「Yggdrasil」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
 
(同じ利用者による、間の1版が非表示)
29行目: 29行目:
   
 
== ローカルファイアーウォール ==
 
== ローカルファイアーウォール ==
  +
今日のネットワーク慣行では、一般的な Linux インストールはインターネットに直接公開されていません。通常、サーバーのみがパブリックIPアドレスを持ちます。その結果、私たちの ssh または同様のサービスは誰からも攻撃されることはありません。
 
  +
今日のネットワーク慣行では、一般的な Linux 環境ではインターネットに直接公開されてはいません。通常、サーバーのみがパブリックIPアドレスを持ちます。その結果、私たちの ssh または同様のサービスは誰からも攻撃されることはありません。
   
 
Yggdrasil を実行し、それをより広い Yggdrasil ネットワークにピアリングすると、これが変わることを理解することが重要です。すべてのネットワーク接続をリッスンするサービスは、このネットワークに接続するすべての人がアクセスできるようになります。 Yggdrasil ネットワークでリッスンしないように構成したり、いくつかの [[ファイアウォール]] ルールを使用して実行中のサービスをすばやく非表示にしたりすることができます。
 
Yggdrasil を実行し、それをより広い Yggdrasil ネットワークにピアリングすると、これが変わることを理解することが重要です。すべてのネットワーク接続をリッスンするサービスは、このネットワークに接続するすべての人がアクセスできるようになります。 Yggdrasil ネットワークでリッスンしないように構成したり、いくつかの [[ファイアウォール]] ルールを使用して実行中のサービスをすばやく非表示にしたりすることができます。
45行目: 46行目:
 
}}
 
}}
   
{{ic|ip6tables.service}} を [[開始]] [[有効化]] します。
+
{{ic|ip6tables.service}} を [[systemd#ユニットを使う|スタート]] して [[有効化]] します。

2022年2月21日 (月) 13:02時点における最新版

Yggdrasil は、完全なエンドツーエンド暗号化 IPv6 ネットワークの初期段階での実装です。軽量で、自己組織化され、複数のプラットフォームでサポートされており、IPv6 対応のほぼ全てのアプリケーションで他の Yggdrasil ノードと安全に通信することができます。

この記事では、Yggdrasil のセットアップと使用方法について説明します。

インストール

yggdrasil パッケージを インストール して下さい。

実行

yggdrasil.serviceスタート して 有効化 します。

これは tun ネットワークインターフェースを作成し、2つの新しい IPv6 ネットワークインターフェースを利用可能にします。重要なのは 200: で始まるもので、これはあなたのマシンが Yggdrasil ネットワークで知られるようになるものです。この IP アドレスは、IPv6 標準の予約された部分を使用しています。これにより、より広いインターネットとの衝突を避けることができます。

この動作を確認するには、以下を実行してください。

設定方法

デフォルトでは、あなたの Yggdrasil インスタンスはピアを持たず、スタンドアローンサービスを実行しています。JSON フォーマットを使用する /etc/yggdrasil.conf ファイルを編集することで、ピアを追加することができ、サービスを再起動した後、あなたのノードはより広いネットワークにアクセスでき、他の人もあなたのノードを見つけることができます。

ヒント: マシンとそのすべてのサービスは外部から到達可能になるため、より広いネットワークとピアリングする前にローカルファイアウォールを有効にすることをお勧めします。

設定についての詳細は the upstream documenation にあります。メインの設定ファイルは /etc/yggdrasil.conf にあります。

より広いネットワークとピアするためには、public-peers のドキュメントから始めてください。

ローカルファイアーウォール

今日のネットワーク慣行では、一般的な Linux 環境ではインターネットに直接公開されてはいません。通常、サーバーのみがパブリックIPアドレスを持ちます。その結果、私たちの ssh または同様のサービスは誰からも攻撃されることはありません。

Yggdrasil を実行し、それをより広い Yggdrasil ネットワークにピアリングすると、これが変わることを理解することが重要です。すべてのネットワーク接続をリッスンするサービスは、このネットワークに接続するすべての人がアクセスできるようになります。 Yggdrasil ネットワークでリッスンしないように構成したり、いくつかの ファイアウォール ルールを使用して実行中のサービスをすばやく非表示にしたりすることができます。

/etc/iptables/ip6tables.rules
#yggdrasil
*filter
:INPUT ACCEPT [8:757]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5:463]
-A INPUT -i tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i tun0 -m conntrack --ctstate INVALID -j DROP
-A INPUT -i tun0 -j DROP
COMMIT

ip6tables.serviceスタート して 有効化 します。