Yggdrasil
Yggdrasil は、完全なエンドツーエンド暗号化 IPv6 ネットワークの初期段階での実装です。軽量で、自己組織化され、複数のプラットフォームでサポートされており、IPv6 対応のほぼ全てのアプリケーションで他の Yggdrasil ノードと安全に通信することができます。
この記事では、Yggdrasil のセットアップと使用方法について説明します。
インストール
yggdrasil パッケージを インストール して下さい。
実行
yggdrasil.service を スタート して 有効化 します。
これは tun ネットワークインターフェースを作成し、2つの新しい IPv6 ネットワークインターフェースを利用可能にします。重要なのは 200: で始まるもので、これはあなたのマシンが Yggdrasil ネットワークで知られるようになるものです。この IP アドレスは、IPv6 標準の予約された部分を使用しています。これにより、より広いインターネットとの衝突を避けることができます。
この動作を確認するには、以下を実行してください。
設定方法
デフォルトでは、あなたの Yggdrasil インスタンスはピアを持たず、スタンドアローンサービスを実行しています。JSON フォーマットを使用する /etc/yggdrasil.conf ファイルを編集することで、ピアを追加することができ、サービスを再起動した後、あなたのノードはより広いネットワークにアクセスでき、他の人もあなたのノードを見つけることができます。
設定についての詳細は the upstream documenation にあります。メインの設定ファイルは /etc/yggdrasil.conf にあります。
より広いネットワークとピアするためには、public-peers のドキュメントから始めてください。
ローカルファイアーウォール
今日のネットワーク慣行では、一般的な Linux 環境ではインターネットに直接公開されてはいません。通常、サーバーのみがパブリックIPアドレスを持ちます。その結果、私たちの ssh または同様のサービスは誰からも攻撃されることはありません。
Yggdrasil を実行し、それをより広い Yggdrasil ネットワークにピアリングすると、これが変わることを理解することが重要です。すべてのネットワーク接続をリッスンするサービスは、このネットワークに接続するすべての人がアクセスできるようになります。 Yggdrasil ネットワークでリッスンしないように構成したり、いくつかの ファイアウォール ルールを使用して実行中のサービスをすばやく非表示にしたりすることができます。
/etc/iptables/ip6tables.rules
#yggdrasil *filter :INPUT ACCEPT [8:757] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [5:463] -A INPUT -i tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i tun0 -m conntrack --ctstate INVALID -j DROP -A INPUT -i tun0 -j DROP COMMIT