「Yggdrasil」の版間の差分
(→ローカルファイアーウォール: 翻訳を修正) |
|||
(同じ利用者による、間の1版が非表示) | |||
29行目: | 29行目: | ||
== ローカルファイアーウォール == |
== ローカルファイアーウォール == |
||
+ | |||
− | 今日のネットワーク慣行では、一般的な Linux インストールはインターネットに直接公開されていません。通常、サーバーのみがパブリックIPアドレスを持ちます。その結果、私たちの ssh または同様のサービスは誰からも攻撃されることはありません。 |
||
+ | 今日のネットワーク慣行では、一般的な Linux 環境ではインターネットに直接公開されてはいません。通常、サーバーのみがパブリックIPアドレスを持ちます。その結果、私たちの ssh または同様のサービスは誰からも攻撃されることはありません。 |
||
Yggdrasil を実行し、それをより広い Yggdrasil ネットワークにピアリングすると、これが変わることを理解することが重要です。すべてのネットワーク接続をリッスンするサービスは、このネットワークに接続するすべての人がアクセスできるようになります。 Yggdrasil ネットワークでリッスンしないように構成したり、いくつかの [[ファイアウォール]] ルールを使用して実行中のサービスをすばやく非表示にしたりすることができます。 |
Yggdrasil を実行し、それをより広い Yggdrasil ネットワークにピアリングすると、これが変わることを理解することが重要です。すべてのネットワーク接続をリッスンするサービスは、このネットワークに接続するすべての人がアクセスできるようになります。 Yggdrasil ネットワークでリッスンしないように構成したり、いくつかの [[ファイアウォール]] ルールを使用して実行中のサービスをすばやく非表示にしたりすることができます。 |
||
45行目: | 46行目: | ||
}} |
}} |
||
− | {{ic|ip6tables.service}} を [[ |
+ | {{ic|ip6tables.service}} を [[systemd#ユニットを使う|スタート]] して [[有効化]] します。 |
2022年2月21日 (月) 13:02時点における最新版
Yggdrasil は、完全なエンドツーエンド暗号化 IPv6 ネットワークの初期段階での実装です。軽量で、自己組織化され、複数のプラットフォームでサポートされており、IPv6 対応のほぼ全てのアプリケーションで他の Yggdrasil ノードと安全に通信することができます。
この記事では、Yggdrasil のセットアップと使用方法について説明します。
インストール
yggdrasil パッケージを インストール して下さい。
実行
yggdrasil.service
を スタート して 有効化 します。
これは tun
ネットワークインターフェースを作成し、2つの新しい IPv6 ネットワークインターフェースを利用可能にします。重要なのは 200:
で始まるもので、これはあなたのマシンが Yggdrasil ネットワークで知られるようになるものです。この IP アドレスは、IPv6 標準の予約された部分を使用しています。これにより、より広いインターネットとの衝突を避けることができます。
この動作を確認するには、以下を実行してください。
設定方法
デフォルトでは、あなたの Yggdrasil インスタンスはピアを持たず、スタンドアローンサービスを実行しています。JSON フォーマットを使用する /etc/yggdrasil.conf
ファイルを編集することで、ピアを追加することができ、サービスを再起動した後、あなたのノードはより広いネットワークにアクセスでき、他の人もあなたのノードを見つけることができます。
設定についての詳細は the upstream documenation にあります。メインの設定ファイルは /etc/yggdrasil.conf
にあります。
より広いネットワークとピアするためには、public-peers のドキュメントから始めてください。
ローカルファイアーウォール
今日のネットワーク慣行では、一般的な Linux 環境ではインターネットに直接公開されてはいません。通常、サーバーのみがパブリックIPアドレスを持ちます。その結果、私たちの ssh または同様のサービスは誰からも攻撃されることはありません。
Yggdrasil を実行し、それをより広い Yggdrasil ネットワークにピアリングすると、これが変わることを理解することが重要です。すべてのネットワーク接続をリッスンするサービスは、このネットワークに接続するすべての人がアクセスできるようになります。 Yggdrasil ネットワークでリッスンしないように構成したり、いくつかの ファイアウォール ルールを使用して実行中のサービスをすばやく非表示にしたりすることができます。
/etc/iptables/ip6tables.rules
#yggdrasil *filter :INPUT ACCEPT [8:757] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [5:463] -A INPUT -i tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i tun0 -m conntrack --ctstate INVALID -j DROP -A INPUT -i tun0 -j DROP COMMIT