無線LANのアクセスポイントを交換。 なにせ今まで使っていたのはWLA-T1-L11という、 定価で5万4800円もするという代物。 Appleが初代AirMacを出したかどうかという頃に導入した。 したがってセキュリティが貧弱なのである。 クライアントのMACを登録することしかできない。 もちろん、WEPには対応していないのである。 まあこれでも使うのは自分だけで、 たいていはsshでログインするだけだからさして問題はなかった。

しかし気がつくと世の中は802.11gで54Mbpsなのである。 購入したPowerBook G4のオプションカードは、 当然こいつをサポートしている。 なので、アクセスポイントの物色を始めた。 我が家の場合はFreeBSDマシンがルーターになっているので、 アクセスポイントは単なるブリッジでよい。 で、最初はAirMacかとも思ったのだがいかんせん高い。 ヨドバシカメラ上野店の店頭では、 ブリッジタイプはメルコのものしかおいてなかった。 まあこれはAirMac Extreme対応と箱に明記してあるし、 クライアントのPCカードがセットになったWLA-G54/Pを購入した。 これで税別1万6800円なのだから、安くなったなあ。 ついでに8ポートの10/100スイッチングハブを一緒に買って、 2万円ちょっとだった。

帰宅して箱を開けてみると、説明書はセットアップ用の紙が1枚。 まあたいていの場合はそのままでうまくいくように、 あらかじめセットアップしてあるとのこと。 細かい説明は、 付属するCD-ROMの中にドキュメントが入っているらしい。 100BASE-TXは、 ケーブルがクロスかストレートか自動的に見分けてくれるという。 これでは、結線を間違えるほうが難しそうだ。

で、私は失敗した。 WLA-T1-L11からLANケーブルを抜いてWLA-G54につけたのはいいのだが、 WLA-T1-L11の電源を切り忘れたのである。 デフォルトではお互いの使用する無線チャンネルが近いため、 相互干渉を起こしてWLA-G54が見えたり見えなかったりという状態になってしまった。 で、ネットワークから外したはずのWLA-T1-L11はバッチリ見える。 無線LANクライアントはアクセスポイント経由で DHCPサーバーからIPアドレスを取得するので、 WLA-T1-L11につながってしまうとIPアドレスを取得できない。 しばらく悩んでしまった。気がついてしまえばなんのことはない。 念のため、無線チャンネルが4つ以上離れるように設定しておいた。

おまけとして、WLA-G54は4ポートのスイッチングハブでもある。 窓側に設置してあった弟のPCにつながっていたLANケーブルをWLA-G54につなぎ、 短めのケーブルでWLA-G54と弟のPCをつなぐ。 これで、離れに設置した無線LAN環境に、 母屋からでもアクセスできるようになった。

WLA-G54のファームウェアをバージョン2.20にアップデートして、 WPAを使えるようにした。 これでアクセスポイント側ではTKIPとAESが使えるようになった。 MelcoのPCカードクライアントも、 サポートソフトのバージョンを上げるとこの両方に対応する。 しかし、AirMacのiBookはTKIPしか使えないようだ。 AirMac ExtremeのPowerBook G4とThinkPad X31は、 TKIPで問題なく使えている。 テストの順番がiBookよりも後だったので、 この2機種でAESが使えるかどうかは未確認。

ThinkPad X31はAESを使えるが、 PowerBook G4では使えないことが判明。

MMPRPGのためにnaptを設置したが、 実は全てのアクセスを許可した状態だった。 ということは、 何かの拍子にウィルスに感染したマシンが直接 SMTPで他にもばらまき始める危険性がある。 そこで、ルーター兼naptマシンのFreeBSDでipfwを設定してみた。 変更したのは/etc/rc.firewallだ。

 /sbin/ipfw -f flush
 /sbin/ipfw add pass all from 192.168.1.0/24 to グローバルIPブロック
 /sbin/ipfw add pass all from グローバルIPブロック to 192.168.1.0/24
 /sbin/ipfw add divert natd all from any to any via dc0
 /sbin/ipfw add pass all from 弟マシンのIPアドレス to any
 /sbin/ipfw add pass all from any to 弟マシンのIPアドレス
 /sbin/ipfw add pass tcp from any 110 to 私マシンのIPアドレス
 /sbin/ipfw add pass tcp from 私マシンのIPアドレス to any 110
 /sbin/ipfw add pass all from any to me
 /sbin/ipfw add pass all from me to any

我が家のLANは、 有線ブロードネットワークスから割り当てを受けているグローバルIPアドレスと、 プライベートIPアドレスと、 ふたつのセグメントに分かれている。 まずは最初の2行でこのセグメント間の通信を許可した。

3行目がnaptを有効にする設定だ。 で、naptを経由した場合でも同じようにアクセスルールを書けるらしい。 4～5行目が弟のマシン用。 MMPRPGだとどのポートを使うのかいまひとつはっきりしないので、 とりあえず全部開けてある。 ウィルスに感染しないように注意してもらうことにしよう。

6～7行目は外部のサーバーからPOP3でメールを取ってくるための設定。 普通は必要ないのだけれど、 ローカルなマシンでpopfileの実験をやっている都合で開けてある。

で、最後に自分自身にくるパケットと、 自分自身が発信するパケットを許可。 残りはデフォルトで不許可なので、 中から外に出て行くパケットはほとんどなくなるはず。

ipfwによるパケットフィルタに、さらにルールを追加した。

 /sbin/ipfw add pass udp from 192.168.1.1 50000-65535 to any 50000-65535
 /sbin/ipfw add pass tcp from 192.168.1.1 1024-65535 to any 50000-65535
 /sbin/ipfw add pass tcp from 192.168.1.1 1024-65535 to any 80,443
 /sbin/ipfw add pass udp from any 50000-65535 to 192.168.1.1 50000-65535
 /sbin/ipfw add pass tcp from any 50000-65535 to 192.168.1.1 1024-65535
 /sbin/ipfw add pass tcp from any 80,443 to 192.168.1.1 1024-65535

弟のマシンがFFXで必要とするパケットだけを通過させる設定のはずである。 少なくとも、SMTP経由でウィルスをばらまく可能性は、 かなり低くなったはずだ。

しかし

 $ ipfw show
 65535    12690     1473003 deny ip from any to any

なので、結構変なパケットが来ているんだなあ。

サーバーの定時報告を読んでいたら、 218.38.14.121からsshでログインに失敗したログが残っていた。 mysqlとかdaemonとかnobodyとかを試しているので、 やはりアタックなのかなあ。 とりあえず/etc/hosts.allowでアクセスを禁止しておいたけれど。

最近Windowsネットワークのブラウズに失敗するので、 試しにsambaをWINSサーバーとして使うことを止めてみた。 見事にトラフィックが減っている。 まあブロードキャストストームと言うほどではないが、 けっこう頻繁に名前の一覧を更新しているのだなあ。