大里です。 > From: Seiichirou > Subject: [vine-users:065003] Re: セキュリティ修行→こういうモデルは? > Date: Thu, 11 Mar 2004 20:29:31 +0900 > *Hub無しのクロスケーブル接続(Hubありならストレートケーブル) 学習が目的ならクロスケーブルでの実験は止めた方がいいです。IP 層 の問題に物理層の問題が重なって見えにくくなる可能性がありますから。 a--b のネットワークと c--d のネットワークを同じ HUB に入れても ルーティングの学習はできます。(もちろん 2台用意できれは理想的) > *DNS引き無しで、全てアドレス指定の実験モデル DNS なしの環境というのは、不完全な状態なので、DNS はできれば用 意した方がいいです。DNS が用意できない場合は、ping -n を使うなど して名前解決の影響を排除するような用心が必要な場合もあります。 > ■ 実験一 > IPアドレスのみ設定済みの状態で(マシンBでルーティングしていない) > ------------------------------------------------------------- > {192.168.10.0 network} {192.168.0.0 network} > +---------+ +---------+ +---------+ > | マシンA |a)==X==(b| マシンB |c)==X==(d| マシンC | > | | | b→X←c | | client | > +---------+ +---------+ +---------+ > ------------------------------------------------------------- > この時のマシンAからのping コマンド(実験しなくてもよいかも) > a→b ……ok > a→c ……見つからない > a→d ……見つからない > この時のマシンCからのping コマンド > d→c ……ok > d→b ……見つからない > d→a ……見つからない > この時のマシンBからのping コマンド > b→a ……ok > c→d ……エラーになるはず(条件によってokの時も) > (b→c ……見つからない……指定できれば) > > ……こんな感じになるはずです。 > 注目したいのはマシンBからのテストでして、 > 「bがeth0ならば、dへのpingにもbを使おうとする」 > という動きですね。エラーで正常です。 うーん。そういう挙動をする ping の実装ってありましたっけ? traceroute ではそういう実装*も*あったような気がしますが。 ホスト B で 192.168.0.0 のネットワークへの route が c の interface に向いているなら、B から C への ping は c の interface から出ていきます。もし route がなければ、C から B への ping に も応答できません。 ですから、 > この時のマシンCからのping コマンド > d→c ……ok > この時のマシンBからのping コマンド > c→d ……エラーになるはず(条件によってokの時も) ということにはなりません。 こういう実験・学習の場合は、それぞれのホストの /sbin/ifconfig と /sbin/route の出力を良く見て、まず意図した通りの設定になって いるかを確認してからやらないと、誤った結果を信じてしまうことがあ りますので、注意しましょう。 セキュリティとはあまり結びつかない話のような気もしますけど。 -- kazz