン プライマリ DNS サーバが管理する DNS ゾーンレコード。マスターゾーンは、ゾー
ン転送によってセカンダリー DNS サーバのスレーブゾーンに複製されます。
マルチキャスト 一般的には、ネットワーク上の一部の指定したコンピュータにメッセージを同時に
転送することを指します。「ブロードキャスト」、「ユニキャスト」も参照してください。QuickTime
ストリーミングでは、1 対多方式で効率的にストリーミングすることを指します。マルチキャストに
参加したり参 加を取り消す操作はユ ーザが行うことができ ますが、それ以外の操作を ユーザが行う
ことはできません。
マルチキャスト DNS IP ネ ットワーク上のコンピュータ、装置、およびサー ビスを自動的に検出す
るための、アッ プルが開発したプロ トコル。このインターネッ トプロトコルは、標準化 が企画され
ており、「ZeroConf」、「ゼロコンフ」などと呼ばれることもあります。詳しくは、
www.apple.com/jp または www.zeroconf.org を参照してください。 Mac OS X Server でこのプロ
トコルを使用する方法については、「ローカルホスト名」を参照してください。
マルチホーミング 複 数のネ ットワ ーク接 続をサ ポー トする 機能。複数 の接続 が利用 可能な 場合、
Mac OS X では、「ネットワーク」環境設定で指定された順序に従って最適な接続が選択されます。
メール交換レコード 「MX レコード」を参照してください。
メガバイト 「MB」を参照してください。
文字 バイトの同義語。
ユーザ名 ユー ザのロングネームまたはシ ョートネーム。
「ユーザの名前」と も呼ばれ、画面で「名
前」と表示されるユーザ名は、たいていユーザのロングネームです。ユーザのロングネームには、リ
アルネーム (実名)を使用すること があります。画面で「ユー ザ名」と表示されるの は、たいてい
ショートネームのことです。
ユニキャスト データを 1 つの受信者またはクライアントに転送すること。ムービーが RSTP を使っ
て特定のユー ザにユニキャスト転送 される場合、そのユーザは オンデマンドムービー の中をいつで
も好きな場所に移動できます。
リース期間 IP アドレスが割り当てられる期間。リース期間を短くすると、ネットワークで利用可能
な IP アドレスよりもコンピュータ数が多い場合でも、DHCP によって IP アドレスを効率的に再割り
当てできます。
リスト管理者 メーリングリストの管理者。リスト管理者は、メーリングリストに登録者を追加した
り、メーリングリストから登録者を削除したり、ほかのリスト管理者を指名することができます。リ
スト管理者は、ローカルマシンまたはローカルドメインの管理者である必要はありません。
用語集
137
リレー QuickTime Streaming Server では、受信した入力ストリームを 1 つ以上のストリーミング
サーバに転 送することを指します。リ レーすることによって、イ ンターネット帯域幅の 消費量が低
減されます。さ まざまな場所の多数の ユーザにブロードキャ ストするときにも、リレー を利用でき
ます。インターネットメールでは、SMTP メールサーバを指します。受信したメールをほかの SMTP
サーバに送信しますが、その SMTP サーバは最終的な宛先ではありません。
レコードタイプ ユーザレコード、コンピュータレコード、マウントレコードなど、特定の種類のレ
コード。ディレ クトリドメインには、レ コードタイプごとに、任 意の数のレコードを含 めることが
できます。
ローカル・エリア・ネットワーク 「LAN」を参照してください。
ローカルドメイン 所属するコンピュータだけがアクセスできるディレクトリドメイン。
ローカルホスト名 ローカルサブネットでコンピュータを指定するための名前。 グローバル DNS シ
ステムなしで使用して名前と IP アドレスを解決できます。小文字、数値、またはハイフン(最後の
文 字 と し て は 使 用 で き ま せ ん)で 構 成 さ れ、最 後 は「.local 」に な り ま す(た と え ば、billscomputer.local)。この名前はデフォルトでコンピュータ名から取られますが、ユーザは「システム
環境設定」の「ネッ トワーク」パネルでこ の名前を指定できま す。この名前は簡単に変 更すること
ができ、DNS 名または完全修飾ドメイン名を使用しているところであればどこででも使用できます。
この名前は、この名前を使用するコンピュータと同じサブネットでのみ解決できます。
ワークグループ 1 つの グループとし て環境設定 およびアクセ ス権を定義 するユーザの セット。グ
ループに対して定義する環境設定はグループのアカウントに保管されています。
ワイルドカード IP アドレスの区分で使用できる値の範囲。
138
用語集
索引
索引
A
∼の使用目的 37
AirMac ベースステーション
DHCP サービスと∼ 25
開始する 41
管理する 41–42
B
サーバ 38
計画する 38
上手な使いかたとヒント 38–41
BIND 37, 38
設定する 38
負荷分散 56
設定する前に 38
C
設定の概要 38–41
説明 37
CIDR ネットマスク表記 62, 64
その他の情報 58
停止する 41
D
DHCP サーバ 25
相互操作 25
ネットワークの場所 25
DHCP サービス 23–36
AirMac ベースステーション 25
DHCP クライアント用の DNS サーバ 29
∼の使用目的 23
∼のログ 26
DNS オプション 29
LDAP 自動構成機能 25
開始する/停止する 26
管理する 26–31
クライアントリストでリースを表示する 32
クライアントリストを表示する 32
サブネット 24
サブネットの IP アドレスのリース期間を変更する 28
サブネットの LDAP オプション 29
サブネットの WINS オプション 30, 31
サブネットの設定 27
サブネットを削除する 28
サブネットを作成する 27
サブネットを使用不可にする 28
サブネットを変更する 27
設定する 26
設定する前に 23–25
説明 23
その他の情報 36
ログ 32
DNS サービス 37–58
DHCP サブネットのオプション 29
負荷分散 56
メールサービスと共に使用する 53
DoS 攻撃(サービス拒否攻撃)
防止する 80
Dynamic Host Configuration Protocol
→「DHCP 」を参照
I
IANA 登録 38
Internet Gateway Multicast Protocol →「IGMP」を参照
Internet Protocol Version 6 →「IPv6」を参照
IPv6
アドレス表記 124
アドレッシング 124–125
サーバ管理における∼ 124
その他の情報 126
利用可能なサービス 124
IP アドレス
DHCP と∼ 23
DHCP のリース期間を変更する 28
DHCP を使ってリースする 23
IPv6 表記 124
静的 24
動的 24
動的な割り当て 24
範囲 64
フィルタでの優先順位 64
複数の∼ 64
予約済み 25
割り当てる 25
139
IP ファイアウォール
開始する/停止する 31
IP ファイアウォールサービス 59–61
開始する , 停止する 66
概要 59
管理する 66–72
計画する 65
サービス拒否攻撃(DoS 攻撃)を防止する 80
設定する 65–66, 68–80
その他の情報 86
背景 62
∼の使用目的 60
フィルタの例 77–79
フィルタを作成する 69, 70
フィルタを追加する 65
フィルタを編集する 71
複数の IP アドレス 64
ポートリファレンス 82–86
利点 60
ログを確認する 74
ログを設定する 74–75
M
Mac OS X Server
∼で使用されるポート 82–86
Mac OS X システム 82–86
Mail Exchange →「MX 」を参照
MX(Mail Exchange)レコード 40, 54
MX ホスト 53
N
UDP ポート 85
UTC(Universal Time Coordinated ) 117
V
VPN
クライアント接続 110
状況を表示する 109
ルーティング定義 105
ログ 109
ログを表示する 109
さ
サーバ 27, 32, 78, 79, 94, 95, 96, 97
ネームサーバ 38
サーバ管理ガイド 11
サブネット 24
作成する 24, 27
サブネットマスク 62
せ
静的 IP アドレス 24
た
タイムサーバ
Stratum 117
と
動的 IP アドレス 24
ドメイン名
NAT
開始する/停止する 89
概要 87
登録する 38, 39
ね
監視する 93
ネームサーバ 38
状況の概要 93
ネットワーク
設定する 89
NetBoot
クライアントリストを表示する 32
NTP
概要 117
クライアントを設定する 119
設定する 118
その他の情報 119
タイムシステム 117
S
TCP/IP ネットワーク 56–57
プライベート 56–57
ふ
ファイアウォールサービス
設定の準備をする 62–64
フィルタ 62–64
フィルタ
編集する 71
例 77–79
フィルタ , IP
Stratum タイムサーバ 117
T
説明 62
追加する 65
負荷分散 56
TCP/IP
プライベートネットワーク 56–57
TCP ポート 82–84
140
U
索引
ほ
ポート
Mac OS X コンピュータ 82–86
TCP ポート 82–83
UDP ポート 85
ま
ら
マニュアル 11
ラウンドロビン 56
め
ろ
メール
ログ
リダイレクトする 53
メールエクスチェンジャ 53
メールサーバ 53
メールサービス
∼と共に DNS サービスを使用する 53
索引
DHCP 32
DNS サービス 49
IP ファイアウォールサービス 74–76
ログエントリー
DHCP の状況 26
141
Fly UP