2-2. インタ−ネットに接続する (1) 専用線接続までの手順 '97/03 * 手順 ドメイン名と専用線速度を社内決定しておく。 ↓ 接続プロバイダを決める。プロバイダから専用線申込み。 ↓ ドメイン名とIPアドレスの取得はプロバイダに依頼。 ↓ メ−ルでJPNICからドメイン名登録しましたとくる。 ↓ 社内の電話工事。2芯ワイヤを設置場所の端末直前まで。 ↓ NTTによるDSU設置工事、すぐ終わる。翌日開通。 ↓ ル−タとWWWホスト接続設定。 (IPアドレスで外部にアクセスできる) ↓ DNSの named 設定。 (URLで外部にアクセスできる) ↓ 電子メ−ルの sendmail 設定。 (外部に電子メ−ルを送れる) ↓ ------------------------ |インタ−ネットは使える| (外から内へは、IPアドレスでアクセスできる) ------------------------ ↓ プロバイダに named 設定のIPアドレスとホスト名を連絡。 ↓ プロバイダからDNSの1次、2次のJPNICへ登録申請。 ↓ 数日でDNSが登録される。 (外部からのメ−ル、URLアクセス受けられる) ↓ ------------------------ |一応、最低限の設定完了| ------------------------ ↓ ル−タのパケットフィルタリング設定。 ↓ ファイアウォ−ルホスト設置、ファイアウォ−ル設定。 ↓ 内部ネットのホスト接続。各種制御ファイル変更。 ↓ ------------------------ |インタ−ネット接続完了| ------------------------ ※NTTの専用線使用料やプロバイダとの接続料は、たいてい一括してプロバイダ契約に なる。NTTの専用線はプロバイダが、プロバイダ名義で申込むことになる。 ※この時ル−タはレンタルにした。後になって思えば買い取りにしておけばよかった。レ ンタル料が毎月約1万円。設定したのを送って来ただけで、マニュアルもなかった。 * 電話回線について [ セキュリティ対策 ] 専用線にも電話番号はある。あまり意識しないがNTTの回線識別番号として付けられて いる。会社のNTTからの引き込み口には十分注意したいものである。この引き込み口は 建屋の外や人目につかない場所にあったりする。素人では無理だが、NTTに通じた人で あれば、盗聴することは十分可能である。引き込み口はたいがいA3ぐらいの箱の中にあ る。回線の種類を示すエフが一杯付いた線が見えるだろう。箱には最低限、鍵をかけるな どの対策をした方がいい。この箱は MDF( Main Distribution Frame ) と普通呼ばれる。 [ 電話工事について ] 専用線はプロバイダが契約し、それを借りるという形になる。そのため MDFまでがプロバ イダの管轄となり、それから社内ヘの配線は自分とこの手配となる。たいがい会社には出 入りの電話の屋内配線業者がいるので、そこに頼むことになる。人事異動などで内線電話 の設置工事を請け負っている業者である。社内で部署の場所の引っ越しとかでインタ−ネ ット・サ−バを移動するというような場合、その業者に言って電話線の移動をしてもらう。 もし MDF 自体の場所を移動するとなるとプロバイダにも、相談することになる。 [ 電話専用線の極性 ] ここでの専用線は 64 or 128 Kbps である。電話線は普通の電話の線と同じ2芯の銅線で ある。極性があって線を反対にコネクタにつなぐと回線がつながらない。コネクタという のはWANル−タをつなぐ、RJ-11 モジュラ−ジャックの3センチぐらいの端子箱である。 電話工事の人は勘で作業する場合がおうおうにしてあるみたいである。接続できましたと 言って、インタ−ネットへアクセスできなかったら、線は逆になっていませんかと尋ねて みよう。正常ならWANル−タで、例えばランプが緑色でついたりする。 * プロバイダを選ぶ セキュリティ意識の高いプロバイダを選ぶこと。いつの報告だったが忘れたが、約4割の プロバイダがファイアウォ−ルを設けていないという結果がある。ユ−ザの意識がまだあ まり高まっていないからプロバイダもそうなのか、あるいはプロバイダの技術力が低いか らなのかは知らないが。96年末にも sendmail バ−ジョン5のセキュリティ・ホ−ルを ついてパスワ−ドが盗まれるという事件が、数多く起こった。専用線の接続料金が単に安 いからといって、安易にプロバイダを選ぶと、あとで痛い目にあうかも知れない。先ず注 意すべきは、ル−タをレンタルする場合、ユ−ザ側で管理ができるかどうか。プロバイダ によってはユ−ザにへたにいじられるのを嫌って、ル−タの管理者パスワ−ドも、設定内 容も教えないところがある。本書のユ−ザはこれでは済まされない。 * ドメイン名とIPアドレスの申請 ・ドメイン名は実際にインタ−ネット接続しなくても取得はできる。ただし1年間、ほか っておくと登録は抹消される。 ・ドメイン名の申請に当たっては、本社の住所を書くこと。管理者は本名でないといけな い。日の丸太郎などと架空の管理者名はだめである。 ・ドメイン名を申請する際、管理者のメ−ルアドレスは、ダイアルアップIP接続のアド レスでもよい。後から変更すればよい。 ・ドメイン名の登録には、DNS1次にするホスト名とIPアドレスを決めて、named を 設定した後、プロバイダ経由でJPNICに申請する。 ・ドメイン名の登録はJPNICに申請して数日でできる。登録しましたとメ−ルは来な いので、自分で http://www.nic.ad.jp/ を見て確認すること。 ・後からDNSのホスト名やIPアドレスを変更する場合は、JPNICに申請すること。 プロバイダ経由でJPNICに申請しなければならない登録情報もあるので注意。 * named 制御ファイル記述のポイント /etc/named.hosts ---------------------------------------------------- |@ IN SOA ns.nix.co.jj. katou.tcp-ip.or.jj. ( | 19970304 << serial 番号。開始年月日でよい。 | 3600 300 3600000 360000 ) << こんなんでいい。 | IN NS ns.nix.co.jj. << 自ドメインの1次ネ−ムサ−バ。 | IN NS ns1.provider.ad.jp. << 自ドメインの2次ネ−ムサ−バ。 | IN NS ns2.provider.ad.jp. << 〃 | IN MX 0 mail.nix.co.jj. << 自ドメインのメ−ルサ−バ。 | |localhost. IN A 127.0.0.1 DNS と WWW サ−バは同じホストで、 |ns IN A 192.9.201.1 メ−ルサ−バは別ホストという構成。 |mail IN A 192.9.201.2 |www IN CNAME ns.nix.co.jj. << www.nix.co.jj は別名。一応ホスト 名は分けておいた方がいいかも。 ・IN SOA ns.nix.co.jj. のところは IN SOA www.nix.co.jj. としない方がいい。これは JPNICにネ−ムサ−バのホスト名として登録される。もし www.nix.co.jj. にして しまうと named とWWWを稼働させるホストは、 常に同じでなければならなくなる。 ・katou.tcp-ip.or.jj. は、DNS管理者のメ−ルアドレスである。 katou. のドットは named 制御ファイルの特殊表記である、katou@tcp-ip.or.jj と解釈する。 ドメイン名 管理者のメ−ルアドレスとは基本的には別ものである。異なっても構わない。 ・serial 番号は開始年月日でいいが、ここの決まりは named.xxx ファイルの内容を変更 したら、前の数より大きな数を付けることである。970304 とかすると、2000 年になる とちょっと困る。その後、年月日は結局無視して、とりあえず 1 ずつ上げて行った。 * 最低限のセキュリティ対策 いろいろ対策を講じていかなければならないが、ともかくWWWホストで以下のことだけ はやろう。inetd を殺して外部から telnet や ftp ができないようにする。inetdを殺し ても自分からは、外へ telnet や ftp はできる。 RPC ベ−スのコマンドを使えないよう に portmapper を殺す。NFS の nfsd, rpc.xxx も殺す。 不正に経路情報が外に出ないよ うに routed を殺す。ウィンドウ・システムや rwhod, timed も起動しない。とりあえず これだけやっておけば、そう簡単には侵入できないはずである。 一つ問題がある、sendmail である。 てっきりEWSのOSには新しい sendmail が入っ ているもんだと思っていた。Sun を途中から SunOS 4.1.4-JLE に上げたのだが、 なんと 入っていたのは sendmail-4.1 だった。96年末の最新バ−ジョンは 8.8.5 だぞ。 いつ のが入っているのだ。SunOS 4.1.4 は 4.1.3 のバグをとった SunOS 4.x 系最終のOSで ある。sendmail はインタ−ネット時代のEWSにとっては必須である。しかも sendmail はバグの王様ときている。メ−カの姿勢が疑えるとしか言いようがない。 マシンを購入した業者に言って新しい sendmail を入れてもらおう。 sendmail のコンパ イルはやっかいである。WIDE プロジェクトのパッチもあったりする。DNSの named も できればついでにもらおっておこう。 まあ named の方はあまり神経質にならなくてもい いが。EWSを新規に購入するならば、入れて持って来てもらう。なんかこれ当然と思う が、違うのかな。sendmail のバ−ジョンを確認するには、sendmail デ−モンを稼働させ ておいて次のように telnet する。 バ−ジョン % telnet localhost 25 ↓ 220 www.nix.co.jj Sendmail 4.1/nix.1.0 ready at ... quit しかし実際インタ−ネットに接続してみると、なんともあっけない。接続したEWSやル −タをぼんやり見ていると、外から何か攻撃があったりするの?。なんもないんじゃない かな。なんかそんな気になってしまう。やはりよっぽど、先にドキュメントを作っておい てその通り、設定するようなことしないと、セキュリティ対策なんかやらずに済ませてし まうような気がする。この当時はファイアウォ−ルなしでインタ−ネット接続する所が大 方だったと思う。鍵をせずに留守してもまるで安全という時代だった。 * プロバイダを変える場合の DNS の設定変更 さて実際、プロバイダを変えるとなると、ドメイン名とIPアドレスの対応が問題になる。 これまで自社のWWWサ−バにアクセスしてきた所は、それぞれのネ−ムサ−バに情報を 蓄えている。このように "www.nix.co.jj = 202.241.128.3" 情報をキャッシュしている。 この情報は自社のネ−ムサ−バに、よそのネ−ムサ−バが問い合わせた結果、溜められた ものである。一度情報がキャッシュされると、毎度自社のネ−ムサ−バにIPアドレスを 問い合わせには来ない。キャッシュ情報を参照するのである。この情報の有効期間は永遠 というわけでなく、自社 DNS 制御ファイルの Minimum TTL( Time To Live ) で指定され た時間になる。これまでの設定値は 360000 sec、100時間になっている。 このままほかっておくと、新しいIPアドレスの DNS を設定してから、 約4日間外から は前のIPアドレスでアクセスしてくる。結果そんなIPアドレスは見つからないとなっ てしまう。このためプロバイダを変える、DNS を変更する当日の少なくとも1週間前には、 このネ−ムサ−バのキャッシュ時間 Minimum TTL 値を 3600 sec、1時間程度の短めにし ておきたい。TTL 値を変更する DNS 制御ファイルは、 /etc/named.hosts, named.rev で ある。2次ネ−ムサ−バにも変更を伝えるため、Serial 番号もアップしておこう。 ここ まで準備しておいてIPアドレス変更当日、DNS 制御ファイルに新しいIPアドレスを記 入すればよい。JPNIC のル−ト DNS ヘの登録変更は新しいプロバイダがやってくれる。 /etc/named.hosts ------------------------------------------------------ |$ORIGIN nix.co.jj. | IN SOA ns.nix.co.jj. netmaster.nix.co.jj. ( | 1996040101 ; Serial \ << これも番号アップ。 | 3600 ; Refresh |2次ネ−ムサ−バ | 300 ; Retry |用ヘのパラメ−タ | 3600000 ; Expire / | 360000 ; Minimum TTL( Time To Live ) << 3600 にする。 |) | IN NS ns.nix.co.jj. | IN NS ns.providerX.or.jp. << プロバイダを変更しての DNS 2次ネ−ム | IN MX 0 mail.nix.co.jj. サ−バは、 新しいプロバイダの指定する | ホスト名にすること。 |localhost. IN A 127.0.0.1 |hostA IN A 202.241.128.3 注.この named 制御ファイルの BIND のバ− |ns IN A 202.241.128.3 ジョンは 4.x代である。頃合を見て BIND |mail IN A 202.241.128.3 8 以上に変更すること。BIND 8.x,9.x で |www IN CNAME hostA.nix.co.jj. は 4.xとは、Minimum TTL部の値の意味は |hostG IN A 202.241.128.2 異なるが、プロバイダ変更には関係ない。 * DNS1次を移行した時のはなし 2017年の半ば、実際にDNS1次サ−バを移行した。 社内のマシンで named を稼働 させていたのをアマゾンで動かすことにしたのだ。プロバイダに依頼してプログラムの設 定作業、それに JPRS へのDNS1次の変更手続きをやってもらった。かつてはプロバイ ダが JPNIC に書類でもって申請した。今回やったことを聞いたらプロバイダの人が JPRS の管理画面にアクセスして変更したという。思い違いしてたことが1つ、DNS2次サ− バのIPアドレスも JPRS が管理していると思っていたことである。 もう1つ思い違いしてたというか、分かったことがある。 nslookup コマンドでサ−バ指 定すること。> server IP-Address はてっきりDNSサ−バを指定しないとダメかと思っ ていた。適当なIPアドレスをいれてもエラ−にはならないのだ。通常のように反応する ので、てっきりDNSサ−バにアクセスしたかと思う。DNSサ−バを指定するオプショ ンなんだからDNSサ−バでないのを記入したら、おかしいと警告なりを出してもらわな いと紛らわしいぞ。LinkProof とDNSサ−バの辺り調べていて分かった。 * 参考 「インタ−ネット構築入門」: トッパン 4,400 円。 > これは必携です。`26 追記、いつからか本屋には並んでいなくなった。 「インタ−ネット接続」: トッパン 3,900 円。 > これも買って下さい、できれば。別にいいけど。 「DOMAIN TCP/IP 構成方法と管理の手引き」 日本アポロコンピュ−タ 6,000 円。 > "Configuring and Managing TCP/IP"の日本語版 1986/03 第1版。だいぶプリントミス が多かった。しかし、当時 DNS 設定の唯一の参考書だった。 「インタ−フェ−ス」: '93/08 月号、"TCP/IP の動作原理とトラブル対策" > よく TCP/IP の動作原理が分かります。 「インタ−フェ−ス」: '95/09 月号、"特集マルチメディア時代のインタ−ネット技術" > インタ−ネット技術全般のまとまった記事。ファイアウォ−ル構築。DeleGate など。 「マスタリングTCP/IP 入門編」: '94/06/24、 オ−ム社 2,200 円。 > インタ−ネット編は 2,400 円。余裕があれば買って読んでみるのもよし。 「コンピュ−タ・ネットワ−ク」: 石田 晴久著、岩波新書、 岩波書店 580 円。 > 石田先生の書かれたのは分かり易いです。 「ファイアウォ−ル」: William R. Cheswick, Steven M. Bellovin 著、'95/04 > 最初とっつきにくいが、じっくり読むとよい。 ソフトバンク(株) 3,800 円。 「ファイアウォ−ル構築 インタ−ネットセキュリティ」:オライリ−・ジャパン,'96/07 > パケットフィルタリングに詳しい。 オ−ム社 5,356 円。 「イントラネット完全構築ガイド」: NECイントラネットプロジェクト編、'96/10 > コンテンツ作成の面からイントラネットを書いている。 日経BP社 2,800 円。 「イントラネットのネットワ−ク技術」: SRCソフト・リサ−チ・センタ−、'96/11 > http://www.src-j.com/ に目次がある。細かな技術的な話しではない。 3,400 円。 「インタ−ネット ファイアウォ−ル」: Karanjit Siyan, Ph.D.Chris Hare 著、'96/04 > FireWall-1 のGUIの設定のやり方が掲載されている。 アスキ−出版局 3,800 円。 「イントラ&インタ−ネットセキュリティ」: 杉本降洋著、'96/09 > FireWall-1 を売っている会社の社長さんが書いている。 オ−ム社開発局 2,000 円。 「日経コミュニケ−ション」: '95/07/03、P.52〜 "インタ−ネットの危なさと付き合う" > セキュリティについて、雑誌でまとまった初めての記事。 (2) ドメイン名とIPアドレスの取得 '97/03 * ドメイン名の取得 [ 取得と登録 ] ドメイン名は独自のドメインをもちたい場合は、必ずJPNICから取得しなければなら ない。JPNICにメ−ルで登録するか、プロバイダに代行してもらうかする。ドメイン 名と同時にIPアドレスもなければ取得しなければならない。めんどうなのでプロバイダ に代行してもらえばいい。それぞれ2万円ぐらいのものである。 独自のドメインは企業ならば、日本の企業という意味で co.jpに会社名を付けて、例えば kigyou.co.jp というようになる。 ドメイン名の取得は早いもの勝ちなので、すでに同じ 名前が登録されている場合はあきらめるしかない。ただし1年間そのドメインをインタ− ネット接続せずにおくと、取り消されるのが決まりになっている。あきらめずにチェック。 またはドメイン名は企業の顔となるので、どうしても会社名を入れたいとなれば、プロパ イダのサブドメインになって会社名を入れるやり方もある。 kigyou.xxx.or.jp 等となる。 あるいはプロバイダのディスクを借りて xxx.or.jp/kigyou とするかである。それ以後追 記:ドメイン名がその後 ne とか gr といったのが追加されている。 別なやり方として、アメリカでドメイン名を取得し kigyou.com 等とすることも可能では ある。しかしこれは、あまりお勧めではない。com はあくまでもアメリカの企業に対して 付くIDと解釈すべきで、それを使うことは、日本の国というアイデンティティを放棄し たことに等しい。インタ−ネットは国境という垣根を取り払うものだけに、なおさらのこ と独自のアイデンティティは重要な意味をもつ。(そうとも言えんか。'99/09) 96年10月、JPNICはドメイン名の新しいル−ルを発表した。xxx.ne.jp というド メイン名を追加したのである。これはプロバイダがダイアルアップのユ−ザなどに付ける ためのものである。蛇足として kigyou.co.jp というのは、組織型ドメインと呼ばれてい る。ちなみに地域型ドメインと呼ばれるものもあるが、これは民間企業には関係ない。 [ プロバイダのサブドメインになる場合 ] JPNICからのドメイン名の取得は不要である。ただしIPアドレスだけは取得する必 要がある。実際サブドメインにしてもらえるかどうかは別問題だが。ドメイン名は仮定と して、例えば "へのもへインタ−ネット" の下にサブドメインとしてつくならば、 nix.henomohe.or.jp というようになる。 [ ドメイン名の付け方 ] 英数字、3文字以上、大文字小文字の区別はない。例えば abc.com、ABC.COM、Abc.comは つまり一緒ということ。- は使えるが、_ は使えない。123.com なんてのもある。始まり が数字というのはインタ−ネットの初期の頃はダメだった。96年の終わりぐらいに解除 されたらしい。 nix-cad.co.jp : OK nix_cad.co.jp : NG [ ドメイン名を調べる ] さっそくインタ−ネットを使って、使いたいドメイン名がすでに登録されてしまっていな いか調べてみる。ダイアルアップ接続してあるとして、 次のように whois コマンドを使 って調べればいい。(http://www.nic.ad.jp/ でも調べることができるようになった) 先ず"東海インタ−ネット"と PPP 接続する。 次に telnet で"東海インタ−ネット"の自 分用のホ−ムディレクトリに入る。ここから whois コマンドを使う。 何のことはない自 分が使っているホストに whois コマンドがないので、こんな風にしただけである。 以下の例では本書で当初サンプルとして使おうとした nis.co.jp ドメイン名があるか調 べている。無いと思っていたがあってしまった。nix.co.jp はどうかとやってみたら反応 が返ってこない。ある場合はすぐ表示されるが、無い場合は反応が返ってこないみたい。 % telnet userXX.tcp-ip.or.jj login: nix 内容はでたらめ!! Password: SunOS Release 4.1.4-JLE1.1.4 (CARAT) #1: Tue Oct 31 06:35:14 JST 1995 nix@mx.tcp-ip.or.jj > whois -h whois.nic.ad.jp nis.co.jp/e << ここ whois。 ==================================== [ JPNIC database provides information on network administration. Its use is ] [ restricted to network administration purposes. For further information, use ] [ 'whois -h whois.nic.ad.jp help'. To suppress Japanese output, add '/e' at ] [ the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'. ] Domain Information: 注./e は英語表示モ−ドである。 a. [Domain Name] NIS.CO.JP g. [Organization] Nantara Kantara Co., Ltd. j. [Address] 1-Chome, Minatoku, Nagoya, Japan l. [Description] Company m. [Administrative Contact Henohenomohe n. [Technical Contact] Henohenomohe n. [Technical Contact] Henohenomohe p. [Domestic Nameserver] xx1.iijp.ad.jp \ これらは単純にドメイン名を申 p. [Domestic Nameserver] xx2.iijp.ad.jp |請する場合は必要ない。実際に s. [Network Number] 163.111.0.0 |ネットワ−ク接続しなくてもド s. [Network Number] 200.11.11.0 / メイン名は取れるということ。 *** SEARCH TIME 0 seconds nix@mx.tcp-ip.or.jj > Ctrl+] キ−で抜ける telnet> quit Connection closed. * IPアドレスの取得 [ IPアドレスのクラス ] プロバイダはJPNICから割当て用のIPアドレスをもっているので、各プロバイダか らクラスCを1つもらうことになる。クラスCでは 192.169.xxx.0 〜 223.xxx.xxx.0 の どれかになり、254台のホストを識別できる。クラスCを2つもらうのは、少々難しく なっているらしい。クラスAとBは、もうもらうことはできない。それ以後追記:クラス Cをまるまる1つはまるでもらえなくなった。ひょっとすると96年当時でも、クラスC のサブネットしかもらえなかったのでないか。 [ 自由に利用することができるIPアドレス ] 下記も参照のこと。 これはプライベ−トアドレスと呼ばれていて、インタ−ネットにこのアドレスのパケット を流さない限り、自由に内部ネットワ−クで使っていいことになっている。また、プロパ イダからもらうIPアドレスは、パブリックアドレスと呼ばれている。これ以外にパブリ ックアドレスを勝手に組織内部で使うのを、非公式アドレスという場合がある。 プライベ−トアドレス : RFC 1597 で94年4月に定められた。 パブリックアドレス : オフィシャルアドレス(公式アドレス)、 グロ−バルアドレスとも呼ぶ。 [ IPアドレスの割当て ] たとえば"東海インタ−ネット"の場合、割当てられるIPアドレスは、JPNICの資料 から次のようになっていることがわかる。202.241.128.0/18 という表わし方は、 あまり なじみがないので分かりにくい。 つまり TCP-NET に委譲されているクラスCアドレスは、 以下の64個あるということになる。 202.241.128.0 〜 202.241.191.0 = 202.241.128.0/18 ip-addr-guide.txt IPアドレスの割当に関するガイド、最終更新 1995年 6月 20日 -------------------------------------------------------------------------------- | | |3. IPアドレスの Class | |IPアドレスは、4 オクテット(32ビット)の数値であり、通常、 1 オクテットずつを十進 |数としてピリオドで区切って表記される。1 つのIPアドレスは、 ネットワーク部とホス |ト部に区切られる。この区切り方は、最左オクテットの値により 5 つの種類があり、そ |れぞれ Class A, B, C, D, E とよばれる。 | | 種類 最左オクテットの値 | Class A 1 -- 127 | Class B 128 -- 191 | Class C 192 -- 223 | Class D 224 -- 239 | Class E 240 -- 255 | | |4. IP ネットワークの構築とインターネット | | |RFC1597 によって、自由に利用することができるアドレスは以下の通りである: | | 10.0.0.0 -- 10.255.255.255 | 172.16.0.0 -- 172.31.255.255 | 192.168.0.0 -- 192.168.255.255 | |ただしこれらのアドレスは インターネット上の経路制御の対象にはならない点に注意し |てほしい。つまり、 これらのアドレスを持つホストは、インターネットには直接接続で |きなくなる。 | |以上の様な状況、 およびインターネットに対するセキュリティ問題を回避するための典 |型的な方法として、 組織内部のインターネットから直接接続されない部分には RFC1597 |に示されているアドレスを用い、インターネットから直接接続可能な、 いわゆる防火壁 |(firewall)の部分にはプロバイダから割り当てられたアドレスを用いる方法もある。 | | |付録1. | 割当を委任されているプロバイダ一覧(1995/6/20 現在) | ------------------------------------------------- | IIJ 202.32.0.0/16 | | | TCP-NET 202.241.128.0/18 | | | |IPアドレス表記の説明 |/の前の部分は、アドレススペースの先頭アドレスである。 |/の後の数字は、ネットワークマスクのビット長を表す。 | | ビット長 ネットワークマスク ネットワークアドレスの個数 | 19 255.255.224.0 Class C 32 個 | 18 255.255.192.0 Class C 64 個 | 17 255.255.128.0 Class C 128 個 | 16 255.255.0.0 Class C 256 個 * JPNICの参考文書 `2h/10/S 追記 JPNIC 布文書一覧表 (最終更新日:95/7/11) -------------------------------------------------------------------------------- INDEX 一覧表(このファイル自身) HELP メイルサーバの使い方 jpnic-pub/Copyright JPNIC 公開文書の利用について (1993.12.14) jpnic/domain-name-fee.txt JP ドメイン名申請と手数料について( 一般向け ) jpnic/domain-name-all.txt JP ドメイン名の割り当てについて jpnic/domain-name-new.txt JP ドメイン名の新規申請について jpnic/domain-name-change.txt JP ドメイン名に関する変更申請について jpnic/domain-name-delete.txt JP ドメイン名の廃止申請について jpnic/domain-geographic.txt JP ドメイン名(地域型)割り当てに関する実験プロジ ェクトについて jpnic/domain-name-guide.txt @ 組織ドメイン名選択のためのガイド jpnic/domain-list.txt 日本ドメイン名一覧表(日本語) jpnic/ip-addr-fee.txt IPアドレス申請と手数料について( 一般向け ) jpnic/ip-addr.txt IPアドレスの割当てについて jpnic/ip-addr-new.txt IPアドレス割当申請について( 一般向け ) jpnic/ip-addr-form.txt IPアドレス取得申請書 jpnic/ip-addr-check.txt IPアドレス取得申請書チェックシ−ト jpnic/ip-addr-tech.txt IPアドレス取得に関する技術ガイド jpnic/ip-addr-guide.txt @ IPアドレスの割当に関するガイド jpnic/ip-addr-rfc1466-jp.txt RFC1466日本語訳 jpnic/ip-addr-rfc1597-jp.txt RFC1597日本語訳 jpnic/ip-addr-change.txt IPアドレスに関する変更申請について jpnic/db-info.txt JPNIC 登録フォームの記入方法 (一般組織向け ) jpnic/form-info.txt @ JPNIC 登録フォームについて jpnic/projform.txt プロジェクト情報記入ガイド jpnic/dns-info.txt @ ドメインネームサーバの設定手続きについて jpnic/fee-announce.txt ドメイン名・IPアドレス申請手数料について( JPNIC jpnic/jpnic-short-intro.txt JPNIC のご案内 会員向け ) jpnic/QandA.txt @ JPNIC Q & A 集 jpnic/jpnic-services.txt @ Brief Guide to JPNIC Information Services ネームサーバとその設定について(第1.7版) (3) IPアドレス割当ての注意 '97/03 * 実際の話 クラスCのIPアドレスをそのまま1個もらえるのは、昔の話である。JPNIC から各プロ バイダに割当てを委譲されたIPアドレスは数に限りがある。WANにも1個ずつIPア ドレスを使ってしまうと、実際にユ−ザに割り当てられるIPアドレスの個数は半分にな ってしまう。全部で64個ならば32ユ−ザ分となる。以前からこれはもったいないな− と感じていた。 "東海インタ−ネット" から97年にIPアドレスを割当ててもらった際、 1個のクラス CのIPアドレスをサブネット分割し、WANとユ−ザ用にネットワ−クIPアドレスに 使うようにしていた。なかなかうまい割当てである。この場合ネットマスクとブロ−ドキ ャストの設定に少し注意がいる。最初、DNSのサブネット分割なのかと一瞬冷や汗をか いたが、そうでなくて良かった−。 以下この設定はややわかりにくいので、説明としては後先になるが少し書いておく。ル− タは"東海インタ−ネット"からレンタルすると、ネットマスクや経路情報は設定済みなの で問題なし。 接続するコンピュ−タに netmask ffffffc0、broadcast 192.9.201.127 を 以下の例では設定する。それにデフォルト経路をル−タに振ればよい。これで一発である。 ・割当てIPアドレスは仮に、クラスCの 192.9.201.0 とする。 ・クラスCのホストアドレス部の内、2ビットをサブネットに使う。 192.9.201.0, 64, 128, 192 の4つのネットワ−クになる。 ネットマスクは 255.255.255.192、別表現で ffffffc0 となる。 0 と 192 はル−タによって使えない場合があるので、とりあえず使用不可。 ・WANセグメントに 192.9.201.128 を使う。 ・バリアセグメントに 192.9.201.64 を使う。 ・使用可能アドレス 192.9.201.64 : ネットワ−クアドレスのため使えない 192.9.201.65 | この間使用可能 192.9.201.126 192.9.201.127 : ブロ−ドキャストアドレスのため使えない ・WWW, Fire ホストでの経路設定 % route add net 0.0.0.0 192.9.201.65 1 -----------*------------ tcp-net.ad.jp | -------- こっち側のアドレス等は不明。別に分からなくて | | もよい。ル−タでパケットフィルタリングするに -------- は必要になるが。 | = 192.9.201.128 ネットワ−クアドレス | netmask ffffffc0 192.9.201.66 | ------- -------- | WWW | DNS1次 |Router| ------- -------- 192.9.201.65 | | -------*-------*--------*------------ 192.9.201.64 ネットワ−クアドレス | netmask ffffffc0 192.9.201.126 ------- broadcast 192.9.201.127 | Fire| IPアドレス変換 ------- または Proxy | --------*--------- 内部ネットワ−ク:プライベ−トアドレス * 上記を DMZ 構成にするには `02/07 検討 こんな感じになるのでないか。先ず 192.9.201.0 クラスCアドレスは、 4つのサブネッ トに別れている。そのうち2つは使えず、1つはWAN用で残る1つがLAN用になって いた。今度は DMZ 用にもパブリックIPアドレスが必要になっているのである。 これは やっかいな話である。LAN用の 192.9.201.64 ネットワ−クアドレスを、更に分割しな ければならない。ネットマスク分を2ビットとって4つに分割し、中の2つを使うことに なるかと思う。そうするとこれまでの WWW、Fire、RouterのIPアドレスは使えなくなる。 加えて、DNS 情報の変更や FireWall-1 のライセンスの取り直しなど大変な手間となる。 | -------- |Router| -------- 192.9.201.81 バリアセグメント | --------*--------*------------ 192.9.201.80 ネットワ−クアドレス | ------- DNS netmask ffffff50 | | WWW | 1次 broadcast 192.9.201.95 192.9.201.82 ------- ------- | Fire| | 192.9.201.97 | |-----*-------- ------- DMZ 192.9.201.96 ネットワ−クアドレス | netmask ffffff60 --------*--------- broadcast 192.9.201.111 network | broadcast | host ( IP addres ) ----------------|-----------------|-------------------------------- 64 : 01 000000 | 127 : 01 111111 | 65-126 : 01 000001 - 01 111110 ----------------|-----------------|--------------------------------- 64 : 0100 0000 | 79 : 0100 1111 | 65- 78 : 0100 0001 - 0100 1110 no use 80 : 0101 0000 | 95 : 0101 1111 | 81- 94 : 0101 0001 - 0101 1110 96 : 0110 0000 | 111 : 0110 1111 | 97-110 : 0110 0001 - 0110 1110 112 : 0111 0000 | 127 : 0111 1111 | 113-126 : 0111 0001 - 0111 1110 no use もしIPアドレスの割当てが6個しかないといったら、DMZ 構成にできるのだろうか。6 個というのはつまり 192.9.201.64/29 で、ホスト分のビット数は3、 IPアドレスは8 個の場合である。3ビットしかないのでは、ネットワ−クを分割しようにもできないので 無理である。192.9.201.64/28 でビット数が4あれば分割できる。上位2ビットをネット ワ−クにし4分割すれば、中2つのネットワ−クアドレスが使える。 つまり 0101, 0110 と 1001, 1010 が実際に有効なホストIPアドレスとなる。しかし、これはかなり苦しい。 他にやり方はないか。FireWall-1 には仮想IPアドレスという機能がある。 これならサ ブネット分割せずに、DMZ はプライベ−トアドレスにし、WWW ホストをバリアセグメント にあるように見せかけることができるはず。果たしてうまくいくかな?。 (4) JPNICヘの変更届け `02/09 * 概要 インタ−ネットの立ち上げの際は、プロバイダにドメイン名の登録申請を代行してもらう のが普通だろう。IPアドレスはプロバイダから割り振ってもらわないかんし、ネ−ムサ −バの2次にもなってもらわないかん。それも含めて申請手続きを代行してもらった訳だ。 しかし社内でのネットワ−ク担当者が変わったとか、そのメ−ルアドレスが変わったとか 細かな変更が、起きてくる。こんなのはできれば自前でやってしまおう。自分でやれば費 用はかからない。インタ−ネット接続口を、DMZ 構成に変更しようとすると、多分ネ−ム サ−バのIPアドレスも、変えなければならなくなるかも知れない。しかしこれ以上の手 続きは困難を極める。まるで法律文書を読むはめになる。ここで記載した以外のことはプ ロバイダに相談、依頼した方がいいだろう。 さて先ずは現在の自分とこの情報が、JPNIC のデータベースにどう登録されているか見る ことにしよう。http://www.nic.ad.jp/cgi-bin/whois_gw、"JPNIC Whois Gateway" を開 き自ドメイン nix.co.jj と入れ、そのままクリックする。jj なんてトップ・ドメインは ない、あくまでも便宜上の話である。これで [ドメイン情報] というのが出て来る。リン クになっている部分をクリックすると、さらにその細かな情報が出て来る。xxx.co.jp ド メインはこれで出て来るが、確か xxx.ne.jp を個人でとっている場合は、`02/08/30に個 人情報保護のため非公開になったのでないか。自宅の住所、氏名、電話番号まで分かって しまうのでは、幾ら独自ドメインのためとはいえ代償は大き過ぎる。 1. 組織名(会社名)、住所、運用責任者を変更する場合 登録フォームに記入し apply@ip.nic.ad.jp へメ−ルを送るか郵送する。 JPNIC の http://ww.nic.ad.jp/ の登録申請から、 "ネットワーク情報記載事項変更申請 フォーム", http://www.nic.ad.jp/jp/regist/ip/doc/ip-addr-change-process.html へ 辿って行く。一杯文書ヘのリンクがあって非常に分かりにくいが。さらに "JPNIC 登録フ ォ−ムの記入方法", ftp.nic.ad.jp/jpnic/ipaddress/ip-addr-change-form.txt をダウ ンロ−ドする。これは ftp で取るようになっている。 文書は更新されていくので、その 都度確認されたい。今の時点での文書の有効期限は `02/12/31 となっている。 2. その他の情報を変更する場合 登録フォームに記入し apply@db.nic.ad.jp へメ−ルを送る。 先ずは http://www.nic.ad.jp/jp/regist/db/doc/db-guide.html、 "JPNIC データベース 登録・変更ガイド:一般向け" を読むこと。ドメイン、ネットワ−ク、ホスト、個人情報 の登録、変更について記載されている。ドメイン情報には3つの型の登録・変更フォ−ム が用意されていて co は IN 型になる。他の情報は一律同じフォ−ムである。登録フォー ムにもれなく記入し、JPNIC データベース窓口 apply@db.nic.ad.jp へメ−ルを送る。処 理は機械的に行われるので、英文字とブランクは半角で仮名は全角、それにメ−ルに署名 など付けないようにすること。それで記入に問題がなければ5営業日以内に変更され、登 録通知が電子メ−ルで返送される。 * 個人情報を変更してみる ずっと気になっていたことがある。JPNIC のデ−タベ−スに登録されているメ−ルアドレ スがダイアルアップIP接続でのメ−ルアドレスのままにしていたのだ。別にそれでも問 題はないのだが、ちゃんと専用線接続してのメ−ルアドレスに変えた方がいいな−と思っ ていた。このままだとダイアルアップIP接続は、使わなくても契約を切ることができな いのだ。何となく JPNIC ヘの申請はややこしそうだなと感じてほかっていた。 やってみ て、意外に簡単だった。これなら別にプロバイダに頼むまでもない。自分でやればタダだ し。ここでは "個人情報登録フォ−ム" に従い、[電子メイル], [FAX番号], [通知アドレ ス] を変更してみる。所属、肩書が変更になった場合もこのフォ−ムを用いる。 JPNIC のサイトで whois サーバで、現在の [ドメイン情報] 情報を出し、"m. [登録担当 者] XS110JP" のとこをクリックすると "Personal Information: [個人情報]" が出て来 る。これをカット&ペ−ストでとってきて、メ−ルに張り付け修正することしよう。ここ で注意することは、張り付けた分では "h. [郵便番号] i. [住所] j. [Address]" が足 らないので、付け足すこと。h,i,j の項目なしなしでメ−ル送ったら即、足りませんとメ −ルが apply@db.nic.ad.jp から返ってきた。またすぐに追加してメ−ル送ったら、これ も即更新しましたと返事がきた。whois サーバもすぐ確認したら、もう変更になっていた。 To:apply@db.nic.ad.jp Mule で送った内容です。Subject: は空欄のまま。 Subject: --text follows this line-- # POC-1.0 << これ必要です。JPNICでの作 Personal Information: [個人情報] 業の識別用でいるとのこと。 a. [JPNICハンドル] XS110JP b. [氏名] 加藤 壱見 c. [Last, First] Katou, Ikken d. [電子メイル] katou@nix.co.jj << これを変更してみる。 これ f. [組織名] 日丸工業株式会社 までは katou@tcp-ip.or.jj。 g. [Organization] HINOMARU INDUSTRIES, LTD. h. [郵便番号] 912-1201 i. [住所] 名古屋市西町1-12-8 j. [Address] 1-12-8, NISHI-MATI, NAGOYA-CITY, AICHI, JAPAN k. [部署] 情報技術 CAD 係 l. [Division] CAD Support Section m. [肩書] CAD技術サポート担当 n. [Title] System Engineer o. [電話番号] 052-XX-XXX1 p. [FAX番号] 052-XX-XXX9 << ここも変更。 y. [通知アドレス] nic@provider.or.jp << ここはそのままにしておく。 * 会社名を変更してみる これはまだ実際やっていません。JPNIC の資料でどうするか見ているところです。 whois サーバで [ネットワーク情報] を引張ってこないかん。自分とこのネットワ−クIPアド レスを入れ、◎ (NE)Registered IP address をクリックし検索をかけると、[ネットワー ク情報] が一発で出て来る。とりあえずIPアドレスは 192.9.201.0 とする。 一応まる と自分とこ用に1個クラスCのIPアドレスがもらえた場合だが。さてサブネットしかも らえなかった場合は 192.9.201.0/25 とかいうように入力するのかな。実際どれだけIP アドレスが割り当てられているか、これも whois サーバで確認することができる。 クラ スC1個全部なら、"HINOMARU-NET [192.9.201.0 <-> 192.9.201.255] 192.9.201.0" と いうように出てくる。 To:apply@ip.nic.ad.jp Subject: --text follows this line-- [ネットワーク情報]で出たのを張り付ける。 # CHANGE TEMPLATE V 1.0 # Current Network Information: [ネットワーク情報] a. [IPネットワークアドレス] 192.9.201.0 b. [ネットワーク名] HINOMARU-NET f. [組織名] 日丸工業株式会社 g. [Organization] HINOMARU INDUSTRIES, LTD. | p. [ネームサーバ] ns.nix.co.jj << まだ1つか2つ[ネーム y. [通知アドレス] nic@provider.or.jp サーバ] の項目が出る。 Network Information: [ネットワーク情報] a. [IPネットワークアドレス] 192.9.201.0 b. [ネットワーク名] HINOMARU-NET f. [組織名] 株式会社ヒノマル << ここ変更。 g. [Organization] HINOMARU CORPORATION << ここ変更。 | p. [ネームサーバ] ns.nix.co.jj y. [通知アドレス] nic@provider.or.jp [変更理由] 法人の登記名変更のため。 << やってみました >> おあつらえ向きに会社名が変更になった(漢字からカタカナに)ので、上のメ−ル送って みました。"IPアドレス申請受領通知" というメ−ルが5分ぐらいしてかえってきた。"申 請の受理/不受理は申請日より10日以内にあらためて通知されます" とあったが、それか らまたしばらくして "IPアドレス申請却下通知" のメ−ルがきた。申請者が[運用責任者]、 [技術連絡担当者]またはIPアドレス業務委任会員内の担当者ではありません。との理由が 書かれていた。それで自分は[運用責任者]ですと query@ip.nic.ad.jp に言うと下記のよ うに返事がかえってきた。結局、接続しているプロバイダにお願いしてくれということな のだ。しかしながら、社名変更するのにメール1本でできては、いかにも容易過ぎると少 なからず不安を感じてはいた。これぐらいの慎重さは当然である。 恐縮ですが、エンドユーザー様からのネットワーク 情報記載事項変更申請は、住所、運用責任者の変更 のみ受付をさせてい頂いております。その他の項目 社団法人日本ネットワーク の変更につきましては、接続先の業務委任会員様へ インフォメーションセンター ご相談下さいますようお願い致します。 事務局 IPアドレス担当 それで自分とこのプロバイダに問い合わせをしてみました。えらくめんどうな話になった。 プロバイダから "ドメイン名登録原簿記載事項変更届け(郵送用)" をもらって会社の代表 者名とはんこを押す。このはんこは、法務局に会社の印鑑登録したものであること。更に 3ヶ月以内の "印鑑登録証明書" と会社名が変更されたことを示す "商業登記簿謄本" が それぞれ一部必要である。これだけ揃えて、プロバイダに送り手続きをしてもらう。費用 は JPNIC で決まっていて2万円ということである。 ちなみに、最初にドメイン名を取得 した際は、何の書類もいらなかった。これは今でもそうである。ドメイン名を廃止する場 合も手数料はいらないということである。それ以外の手続きは2万円ということらしい。 注.実際はかなりすったもんだやった。プロバイダもそう手続きをこれまでたくさんした 訳でなかったようで、書類の書き方で一悶着あった。ドメイン名が大文字でないとい けないとか。ドメイン名は大文字も小文字も関係ない。JPNIC にも何度も直接メ−ル 送って確認するはめになった。 多分、小さなプロバイダなんか JPNIC への手続きで きんぞ。さすがに IIJ ぐらいなるとスム−スに処理するようだが。 (5) IPアドレス枯渇の余波 `2b/06〜08 * 大変な話がいきなり来た 今年4月にアジア用の割り当てがゼロになった、日本もその中に含まれている。IPアド レス枯渇が現実のものとなった。2011年4月15日にアウナウンスあり。 IPv4 がな くなった。IPv6 にしてないけないか。すぐにどうこうではないが。 朝日新聞のサイトの 2011/02/01,10:41 の記事で"IPアドレス、すっからかん 大元締めが在庫切れ発表"。と こんな発表を見ていて、まだ他山の石と思っていたのが、いきなり余波がやってきた。 パブリックIPアドレスを返却して欲しいという話が、プロバイダから6月の初めに電話 があった。別なパブリックIPアドレスに付け替えるのである。クラスC相当のパブリッ クIPアドレスが昔、調べたところでは32個あって、片手も使われてないらしい。ユ− ザに割り当ててない。プロバイダへのIPアドレスはビットマスクでの単位になるはずで、 32個とか64個とかになるのだと思う。JPNICに結構、使用料を払っているらしい。 JPNICのサイトを見てみた。歴史的PIアドレスの返還を求めるなどして行きたいと いうような文書はあった。皆さんどう思いますかという、パブリックコメントを求めると いう文書もあった。プロバイダが保有する歴史的PIアドレスであるIPアドレスの料金 を値上げするという。JPNICのサイトにある文書をみても、IPアドレスを返却だと か値上げだとかいう記事は見当たらないけど。 やることといえば、プロバイダを変更するという話と同じである。コンピュ−タ会社のオ フィスの引っ越しの話も参考になるだろう、「Software Design」 のいつのだったのかに 引っ越しの記事が載っていたのを見たことがある。今回の東北の大震災による計画停電な どのことで、東京から大阪にサ−バを移したという。その大阪でも15%節電で、おいお いどうなるんだよということ。でも日経の雑誌には全然、引っ越し話の事例は出てない。 この際だからメイン回線をプロバイダBのにしてしまうというのはどうか。DNSの管理 をこれまでのプロバイダAからBに移管しないといけないのだが。しかし、せっかくAで 引いた光ファイバ回線が活かせなくなる、予備になってしまう。ドメイン名も今のプロバ イダが管理している。毎年春頃、ドメイン名を維持するかどうか、維持するなら5千円だ ったか振り込むことになっている。これもプロバイダの変更手続きが必要で簡単ではない。 いつかはクラウドにしていくのだから、この際ちゃんと検討しておいた方がいい。今回は プロバイダからの要請というかお願いなので、十分な協力をしてもらうことが期待できる。 有難い話である。最初はえ−と思ったが、現在それにこれからの周辺状況ちょっと考えて みたら、いろいろある。災い転じて福となすとしたい。自社サ−バ利用から外部のサ−ビ スに変更する際のタイミングとスム−ズに移行させるためのノウハウ獲得である。 ちょうどファイアウオ−ルも FireWall-1 から FortiGateに置き換えようと考えていたと こである。合わせて作業して、SI業者からも教えを請うことにする。しかしそうなると ファイアウオ−ルの置き換えは、プロバイダの動きと指示に合わせることになる。6月初 めにプロバイダから電話があり、IPアドレス返却と付け替えの文書をとりあえず出して くれと言ったのだが、それがでてこない。IPアドレス移行の手順書はいわんやである。 ファイアウォ−ルの置き換えとパブリックIPアドレスの付け替えの作業は、いっそ別々 に行なうかである。現在の FireWall-1 はIPアドレスの縛りはない。あるバ−ジョンか ら縛りはなくなった。hostG マシンと FireWall-1 のWAN側IPアドレスを変えるのは、 コマンドで直ぐにできる。あらかじめ新IPアドレスで設定したル−タを送ってもらうな どすれば、IPアドレスの付け替えはそれだけ終わってしまうのでないか。 いや問題はDNSサ−バだ。インタ−ネット回線の経路設定はできるが。DNS制御ファ イルの記述変更はプロバイダから手順を示してもらわないといけないだろう。自社DNS サ−バは BIND 9。BIND 9 での制御ファイルの記述は結構ややこしい。ここはプロバイダ に詳しい設定や手順を示してもらわないとだめだ。まだ何も出てこないし、どうしたらい いか情報がない。脳内イメ−ジが出来ないことには動けない。慎重に事を進めないと。 いっそドメイン名をこの際だから、思いきって変えるというのはどうだ。一応 nix.co.jj 持っている訳だが新しく nix.con のようなのを取れるなら取る。nix.conで新たにメ−ル サ−バを立てるのである。前のドメイン名に来たメ−ルは、新たなのに転送すればいいと いうこと。これは、会社が合併して会社名が変わり、ドメイン名も新たらしい会社名にち なんだものを付けるという。2011年、SI会社の企業統合でよくある話だった。 * とりあえずこんな風にやる A B これまでのプロバイダA、予備回線のプロバイダB。 : : : : 仮想IPアドレス □Router □ ■ ■ ■ |.126 |.75 |.76 |.77 202.xxx.xxx.64 << 新IPアドレス。 ----------------*---------------------------------- | MR WWW SSL-VPN ------- □ □ □ 社内にある Windows FireWall-1 |hostG|.1 |.2 |.4 |.5 192.168.2.0 サ−バが差すDNS から | |------------------------------- のIPアドレスとか FortiGateへ------- □MS □ Windows Server も変更する必要あり。 |.1 |.2 |.9 192.168.1.0 ----------------*---------------------------------- 大方はファイアウォ−ルが設定を吸収する。DMZにあるマシンのバリアセグメントの仮 想IPアドレスは個々のマシンの設定には関係ない、これはファイアウォ−ルが制御する。 社内のパソコンやサ−バなどで、DNSサ−バの指定を 202.xxx.xxx.75 にしているのを 列挙する。SSL-VPN 利用のためパソコンの hosts に 202.xxx.xx.77 を記述とかも列挙。 新しいネットワ−クIPアドレスでもって、新ファイアウォ−ルの設定をした FortiGate をスタンバイさせておいて入れ替える。SI業者と一緒に作業するのである。 DMZにあるマシンの設定は何も変えなくてもいいのでないか。バリアセグメント上の仮 想IPアドレスはファイアウォ−ルが制御しているので。 メ−ルリレ−のマシンのDNSサ−バの制御ファイルはだいぶ変えないけない。変更のタ イミングも調整していかないといけない。プロバイダからの指示を仰ぐこと。 Mail-Store は Mail-Relay にメ−ルを 192.168.2.2 へ送るように設定した。Mail-Relay は Mail-Store から、どのIPアドレスで受け取るようになっているか確認のこと。 LinkProof でサ−ビスを全く止めずに移行させるか。やろうと思えば多分できると思うが。 自社WWWサ−バやメ−ルサ−バのサ−ビスをまるで止めずにである。 この際だから自社WWWサ−バがまだ社内で面倒をみているのであれば、先にクラウドで 出してしまうか。プロバイダAでもBでも、はたまたどこでも。 * インタ−ネットから情報を拾う パブリックIPアドレスを変えるので一番問題なのがメ−ルである。DNSのMXレコ− ドをどうやるかだ。Google で [ MXレコ−ド変更 ]と引くと一杯でてくる。クラウドの メ−ルサ−ビスを利用する際も同じような話になる。 Google のメ−ルサ−ビスの Google Apps 管理者用ヘルプ ..>Postini >Message Security for Google Apps > 有効化ガイド よくある質問とトラブルシュ−ティング:MXレコ−ドの仕組み。 Trend Micro Hosted Email Security もそうだ。 MXレコ−ドだけを書き換えてくれとだけ書かれているのみ。 レンタルサ−バなんかを展開している名前が知られているプロバイダには、DNSなど設 定はメニュ−画面がある。その中でしか設定したり変更したりできないようである。新し いのに変わる、反映されるまで数時間から最大48時間はかかると書かかれていたりする。 ネットで調べると1週間たっても変わってないという話も結構でてくる。 次にもらえるパブリックIPアドレスでのDNSサ−バを、プロバイダ側で一時的に立ち 上げるとかして、スム−ズな移行をやるみたいだ。ともかくプロバイダからDNS周りの 設定の手順をだしてもらわないことにはだめ。この手順、手順書なりをベ−スに諸々の手 続きや作業を進めるしかないのではないか。 * DNSの情報とJPNIC登録 すでに次のパブリックIPアドレスは分かっている。プロバイダが保有している。プロバ イダ側にこっち用のDNSサ−バを立ち上げておく、新しいMXレコ−ドをそちらで作っ ておく。そしてこれまでのDNSと並行で運用するという。ん−、しかしイメ−ジが掴め ない。漫画を描いて動作をみてみないと。まずは手書きでそこらの紙に絵をかいてみるか。 相手DNSサ−バに保持される自社DNSサ−バの情報がキャシュされる時間を3分位に にしておいて、相手のメ−ルキュ−に溜まるのなら、何とかなりそう。溜まるのではなく、 相手にエラ−メ−ルが帰えるのでないか。でなくてDNSサ−バが止まっている、あるい はアクセスできないと、相手のメ−ルサ−バにメ−ルは溜まる。そして再送しようとする。 JPNICヘの届け出と反映されるまでの時間が重要でなかったか。JPNICは金曜日 の晩に一括して、こうした事務処理をするという記事を見たことがある。でも10年以上 前の記憶なのだが。ドメインの WHOIS 情報の大元も変えてもらわないかん。 JPNIC への登録変更申請が実施されるまでの時間、日数が問題だ。 * 移行のための事前確認とテスト 新しいIPアドレスにした場合の疑似ネットワ−クを作ってみる。ファイアウオ−ルには FortiGate-80C を使って、DMZ上にHPの仮想サ−バで作った Mail-Relay の仮想マシ ンを置き、内部セグメントには Mail-Store の仮想マシンを置いて。新しいIPアドレス をテストでわざわざとは付けなくていい、DNSを本物を使うことはできないから。 疑似 Mail-Relay を作っても、これから外にメ−ルは出すことはできない?。 InterScan のメ−ルのレピュテ−ションも利用することはできない、と思う。いや相手がDNSの逆 引きなどのチェックをしない所であれば、できるような気もするが。既存ネットワ−クと は切り離してテストしてみるか。ミニ・インタ−ネットを作ればやれないことはないが。 8月のお盆前になった、何かちっとも進まない。SI業者とは7月初め次期ファイアウォ −ルの打ち合わせをした。 FortiGate-310B 2台での冗長構成での見積を出してもらうの が未だ出てこない。プロバイダからも何も出てこない。当初、今期の前半中に実施を目論 んだが、もう無理だ。多分そうこうする内に FortiGate に新機種が出てくるぞ。`2b/08 * 参考にできる話の情報はこれだ ※PI( Provider Independent) Address いろいろめぼしい情報がないか、ざくっとここ数ヶ月の雑誌を眺めてみた。「月刊アスキ −ドットテクノロジ−ズ」2011/09 最終号。6ペ−ジの "NEWS DIGEST JPNIC、IP アドレス料金体系を変更「歴史的PIアドレス」が課金対象に"。 という記事を見落とし ていた。6月22日JPNICがアナウンスした要約。プロバイダは歴史的PIアドレス にはJPNICには何も費用を支払ってなかった。それが2012年度からは維持料を払 ってくれということになった。JPNICはAPNICに管理料をこれまでも払っている し、ユ−ザへの窓口業務もやらないけない訳で。2012年度は50%引き、2013年 度は25%引き、それ以降は割引なし。プレフィックス /19 クラスC32個で 約19.5万 円、/18 クラスC64個で約25.3万円など。4月1日0時に保有しているアドレス数で算 出するとのこと。だから来年3月末までにIPアドレスを返して付け替えればいい訳だ。 * それでそれからどうなった `2b/09 その後、プロバイダから何も言って来ない。ファイアウォ−ルの置き換えでSI業者から も見積りが出てこない。パブリックIPアドレスの変更をするに辺り、SI業者がどこを どれぐらい担当するのか分からないので、見積りが出せないということらしい。ともかく プロバイダからDNS辺りの変更手順を何がしか書いたものを、出してもらわないと困る のですが。前に進まないのですが。8月末、プロバイダさんをつっついたら、IPアドレ スを変更しないで済むかも知れないとのこと。JPNICから新たなアナウンスがあった ようで、クラスC単位でJPNICにIPアドレスを返せるようなことに、話がなってき ているらしい。先の説明ではブロック単位でごそっと返さないといけないので、それに含 まれてしまうということだった。現に実際にIPアドレスを使っている所はそのままでよ ろしい、ただ保持しているようなところは返すよう求めていくということらしい。 ただし1つこれまでにない話がでてきた。IPアドレスはこれまで取得時に何がしか料金 を払ったら、その後は無料ということだった。プロバイダとの接続料金はインタ−ネット の回線種類と帯域で決まっていた。IPアドレスの数は関係なかったはず。ドメイン名の ように毎年、維持更新料をプロバイダに払うようなことはしていない。しかし来年度から はそれを徴収して行くという。JPNICではIPアドレスを管理していくのは、今や大 変な作業になっているはずである。元々は月の土地を売るような話だったのが、架空のも のでもそれを大勢が売り買いするとなれば、大きな手間となる訳である。これからはIP アドレスに対して費用を払ってもおかしくはない、むしろこれまで無料だった方が不思議 なぐらいである。多分、段階的に上がっていき年間5万円から10万円位になるかも。