[CTX] [ALL]

---

AUTH=authgen:basic:authString

HTTP要求ヘッダ中に、クライアントからのオリジナルAuthorizationフィールドがない場合、"Authorization: Basic authString" を生成し、サーバに転送します。authString は、 "userName:passWord"でなければなりません。以下の特別文字列は、クライアントの属性をあらわします。

%u	-- Identプロトコルで得られたユーザ名
%h	-- ソケットから得られたクライアントのホスト名
%i	-- クライアントに向けたネットワークインタフェースのホスト名
%a	-- クライアントのホストアドレス
%n	-- クライアントのネットワークアドレス
%H	-- DeleGateのホスト名
%M	-- DeleGateのADMIN
%A	-- "CMAP=string:authgen:mapSpec"によって生成される文字列
%U	-- クライアントの [Proxy-]Authorization: userame:password の username 部
%P	-- クライアントの [Proxy-]Authorization: userame:password の password 部

例）

ファイアウォールが2つのネットワークインタフェースを持ち、内部/外部ホストが異なるインタフェースからアクセスする場合、それらは、インタフェース名で区別できます。
AUTH="authgen:basic:%i:%h"
他の場合、内部ネットワークは以下のようにCMAPで、明示する必要があります。
AUTH="authgen:basic:%A"
CMAP="{internal:passWord}:authgen:*:*:{InternalNetList}"
CMAP="{external:passWord}:authgen:*:*:*"

"passWord/%i"書式でパスワードが生成され、DeleGateは、このようなパターンのAuthorizationフィールドをともなって入ってくる要求を拒否します。 このように、にせパスワードは、ホスト"%i"上のDeleGateを通過できません。

AUTH=pauthgen:basic:authString

AUTH=authgen のように"Proxy-Authorization: Basic authString" を生成する。

例）

クライアントからの要求メッセージ中の消費 Proxy-Authorization を そのまま上流プロキシに転送する(authString == %U:%P によって)。
AUTH=proxy:pauth AUTH="pauthgen:basic:%U:%P" PROXY=...

AUTH=fromgen:fromString

指定した場合、 オリジナルヘッダが、オリジナルのFromフィールドを持たない場合、"From: fromString"が、HTTP要求に差込まれます。fromStringが省略された場合、デフォルト値は "%u@%h"になります。

AUTH=log:remoteHost:identUser:authUser

HTTPサーバコモンログファイル書式内のクライアント情報部の内容を指定します。デフォルト値は、AUTH="log:%h:%u:%U"です。

%F	-- FromフィールドのE-mailアドレス
%L	-- From: local@domain フィールドのlocal部
%D	-- From: local@domain フィードのdomain部
%U	-- Authorization: userame:password のusername部
%P	-- Authorization: userame:password のpassword部
%Q	-- Forwarded: フィールドの"for clientFQDN"部分

例）

オリジナルクライアントに関する情報は、内部のDeleGateに記録され、ファイアウォールDeleGateから転送されたものは、ファイアウォールDeleGateでFromフィールドが生成され、内部DeleGateに記録されます。

firewall% delegated AUTH="fromgen:%u@%h" ...
internal% delegated AUTH="log:%D/%h:%L/%u:%U" ...

ユーザによるDeleGateの構成

DeleGateを構成する場合、柔軟に、それは、DeleGate管理者だけではなく、ユーザも行えるように、 (WWWリソース（元HTTP-DeleGate上の）提供者）DeleGateは、ユーザが設定した、構成パラメータを、 要求プロセス時毎に読むことをサポートしています。 そのパラメータは、MOUNTされたローカルファイルシステム上の、 "+=parameters"ファイルフォーマットで、 拡張子に".dgp"を持つファイルによって与える必要があります。 それは、-Fcgiと同様に動作し、 新しいプロセスを生成しないでに、効率を上げます。

例） ニュースサーバNを、http://delegate/news/servN/にMOUNTする

(1) 起動時のパラメータによる
MOUNT="/news/servN/* nntp://nntpserverN/*"

(2) CGI-DeleGateによる
MOUNT="/news/* cgi:/dirPath/*"

[the contents of file:/dirPath/servN/welcome.cgi]
delegated -Fcgi MOUNT="/* nntp://nntpserverN/*"

(3) ".dgp" ファイルによる
MOUNT="/news/* file:/dirPath/*"

[the contents of file:/dirPath/servN/welcome.dgp]
MOUNT="/* nntp://nntpserverN/*"

(この機能は、FTPのような他のプロトコルに適用するべきです．．．)

SHTMLファイルでのサーバサイドの実装(SSI)

元HTTP-DeleGateで、接尾辞".shtml"のつくローカルファイルは、 HTMLファイルとは、サーバサイドの実装(SSI)のための特別なタグが含まれるのを除き、 ".html"のつくファイルのように扱われ、METAは、クライアントに送信される前に、 HTTP-DeleGateによって、理解され、置換されます。

SSI タグ

<!--#echo var="varName" -->

varNameで指定された値で置換されます。 varName は、以下のような、 "REMOTE_HOST" または、"HTTP_SERVER" と同様な、任意のCGI互換名です。

DATE_GMT -- GMT現在時刻

DATE_LOCAL -- サーバホストのローカルな現在時刻

LAST_MODIFIED -- .shtmlファイルの最終更新時間

REFERER -- HTTP_REFERER と同じ

DOCUMENT_NAME -- SCRIPT_NAME と同じ

DOCUMENT_URI -- REQUEST_URI と同じ

* -- name=value ペアの変数すべて

<!--#include virtual="URL" -->

"virtual"属性で指定されたデータに置換されます。 "virtual" は、"proto://server/upath"のような完全なURLまたは、 "/upath" のような部分URLとでき、http://delegate/upathとして、 解釈されます。 "/"で始まらない"upath"のような相対URLは、shtmlファイルの ベース（カレント）に対する相対として、解釈されます。

<!--#fsize virtual="URL" -->

<!--#flastmod virtual="URL" -->

それぞれ、指定したデータのサイズまたは、最終更新時間で、置換されます。

<!--#config timefmt=timeFormat -->

"#echo","#flastmod"などによって生成される時間文字列の書式を、 strftime(3)互換の書式で指定します。 (default: timefmt="%a, %d %b %Y %H:%M:%S %z")

META タグ

<META HTTP-EQUIV=fieldName content="filedBody">

HTTP応答メッセージに"fieldName: fieldBody"ヘッダを生成します。 fileBody内の以下のパターンは、前記のものとして、置換されます。

${varName} or <!--#echo var=varName -->

${flastmod:URL} or <!--#flastmod virtual=URL -->

${fsize:URL} or <!--#fsize virtual=URL -->

${include:URL} or <!--#include virtual=URL -->

例）

<META HTTP-EQUIV=Status content="200 OK">

<META HTTP-EQUIV=Content-Type content="text/html">

<META HTTP-EQUIV=Pragma content="no-cache">

<META HTTP-EQUIV=Date content="${DATE_GMT}">

<META HTTP-EQUIV=Last-Modified content="${flastmod:URL}">

ICP プロキシ/サーバ

ICP-DeleGateは、リモートクライアントと、ローカルCACHEDIR（同じCACHEDIRを共有したHTTP-DeleGateのような独立したコンテンツサーバ）に関するICPサービスを提供します。詳細は http://www.delegate.org/delegate/icp/ を参照して下さい。

例） ICP とHTTP DeleGateの組は CACHEDIRを共有。

% delegated -P3130 SERVER=icp
% delegated -P8180 SERVER=http
例） 複数の上流ICPサーバを1つにまとめるICP プロキシ
% delegated -P3130 SERVER=icp ICP=icpHost1,icpHost2,...

  ICPCONF parameter* == ICPCONF={icpMaxima|icpConf}
	   icpMaxima == para:N|hitage:N|hitobjage:N|hitobjsize:N|timeout:N
	     icpConf == icpOptions:ProtoList:dstHostList:srcHostList
		     -- default: ICPCONF=para:2,hitage:1d,...

DeleGateをICPサーバ（SERVER=icp)として動作させる場合の、ICP設定

para:N	-- 並列ICP-DeleGateサーバ数 [2]
hitage:N	-- HITとして通知する、キャッシュデータの有効期限 [1d]
hitobjage:N	-- HIT_OBJ似よって送信される、キャッシュデータの有効期限 [1h]
hitobjsize:N	-- HIT_OBJによる、キャッシュデータの最大容量 [1024](bytes)
timeout:N	-- 応答待ちタイムアウトのデフォルト値 [2.0](seconds)
debug:N	-- デバッグ用ログレベル [0]

FTPCONF parameter*  ==  FTPCONF=ftpControl[:{sv|cl}]
           ftpControl  ==  nopasv | noxdc | rawxdc
                    --  default: none

nopasv

データ接続の PASV コマンドを使用不可とする。

noxdc

制御接続で、データ伝送の XDC モードを使用不可にする。

rawxdc

XDC モードにおいて、伝送データをBASE64エンコードしない。

ftpControl に "nopasv:sv" のように ":sv" または ":cl" がつづく場合、 例えば、ftpControl は、それぞれ、サーバ側、または、クライアント側のみに 適用されます。

FTP プロキシ/サーバ

既存FTPクライアントは、プロキシ機能を持たなくても、 2通りの方法で、DeleGateをFTPプロキシとして使用できます。

USER user@host

ログイン時、ユーザ名に続いてFTPサーバホスト名を入力します。

CWD //host[/path]

他の場合、"//"に続き、FTPサーバホスト名をディレクトリのように入力します。

完全な書式 user:pass@host[:port] もまた、以下のように、 URL中の一般的なサーバ表記において、USERと、CWDが使用可能です。
USER ftp:foo%40bar@server
CWD //ftp:foo%40bar@server/path

例） プロキシ FTP-DeleGate
firewall% delegated -P8021 SERVER=ftp

このFTPプロキシを経由して、任意のFTPサーバ （ファイアウォールの外側にあっても良い）に接続できます。

internal% ftp
ftp> open firewall 8021
220- firewall PROXY-FTP server (DeleGate/6.1.0) ready.
220- @ @
220- ( - ) { DeleGate/6.1.0 (February 3, 2000) }
...
220- --
220- You can connect to a SERVER by `user' command:
220- ftp> user username@SERVER
220- or by `cd' command (after logged in as an anonymous user):
220- ftp> cd //SERVER
220- Cache is enabled by default and can be disabled by `cd .' (toggle)
220- This (proxy) service is maintained by 'admin@your.domain'
220
Name (yourhost:yourname): ftp@ftp1
331-- USER for ftp@ftp1.
220- ftp1 FTP server ready.
331- Guest login ok, send your complete e-mail address as password.
331-- @ @
331 \( - )/ -- { connected to `ftp' }
Password: me@my.domain
230 Guest login ok, access restrictions apply.
ftp> cd //ftp2
250-- CWD for ftp@ftp2
220- ftp2 FTP server ready.
230- Guest login ok, access restrictions apply.
250-- @ @
250 \( - )/ -- { connected to `ftp2' }
ftp>

注記：大抵のftpクライアントは、以下のように、コマンドラインで、FTPのポート番号を指定可能です。
internal% ftp firewall 8021
例） カスケード FTP-プロキシ
firewall# delegated -P21 SERVER=ftp PERMIT="ftp:*:internal"
internal# delegated -P21 SERVER=ftp PROXY=firewall:21
例） フィルタ/マージ/エイリアスをともなう、FTP MOUNT

firewall# delegated -P21 SERVER=ftp://serv1/ \

MOUNT="/pub2/* ftp://serv2/pub/*"

このDeleGateは、serv1の全ての内容を中継し、"/pub2/*"は、ftp://serv2/pub/* のそれと置換えられた部分が除外されます。

例） FTP to LPR (Line Printer Daemon Protocol) ゲートウェイ

MOUNT="/* lpr://printer0/qname0/*"
MOUNT="/pr1/* lpr://printer1/qname1/*"
MOUNT="/pr2/* lpr://printer2/qname2/*"

LPR/FTP-DeleGateは、FTPクライアントがリモートプリンタにアクセスできるようにします； ファイルの印刷は、FTPのファイルアップロードによって行われ、 プリンタステータスは、FTPディレクトリリストで見ることができます。 MountOption "readonly"は、ステータス閲覧を禁止します。


例） 元FTP-DeleGate
host# delegated -P21 SERVER=ftp MOUNT="/* /path/of/root/*"

元FTP-DeleGateこのケースでの、ファイルへの書込みは、 デフォルトで禁止されます。書き込みが必要な場合、 MOUNT="/xxx/* /yyy/* rw"のように、MOUNTポイントに対し、 マウントオプションとして、"rw" (read/write)を指定する必要があります。
全コンテンツはの取込動作は、指定ディレクトリ内に行われ、 "RETR directory.tar" コマンドによって、 tarフォーマットの単一ファイルとして返されます。 この機能を有効にするには、REMITTABLE="+,tar"のように、 REMITTABLE リストに、"tar" を追加します。

FTP 伝送ログ書式

FTPプロトコルのPROTOLOG書式は、xferlog(5)と呼ばれる、 "wu-ftp"コンパチブルなものです。xferlogにおける各行は、以下の要素（1行に）を含みます。

currentTime transferTime clientHost


fileSize fileName transferType specialActionFlag direction accessMode
userName serviceName authenticationMethod authenticatedUserID DeleGateStatus

transferTime は、秒で表される、トータル伝送時間です。 transferType "a" (アスキー) または、"b" (バイナリ)のどちらかです。 specialActionFlag は、現実装では、常に "_" (none) です。 direction は、"o" (outgoing) または、"i" (incoming)のどちらかです。 accessMode は、"a" (anonymous)または、 "r" (real user)のどちらかです。 userName は、e-mail アドレス（accessMode "a"） または、存在するユーザ名（accessMode "r"）のどちらかです。 serviceName 現実装では、常に"ftp"です。 authenticationMethod は、"0" (none) または、 "1" (RFC1413 Authentication)のどちらかです。 authenticatedUserID は、 authenticationMethod によって得られたユーザID、または "*"（認証なし）のどちらかです。 DeleGateStatus は、"L" (local file), "H" (cache hit), "N" (cache miss)のどれかです。.

例）

Mon Feb 28 15:32:15 2000 13 proxy.xyz.co.jp

182558 /ftp/pub/DeleGate/Manual.htm a _ o a
webmaster@xyz.co.jp ftp 0 * L

Telnet プロキシ/サーバ

Telnet-DeleGateは、FWTKのような方法の、Telnetプロトコルと同様に、X Windowプロトコルを中継できます。

例） プロキシ Telnet-DeleGate

firewall% delegated -P8023 SERVER=telnet

このTelnetプロキシ経由で、任意のTelnetサーバに接続できます。

internal% telnet firewall 8023...
-- @ @ firewall PROXY-telnet server DeleGate/6.1.0
-- ( - ) { Hit '?' or enter `help' for help. }
...
-- -- -- This (proxy) service is maintained by 'admin@your.domain'
>> Host name: exthost
-- Connected to exthost.

SunOS UNIX (exthost)
login:

例） 元 Telnet-like server
C:\> delegated -P23 SERVER=exec XFIL=command.com WORKDIR="/"
// Windows95/98 command.com　を使った、簡単なテルネットサーバ。

POP プロキシ

例） プロキシ POP-DeleGate
firewall# delegated -P110 SERVER=pop

external% telnet firewall pop
+OK Proxy-POP server (DeleGate6.1.0) at firewall starting.
USER username@servername
...
USER username%servername is also available.

例） POP MOUNT
"pop://user@server" は、内部的に、"pop://server/user" として表現され、以下のようにMOUNTで制御されます：

MOUNT="//* =" ... サーバがユーザによって指定された場合、書換えしない
MOUNT="* pop://defaultHost/*" ... デフォルト POP サーバを指定
MOUNT="user1 pop://host1/*" ... "user1"のサーバを "host1"にする
MOUNT="//pop2/* pop://host2/*" ... 実ホスト名 "host2"を隠す

例） NNTP サーバから POP クライアントへのゲートウェイ
SERVER=pop
MOUNT="* nntp://nntpserver/*"
MOUNT="ns2-* nntp://nntpserver1/* apop=password"
MOUNT="ns3-* nntp://nntpserver2/* pass=password"

クライアントは、ユーザ名として、ニュースグループ名を送信することが要求されます。

例） POP サーバから HTTP クライアントへのゲートウェイ
firewall# delegated -P80 MOUNT="/mail/* pop://mailHost/*"

このDeleGateは、POPサーバ（デフォルトでmailHost にある）のメールボックスを、HTTPクライアントに提供します。クライアントが、"http://firewall/mail/"にアクセスするには、HTTPの認証情報として、mailHost にあるPOPサーバのUsernameとPasswordを入力するように要求されます。Usernameが、"user@mailHost2"の場合、mailHost ではなく、mailHost2 が対象POPサーバとしてアクセスされます。Hostサーバユーザのそれぞれのメールボックスは、 "http://firewall/mail/+pop.User.Host"になり、URL中にUserとHostを直接指定できます。

IMAP プロキシ

例） プロキシ IMAP-DeleGate
firewall# delegated -P143 SERVER=imap


external% telnet firewall imap
* OK external Proxy-IMAP server DeleGate/6.1.15
C001 LOGIN username@servername
...
LOGIN username%servername も受けいれられます。

SMTP プロキシ/サーバ

例） プロキシ SMTP-DeleGate

// エイリアスとフィルタ
firewall# delegated -P25 SERVER=smtp://mail-server/ \
MOUNT="foo@bar smtp://foo2@bar2" \
MOUNT="* smtp://-"

SMTPCONF parameter  ==  SMTPCONF=what:conf
                    --  default: SMTPCONF=bgdatasize:64K

nohelo

"HELO" を言わない行儀の悪いクライアントを許可する。

bgdatasize:N

データが N バイトより大きい場合、バックグラウンドでリレーします。 これは、"DATA" コマンドを投げた後に、サーバからの "QUIT" コマンド応答を待たない クライアントをリレーするための手段です。 注）DeleGate はスプールや、転送機能を持たないので、１つのメールデータのみをバックグラウンドで リレーできますが、伝送終了前に DeleGate がクラッシュした場合、メールは失われます。

SMTPGATE parameter  ==  SMTPGATE=dirPath
                    --  default: SMTPGATE='${ETCDIR}/smtpgate'

SMTPGATE（SMTPから、{SMTP,NNTP}へのゲートウェイ）の設定ディレクトリを指定します。 SMTPメッセージの受け付けと、中継を、"recipient@the-host-of-DeleGate"に対して、バインドするためには、それぞれのrecipient （受信者）に対しての設定ディレクトリを、"SMTPGATE/users/recipient"に作成し、設定、ログ、カウンタ、および、スプールのためのファイルを保持します。その後、"SMTPGATE/users/recipient/conf"設定ファイルが、作成されます。

例） SMTP から SMTP へ、転送

// "feedback@delegate.org"で、転送メッセージが受け付けられ、
// "delegate-en@smtpgate.etl.go.jp"に向けられます。

delegate.org# delegated -P25 SERVER=smtp

[the contents of SMTPGATE/users/feedback/conf]

INHERIT: sendmail
SERVER-HOST: mail.etl.go.jp
RECIPIENT: delegate-en@smtpgate.etl.go.jp
ACCEPT/From: !%, !MAILER_DAEMON@, !hotmail.com, ...
例） SMTP から NNTP への転送
[the contents of SMTPGATE/users/feedback/conf]
INHERIT: postnews
SERVER-HOST: wall.etl.go.jp
OUTPUT/Newsgroups: mail-lists.delegate-en
OUTPUT/Distribution: world
OUTPUT/Reply-To: feedback@delegate.org
OUTPUT/Subject: [DeleGate-En] ${subject:hc}
OUTPUT/Header: X-Seqno: ${seqno}
OUTPUT/Header: UNIX-From: ${unixfrom}
ACCEPT/Max-Bytes: 50000 ## reject larger 50KB header+body
ACCEPT/Min-Body-Bytes: 64 ## reject smaller 64B body
OPTION: isn,rni,res,reb
SMTPGATE設定ファイルは、命令行の集まりによってなるファイルで、それぞれは、インターネットメッセージのメッセージヘッダのようです。 それぞれの行で、シャープキャラクタ(#)に続くコメント文字列は、無視されます。 命令は、3つのグループに分類されます；CONTROL , ACCEPT , OUTPUT

CONTROL

ゲートウェイ、対象サーバ、エンベロープ中の対象アドレスの機能を指定します。注記：設定は、 INHERIT命令の、"sendmail" や、 "postnews"と同様に、他のrecipient から継承できます。

INHERIT: {sendmail | postnews | recipient}

SERVER-HOST: host

SERVER-PORT: portNumber

RECIPIENT: EmailAddressForm (used with "sendmail")

BCC: EmailAddressForm

ARCHIVE: archiveFileNameForm

OPTION: OptionList

isn -- シーケンス番号加算 (${seqno}によって参照される)
rni -- メッセージIDなしを拒否
res -- 空件名（Subject)を拒否
reb -- 空本文（Body)を拒否
axo -- X-Original ヘッダ付与
rxo -- X-Original ヘッダ除去
gwt -- GateWay トレース ntr -- トレースフィールドを付加しない (Received:)

ACCEPT

指定した場合、指定したパターンにマッチするフィールドを持つメッセージだけ受け付けます。

Sender: ListOfEmailAddressPattern

Recipient: ListOfEmailAddressPattern

From: ListOfEmailAddressPattern

To: ListOfEmailAddressPattern

Max-Bytes: messageSize

Min-Body-Bytes: bodySize

Max-Exclams: theNumberOfExclamationMarks

Client-Host: srcHostList

OUTPUT

入力メッセージのオリジナルフィールドを書換え、出力メッセージのヘッダフィールドに書き出します。

Newsgroups: fieldBodyForm (to be used with "postnews")

Distribution: fieldBodyForm (to be used with "postnews")

Reply-To: fieldBodyForm

To: fieldBodyForm

Subject: fieldBodyForm

Header: fieldName: fieldBodyForm

FILTER: filterCommand

置換

以下のパターンが命令ボディ部分のフィールド中 ...Form に現れた場合、ヘッダの値または、入力メッセージ中のエンベロープに置換されます。

${sender} -- エンベロープ中のsender（送信者）(RCPT To 内)

${recipient} -- エンベロープ中のrecipient （受信者）(MAIL From 内)

${recipient.name} -- recipientのローカル名部分

${recipient.mx} -- recipient のメールエクスチェンジャ（eXchanger）

${header.field} -- 入力メッセージのヘッダフィールド（field）ボディ

${from} -- 入力メッセージのFrom フィールド

${unixfrom} -- recipient に対する、Unix-From 文字列

${subject} -- 入力メッセージのSubject フィールド

${subject:hc} -- head-cleaned Subject フィールド

${seqno} -- シーケンス番号

${seqno/10} -- シーケンス番号/10 (ARCHIVEとともに使用)

${seqno/100} -- シーケンス番号/100 (ARCHIVEとともに使用)

${date+format} -- 現在時刻を整形した文字列 (ARCHIVEとともに使用)

SMTP-DeleGateが、recipient@mailhost,のようなアドレスをともなう受信者にバインドするメッセージを受信したとき、以下の順序の、2つの命令で、受信者の設定ファイルを検索します。

SMTPGATE/users/recipient/

SMTPGATE/admin/recipient/

受信者の設定が見つからない場合、以下のディレクトリ内の、デフォルト設定（存在する場合）を使用します。
SMTPGATE/admin/@default/
他の場合、内臓のデフォルト設定が使用されます。デフォルトは、"/-/builtin/config/smtpgate/@default/conf"にあり、MOUNTオプションでカスタマイズできます。デフォルトのないようは、以下のようになっており、受信者のメールエクスチェンジャを経由して、受信者のアドレスに、入力メッセージを配送します。
CONTROL/INHERIT: sendmail
CONTROL/RECIPIENT: ${recipient}
CONTROL/SERVER-HOST: ${recipient.mx}
各受信者のディレクトリは、以下のファイルを含みます。

recipient/conf -- 設定ファイル

recipient/log -- ログファイル

recipient/count -- ${seqno} 用カウンタファイル(オプション)

recipient/spool/ -- 中継されたメッセージの記録ディレクトリ(オプション)

recipient/rejected/ -- リジェクトされたものの保管ディレクトリ(オプション)

デフォルト記録ファイルのかわりに、ユーザは、ファイル名と、記録単位をARCHIVE命令で、定義できます。

例）

ARCHIVE: spool/%05${seqno}-${date+%Y%m%d-%H%M%S}-%05${pid}

## spool/ がある場合、デフォルト記録が有効

ARCHIVE: arc-${seqno} ## シーケンス番号をつけて記録

ARCHIVE: arc-%4${seqno/10} ## 10メッセージ毎の記録ファイル

ARCHIVE: arc-${date+%Y-%m} ## 月毎の記録ファイル

NNTP プロキシ/サーバ

MOUNTは、NNTP-DeleGateに対して、ニュースグループのフィルタとエイリアス、複数NNTPサーバのマージ応用することもできます。 例）MOUNT="alias-group. nntp://server/group."は、"group.*"へ通過し、また、それらに"alias-group.*"の別名を与えます。簡単なフィルタ指定は、SERVER="nntp://server/group."で、 MOUNT="= nntp://server/group."と同じです。複数のNNTPサーバに対して、複数MOUNTした場合、DeleGateは、複数サーバの複数ニュースグループをマージし、それらが、単一サーバ上に存在するかのようにクライアントにニュースグループを提供します。

例） フィルタ

# delegated -P119 SERVER=nntp://nntpServer/group.

ニュースグループ名が"group.*"のパターンを持つ場合のみ中継する。nntpServerに対するグループリストは "nntp://nntpServer/group1.,group2.,..."のように指定できます。

例） 複数の NNTP サーバをマージ

# delegated -P119 SERVER=nntp \

MOUNT="= nntp://server1/"
MOUNT="= nntp://server2/"

例）複数のNNTPサーバを認証付（AUTHINFOを使用）でマージ

# delegated -P119 SERVER=nntp \


MOUNT="= nntp://user1:pass1@server1/"
MOUNT="= nntp://user2:pass2@server2/"

例） 選択したグループをマウント

// グループ group.* をオリジナル名のままでマウント
MOUNT="= nntp://server1/group."
// グループ group.* をエイリアス名 "alias-group.*" でマウント
MOUNT="alias-group. nntp://server1/group."

例） POP サーバから NNTPクライアントへ

// メールスプールをニュースグループ名 "+pop.user.host"としてマウント
# delegated -P119 SERVER=nntp MOUNT="= pop://user:pass@host/"

例） NNTP サーバから HTTP クライアントへ

# delegated -P80 MOUNT="/news/* nntp://nntpServer/*"



例）元 NNTP-DeleGate

# delegated -P119 SERVER=nntp://-.-/

NNTP-DeleGateのSERVERパラメータ中の対象サーバに"-.-"を指定すると、DeleGateを元NNTPサーバとして使うことを意味し、それの持つスプールに検索/投稿できます。の新たなニュースグループ名 newsGroup を作るには、空ファイルを作ります。

'${ETCDIR}/news/groups/newsGroup'
既存の"/path/of/MH-folder"をnewsGroup として中継するには、上記のようにファイルを作り、このような内容で埋めます。
0 0 0 0 /path/of/MH-folder
(4つのゼロの後に、MH-folderのパスをつける)
投稿された記事の最初の行が、"From user date"のようなUnix-Fromを持つか、 "Unix-From: user date"ヘッダを持つ場合、記事の記事番号は、"X-Seqno" (または、"X-Sequence")ヘッダが存在する場合、 固有のものにセットされ、スプールファイルの作成日付は、Unix-formのdateにセットされます。

NNTPのMountOptions

hide={GroupList}

クライアントから隠す、ニュースグループ名パターンリスト
例） "hide={alt.*,!alt.comp*}"

cache=no-article

ARTICLE キャッシュを停止

cache=no-list

LIST キャッシュを停止

upact:Invoke/Reload/Posted

LIST(active list)のキャッシュ更新を制御。同じ意味の、NNTPCONF=upact:Invoke/Reload/Posted は、このMOUNTパラメータの対象サーバのみ、制御が除外されます。

NNTPCONF parameter* == what:conf
		    -- default: NNTPCONF=upact:600/300/120

pathhost:Server/PathHost

物理Serverホストの論理PathHost 名を定義します。
例） NNTPCONF="wall.etl.go.jp/delegate.org"

upact:Invoke/Reload/Posted

アクティブなリストのキャッシュ更新を制御します。nvoke と Reload は、キャッシュの有効期限を秒で指定します。DeleGate経由で記事がポストされた後、Posted に指定した期間内で、クライアントがチェックしたとき（LISTコマンドで）に、キャッシュが更新されます。

overview.fmt:{FieldList}

default -- overview.fmt:{Subject,From,Data,Message-ID,References,Bytes,Lines}
DeleGateによって生成される、XOVER応答書式

xover:Number

default -- xover:2000
"XOVER range"での最大記事数の制限

nice:Number

指定した場合、ｎｉｃｅ値をセット

auth:{srcHostList}

クライアントがsrcHostListに含まれる場合、NNTPセッションを開始するときに認証（AUTHINFOコマンドを使用）を強制ます。このパラメータは、NNTPサーバが、ユーザのサブセットに対する認証を行うときと、このDeleGateが、NNTPキャッシュを行う場合、セットする必要があります。

server:host[:port][/grouplist]

URL nntp://*/... または news:...によるHTTP要求に対する、NNTPサーバをセットする

nntpcc:Number

default -- nntpcc:1
"nntpcc:0"指定で、NNTP "connection cache"を停止します

LDAP プロキシ

例） プロキシ LDAP-DeleGate
# delegated -P389 SERVER=ldap

このDeleGateをクライアントのLDAPサーバとして指定し、ルートディレクトリ名（例えば、サーチ用、baseObject名）の後に"@host.of.ldap-server"を付加します。

Whois プロキシ

例） プロキシ Whois-DeleGate
firewall# delegated -P43 SERVER=whois
internal% whois -h firewall "whois://whois.nic.ad.jp/help"

X プロキシ

例）単一ホスト上のディスプレイに中継
x-server% xhost firewall
firewall% delegated -P6008 SERVER=X://x-server
internal% xterm -display firewall:8
例）単一サーバホスト上の２つのディスプレイに中継
firewall% delegated -P6002-6003 SERVER=X://x-server:-6002
例）２つのサーバホストに中継

firewall% delegated -P6011-6012 \

SERVER=X://x-server1:-:{*:6011} \
SERVER=X://x-server2:-:{*:6012}

Gopher プロキシ

例） Gopher-DeleGate
firewall% delegated -P8070 SERVER=gopher://gopher.ncc.go.jp

internal% gopher firewall 8070
internal% gopher -p -_-gopher://gopher.tc.umn.edu firewall 8070

SSL プロキシ

FCL, FSV, CMAP パラメータで、フィルタプログラム "sslway"を使用し、クライアント側と/かサーバ側の通信をSSLプロトコルでラップできます。このフィルタを使うには、sslwayと、適切なPEMファイル（LIBPATH（通常 DGROOT/lib）内に配置）が必要です。詳細はhttp://www.delegate.org/delegate/ssl/ を参照して下さい。

例） SSLサーバ・非SSLクライアント間を中継

# delegated -P80 SERVER=http FSV=sslway MOUNT="/* https://server/*"
例） SSLクライアント・非SSLサーバ間を中継
# delegated -P443 SERVER=https FCL=sslway MOUNT="/* http://server/*"

DNS (Domain Name System) プロキシ/サーバ

DNS-DeleGate サーバは、ホスト名情報をDNS，NIS，ローカルファイルを含めて、 収集し、リレーします。 A, PTR, SOA 及び 単純化された MX のみに制限された、 リソースレコードタイプを提供します。 SOA レコードは、 DNSCONF 設定の情報と共に構成されます。

例） {NIS,FILE,DNS}/DNS ゲートウェイ

# delegated -P53 SERVER=dns \

RESOLV=cache,file,nis DNSCONF=domain:my.domain

hostname のための MX レコード は、与えられた場合、 -MX.hostname ( 以下の例のように）または、 hostname のための A レコードが使用されます。 複数の MX レコード間の優先順位は、現実装では表現できません。

例）HostB の MX として、HostA の hosts テーブルを使用する。

10.1.2.3 hostA
10.4.5.6 hostB, -MX.hostA

DNSCONF parameter* == what:value

DNS-DeleGateサーバの構成を指定します

para:N	-- 並列サーバプロセス数 [2]
domain:FQDN	-- [DeleGateホストのドメイン名]
origin:FQDH	-- [DeleGateホストのホスト名]
admin:Email	-- 管理者のメールアドレス [ADMIN]
mx:FQDH	-- [存在する場合、-MX.host のプライマリホスト名、または、自身による host 問い合わせ]
serial:N	-- シリアルナンバ [最終変更時の %Y%m%d%h ]
refresh:period	-- リフレッシュ間隔 [6h]
retry:period	-- リトライ間隔 [10m]
expire:period	-- 有効期限 [14d]
minttl:period	-- 最小 ttl [6h]

CU-SeeMe プロキシ

例） プロキシ CU-SeeMe-DeleGate
firewall% delegated -P7648 SERVER=cuseeme://Reflector/
INTERNAL# delegated -P7648 SERVER=cuseeme://firewall/
internal% {firewall または INTERNAL を リフレクタのproxy-reflectorとして使用}

予約名

特殊名"-"と"-.-"を、URLの"host:port"部に使用したとき、DeleGateのホストとポートを意味します。また、URL "http://-.-/-/"は、DeleGateの制御ページの入り口として、予約されています。

カスタマイズ

アイコンとメッセージを含む、DeleGateのビルトインデータソースは、ソースコードディレクトリ"src/builtin/*"にあります。それらは、DeleGateの実行ファイルにまとめられ、リソースとして、URL "http://delegate/-/builtin/*"でDeleGate実行時にアクセスできます。これらデータは、それらのMOUNTを定義することで、DeleGateをコンパイルせずに置換えられます。例）アクセス禁止で返るエラーメッセージは、"http://delegate/-/builtin/mssgs/403-forbidden.dhtml"にあり、それは、このように、MOUNTパラメータで、置換えられます：
MOUNT="/-/builtin/mssgs/403-forbidden.dhtml /tmp/forbidden.dhtml"
この例で、MOUNTは、forbiddenメッセージと、代用データ（"/tmp"内のローカルファイル）のみ置換えます。しかし、大抵の場合、ビルトインデータグループは、ワイルドカード(*)記号で、置換えられ、また、代用データは、HTTPやFTP経由でアクセス可能なリモートホスト上に配置できます。例）全ての、"src/builtin/"のコピーを"http://yourwww/delegate/builtin/"に入れ、このようにMOUNTする：
MOUNT="/-/builtin/* http://yourwww/delegate/builtin/*"
リモートデータの読込みは、MOUNTされたビルトインデータが、キャッシュされ、一般のデータとして再利用されるキャッシュが有効な限り、オーバヘッドの影響を受けません。

アタッカー防御

SIGSEGV や SIGBUSのような致命的信号が発生した後、DeleGateは、クライアントホストへのサービスを直ちに停止します。の発生は、致命的エラー発生の原因は、エラー前に、侵入の試みが失敗したサインととらえることもできます。同時に、事象を通知するため、DeleGateは、ADMINパラメータの名前の管理者にレポートメールを送信します。

アタッカーのもっとも典型的な手段は、スタック上のバッファオーバーフローで、存在するアドレス上にターゲットバッファが存在していることを期待しており、スタックアドレスをランダマイズすることは、アタック成功の糸口を減少するのに効果的です。そして、アタックの失敗は、致命的エラーを発生させ、DeleGateにより、捕獲されます。

疑わしいクライアントホストは、関連ファイル(ADMDIR/shutout/ 内)を削除するか、TIMEOUT=shutout（デフォルト30分）でファイルの有効期限が切れるまで、シャットアウトされます。安全のため、TIMEOUT="shutout:0"（無限）が、望ましく、アタッカーに2度とチャンスを与えないようにしましょう。しかし、致命的エラーは、DeleGateのいつものバグで発生するほうが高く、デフォルト値を扱いにくくしています．．．

とにかく、以下のオプションを承知し、アクセス制御設定はもちろんのこと、このような攻撃を防ぐよう意識を高く持ってください。

TIMEOUT=shutout:N [30m] ... アタック再試行間隔の最短

MAXIMA=randstack:N [32] ... スタックアドレスのランダム化

MAXIMA=randenv:N [1024] ... 環境変数のランダム化

MAXIMA=randfd:N [32] ... クライアントソケットディスクリプタのランダム化

CHROOT=dirPath ... アクセス可能なファイル空間を制限

OWNER=user [nobody] ... DeleGateプロセスの能力を制限

ADMIN=E-mail-address ... 正しく、SMTP配送できること

-Tx [off] ... execve() システムコールを停止

起動時、元環境変数と、スタック領域上のコマンドライン引数は、ヒープ領域に移動・消去され、アタッカーの侵入コードに利用されないようになっています。同時に、ランダムな長さの値（MAXIMA=randenvが最大）を持つRANDENV ダミー環境変数が、環境変数のランダムなアドレスに挿入され、フィルタプログラムや、CGIプログラムのような子プロセスに継承されます。

プラットフォームに関する詳細

Unix

Inetdからの呼出し

"nowait" と "wait"ステータスをinetd.confで指定可能です。"nowait"ステータスの場合、DeleGateは、1つの要求（セッション)を処理し、終了し、無効にします。"wait"ステータスの場合、DeleGateは、複数の要求を処理します；要求数の最大は、"MAXIMA=service:N"のNによって制限できます。

Windows

サービスとして開始

WindowsNT/2000上で、DeleGateは、デフォルトで、自動的にサービスとして開始（バックグラウンドプロセスとして）します（コマンドプロンプトで、-vや、-fオプションなしで呼出した場合）。-Pxxxx オプションで、サービスとして動作しているDeleGateを停止かつ/または除去するには、コマンドプロンプトで、"delegated -Pxxxx"を入力し、DeleGateからの簡単な質問に答えてください。Windows95/98上では、DeleGateは、フォアグラウンドプロセスとしてのみ動作します。

CYGWIN

呼出した管理者所有で見えます。

OS/2

インストールには、オプションのループバックデバイス（localhost）が必要です。

紳士的再起動

子プロセスの外向けセッションを中止せず、DeleGateのプロセスIDを変更せず、入力ポートなどのリソースを保持したまま、DeleGateプロセスにSIGHUPシグナルを送信し、優しくDeleGateを再起動します。プラットフォームに属さない方法は、このように、-Fkill 機能を使用することで行えます。
delegated -Fkill-hup -Pport
また、SIGHUPでの再起動は、 AUTH=admin パラメータを使い、"http://delegate/-/admin/"にて、リモートHTTPクライアントで、実行できます。

再起動は、DeleGateの設定変更した後に行います。再起動時にパラメータを再読込するためには、 +=parameters 表記（パラメータ置換）を与える必要があります。他のオプション（パラメータ）は、コマンドライン引数で与え、これは、リスタートしたDeleGateプロセスに継承されます。

他の再起動目的は、ごみや、リーク（ヒープメモリや、ファイルディスクリプタ）を、お掃除します。この目的の場合、DeleGateは TIMEOUT=restart または、CRONパラメータの -restart 動作で、それぞれ予定した時間に、周期的に再起動できます。

機能オプション

-Ffunction オプションが与えられる場合、DeleGateは、指定した機能を実行するために動作し、通常は、特定プロトコルのクライアント側の動作をします。長い "delegated -F"入力をファイル名 "function"をDeleGate実行ファイルに与えることで省略でき、function としてコールできます。 function 名のマッチは、case-insensitive です。

例） レゾルバとしてDeleGate を使う

% delegated -Fresolvy www.delegate.org
% ln -s delegated Resolvy
% Resolvy www.delegate.org
以下は主要機能の一覧です。

-Fhelp

使用可能な機能を表示

-Fkill[-hup] -Pport

SIGTERM（SIGHUP)を送り、DeleGateを終了（再起動）

-Fcgi [DeleGateOptions]

任意のHTTPサーバCGIプログラムとして動作

-Fconnect host port[/udp] [XCOM=clientCommand]

テルネットクライアントのように、指定したhost:portに接続し、それから/へ標準入出力を中継する

-Fresolvy {[-MX.]hostname | IPaddress[-num]}

nslookup(8)のように、与えられたホスト名や、IPアドレスを解決する。(10.10.10.1-128のようにレンジ指定可)

-Ffindu [-atime N] [-ls] [-du] [-rm] ... [dir]*

find(1)のように、ファイルを探し、指定した動作を行う。使用法は "delegated -Ffindu"のようになります。
例） "du(1)"といっしょに、"find . -ls"を実行

delegated -Ffindu -ls -du

-Fdget [-h] [-o] [PROXY=host:port] URL

URL で指定したリソースをダウンロードし、"-o"オプションで、標準出力に出力 "-h" オプションをともなう場合、HTTP応答メッセージのヘッダ部も出力されます。

-Ficp [-h server] URL

ICPクライアントとして動作。使用法は、"delegated -Ficp"のようになります。

-Fsched {"crontabSpec" | crontabFile | schedSpec}*

cron(8)のように、指定した動作を指定したタイミングで起こす。
例） 15分ごとに動作

delegated -Fsched "0,15,30,45 * * * * /bin/date"

schedSpec は、スケジュール設定の正規化表記です。

schedSpec == Wday:year:month:mday:Hour:Min:Sec:action

例）15秒ごとに動作

delegated -Fsched "*:*:*:*:*:*:0,15,30,45:/bin/date"

-Fmd5 [infile]

入力データの MD5 ダイジェストを出力

ファイル

${DGROOT}/etc	-- 主に設定のための持続性ファイル
${DGROOT}/lib	-- ライブラリファイルとスクリプト
${DGROOT}/adm	-- 管理に関係する重要なログ
${DGROOT}/log	-- 増加するログファイル
${DGROOT}/work	-- コアダンプ用
${DGROOT}/cache	-- キャッシュデータ用
${DGROOT}/act	-- 現在アクティブなDeleGateの制御情報
${DGROOT}/tmp	-- シャットダウン時に削除される揮発性ファイル

詳細は、DGROOT パラメータと、 ローカルファイル使用法 の記述を参照して下さい。

参考文献

du(1), ps(1), tee(1), cat(1), find(1), chroot(2), execve(2), getpeername(2), getsockname(2), pstat(2), ptrace(2), setgid(2), setuid(2), umask(2), scanf(3), strftime(3), system(3), YP(4), crontab(5), hosts(5), inetd.conf(5), cron(8), inetd(8), nslookup(8),
DNS(RFC1034), FTP(RFC959), Gopher(RFC1436), HTML(RFC1866), HTTP(RFC2068), ICP(RFC2186), Ident(RFC1413), IMAP(RFC2060), LDAP(RFC1777), LPR(RFC1179), MIME(RFC2045), NNTP(RFC977), POP(RFC1460), Socks(RFC1928), SMTP(RFC821), Telnet(RFC854), URI(RFC2396), URL(RFC1738), Wais(RFC1625), X(RFC1013)

著者

  @ @
 ( - )
_<   >_

Yutaka Sato <ysato@etl.go.jp>
Electrotechnical Laboratory (AIST,MITI), Tsukuba, Ibaraki 305-8568, Japan

配布

最近のバージョンのDeleGateは、以下の場所で入手可能です。 <URL:ftp://ftp.delegate.org/pub/DeleGate/> tar+gzipフォーマットのファイル名"delegate*.tar.gz"

リリース 7.1.2           最終更新: 2001年3月10日

--------- --------- --------- --------- --------- --------- --------- ---------