最強家庭内 LAN FAQ

随時追加されます

1.全般的な話題


1.1 家庭内乱とは何ですか?

家庭内乱ではなくて、家庭内 LAN です。 フツーのおうちに組んである LAN(ローカルエリアネットワークです)。 家庭レベルですので、ホストが全部で2つということもあるでしょうが、 それでも立派な LAN です。電気代がかかってはいけない、静かでなければいけない、場所を取ってはいけない、高くついてはいけない、子供が壊す、などとにかく制約が多く、企業などのそれとは違った悩みを多く抱えているのです。


1.2 どれぐらい強いのですか?ゼットンとどちらが強いですか?

最強足り得るには
  • 金をかけない
  • セキュアである
  • 手間がかからない
  • 不便を感じない
を満たすのが理想です。全てがうまくトレードオフされねばなりません。これらは企業においてもそうしたいところでしょうが、家庭ではなおさらです。現に私は月2万円のお小遣い制であり、これで全てをまかなうのです。PC 関係なんぞには一切金をかけたくないのです。ちなみにウチの奥さんはゼットンより強いでしょう。


1.3 電気代が心配です

常時稼動させるのはノートPCにしましょう。昔使っていたやつが眠っていませんか?バッテリーが生きていれば UPS つきということにもなります。新しいのはダメです、発熱量が多すぎます。

ノートを常時稼動させる際、気をつけるのは APMでサスペンドするとPCカードもおやすみになってしまう場合があるということです。この場合、サーバーを立ててネットワークサービスをするにはサスペンド無効にしましょう。


1.4 やっと役に立つ内容が出ましたね、あと注意点は?

大きなお世話です。ノートPCは音も小さいのでとてもよろしいです。もし、発熱量が少なく静かなノートPCを持っている、あるいは手に入れた幸運な人はそのマシンをインターネットゲートウェイにすることを検討しましょう。セキュリティ面を含め、家庭内 LAN のキモはインターネットゲートウェイにあるといっても過言ではありません。そして1FDで素晴らしいNATボックスが構築できる[ Mosquito ]を使いましょう。これでHDDも動かないので、静かで、トラブルの可能性が激減します。


1.5 インターネット接続は何がいいですか?

少なくとも常時接続線を一つ確保しましょう。なぜならばクソ高い参考書やらを買い込まなくても情報はネット上にイヤというほどあるからです。それを見るためだけでも元が取れておつりがきます。ダイアルアップではダメです。サーバーとか立てないならケーブルテレビもいいでしょう。比較的気楽に使えるものが多いです。DSL ラインの場合は聞いた話を総合すると、まだフレッツのほうがトラブルが少ない気がします(プロバイダのトラブルは考慮しない)。しかしこれから状況はどんどん変わるでしょう。


1.6 置き場がありません

これは深刻な問題です、サーバールームなどというものは夢のまた夢です。さて、置き場ですが方針として、当たり前のことですがなるべく垂直方向を有効活用します。私のところではラックの上にキッチン用品収納台などを利用して(安いからです)とにかく狭く高く積み上げています。上段にはサーバー、手の届くところにはログホスト、とかいった配置になっています。各ホストは全て1台のモバイルから操作します。うまく積み上げるためのラックなどは秋葉原まで行かずとも、ホームセンターなどにあって、なかなか燃えます。





2.ハードウェア


2.1 中古で1台購入しようと思うんですが

ノートがいいですよ。企業で提案すると「は?」と言われますがね。でもデスクトップも安いので魅力的ですね。どちらにしてもサーバー用途にするなら、静粛で発熱が少ないものでなければダメです。でも簡単にはわかりませんね。性能に対して筐体がムダに大きく感じるものはよいかもしれません。私の場合これで当たっています。場所を取らないという意味でスリムタイプの筐体が魅力的に見えるかもしれませんが、発熱が大きいなど(熱が逃げない)サーバーには最悪です。また、もちろんサーバータイプのマシンは買ってはいけません。自宅で動かしてごらんなさい、あまりの騒音に驚き、強力なファンによってホコリが舞い上がり、そして奥さんに怒られるでしょう。


2.2 無線 LAN はどうでしょうか

欲しいですねえ。家庭内 LAN において最も魅力的なアイテムの一つかもしれません。ケーブルがどさどさしていなければ掃除が楽なので、奥さんの文句も減るでしょう。問題点の一つであるセキュリティも家庭内ならほぼ考えなくてよいでしょう、隣人が明らかにアングラナイズされたような風貌をしていなければ...。しかし、残念ながら我々の目指すのは無線ではなく無銭なのであきらめざるを得ません。


2.3 LAN カードの安いものはやはりよくないのでしょうか

なにをいまさらおっしゃいますか、「安い」が全てなのです。まあ、使えなかったら話になりませんね。最近の日本は(昔は知らんが)こういった面では安心で、安くてもちゃんとした製品がたくさんあります。多少速度が出ないなどあっても見てみぬフリをする、というのも重要な心得です。


2.4 おすすめの LAN カードを具体的に挙げて下さい

仕方がないですね。断っておきますが、私はメーカーの人間ではなく、お金ももらっていません。ちなみに、もし頂けるのであれば大々的に推しますのでよろしく、ということで。

私が実際に愛用しているものには、苦労して導入、動作させたものが多いのです(バカな子ほどかわいい)が、大概の環境で、Linux 上でもたいして苦労なくイケるものをいくつか紹介しましょう。FreeBSD でもイケます。でも OpenBSD だと苦労するかもしれません。 
■ 10Base-T ■
100Base-TX も安いのでそっちにしましょう。

■ 100Base-TX/10Base-T ■
Planex       : FW-100TX
GREEN HOUSE  : GH-EL100/LR


★PCカードタイプ
■ 10Base-T ■
Corega       : EtherII PCC-T
Melco        : LPC2-T

■ 100Base-TX/10Base-T ■
Planex       : FNW-3600-TX
IO DATA      : PCET/TX-R
ELECOM       : Laneed LD-CDL/TX
Card Bus 対応ですか?そんな立派なマシンはウチにはあまりないのです。その他の場合でも NE2000 互換モノ、といわれるものはほぼ何とかなるでしょう。pcnet_cs.o などの対応モジュールがしっかりしているからです。ただ、最近のお店のヒトは NE2000 を知らない場合があります。以前某有名店で「NE2000 コンパチのものありますかね」と聞いたら、「2000 なら全部大丈夫ですよ」と言われました。完全に W2K とカン違いしています。


2.5 サーバー用に中古のノートPCを買う気になりました。何を買えばいいですか?

またあなたですか。私はすべての機種を試してるわけではありません。だいたい、こういった質問は「モー娘の中でだれが好きですか?」というのと同じです。私にとってたった一人を選択するのは至難の業です。強いて言えば矢口なのですが。まあ、いいでしょう。指針を示しましょう。

■ 事前調査 ■
  • AT 互換で 486 以降のプロセッサのもの できたら 586 以降
  • TFT 液晶のものは高いので DSTN のもので充分。
  • WEB検索で "Linux 機種名" のように検索してたくさんヒットするもの。
■ 店頭にて ■
  • 筐体破損、ドット抜け、トラックボール不良などはサーバー用途に問題はなく、安くなるので積極的に探す
  • できたらバッテリーが生きてるものがよいが、なかなか確かめることは出来ないので、あきらめる。
  • PCMCIA TYPEII X 2 スロットのもの
  • 1万円以下のもの(それ以上のものはスペック的に不必要か、ボッタクリ)

2.6 基本的な配線とチェック方法を教えてください

私が実際に利用している形態の回線方式についてだけ説明します。 形式は一般的なスクリーンドホスト形式とします。 
★NTT東日本フレッツADSL

       Internet
           |
           |
           |
          NTT
           |
           | route 1 (アナログ電話線)
           |
         モデム
           |
           | route 2 (カテゴリ5ストレートケーブル)
           |
          eth(ppp)
    ゲートウェイマシン(あるいはブロードバンドルーター等)
          eth
           |
           | route 3 (カテゴリ5ストレートケーブル)
           |
         ハ ブ
           +-----+-----+-----
           |     |     | (カテゴリ5ストレートケーブル)
          eth
         端 末

チェック方法

まずは内部からインターネット上のWEBサイトでも見てみればよいだろう。
それでダメなら、という話で十分である。ただ当然だが、ブラウザでは
プロキシを使うとかややこしいこと設定をはずしておくこと。

で、ダメな場合だが。

route 1, 2: モデムのインジケーターなどを確認(説明書参照)の上、
            ppp接続確立は GW 上から  ifconfig コマンドを発行する等の
	    方法で確認する。ppp 接続の確立は1回で成功しない場合もあるが、
            再度試み続けるのでしばらく待ってみる。何度トライしても
      うまくいかない場合は最も初歩的なミスであるアカウントと
            パスワードの間違いがないかをまず確認すること。
      テキスト形式のコンフィグファイルを手で書く場合は
            書式にも注意すること。それでもまったくどうにもならない場合は
            腹をくくって地道に検査する。とにかくハードウェアの検査から
            やり直す。
            また、 GW から インターネット上の IP アドレスへ ping
            コマンドを発行し、でモデムのインジケータが点滅するかどうかで、
            route2 はチェックできるのでそういった方法で原因を絞っていく。

            しかし、こういったトラブルは殆どの場合がくだらないミスによる
            ものであることを覚えておくこと。

            モデムは電源投入後初期化作業があるのでしばらく待ってから行うこと。
          
route 3   : GW から 内部端末の IP アドレスへ、あるいはその逆に
            ping コマンドを発行し、ハブのインジケータが点滅するかどうか。
            また、正しくリプライされるかどうか。

※間違いやすい設定
ゲートウェイをPCで構築する場合、デフォルトゲートウェイを設定してはいけない。
それではパケットが出て行けない。出口は ppp であるべきだからです。


★So-net ADSL 8M		      

       Internet
           |
           |
           |
       プロバイダ(業者)
           |
           | route 1 (アナログ電話線)
           |
         モデム(ルータ機能あり)
           |
           | route 2 (カテゴリ5ストレートケーブル)
           |
         ハ ブ
           +-----+-----+-----
           |     |     |  (カテゴリ5ストレートケーブル)
          eth
         端 末

基本的にモデムの設定が全てとなる。これは内部の端末からWEBブラウザを通じて
行うことになる。

WEBブラウザを通じてモデムにアクセスすることさえできない場合は
端末のネットワークアダプタ、ハブ、ケーブルをまず疑う。
ネットワークアダプタとハブは端末からpingを打ってハブのインジケータが点滅
すればまあ大丈夫だろう。

ブラウザでアクセスできているのにどうしても業者への接続が出来ない場合は
単なる設定ミスの可能性が大。説明書をよく読もう。しかし、まれに業者側の
不具合があるようです。


★JCOM インターネット接続サービス

※契約上、 NAT は禁止のため端末は1台しか繋ぐことができない
※契約上、端末はサーバーにできない
※上記の制限のない CATV もあります
※ファイアウォールは端末上で実装するしかない

       Internet
           |
           |
           |
       プロバイダ
           |
           | route 1 (ケーブル)
           |
         モデム(ルータ機能あり)
           |
           | route 2 (カテゴリ5ストレートケーブル)
           |
         端 末

説明書をくれるが、Windows, Mac 用のものだ。ただし、それを見て
ユーザー名 cj-XXXXXX とかいうやつを使って DHCP でグローバルアドレスを
取得する、というだけの簡単な話だ。dhcp クライアントによってはうまくい
かないものもあるらしいが、いろいろあるのでだめなら次を試してみる
という風に気楽にやってみよう。昔やったときは pump ではダメでした。






3.ソフトウェア


3.1 Windows のサーバーは危険だと聞きましたが

セキュリティ的にということですね。Windows のサーバーが危険というか、そもそもサーバー運用は危険が伴います。それは Windows であろうが OpenBSD であろうが同じことです。ただし、Windows サーバーには以下の特徴があり、「危険」と捉えるならその表現はあながち間違ってはいません。
  • 初心者でも”とりあえず”なら動かせるようになっている。
  • とりあえず動くので、そのまま放っておく管理者が多い。
  • ちゃんと管理するにはライセンスなどで高額の出費を要する。またその他もろもろの関連ツールも有料のものが多く、細々と費用がかかる。
  • 上記の理由により、完璧なメンテナンスを断念する管理者が多い。
  • さらに上記の理由により、脆弱な Windows サーバーが世の中に多く、増える一方である(※1)。
  • さらにさらに上記の理由により、Windows サーバーを狙うクラッカーが多い。
  • さらにさらにさらに上記の理由により、Windows サーバーの脆弱性は次々に発見される。
  • 上記のアナウンスがされるものの、あまりにも頻繁な上、前述の理由もあサーバーや常時稼動機に Linux を導入するって、多くの管理者はセキュリティパッチを導入しないため、※1の状態となる。この流れが無限に繰り返される。
ちなみに上記は Solaris や Red Hat 等の商用 UNIX にも一部あてはまりますが、要は管理者次第です。セキュリティ的な観点から言うと、最強足るに最もよい方法はサーバーを置かないことです。これをさらに偏った方法で発展させると「インターネット鎖国」という状態になります。これについてはいずれ時期が来たら書こうかと思います。出版社の方々、ネタとしてどうですか?


3.2 Linux は嬉しいことがありますか?

それほど嬉しくありません。どちらかと言うと腹が立つことのほうが多いです。しかし、Windows ほどではありません。Linux の本当の嬉しさは家庭内 LAN で運用するだけの用途ではわからないかもしれません。 作業端末にはやはり Windows のほうがよいでしょう。しかし、サーバー構築の出費を押さえるためには正しい選択です。OS自体の費用だけでなく、ロースペックのボロマシンでは Windows は緩慢な動きしかできないからです。 Linux と比較される対象として FreeBSD, NetBSD などがありますが、それもよいでしょう。ただし、初心者にとってはドキュメントの豊富さ(多すぎてかえって戸惑うとも言えるが)から Linux のほうがとっつきやすいと思います。ちなみに私は外部公開サーバー機は FreeBSD 、内部サーバーおよびその他の常時稼動機は Linux 、端末は Windows という構成を好んでいます。まあ、Linux といってもさまざまなわけですが、とにかく安くつくらしい、ということでよいのではないでしょうか。それだけでも十分な価値があります。


3.3 ローカルのファイルサーバーの構築について教えてください

家庭内LANで複数のホストPCを扱う場合、ファイルサーバーはたしかに便利です。別のOSがあるならばなおさらです。WindowsとUNIX互換のOSが共存している場合には、UNIX互換OS側で"Samba"というものを動かすのが定番です。

「そんなの知ってるよ」

というアナタ。ちょっと待ってください、話はこれからです。家庭内ではいわゆるフツーのSambaは使いません。ここまででお分かりのように、私の家庭内LANはロースペックなノートPC中心で構成されます。それらのHDD容量は貧弱な坊やです。よって、通販でブルーワーカーを買ってください、ではなくて、HDDにはOSをインストールせず、フロッピーからOSを起動して、HDDはまるまる使うということをすると幸せになれます。これを実現するOSは FD-Samba というものです。このサイト内に詳しい説明のページがあるので、読んでみてください。また、Windows はいらんのよ、という幸せなヒトは tomsrtbt で nfs サーバーを構築するのがよろしいでしょう。これも関連ページがありますのでそちらへどうぞ。





4.セキュリティ


4.1 常時接続は危険だと聞きました。ハッカーに狙われませんか?

そう思うのであればやめておけばよいでしょう。ちなみに”ハッカー”というのは単に「コンピューター界で特別に優れた人」という意味なのですが、まあ、最近はコンピューター犯罪者の意に使われています。ハッカー本人に言わせると「そんなことはどーでもええのよ」という人が多いので、まあいいでしょう。
さて、あなたが国家の要人であったり、非常にイヤなヤツで特別に恨まれていたり、私のようにセキュリティ系のサイトを作っていたりしなければ、わざわざあなたの所を狙うような物好きは”あまり”いません。つまり、イタズラ電話のレベルです。それくらいならあることもある、ということです。ただしその初期段階は「ポートスキャン」といわれる、単純な攻撃準備的な行為であって、あなたの所に脆弱性が存在しなければ特に固執はせず、どっかにいってしまいます。これも無差別イタズラエロ電話の先が女の子だった場合にしつこくまたかかってくるが、野郎の場合はもうこないのと同じです。

なんにしてもこんなものをいちいち気にする必要はありませんが、あなたの所に脆弱性がある場合は、それはあっという間に乗っ取られます。

まあ、だいいち、乗っ取る側にとっては相手がADSLだろうがダイアルアップだろうが関係ないです。多少の時間的猶予さえあれば充分なのです。ダイアルアップの場合金がもったいないのですぐ切りますが、そのわずかな隙に、ポートスキャンによってハッカーに脆弱性がバレても、次に接続するとIPアドレスが変わりますので、行方不明になる、ということで比較的安全なだけです(ただし、一度乗っ取ってしまえば「発信機」を仕込むので行方不明にはなりません)。そういった意味ではADSL回線とはいえ、PCの電源をしょっちゅう切っているような「非常時接続」ならほぼ同等のセキュリティレベルといえます。

あるいはそういった意味では JCOM や YahooBB のような「固定IPアドレス(JCOMは”保証”ではないが)」サービスの場合は非常時接続であっても、電源が入れば”再会”の可能性がありますので、セキュリティレベルは低いわけです。さらに逆に常時接続であっても頻繁に自動回線断が起こってアドレスを降りなおすフレッツのような場合はセキュリティレベルは高いといえます。

こういった面が論じられることがあまり無いのは不思議ですね。自分のやりたい形(サーバーを公開したい、サーバー無しで安心して楽しみたい等)に合わせて回線やサービスを選択すれば快適だと思います。

4.2 ファイアウォールとは何ですか

私は端的に言って「物理的に攻撃を防ぐ仕組み全般の概念」と考えています。 簡単な解説を LinuxWorld 1月号に記事を書いているので買ってください。バックナンバーも手に入りますので、もう売ってないよ、という言い訳はききませんよ。

4.3 グローバルアドレスは1つでも複数のサーバーを公開できますか?

できます。Linux でゲートウェイを構築している場合はカーネル2.2なら ipchains + ipmasqadm, カーネル2.4なら iptables を使用し、ポートフォワードという機能を用いることによって実現するのがポピュラーなやり方です。ポートフォワード機能は ssh でも利用でき、経路が暗号化されるメリットはありますが、多少細工が必要です。また mosquito 等の 1FD Linux ルーターはそういった機能をラップしているので設定が容易ですし、市販のブロードバンドルーターの多くにもこの機能はあります(こちらはあまり自由が利きませんし、セキュリティレベルの低いものしかできませんが)。実際の構築方法は「ケロりん」サイト内等を探してみて下さい。

4.4 できるだけセキュアにプライベートなサーバーを立てたいのですが

プライベートなサーバーですか。外部には公開しないのですね。次のようにするとよいでしょう。 まあ、サーバーの種類にもよるのですが、共通にいえることは表玄関(ゲートウェイ経由)なら
  • パケットフィルタリングで、相手先を限定する。
    モバイル+ダイアルアップからの場合はMAC アドレスで限定するのも可能かもしれません。


  • well-known なポート番号を使用しない
    たとえばwebサーバーは普通80番を使用しますが、4649番とかを使用するようにします。そしてブラウザからは http://hoge.com:4649/ とアクセスすればよいのです。他のサービスでもクライアントソフトにポート番号変更設定は普通ならあります(手抜きだとない)。こうして、デフォルトの番号を変更すれば、一般的に出回っているツールしか使えないガキハッカーからのプローブから解放されます。Nimda等の自動モノもしかり。ただし、番号はよく吟味しないとよけいプローブが増える。たとえば12345番などにするとトロイねらいのプローブにあたってしまいます。害は少ないですが(ま、いろいろあるけど)。

    上記の待ちうけポート番号の変更は各サーバーデーモンの読み込むコンフィグファイルなどで操作ができますが、ゲートウェイからのポートフォワードを用いている場合はそちらでフォワードする番号を操作すればよいのでもっと簡単です。

    この方法ならば信用の置けるヒトにならポート番号を教えるだけで、特に設定を要しないので、そういう使い方にはよいでしょう。

    また、この方法はガキ相手にはセキュリティレベルがかなり上がります。とはいっても、本気で狙ってくるある程度の技術を持った相手にはあまり意味はありません。しつこく全てのポートをなめて、丁寧に解析すれば(もちろんツールで)簡単にバレます。ただし、前にも言ったように家庭内 LAN の敵の多くはガキ(あるいは厨房、Script Kiddy などともいう)なのです。
また、LAN 内に RAS サーバーを立ててモデム経由でログインということもできますねえ。裏口ですね。

4.5 各端末にもファイアウォールが必要ですか?

特別に意図が無ければゲートウェイ(のファイアウォール)がしっかりしていれば必要ないでしょう。 というか、ゲートウェイで全て処理できるように設計したほうが管理が楽です。端末ごとに置いたりするとよけいややこしいことになって挙句の果てに設定ミスを起こして、よけい危険、といったことも考えられます。家庭なのですからあまり時間は割けません、会社のようにヒマではないのです。

ただし先ほど触れた「意図」ですが、例えばパソコン音痴の奥さんが専用で使うマシンがあったとすると、おそらくメールとちょいとネットサーフィンをするくらいでしょうから、相手側ポートが 80, 25, 110 番以外の通信はすべてシャットアウトするというのは LAN 全体のセキュリティのためには有効かもしれません。こういった奥さんはわんさとウイルスを取り込んで来る可能性が大きいからです。しかし、こうしてある程度封鎖しておけば、感染しても、トロイの木馬などの行動は抑制できます。

SSL を用いたサイトで HTTPS などが使えなかったり、ストリーミング再生できなかったり、不具合がでてきますが、その時はその時に穴を空ければよいですし、「あー初心者にはよくあるよ、やり方が悪いんじゃないのぉ」とか適当なことを言っとけばいいのです。

4.6 家庭内でもパスワードはしっかり管理しなくてはいけませんか?

まあ、少なくともエロサイトを見に行った履歴や「お気に入り」や「ブックマーク」内のエロサイトのURLは見られないようにしたほうがいいに決まっています。は?そういうことではないんですか?

ずさんなパスワード管理下に慣れてしまうと、それが染み付いてしまいます。生年月日やら子供の名前やらを用いた「安易なパスワード」を「あちこちで使いまわす」ようになり「いつまで経っても変更しない」ようになります。これが引き起こすシナリオはたとえばこんなです。

あなた、あるいはあなたの家族がレンタルスペース上にホームページを持っている。クラッカーはそのサーバーに対してブルートフォースアタックを試みる。と、いっても、アカウントをURLに利用するサーバーなのでアカウントはわかっているし、パスワードはホームページの内容からパスワードクラックツールを用いて推測したもので、生年月日の下6桁であっさりとビンゴ。ご丁寧にホームページに生年月日を載せるような行為はよほどのハッカーか単に警戒心が弱いことを宣伝しているようなものである。ホームページの作りから、どう見てもハッカーには思えないので、ますます安易なパスワードを用いていることを期待させたのだった。ハッカーはとりあえず登録情報を確認。またネット上で〜を買ったとかいうことも書いてある日記風ホームページであったため、そこのショッピングモールへ行ってみた。案の定アカウントとパスワードは使いまわされていたので一発ビンゴ.....。


トップページ