From owner-svn-doc-all@freebsd.org Sun Feb 25 00:19:06 2018 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2610:1c1:1:606c::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 07490F2F8FA; Sun, 25 Feb 2018 00:19:06 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from mxrelay.nyi.freebsd.org (mxrelay.nyi.freebsd.org [IPv6:2610:1c1:1:606c::19:3]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client CN "mxrelay.nyi.freebsd.org", Issuer "Let's Encrypt Authority X3" (verified OK)) by mx1.freebsd.org (Postfix) with ESMTPS id A8CDB7F0D7; Sun, 25 Feb 2018 00:19:05 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mxrelay.nyi.freebsd.org (Postfix) with ESMTPS id 839C12CBFB; Sun, 25 Feb 2018 00:19:05 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id w1P0J5g6099679; Sun, 25 Feb 2018 00:19:05 GMT (envelope-from ryusuke@FreeBSD.org) Received: (from ryusuke@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id w1P0J5kF099678; Sun, 25 Feb 2018 00:19:05 GMT (envelope-from ryusuke@FreeBSD.org) Message-Id: <201802250019.w1P0J5kF099678@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: ryusuke set sender to ryusuke@FreeBSD.org using -f From: Ryusuke SUZUKI Date: Sun, 25 Feb 2018 00:19:05 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r51445 - head/ja_JP.eucJP/books/handbook/security X-SVN-Group: doc-head X-SVN-Commit-Author: ryusuke X-SVN-Commit-Paths: head/ja_JP.eucJP/books/handbook/security X-SVN-Commit-Revision: 51445 X-SVN-Commit-Repository: doc MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.25 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 25 Feb 2018 00:19:06 -0000 Author: ryusuke Date: Sun Feb 25 00:19:05 2018 New Revision: 51445 URL: https://svnweb.freebsd.org/changeset/doc/51445 Log: - Merge the following from the English version: r42266 -> r42267 head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml ============================================================================== --- head/ja_JP.eucJP/books/handbook/security/chapter.xml Sat Feb 24 08:34:51 2018 (r51444) +++ head/ja_JP.eucJP/books/handbook/security/chapter.xml Sun Feb 25 00:19:05 2018 (r51445) @@ -3,7 +3,7 @@ The FreeBSD Documentation Project The FreeBSD Japanese Documentation Project - Original revision: r42266 + Original revision: r42267 $FreeBSD$ --> @@ -2705,61 +2705,63 @@ device crypto - - &os; 上で IPsec を設定する。 - - - - Tom - Rhodes - - -
trhodes@FreeBSD.org
- - 寄稿: - - - + + + &os; 上で IPsec を設定する。 + + + + Tom + Rhodes + + +
trhodes@FreeBSD.org
+ + 寄稿: + + + - 最初に Ports Collection から - security/ipsec-tools - をインストールしてください。 - このソフトウェアは、 - 設定をサポートする数多くのアプリケーションを提供します。 + 最初に Ports Collection から + security/ipsec-tools + をインストールしてください。 + このソフトウェアは、 + 設定をサポートする数多くのアプリケーションを提供します。 - 次に、パケットをトンネリングし、 - 両方のネットワークが適切に通信するように、 - 2 つの &man.gif.4; 疑似デバイスを作成します。 - root - 権限で以下のコマンドを実行してください。 - ただし、実行する際には、以下のコマンドの中の - internal および - external を、 - 2 つのゲートウェイの内部および外部インタフェースの実際の - IP アドレスに置き換えてください。 + 次に、パケットをトンネリングし、 + 両方のネットワークが適切に通信するように、 + 2 つの &man.gif.4; 疑似デバイスを作成します。 + root + 権限で以下のコマンドを実行してください。 + ただし、実行する際には、以下のコマンドの中の + internal および + external を、 + 2 つのゲートウェイの内部および外部インタフェースの実際の + IP アドレスに置き換えてください。 - &prompt.root; ifconfig gif0 create + &prompt.root; ifconfig gif0 create - &prompt.root; ifconfig gif0 internal1 internal2 + &prompt.root; ifconfig gif0 internal1 internal2 - &prompt.root; ifconfig gif0 tunnel external1 external2 + &prompt.root; ifconfig gif0 tunnel external1 external2 - この例では、会社の LAN の外部 - IP アドレスを - 172.16.5.4、 - 内部 IP アドレスを - 10.246.38.1 - とします。また、家庭 - LAN の外部 IP アドレスを - 192.168.1.12、 - 内部のプライベート IP アドレスを - 10.0.0.5 - とします。 + この例では、会社の LAN の外部 + IP アドレスを + 172.16.5.4、 + 内部 IP アドレスを + 10.246.38.1 + とします。また、家庭 + LAN の外部 IP アドレスを + 192.168.1.12、 + 内部のプライベート IP アドレスを + 10.0.0.5 + とします。 - この説明で分かりにくい場合は、以下の - &man.ifconfig.8; コマンドの出力例をご覧ください。 + この説明で分かりにくい場合は、以下の + &man.ifconfig.8; コマンドの出力例をご覧ください。 - Gateway 1: + Gateway 1: + gif0: flags=8051 mtu 1280 tunnel inet 172.16.5.4 --> 192.168.1.12 inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6 @@ -2772,11 +2774,11 @@ tunnel inet 192.168.1.12 --> 172.16.5.4 inet 10.0.0.5 --> 10.246.38.1 netmask 0xffffff00 inet6 fe80::250:bfff:fe3a:c1f%gif0 prefixlen 64 scopeid 0x4 - 設定が完了したら、両方の内部 IP - アドレスは、&man.ping.8; - で到達できるようになっているはずです。 + 設定が完了したら、両方の内部 IP + アドレスは、&man.ping.8; + で到達できるようになっているはずです。 - priv-net# ping 10.0.0.5 + priv-net# ping 10.0.0.5 PING 10.0.0.5 (10.0.0.5): 56 data bytes 64 bytes from 10.0.0.5: icmp_seq=0 ttl=64 time=42.786 ms 64 bytes from 10.0.0.5: icmp_seq=1 ttl=64 time=19.255 ms @@ -2797,27 +2799,26 @@ PING 10.246.38.1 (10.246.38.1): 56 data bytes 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 28.106/94.594/154.524/49.814 ms - 予想通り、プライベートアドレスを使って、 - 両方のネットワークから ICMP - パケットを送受信できます。 - 次に、どちらのネットワークからもメッセージを送信できるように、 - パケットのルーティング情報を - 両方のゲートウェイに設定する必要があります。 - これは以下のコマンドで設定できます。 + 予想通り、プライベートアドレスを使って、 + 両方のネットワークから ICMP + パケットを送受信できます。 + 次に、どちらのネットワークからもメッセージを送信できるように、 + パケットのルーティング情報を両方のゲートウェイに設定する必要があります。 + これは以下のコマンドで設定できます。 - &prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0 + &prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0 - &prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5 + &prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5 - &prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0 + &prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0 - &prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1 + &prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1 - これで、ネットワーク内のコンピュータは、 - ゲートウェイおよびゲートウェイの奥のコンピュータから到達可能となっています。 - もう一度 &man.ping.8; で確認してください。 + これで、ネットワーク内のコンピュータは、 + ゲートウェイおよびゲートウェイの奥のコンピュータから到達可能となっています。 + もう一度 &man.ping.8; で確認してください。 - corp-net# ping 10.0.0.8 + corp-net# ping 10.0.0.8 PING 10.0.0.8 (10.0.0.8): 56 data bytes 64 bytes from 10.0.0.8: icmp_seq=0 ttl=63 time=92.391 ms 64 bytes from 10.0.0.8: icmp_seq=1 ttl=63 time=21.870 ms @@ -2839,15 +2840,15 @@ PING 10.246.38.1 (10.246.38.107): 56 data bytes 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 21.145/31.721/53.491/12.179 ms - トンネリングの設定は以上のように簡単ですが、 - リンクを安全にするには、もう少し掘り下げた設定が必要となります。 - 以下の設定では、事前共有 (PSK) - RSA 鍵を使います。 - IP アドレスを除けば、両方のゲートウェイの - /usr/local/etc/racoon/racoon.conf - は同じで、以下のようになります。 + トンネリングの設定は以上のように簡単ですが、 + リンクを安全にするには、もう少し掘り下げた設定が必要となります。 + 以下の設定では、事前共有 (PSK) + RSA 鍵を使います。 + IP アドレスを除けば、両方のゲートウェイの + /usr/local/etc/racoon/racoon.conf + は同じで、以下のようになります。 - path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file + path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file log debug; #log verbosity setting: set to 'notify' when testing and debugging is complete padding # options are not to be changed @@ -2905,37 +2906,37 @@ sainfo (address 10.246.38.0/24 any address 10.0.0.0/2 compression_algorithm deflate; } - 利用可能なオプションの説明については、 - racoon - のマニュアルページを参照してください。 + 利用可能なオプションの説明については、 + racoon + のマニュアルページを参照してください。 - &os; および racoon - がホスト間のネットワークトラフィックを暗号化、 - 復号化できるようにするには、 - Security Policy Database (SPD) - の設定が必要です。 + &os; および racoon + がホスト間のネットワークトラフィックを暗号化、 + 復号化できるようにするには、 + Security Policy Database (SPD) + の設定が必要です。 - これは、会社のゲートウェイ上で、 - 以下のようなシェルスクリプトで設定できます。 - このファイルをシステムの初期化中に使われるようにするには、 - /usr/local/etc/racoon/setkey.conf - に保存する必要があります。 + これは、会社のゲートウェイ上で、 + 以下のようなシェルスクリプトで設定できます。 + このファイルをシステムの初期化中に使われるようにするには、 + /usr/local/etc/racoon/setkey.conf + に保存する必要があります。 - flush; + flush; spdflush; # To the home network spdadd 10.246.38.0/24 10.0.0.0/24 any -P out ipsec esp/tunnel/172.16.5.4-192.168.1.12/use; spdadd 10.0.0.0/24 10.246.38.0/24 any -P in ipsec esp/tunnel/192.168.1.12-172.16.5.4/use; - 設定ファイルを適切に置くと、以下のコマンドにより、 - 両方のゲートウェイ上で racoon - を起動できます。 + 設定ファイルを適切に置くと、以下のコマンドにより、 + 両方のゲートウェイ上で racoon + を起動できます。 - &prompt.root; /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log + &prompt.root; /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log - 出力は以下のようになるでしょう。 + 出力は以下のようになるでしょう。 - corp-net# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf + corp-net# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf Foreground mode. 2006-01-30 01:35:47: INFO: begin Identity Protection mode. 2006-01-30 01:35:48: INFO: received Vendor ID: KAME/racoon @@ -2948,45 +2949,45 @@ n2006-01-30 01:36:04: INFO: ISAKMP-SA established 172. 2006-01-30 01:36:18: INFO: IPsec-SA established: ESP/Tunnel 192.168.1.12[0]->172.16.5.4[0] spi=124397467(0x76a279b) 2006-01-30 01:36:18: INFO: IPsec-SA established: ESP/Tunnel 172.16.5.4[0]->192.168.1.12[0] spi=175852902(0xa7b4d66) - トンネリングが適切に行われているかどうかを確認するため、 - 別のコンソール上で &man.tcpdump.1; を使い、 - 以下のようなコマンドでネットワークの通信を確認してください。 - ただし、以下の例の em0 の部分は、 - 必要に応じて使用しているネットワークインタフェースに置き換えてください。 + トンネリングが適切に行われているかどうかを確認するため、 + 別のコンソール上で &man.tcpdump.1; を使い、 + 以下のようなコマンドでネットワークの通信を確認してください。 + ただし、以下の例の em0 の部分は、 + 必要に応じて使用しているネットワークインタフェースに置き換えてください。 - &prompt.root; tcpdump -i em0 host 172.16.5.4 and dst 192.168.1.12 + &prompt.root; tcpdump -i em0 host 172.16.5.4 and dst 192.168.1.12 - 以下のようなデータがコンソールに表示されます。 - もし、表示されない場合は、設定に何か問題があるので、 - 表示されるデータを使ってデバッグする必要があります。 + 以下のようなデータがコンソールに表示されます。 + もし、表示されない場合は、設定に何か問題があるので、 + 表示されるデータを使ってデバッグする必要があります。 - 01:47:32.021683 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xa) + 01:47:32.021683 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xa) 01:47:33.022442 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xb) 01:47:34.024218 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xc) - これで 2 つのネットワークは、 - 1 つのネットワークのように利用できます。 - 多くの場合、 - 両方のネットワークはファイアウォールにより保護されています。 - 両方を流れる通信を許可するには、 - パケットが両方を行き来できるようにルールを追加する必要があります。 - &man.ipfw.8; を使ったファイアウォールの場合は、 - ファイアウォールの設定ファイルに、以下の行を追加してください。 + これで 2 つのネットワークは、 + 1 つのネットワークのように利用できます。 + 多くの場合、 + 両方のネットワークはファイアウォールにより保護されています。 + 両方を流れる通信を許可するには、 + パケットが両方を行き来できるようにルールを追加する必要があります。 + &man.ipfw.8; を使ったファイアウォールの場合は、 + ファイアウォールの設定ファイルに、以下の行を追加してください。 - ipfw add 00201 allow log esp from any to any + ipfw add 00201 allow log esp from any to any ipfw add 00202 allow log ah from any to any ipfw add 00203 allow log ipencap from any to any ipfw add 00204 allow log udp from any 500 to any - - ルール番号は、 - 現在のホストの設定によっては変更する必要があるでしょう。 - + + ルール番号は、 + 現在のホストの設定によっては変更する必要があるでしょう。 + - &man.pf.4; または &man.ipf.8; を使用しているシステムでは、 - 以下のルールで上手くいくでしょう。 + &man.pf.4; または &man.ipf.8; を使用しているシステムでは、 + 以下のルールで上手くいくでしょう。 - pass in quick proto esp from any to any + pass in quick proto esp from any to any pass in quick proto ah from any to any pass in quick proto ipencap from any to any pass in quick proto udp from any port = 500 to any port = 500 @@ -2997,17 +2998,17 @@ pass out quick proto ipencap from any to any pass out quick proto udp from any port = 500 to any port = 500 pass out quick on gif0 from any to any - 最後に、システムの初期化中に VPN - が起動するように、以下の行を - /etc/rc.conf に追加してください。 + 最後に、システムの初期化中に VPN + が起動するように、以下の行を + /etc/rc.conf に追加してください。 - ipsec_enable="YES" + ipsec_enable="YES" ipsec_program="/usr/local/sbin/setkey" ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot racoon_enable="yes" - - - + + +