Second Life にアクセスするための企業内ファイアウォールの設定方法

From Second Life Wiki
Jump to: navigation, search

概要

この記事では、イントラネットの中で Second Life ビューワ (クライアント) を使えるようにするファイアウォールの設定方法を解説します。これはネットワーク管理者やその他ネットワークセキュリティの担当者向けに書かれています。

ファイアウォールはネットワークセキュリティプログラムの基本コンポーネントです。「最小権限の法則(principle of least privilege)」に従って、ファイアウォールはサポートするネットワークアプリケーションのみが企業のイントラネットと公開ネットワークの間を通れるように制限をかけます。このため、ファイアウォールは基本的に日常使うアプリケーション、Domain Name Service (DNS)、電子メール、ウェブブラウズが通れるように設定されています。しかし、Second Life は通常使用しないポートをたくさん使用しており、これらのポートはほとんどのファイアウォールがデフォルトでブロックしています。

ボイスチャット

ボイスチャットは、Second Life そのもののように、「ゼロコンフィグレーション(zero configuration)」で動くようになっており、ほとんどのファイアウォールでは動作するはずです。ポート 5060 の SIP 接続がダメだった場合 (ルーターが VoIP サービスを自分で提供するようになっているのかもしれません) 、ビューワは自動的にポート 5062 でリトライします。つまり、きついファイアウォールでは、ポート 5062 を開ける必要があるかもしれません。

最初に Second Life ビューワを起動すると、"SLVoice.exe" と "SLVoiceAgent.exe" のインターネットアクセスを許可するかをファイアウォールが尋ねてくることもあります。

ファイアウォールの内側の人が Second Life を使えるようにするには、この文書の手順を実行します。

手順

ファイアウォールによって細かいところは異なってきますが、一般的な手順を説明します。

  1. TPC ポートのアウトバウンドアクセスを許可します。Second Life サーバは Second Life ビューワが動作しているクライアントシステムに向けてインバウンドの TCP 接続を確立しません。その代わり、「要求/応答」メッセージパターンを使用します。
    • アウトバウンドの TCP アクセスをポート 80, 443, 5060, 5062, 12043, 21002 で許可します。
  2. UDP ポートの「セッション」アクセスを許可します。UDP はセッションレス通信ですが、多くのファイアウォールは、つい最近同じポートから外向きの UDP 通信があった場合を除いて、特定のポートへの承諾のない内向きの UDP 通信をブロックします。
    • アウトバウンドの UDP アクセスをポート 5060, 5062, 12000 ~ 13050 で許可します。
  3. 監視します。最近のファイアウォールは複雑で、全てのネットワーク設定を 1 つの文書でカバーするのは難しいです。ntopnprobe のようなツールを使って Second Life ビューワとサーバの間のネットワークフローを監視して、ファイアウォールにブロックされるネットワークフローを特定しましょう。

ポート

DNS ルックアップや Web アクセスに使用する標準ポートの他に、Second Life ビューワは以下の表にリストアップされたポートを必要とします。

ポート プロトコル 用途
53 UDP/TCP DNS ルックアップ
80 TCP Second Life に関連した Web リソースへのアクセス
443 TCP Second Life に関連した Web リソースへのアクセスとクライアント認証
5060 UDP and TCP Voice / SIP のトラフィック
5062 UDP and TCP Voice / SIP (Session Initiation Protocol) のトラフィック
12000 - 15000 UDP Voice / RTP のトラフィック
12035 UDP コアプロトコル通信
12043 UDP シミュレータ通信とマップ関連の機能
12043 TCP ケイパビリティ・ベース (Capability-based) のシミュレータ通信
13000-13050 UDP コアプロトコル通信
21002 TCP 音声信号

注記:

  • RTP: Real-time Transport Protocol
  • SIP: Session Initiation Protocol

サーバの IP アドレス

IP アドレスの最新情報は、こちらを参照してください。

更新したら通知が受け取れるように、これらの記事を読者登録することもできます。

Second Life ビューワは Linden Lab 以外の組織が提供する仮想世界にアクセスするのにも使えます。使用する IP アドレスを提供機関に問い合わせてください。

ハードウェアベンダー特有の事項

ファイアウォールの設定方法の手順は、ファイアウォールの説明書やベンダーの Web サイトを見てください。

Cisco

リフレクシブ ACL (reflexive access lists) を使用する Cisco のルータ/スイッチ (IOS 11.0 以降) では、アウトバンドアクセスリストに以下の行を追加します。

permit tcp any any eq 443
permit udp any any eq 12035 reflect outbound-SL
permit udp any any eq 12036 reflect outbound-SL
permit udp any any range 13000 13050 reflect outbound-SL

それから、インバウンドアクセスリストに以下の行を追加します。

permit tcp any any established
evaluate outbound-SL

追加したら、アクセスリストを適用します。

Linux Killerwall

Killerwall を使用している Linux システムでは、これらの行を /etc/killerwall.acl に追加します。

IN IFACE <your lan interface> FROM 0.0.0.0/0 TO 0.0.0.0/0 tcp TOPORT 443 ACCEPT
IN IFACE <your lan interface> FROM 0.0.0.0/0 TO 0.0.0.0/0 udp TOPORT 12035 ACCEPT
IN IFACE <your lan interface> FROM 0.0.0.0/0 TO 0.0.0.0/0 udp TOPORT 12036 ACCEPT
IN IFACE <your lan interface> FROM 0.0.0.0/0 TO 0.0.0.0/0 udp TOPORT 13000-13050 ACCEPT

そして、Killerwall を再起動します。Killerwall は自動的に返答パケットを追跡するので、Second Life が正常に動作するようになります。

Linux Firewall

IPF (Linux ファイアウォール) を使用している Linux では、以下のように設定します。

pass out quick on rl0 proto tcp from any to any port = 443 flags S keep state
pass out quick on rl0 proto udp from any to any port = 12035
pass out quick on rl0 proto udp from any to any port = 12036
pass out quick on rl0 proto tcp from any to any port = 12043 flags S keep state
pass out quick on rl0 proto udp from any to any port 12999 <> 13051
pass in quick on rl0 proto tcp from any to any port = 443 flags S keep state
pass in quick on rl0 proto udp from any to any port = 12035
pass in quick on rl0 proto udp from any to any port = 12036
pass in quick on rl0 proto udp from any to any port 12999 <> 13051

FreeBSD IPFW

Ipfirewall (ipfw) ベースのファイアウォールでは、以下の行を /etc/rc.firewall に追加します。

ipfw add allow tcp from any to any 443 setup
ipfw add allow udp from any to any 12035 keep-state
ipfw add allow udp from any to any 12036 keep-state
ipfw add allow tcp from any to any 12043 keep-state
ipfw add allow udp from any to any 12999-13051 keep-state

参考情報