table of contents
other versions
- wheezy 4.1.0.20011224-6
XFWP(1) | General Commands Manual | XFWP(1) |
名前¶
xfwp - X のファイアウォールプロキシ書式¶
xfwp [option ...]オプション¶
に指定できるコマンド行オプションを以下に示す:- -cdt num_secs
- アクティブでない xfwp クライアントに対するデータ接続(xfwp が既に X プ ロトコルを中継している接続)を閉じるまでのデフォルトの時間(604800秒)を 上書き指定する。
- -clt num_secs
- xfwp クライアント待ちのポートを閉じるまでのデフォルトの時間(86400秒)を 上書き指定する(このポートは、X クライアントが X サーバに接続しようとす るときに最初に接続するxfwp のポートである)。
- -pdt num_secs
- プロキシマネージャに対するアクティブでない接続を閉じるまでのデフォルト の時間(3600秒)を上書き指定する。
- -config file_name
- 設定ファイルの名前を指定する。
- -pmport port_number
- プロキシマネージャが接続するデフォルトのポート番号(4444)を上書き指定す る。
- -verify
- それぞれのサービスリクエストにマッチする設定ファイル規則を表示する。
- -logfile file_name
- 監査情報がログとして記録するファイルの名前を指定する。 ログの書式は 「時刻; イベントコード; IP の始点アドレス; IP の終点アドレス;設定規則番号」 である。 イベントコードは接続成功時に "0", 設定規則によって接続が拒否された場合に "1", 認証失敗により接続が拒否された場合に "2" となる。 イベントコードが "1" であり、かつ設定ファイルが使われている場合、 規則がマッチした設定ファイルの行番号が設定規則番号となる(詳しく は「設定ファイル」のセクションを参照すること)。 イベントコードが "1" でないか、設定ファイルが使われていなければ、 設定規則番号は "-1" となる。 となる。
- -loglevel {0,1}
- ログに記録する監査情報の詳しさを指定する。 "0" の場合は全ての接続が記録される。 "1" の場合は失敗した接続が記録される。
- -max_pm_conns num_connections
- プロキシマネージャの最大接続数を指定する。 デフォルト値は 10 である。
- -max_pm_conns num_connections
- X サーバの最大接続数を指定する。 デフォルト値は 100 である。
説明¶
X ファイアウォールプロキシ(xfwp)は、ファイアウォール越しに X の通信を 転送するために、ネットワークのファイアウォールホスト上で動作させるアプ リケーション層のゲートウェイプロキシである。 X サーバセキュリティ機能拡張および認証チェックと共に用いると、xfp は 内部ネットワーク上に設置した X サーバのアドレスの隠蔽とサーバの 接続ポリシーの強制の両方を行うための、安全かつシンプルで信頼できる機構 を作ることができる。xfwp は、内部で起きた悪意 を持った行為に対する防御は行うことができない。しかし、適切に設定すれば、 認証を受けたインターネット上の外部ホストで実行された信頼できるクライア ントしかローカルの X サーバへのアクセスを許されないことが保証できる。IP パケットフィルタリングルータを使った通信¶
xfwp の目的は、ファイアウォールの外の X クライアントから内部ネットワー クの X サーバへのアクセスに対して、信頼できる制御をできるようにするこ とである。現時点では、このようなアクセス制御は、通常は IP パケットフィ ルタリングルータを含むファイアウォールの設定で実現する。多くの場合、こ のようなフィルタの規則では、内部ネットワークのホストに対する X サーバ のポート(範囲 6000-6xxx)へのアクセスは禁止される。インストール、設定、トラブルへの対処¶
xfwp は通常は内部ネットワークのファイアウォールホスト上でバックグラウ ンドプロセスとして実行される。 xfwp は前述の任意のコマンド行オプションを指定して起動することができる。 to xfwp whether or not it supports the particular policy. Consult the man 先に述べたように、xfwp はプロキシマネージャおよび xfindproxy ユーティリティと組み合わせないと利用できない。 xfwp はユーザが定義した X サーバのサイトセキュリティポリシーに対応する ように設定できるが、このポリシーにおいては、X サーバは特定のポリシーを サポートしているかどうかを xfwp に示す必要がある。 これらの要素に関する詳しい情報については、オンラインマニュアルを参照す ること。 xfwp は、-DDEBUG オプションを付けて再コンパイルすることによって、 デバッグ出力を出すようにできる。性能、ロードバランシング、リソース管理¶
xfwp は4種類の異なる接続を管理する。これは、プロキシマネージャ(PM)デー タ、X クライアント待機、X クライアントデータ、X サーバ接続である。xfwp を使うシステム管理者は、xfwp のサービスの性能を最適化するために、これ らの接続タイプに対するリソースの割り当てと再利用の方法を理解すべきであ る。設定ファイル¶
xfwp の設定ファイルは xfwp のホストマシン上にあり、X クライアントのデー タ接続を許可するか拒否するかを指定する。ファイルのパス名は起動時に指定 する。設定ファイルが指定されていなければ、xfwp を通過する全ての X クラ イアントのデータ接続リクエストは、デフォルトで許可される。ただし、この 場合にも他の X サーバ認証チェックには成功しているものとする。設定ファ イルが与えられているが、そのエントリのいずれも接続リクエストにマッチ しない場合には、デフォルトでは接続は拒否される。- permit/deny
- キーワード ``permit'' はアクセス許可を示し、キーワード ``deny'' はアク セス拒否を示す。
- src
- 接続リクエストを出したホストとマッチさせる IP アドレス。この値は IP フォー マットで記述する。
- src mask
- サブネットマスクであり、これも IP フォーマットで記述する。この値はさら に始点アドレスのマスクを調べるために使われる。マスク内でセットされてい るビットは、入ってくるアドレスのビットで、指定された src と比較すると きに 無視するものを示す。
- dest
- 入ってくる接続リクエストの終点アドレス(つまり、クライアントが接続しよ うとしている X サーバの IP アドレス)とマッチさせる IP アドレス。
- dest mask
- サブネットマスクであり、これも IP フォーマットで記述する。この値はさら に終点アドレスのマスクを調べるために使われる。マスク内でセットされてい るビットは、入ってくるアドレスのビットの内、指定された destination と 比較するときに 無視するものを示す。
- operator
- (service フィールドが NULL でなければ)常に ``eq'' である。
- service
- ``pm'', ``fp'', ``cd'' いずれかの文字列である。これらはそれぞれプロキ シマネージャ、xfindproxy, クライアントデータに対応する。
- require
- 対応するサイトポリシーの少なくとも1つが X サーバに 設定されていなければならず、そうでない場合には接続を拒否しなけれ ばならないことを指定する。
- disallow
- 対応するサイトポリシーのいずれもが X サーバに設定されて いてはならず、そうでない場合には接続を拒否しなければならないこと を指定する。
- sitepolicy
- これは必須のキーワードである。
- <site_policy>
- ポリシー文字列を指定する。この文字列は英数字を任意に組み合わせたもので あり、対象とする X サーバだけが解釈できればよい。
XFWP の設定ファイルのエントリの評価規則¶
最初のタイプの設定可能な認証チェックの場合には、始点アドレスに基づいて (オプションとして終点アドレスとタイプも使用できる)それぞれの接続タイプ に対して接続の許可および拒否を行うことができる。 それぞれのファイルエントリでは、``permit'' または ``deny'' であるキー ワードと2つの始点アドレスフィールドは最低限指定しなければならない。 必要ならば destination フィールドと service フィールドを使って、非常に 細かいアクセス制御を行うことができる。 規則マッチングのアルゴリズムは以下である:while (チェックするエントリが残っている)
{
if ((<originator IP> AND (NOT <src mask>)) == src)
[if ((<dest X server IP> AND (NOT <dest mask>)) == dest)]
[if (service fields が存在し、かつマッチしている)]
キーワードに応じて、接続の許可または拒否を行う
else
continue
}
if (マッチする規則がない)
接続を拒否する
if (X サーバがサイトポリシー文字列のいずれかを認識する)
if (keyword == require)
接続を許可する
else
接続を拒否する
else
if (keyword == require)
接続を拒否する
else
接続を許可する
例¶
# サーバがこれらのポリシーの1つをサポートしている場合に限り、接続が許可 # されるが、それでも適用可能な規則にマッチしていなければならない # require sitepolicy policy1 require sitepolicy policy2 # # 8.7.6.5 が送ってきた pm 接続を拒否する。[注意: pm サービスを明示的に # 許可している場合、以下に示すように destination フィールドがなければ # ならない。] # deny 8.7.6.5 0.0.0.0 0.0.0.0 255.255.255.255 eq pm # # xfindproxy の X サーバがどこにでも接続できるように許可する [注意: fp # サービスを明示的に許可している場合、以下に示すように source フィール # ドがなければならない。] # permit 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq fp # # IP ドメイン 192.0.0.0 から送られた全ての接続タイプだけを許可する # permit 192.0.0.0 0.255.255.255最初にマッチした規則が適用されるので、始点アドレス-終点アドレスの規則 は正しい順で記述しなければならない点に注意すること。解析器の文法チェッ クに加え、システム管理者が実際にマッチする規則を調べる際の補助を行うた めの特別なコマンド行オプション(-verify)が用意されている。
バグ¶
xfwp は待ちポートを割り当てる前にサーバのサイトポリシーとセキュリティ 機能拡張を確認すべきである。関連項目¶
xfindproxy (1), Proxy Management Protocol spec V1.0, proxymngr(1), Xserver(1)著者¶
Reed Augliere, consulting to X Consortium, Inc.Release 6.5 | X Version 11 |