========================================================================== [電総研研究速報 ETL-TR-94-17 「プロトコル中継システムDeleGateの開発」より] ========================================================================== [以下は、上記テクニカルレポートを元に、DeleGate2.1用に書き換えたものです] ■ セキュリティ管理 -- PERMIT パラメタ セキュリティのためのアクセス制御を指定するパラメタとして、PERMITがある。   PERMIT=protoList:dstHostList:srcHostList これは srcHostList のクライアントホスト(またはネットワーク)から、dstHostList のサーバホスト(またはネットワーク)に対して、protoList のプロトコルについての 中継だけを許可するという意味である。両HostListは、後述のHostListの形式で値を 記述する。PERMITを複数指定して「AからBへ、および、CからDへのアクセスのみ 許可」といったアクセス制御が行なえる。 PERMITのデフォルト値は以下のようになっている。  Specialist(SERVERパラメタ付きで起動されたdelegated)の場合    PERMIT=.:*:./@     (SERVERに指定されたプロトコル(.)に対する、delegatedの実行されている      ホスト(.)と同一のネットワーク(/@)からのアクセスのみを許す。ただし、      SERVER=http://... の場合には{http,gopher,ftp,wais}がデフォルト)  Generalistの場合    PERMIT=*:*:./@     (delegatedの実行されているホスト(.)と同一のネットワーク(/@)からの      アクセスのみを許す) Fierwall上で delegated を実行する場合、これらのパラメタは、DeleGateの使用目的 に応じて、以下のように設定することが推奨される。 ・内部クライアントから外部サーバへ   以下のようにして内部のクライアントホストからのみ受け付け可能とする。    PERMIT=*:*:内部のクライアントホスト(ネットワーク)のリスト   この場合、最も単純は方法は、(1) firewall hostF 上では内部の hostIからの   アクセスのみを受理する (2) 内部のhostI は全てのアクセスを受理する、とい   う設定を行うことである。    hostF% delegated -P7777 PERMIT=*:*:hostI    hostI% delegated -P8080 MASTER=hostF:7777 SERVER=http://-/-/ ・外部クライアントから内部サーバへ   MOUNT機能を用いて内部のサーバを外部に公開する場合、中継は内部のサーバへ   のみ、そのサーバが提供するサービスに関してのみ行い、それ以外を中継しな   いようにする。例えば、内部にあるHTTPサーバ群を、firewall 上のホスト   例えば`www.etl.go.jp'の8080番ポートを経由して公開する場合には、以下の   ように指定する。    PERMIT=http:内部のサーバホストのリスト:* DELEGATE=www.etl.go.jp:8080:-all   このDELEGATEパラメタの`-all'は、「DeleGate記法」による書き換え・中継を   行なわないように指定している。 ・外部クライアントから外部サーバへ   現在、主に文字コード変換機能の提供を目的として「公開DeleGateサービス」   が全国数か所で行われている。このようなサービスを提供する場合、DeleGate   を介して提供者の内部に侵入が起こらないよう注意する必要がある。そのため、   以下のような設定を行う。    PERMIT=http,gopher,ftp:!{内部のホスト(ネットワーク)のリスト}:* ■ ホストおよびネットワークの表現 HostList は、ホスト(ネットワーク)の名前またはIPアドレスを`,'で区切って並べ たものである。以下にHostListの一例を示す。   hostA,192.31.200.10,hostB/255.255.255.0,192.168.[0-255],*.ac.jp ネットワークは、そのネットワーク上にあるホストの名前またはIPアドレスに「ネ ットワークマスク」をかけて表現する。上の例で hostB/255.255.255.0 がその例 である。複数のホストまたはネットワークを表す方法としては、IPアドレスの範囲 を [m-n] のように表現する方法と、`*'を用いてホスト名.ドメイン名の文字列の パターンを表現する方法がある HostListは左から右に走査される。特定のホストを除外する場合にはそのホストの 前に `!'を前置する。例えば、   *.jp,!*.co.jp は「*.jpにマッチするもの,ただし *.co.jp にマッチするものを除く」を表す。 また、以下の2行は同じ意味である。   1.2.3.[0-255],!1.2.3.50,!1.2.3.60   1.2.3.[0-49],1.2.3.[51-59],1.2.3.[61-255] ==========================================================================