YYMUX parameter* == YYMUX=host[:port][:connMap] connMap == ProtoList[:dstHostList[:srcHostList]] -- default: none
YYCONF parameter* == YYCONF=name[:value] -- default: none
CONNECT parameter* == CONNECT=connSeq[:connMap] connSeq == connType[,connType]* connType == cache|icp|proxy|master|https|vsap|direct|socks|udp connMap == ProtoList[:dstHostList[:srcHostList]] -- default: CONNECT="c,i,m,h,y,v,s,d:*:*:*"
connType:
cache | -- CACHE を検索 (接続しない) |
icp | -- ICP サーバーに指示された PROXY 経由 |
proxy | -- PROXY サーバー経由 |
master | -- PROXY または MASTER-DeleGate サーバー経由 |
https | -- SSLTUNNEL (HTTP 上の SSL トンネル) 経由 |
yymux | -- YYMUX サーバー経由 |
vsap | -- VSAP サーバー経由 |
direct | -- 目的サーバーへ直接接続 |
socks | -- SOCKS サーバー経由 |
udp | -- UDP による |
none | -- 接続しない |
それぞれの接続タイプは、それぞれ {c,i,m,d,v,s,u} のように、
頭文字で省略できます。
ProtoList と dstHostList が指定された場合、
リストに含まれるプロトコルとホストにのみ制御が適用されます。
例) 外部ネットワークに接続せず、ホスト上のキャッシュデータを使う場合、
CONNECT="cache:*:!./@"のように指定します。
注記) 現実装では、"cache" が connSeq に含まれる場合、 常に最初に試されます。
-Pport と CONNECT=udp の組合わせは、TCP クライアントから UDP サーバーへ中継します。 また、-Pport/udp と udp ではない CONNECT の組合わせは、 UDP クライアントから TCP サーバーへ中継します。SRCIF parameter* == SRCIF=host[:[port][:connMap]] connMap == ProtoList:dstHostList:srcHostList -- default: SRCIF="*:*:*:*:*"
このパラメーターで、それぞれのサーバーへ接続する際の ソースアドレス(ネットワークインターフェースの)を指定します。 これは、DeleGate ホストが複数のネットワークインターフェースを持つ場合に役立ちます。 それは、SOCKS-DeleDate または、FTP-DeleGate により受け付けられる クライアント接続で使用するポートの指定にも使えます。
ほとんどの場合、特殊パターン "*" を host または、port に指定した場合、 IP アドレス、またはポート番号をワイルドカード指定します。 いくつかの場合、特殊パターン "*" は、 FTP データ接続 (PORT や PASV による) 用ポート、または、 SOCKS (BIND と UDP-ASSOCIATE) 用ポートのような、 プロトコルによって指定された必要なアドレスや、ポート番号に使われます。 ワイルドカードを IP アドレスと、ポート番号で明示的に指定するには、 それぞれ、host に "0.0.0.0" を、port に "0" を指定します。
例)
要求に応じて割り当てられ、相手に通知された "ftp-data" 接続用のポート ( PORT により クライアントからサーバー、PASV によりサーバーからクライアントに向けられた) は、"ftp-data-port" または、"ftp-data-pasv" により、それぞれを個別に制御できます。 PORT のためにサーバーからクライアント、または、PASV のためのクライアントからサーバーへ 確立されるデータ接続用のソースポートは、"ftp-data-src" によって制御できます。
TUNNEL parameter == TUNNEL=tunnelType:script tunnelType == tty7 -- default: none
現状、tunnelType は、"tty7" でなければならず、それは、 DeleGate 間の伝送が 7ビットストリームで行われることを意味します。 タイプが "tty7" の場合、トンネルを確立する方法を、 指定した SHIO スクリプトファイルに書いておきます。 配布パッケージに含まれる、"src/sample.shio" を参照して下さい。 スクリプトファイル名は、絶対パスまたは、 相対パス (LIBPATH で検索できるファイル名) のどちらかで指定する必要があります。 上流のトンネル用 DeleGate は、 SERVER="tunnel1" を指定して起動しなければなりません。
例) ログインダイアログなしで、トンネルを形成する。
PERMIT parameter* == PERMIT=connMap connMap == ProtoList:dstHostList:srcHostList -- default: none
複数の PERMIT パラメーターが指定された場合、アクセスは、 少なくとも1つの PERMIT で指定された権限が許可されます。 PERMIT パラメーターがない場合、アクセス許可は、 REMITTABLE,REACHABLE,RELIABLE パラメーターによって明示されるか、 SERVER パラメーターによる暗黙の指定によって、制御されます。
例) ローカルネット上のホストには無制限に許可し、その他ホストは、http://www のみ許可します
ProtoList (dstHostList) 中の特殊パターン "*" は、 全ての許可されたプロトコル(サーバー) (REMITTABLE (REACHABLE) パラメーターによって明示することもできます) を意味します。 これらパラメーターは、可能となっている許可範囲を制限します。 プロトコル(サーバー)は、REMITTABLE (REACHABLE) パラメーターによって、 明示的または暗黙の指定で許可されていない場合、使えません。 同様に、1複数の RELIABLE パラメーターが明示的に与えられた場合、 これらは、PERMIT のsrcHostList 中にあるクライアントの許可範囲を制限します。
dstHostList で指定したホストは、"host:portNumList" のように ポート番号をつけることで、更に制限できます。 例) PERMIT="telnet:{*:23}:*" は、任意のホストに対する telnet を 標準ポート番号(23)でのみ許可することを意味します。
ProtoList 中のプロトコル名は、 "protocolName/portNumList/methodList" のようにポート番号と手段を使って変更でき、 プロトコルにおけるアクセス可能なポートと手段を制限できます。 例) 一連の PERMIT パラメーター PERMIT="ftp//readonly:Servers:Clients" PERMIT="ftp:*:*" は、 Servers に対する Client からのアップロードを禁止し、 他のサーバー・クライアントの組み合わせで、アップロードを許可することを意味します。
複数の DeleGate サーバーが、MASTER や PROXY によって連結されている場合、 元クライアントの識別情報は、 最初(連結の入り口)の DeleGate サーバーによって取得され、 上流 DeleGate サーバーへ RIDENT パラメーターを使用して転送でき、 また、PERMIT パラメーターを使って検査されます。
REJECT parameter* == REJECT=connMap connMap == ProtoList:dstHostList:srcHostList -- default: none
REMITTABLE parameter == REMITTABLE=ProtoList -- default: REMITTABLE="*" - generalist 用 -- default: REMITTABLE="." - specialist 用
プロトコル名の後ろに "/portNumList" がある場合、PortList に 指定されたポートのみが許可されます。 PortList には "/methodList" を付けることができ、 プロトコルで使える手段を制限できます。 現在、手段として、"readonly" のみが使えます。 例)REMITTABLE="ftp//readonly" は、 FTP サーバーへのアップロードを禁止する、 "読み込み専用" FTP-DeleGate を生成します。
プロトコル固有のデフォルト:
例外:
最初の指定が、"+" の場合、それはデフォルトで許可されたプロトコルのリストを意味します。
例) SERVER=http で、REMITTABLE="+,-https/80,-wais,file" の場合、
REMITTABLE="http,https/443,gopher,ftp,file" を意味します。
注記:ここでの "https" は、SSLtunnel 上の 非 https プロトコルを検出して拒否します。
SSLtunnel 上で 任意のプロトコルを中継する場合、
REMITTABLE="+,ssltunnel" のように、
"https" の代わりに "ssltunnel" を指定します。
REACHABLE parameter* == REACHABLE=dstHostList -- default: REACHABLE="*" (全てのホストに接続可能)
RELIABLE parameter* == RELIABLE=srcHostList -- default: RELIABLE=".localnet"
これは、RELIABLE=Hosts1 RELIABLE=Hosts2 のような、 複数の RELIABLE パラメーターを、 単一の RELIABLE="Hosts1,Hosts2" に、単純に結合したものと解釈しますが、 Hosts1 または、Hosts2 に、いくつかの、 否定、または、 合成演算子が含まれる場合、 "Hosts1 または Hosts2" を意味しません。 もし、この文章の意味が理解できない場合は、代わりに、 複数の PERMIT パラメーターを使用することを推奨します。
RELAY parameter* == RELAY=relayTypeList[:connMap] relayTypeList == relayType[,relayType]* relayType == proxy | delegate | vhost | no | nojava | noapplet connMap == ProtoList:dstHostList:srcHostList -- default: RELAY="delegate,nojava:*:*:.localnet" RELAY="vhost,nojava:http:{*:80}:.localnet" RELAY="proxy:*:*:*"
RELAY="no" は、中継を行わない、元 HTTP サーバーとして動作することを意味します。 (元 HTTP サーバーは、プロキシー用の書式 (要求される URL は、絶対フォーマットで、フル書式や、"/-_-" 書式ではありません) ではない通常の書式での要求を受け付ける、通常のサーバーです。)
"transparent-proxy (透過プロキシー)" と呼ばれる機能は、"RELAY=vhost" で有効にできます。 RELAY="vhost" は、任意の仮想ホストにも中継する、元 HTTP サーバーに使用できます。 このオプションは、明示された MOUNT を指定せずに、 要求ヘッダー中の "Host:" フィールドで指し示された 任意の対象サーバーに、 HTTP 要求を転送可能にします。 この自動転送は、要求された URL が MOUNT されていない場合のみ実行されますが、 ほとんどの DeleGate は ルート URL ("/*") 用の MOUNT パラメーターが指定された 元サーバーとして動作しているため、それほど使われそうにありません。
他の relayType と連結した "nojava" は、<APPLET>,
<EMBED> および、<OBJECT> タグ を、relayType によって、
使用不能にします(<killed-TagName> に置き換えられます)。
"noapplet" をともなう場合、<APPLET> タグのみが使用不能になります。
RERAY パラメーターにより、relayType "delegate" を使用可能にした場合、
上記、デフォルトである "nojava" の使用を強く推奨します。
例)
デフォルト:
SCREEN parameter == SCREEN={reject|accept} -- default: none
AUTH parameter* == AUTH=what:authProto:who -- default: none
HTTP-DeleGate の場合、(要求メッセージ中の) Authorization ヘッダー
にある Username:Password で、
"私は誰”かを宣言します。ここでの Username は、
User@Host にもできます。
User, Host, Password のセットを得た後、
DeleGate は、
Host の(FTP)サーバーに、
User と Password でログインを試みます。
成功した場合、
クライアントは User@Host で
認証されます。
現在、以下のカテゴリでの、 認証/権限付与がサポートされます。
-- 任意プロトコルの DeleGate の場合 --
さまざまなプロトコルの DeleGate (SERVER=protocol にかかわらず) は、
"-PuserPort,adminPort/admin" のように、 "/admin" 修飾子をもつ管理専用ポートを指定することで、
リモート管理用ポートを持つことができます。
例)
-- FTP サーバー と FTP/HTTP ゲートウェイの場合 --
3番目のフィールドが "-" である場合(すなわち、AUTH="anonftp:smtp-vrfy:-@*")
"host.domain" 上のメールサーバーに対する接続のみがチェックされます。
-- プロキシーと 元 HTTP サーバーの場合 --
ident | -- 識別プロトコル [default] |
pauth | -- Proxy-Authorization フィールド "user@host:password" を使用 |
auth | -- Authorization フィールド "user@host:password" を使用 |
FTP サーバーベースの認証を使用する場合、 要求される認証情報としてのユーザー名は、 "user@host.domain" のような、E-mail アドレスです。 なお、これは通常、AUTH="anonftp" と AUTH="proxy" 両方で使えます。
AUTHORIZER parameter* == AUTHORIZER=authServList[@realmValue][:connMap] authServList == [authForw,]authServ[,authServ]* | & | * authForw == -map{inPat}{localPat}{fwdPat} | -strip | -fwd authServ == authHost[/portNum][(reprUser)] authHost == hostName | hostAddr realmValue == word | {words separated with space} connMap == ProtoList:dstHostList:srcHostList -- default: none -- 制限: Telnet, FTP, NNTP, SMTP, IMAP, Socks, SockMux および、HTTP に、適用可能
注記: auth-server により認証されたクライアントは、そのクライアントホストが、 他のアクセス制御 (RELIABLE と PERMIT) を通過しない場合、許可されません。 認証された全クライアントを、そのホストを無視して許可したい場合、 RELIABLE="-a/*" のように指定します。 この用途で、RELIABLE="*" も動作しますが、DeleGate と設定変更で使うのは危険です。
connMap に追加するとき、認証サーバーは、 対象プロトコル、サーバーホスト、クライアントホストの組合わせで、条件付で選択できます。 authServList は、認証サーバー名、または、認証サーバーのホスト名リストです。 authServList の後ろに、"@realmValue" が付く場合、 その値は、HTTP-DeleGate における、保護空間の領域指定に使えます。 それは、それぞれの MOUNT ポイントに対して、マウントオプション "realm=realmValue" で上書き可能です。
現在、リモート認証/権限付与サーバーのプロトコルは、 FTP プロトコルの USER/PASS コマンドです。 このように、DeleGate の認証/権限付与サーバーには、 任意の実在の FTP サーバーを使用できます。 他の方法として、DeleGate 自らが持つ 認証/権限付与のためのリストは、 -Fauth 機能により管理できます。
次のように、組み込み auth-server を authServ として使用します:
例)
例)
コマンドによる認証の結果は、その出力文字列か、終了コードで表されます。
コマンドはその標準出力に結果を FTP プロトコルでのステータス応答形式で表し、
成功時 "230"、失敗時 "530" です。
他の場合、プロセスの終了コードが使われ、0 が成功、0 以外が失敗です。
例) ユーザー名を引数で渡し、パスワードを環境変数で渡す。
[myauth コマンドの内容]
//ダイジェスト認証をクライアントと行う HTTP プロキシー、または、サーバー
SERVER=http AUTHORIZER=-dgauth
// クライアントと、APOP 認証を行う、POP プロキシー
SERVER=pop MOUNT="* pop://server/*" AUTHORIZER=-dgauth
注記: ほとんどの PAM 認証の実行には、Unix 上のスーパーユーザー特権
(OWNER="root" オプション付加) が必要です。
しかし、DGROOT/subin/ に
外部プログラム "dgpam" をインストールすることで、
スーパーユーザー特権をともなう DeleGate を実行することを避けられます。
PAM 認証は、リモート PAM サーバーに委任することもできます。
AUTHORIZER="-list{u1:p1,u2:p2}(local),-pam,-none(anonymous)"
// ユーザーは、"local" または PAM でのユーザー、またはその他の "anonymous"
// として認証されます。
AUTHORIZER="-cmd{myauth %U}{MYPASS=%P}"
#!/bin/sh
if [ "$1" = "user1" -a "$MYPASS" = "pass1" ]; then
echo "230 SUCCESS"
else
echo "530 FAILURE"
fi
"-map" プリフィックスは、入ってくる USER と PASS の認証情報 (inPat パターンで)
を分離し、一対の認証(1つは authServList (localPat 内の) によりローカルで使われ、
他は (fwdPat 内の) サーバーに転送されます) にします。
一致または生成される各認証情報は、"username:password" として一対の
ユーザー名とパスワード文字列であらわされます。
fwdPat により生成されるユーザー名文字列が "@Host" で終わる場合、
それは取り除かれ、Host は対象サーバーとして使われます。
文字列は共通仕様フォーマットパターン (MOUNT でのマッチングパターンで使われる) に一致した形式で生成されます。
(例) -strip
(例) -fwd
u1 または PAM によるローカル認証 <-- USER user1 + PASS pass1
サーバー h2 に送られる <-- USER user2 + PASS pass2
(例)
上記例1で見せたのは、"-strip" が、USER "u1@u2@u3@h3@h2@h1" と PASS "p1@p2@p3"
として、ユーザー名とパスワードの多重化に使うということ。
USER と PASS の '@' より前の最初の部分を取り除きローカル認証に使い、
USER 内の '@' 以降の最後の部分は対象サーバーとして、残りの文字列は対象サーバーに転送されます。
"-fwd" 指定は、同じ USER と PASS をローカル認証と、サーバーとの認証の両方に使います。
認証されたユーザーに権限を与えない必要があるときのみ、 authServList として、以下の特別な名前が便利でしょう。
例)
MYAUTH parameter* == MYAUTH=username:password[:connMap] -- default: none -- 制限: Socks, VSAP, SMTP, および HTTP のみに適用可能
クライアントから送られた、ユーザー名+パスワードの組は、 MYAUTH="%U:%P" でサーバーに転送できます。 (HTTP および、FTP でのみ使えます)
注記: プロキシーとの認証では、MYAUTH の代わりに認証情報を含むゲートウェイ URL を FORWARD とともに使用することが強く推奨されます。 例) SOCKS=host:port と MYAUTH=user:pass は、 FORWARD=socks://user:pass@host:port と、表現できます。
例)
RIDENT parameter == RIDENT=ridentType[,ridentType]* ridentType == client|server -- default: none
例)
MAXIMA parameter* == MAXIMA=what:number,... -- default: MAXIMA=listen:20,ftpcc:2,...
randstack | -- | セキュリティ用スタックベースのランダマイズレンジ [32] |
randenv | -- | 環境変数ベースのランダマイズレンジ [1024] |
randfd | -- | クライアントソケットファイルディスクリプターのランダマイズレンジ [32] |
listen | -- | 入り口ポートキューの最大サイズ [20] |
delegated | -- | 一度に実行できる DeleGate プロセス数の最大値 [64] |
service | -- | delegated プロセス単位の最大サービス数 [無制限] |
standby | -- | スタンバイプロセスの最大数 [32] |
conpch | -- | クライアントホスト単位の最大同時接続数 [無制限] |
ftpcc | -- | サーバーからホストに対する FTP 接続キャッシュの最大数 [16] |
nntpcc | -- | サーバーからホストに対する NNTP 接続キャッシュの最大数[16] |
http-cka | -- | (HTTPCONF=max-cka で置き換えられました) |
http-ckapch | -- | (HTTPCONF=max-ckapch で置き換えられました) |
udprelay | -- | 並列 UDPrelay クライアントの最大数[32] |
winmtu | -- | Win32 における send() 単位の最大値[1024] |