Provided by: xmanpages-ja_4.1.0.20011224-6_all bug

IP信
       xfwp の目的は、ファイアウォールの外の X  クライアントから内部ネットワー
       クの   X   サーバへのアクセスに対して、信頼でい訐御をでい襪茲Δ砲垢襪
       とである。現時点では、このようなアクセス制御は、通常は IP  パケットフィ
       ルタリングルータを含むファイアウォールの設定で実現する。多くの場合、こ
       のようなフィルタの規則では、内部ネットワークのホストに対する  X  サーバ
       のポート(範囲 6000-6xxx)へのアクセスは禁止される。

       xfwp  を動作させるためには、IP パケットフィルタリングルータの規則から、
       ポート 6000-6xxx に対するアクセス制限を取り除かなければならない。[注意:
       xfwp  は  6001 から始まる範囲のポートだけを割り当てる。したがって、全て
       の内部ネットワーク上のホストに対するポート 6000  番へのアクセスは禁止し
       たままでよい。]  これは、内部ネットワークののファイアウォールを  X クラ
       イアントによる無差別アクセスに対してオープンにするということではない。
       xfwp  は、IP パケットフィルタリングルータそのものと同様の、完全に設定可
       能な規則ベースのアクセス制御システムをサポートしている。           xfwp
       は実際には、完全に設定可能かつX        の通信専用で適用される、ルータと
       は別のレベルのパケットフィルタリング制御を追加する。詳しくは、
       「設定ファイル」のセクションを参照すること。

処
       xfwp   は通常は内部ネットワークのファイアウォールホスト上でバックグラウ
       ンドプロセスとして実行される。                                     xfwp
       は前述の任意のコマンド行オプションを指定して起動することがでい襦    to
       xfwp whether or not it supports the particular policy.  Consult the man
       先に述べたように、xfwp       はプロゥ轡泪諭璽献磴よび       xfindproxy
       ユーティリティと組み合わせないと利用でい覆ぁ xfwp はユーザが定義した X
       サーバのサイトセゥ絅螢謄ポリシーに対応する              ように設定で-
       るが、このポリシーにおいては、X                サーバは特定のポリシーを
       サポートしているかどうかを            xfwp           に示す必要がある。
       これらの要素に関する詳しい情報については、オンラインマニュアルを参照す
       ること。                        xfwp                        は、-DDEBUG
       オプションを付けて再コンパイルすることによって、
       デバッグ出力を出すようにでい襦

理
       xfwp   は4種類の異なる接続を管理する。これは、プロゥ轡泪諭璽献(PM)デー
       タ、X クライアント待機、X クライアントデータ、X  サーバ接続である。xfwp
       を使うシステム管理者は、xfwp    のサービスの税修鮑播化するために、これ
       らの接続タイプに対するリソースの割り当てと再利用の方法を理解すべい任
       る。

       それぞれの接続タイプはデフォルト数の割り当てスロットとデフォルトの
       タイムアウト値を持っている。           PM           接続と            X
       サーバ接続に対する割り当てスロットの数はコマンド行オプション で設定で-
       る。                接続タイムアウトもコマンド行オプションで設定でい襦
       タイムアウト値とは、データが流れないままでオープンした接続状態が許され
       る時間である。接続上にデータが流れると、
       接続を閉じるまでの時間は自動的にリセットされる。4つの接続タイプにおけ
       プロセスの接続スロット全体のデフォルトの配分と、それぞれの接続タイプに
       対するデフォルトのタイムアウト値の選択は、xfwp   の利用モデルが含んでい
       る多くの仮定に基づいて決まる。

       PM 接続のデフォルト値は  10  であり、PM  接続のデフォルトの持続時間は、
       それぞれの接続について最後にデータが流れてから  3,600 秒(1時間)である。
       起動時には、xfwp    は任意の非予約ポート(xfwp    のコマンド行で指定しな
       ければ、デフォルト値の  4444  が使われる)において PM 接続リクエストを待
       つ。PM は通常、xfindproxy を使って PM の呼び出しが行われたとい靴  xfwp
       に接続しない。
       以降は、両者のメッセージ交換が終わった後でも、デフォルトの接続邑期間
       の間は PM は xfwp に接続したままである。場合によっては、これが原因で PM
       接続スロットが枯渇してしまうこともある。  システム管理者は、多くの   PM
       から1つの     xfwp     に接続が行われることを予想    した場合には、-pdt
       コマンド行オプションを用い、アクティブでない接
       続がオープン状態であることが許される範囲で望ましい邑期間を反映させた
       タイムアウト値を指定して xfwp を起動すべい任△襦

       xfwp クライアントリスナは、xfindproxy を呼び出して設定することがでい襦
       最後のデータが流れた時点から86,400秒(24時間)   の邑期間の間は、X  クラ
       イアントの接続リクエストを待ち続ける。この期間を過ぎると、リスナは自動
       的にクローズされ、その     fd    は後で割り当てられるために回収される。
       クライアントの待ちポートが利用可能であることを保証するような別のタイム
       アウト値をどうやって選べばよいかという問題に対しては、システム管理者は
       (xfindproxy   を使って)リスナが割り当てられた時間とクライアントが実際に
       xfwp   への接続を試みる時間との間に予想されるずれを考慮しなければならな
       い。また、最初のクライアントデータ接続が閉じた後にクライアントのリスナ
       が再利用される見込みも考慮しなければならない。

       それぞれのクライアント接続には、最後にデータが流れてから 604,800 秒 (7*
       24                        時間)の存続時間がデフォルトで割り当てられる。
       この期間が過ぎると、接続は自動的にクローズされ、その     fd     は祥茲
       割り当てのために回収される。     実際には、サーバ接続はリモートの     X
       クライアントからの接続リクエストが                                  fwp
       のクライアント待ちポートのいずれかに届くまでは確立されないので、
       クライアントデータのタイムアウトはクライアント-xfwp  および xfwp-サーバ
       の両方の接続に対して適用される。xfwp   を通じて多くのクライアントデータ
       接続が生じることが予想される場合、システム管理者はデフォルトのタイムア
       ウト値を変更することを考えるべい任△襦

ル
       xfwp の設定ファイルは xfwp のホストマシン上にあり、X クライアントのデー
       タ接続を許可するか拒否するかを指定する。ファイルのパス名は起動時に指定
       する。設定ファイルが指定されていなければ、xfwp を通過する全ての X  クラ
       イアントのデータ接続リクエストは、デフォルトで許可される。ただし、この
       場合にも他の  X  サーバ認証チェックには成功しているものとする。設定ファ
       イルが与えられているが、そのエントリのいずれも接続リクエストにマッチ
       しない場合には、デフォルトでは接続は拒否される。

       設定ファイルのある行が     '#'     で始まる場合や空行の場合は、その行は
       無視されて評価ルーチンは次の行へと進む。

       設定ファイルでは、全く独立の2つの認証チェックがサポートされている。1つ
       は xfwp 自身が実行するものであり、もう1つは  xfwp  の目的のサーバへの問
       い合わせの結果である。前者においては、設定ファイルでは  IP パケットフィ
       ルタリングルータに似た桔,筌札泪鵐謄ックが使われている。これは以下の
       形式の、0個以上の「始点アドレス-終点アドレス」の規則からなる。

       {permit  |  deny}  <src>  <src  mask>  [<dest>  <dest mask> [<operator>
       <service>]]

       permit/deny ァ璽錙璽    ``permit''     はアクセス許可を示し、ァ璽錙璽
                   ``deny'' はアク セス拒否を示す。

       src         接続リクエストを出したホストとマッチさせる               IP
                   アドレス。この値は IP フォー マットで欺劼垢襦

       src mask    サブネットマスクであり、これも     IP      フォーマットで-
                   述する。この値はさら
                   に始点アドレスのマスクを調べるために使われる。マスク内でセットされてい
                   るビットは、入ってくるアドレスのビットで、指定された    src
                   と比較すると い_______XFWP則
       最初のタイプの設定可能な認証チェックの場合には、始点アドレスに基づいて
       (オプションとして終点アドレスとタイプも使用でい)それぞれの接続タイプ
       に対して接続の許可および拒否を行うことがでい襦
       それぞれのファイルエントリでは、``permit''  または  ``deny''  であるァ
       ワードと2つの始点アドレスフィールドは最低限指定しなければならない。
       必要ならば  destination フィールドと service フィールドを使って、非常に
       細かいアクセス制御を行うことがでい襦

       規則マッチングのアルゴリズムは以下である:

            while (チェックするエントリが残っている)
            {
              if ((<originator IP> AND (NOT <src mask>)) == src)
                [if ((<dest X server IP> AND (NOT <dest mask>)) == dest)]
                  [if (service fields が存在し、かつマッチしている)]
                    ァ璽錙璽匹鳳じて、接続の許可または拒否を行う
              else
                continue
            }
            if (マッチする規則がない)
              接続を拒否する

       許可と拒否の規則でサービスや操作が指定されていない場合、その規則は
       全てのサービスに適用される。設定ファイルが指定されており、その中に   -
       効な許可か拒否の規則がひとつでも含まれる場合は、許可が明示的に与えら
       れていないホストは接続を拒否されるようになる。

       サイトのポリシー設定のチェックは、入ってくる接続リクエストに対する別の
       (そして  X  サーバだけの)認証で構成される。require(満たさなければならな
       い)の規則と   disallow(接続禁止)の規則を任意の数だけ指定することがでい
       が、全ての規則は同じタイプでなければならない。つまり、1つのファイルに
       ``require''  と  ``disallow'' のァ璽錙璽匹鬚匹舛蕕盖述するとはでい覆ぁ
       このチェックのためのアルゴリズムは以下である:

            if (X サーバがサイトポリシー文字列のいずれかを認識する)
              if (keyword == require)
                接続を許可する
              else
                接続を拒否する
            else
              if (keyword == require)
                接続を拒否する
              else
                接続を許可する

       xfwp  がサイトのポリシーのチェックを行うのは、始点アドレス-終点アドレス
       のチェックで接続を認められた場合だけである。

例
       # サーバがこれらのポリシーの1つをサポートしている場合に限り、接続が許可
       # されるが、それでも適用可能な規則にマッチしていなければならない
       #
       require sitepolicy policy1
       require sitepolicy policy2
       #
       # 8.7.6.5 が送ってい pm 接続を拒否する。[注意: pm サービスを明示的に
       # 許可している場合、以下に示すように destination フィールドがなければ
       # ならない。]
       #
       deny  8.7.6.5  0.0.0.0  0.0.0.0  255.255.255.255  eq  pm
       #
       # xfindproxy の X サーバがどこにでも接続でい襪茲Δ傍可する [注意: fp
       # サービスを明示的に許可している場合、以下に示すように source フィール
       # ドがなければならない。]
       #
       permit  0.0.0.0  255.255.255.255   0.0.0.0  255.255.255.255  eq  fp
       #
       # IP ドメイン 192.0.0.0 から送られた全ての接続タイプだけを許可する
       #
       permit  192.0.0.0   0.255.255.255

       最初にマッチした規則が適用されるので、始点アドレス-終点アドレスの規則
       は正しい順で欺劼靴覆韻譴个覆蕕覆づ世肪躇佞垢襪海函2鮴牢錣諒庫.船Д
       クに加え、システム管理者が実際にマッチする規則を調べる際の補助を行うた
       めの特別なコマンド行オプション(-verify)が用意されている。

グ
       xfwp    は待ちポートを割り当てる前にサーバのサイトポリシーとセゥ絅螢謄
       機能拡張を確認すべい任△襦

目
       xfindproxy  (1),  Proxy  Management  Protocol  spec V1.0, proxymngr(1),
       Xserver(1)

者
       Reed Augliere, consulting to X Consortium, Inc.