デーモンモード

faithd がスタンドアロンプログラムとして起動されると、 faithd は、自分自身をデーモン化します。 faithd ユーティリティは、 TCPv6 のポート service を listen します。ポート service への TCPv6 トラフィックを見つけると、コネクションをリレーします。

faithd が TCP ポート service を listen するので、 inetd(8) や他の標準的な仕組みを用いて、そのルータ上で service ポートを使うローカルな TCP デーモンを動作させることはできません。 faithd に対して serverpath を指定することで、ルータ上でローカルデーモンを走らせることができます。終点アドレスがローカルのインターネットアドレスであれば、 faithd ユーティリティは、 serverpath においてローカルデーモンを起動します。それ以外の場合、 faithd は、IPv4 TCP への変換を行います。ローカルデーモンの引数は、 serverargs を用いて指定することができます。

次のオプションが使用可能です:

-d

syslog(3) を用いてデバッグ情報を出力します。

-f configfile

アクセス制御用の設定ファイルを指定します。後述を参照してください。

-p

IPv4 TCP コネクションを最終の終点向けにリレーする際、 faithd は、ソースポートとして特権 TCP ポートを使用します。 ftp(1) をリレーする際は、本オプションは、不要です。そのための特別なプログラムコードが含まれています。

faithd ユーティリティは、通常の TCP データも帯域外 TCP データもリレーします。 TCP half close をエミュレートすることも可能です。 faithd ユーティリティは、 ftp(1) で用いられるプロトコルに対して、特別なサポートを行います。 FTP プロトコルを転送する際は、 faithd は、 PORT/LPRT/EPRT コマンドおよび PASV/LPSV/EPSV コマンドにおけるネットワークレベルアドレスも変換します。

リソースを消費することから古いセッションを防ぐために、アクティブでないセッションは、30 分で切断されます。これは、いくつかのサービスに対して不適切であるかもしれません (これを設定可能とするべきですか?)。

inetd モード

faithd が inetd(8) から起動されると、 faithd ユーティリティは、標準入力から渡されるコネクションを扱います。コネクションの終点が、予約した IPv6 アドレスプレフィックスの範囲内の場合、 faithd は、コネクションをリレーします。それ以外の場合、 faithd は、サービスに対応する telnetd(8) のようなデーモンを起動し、 inetd(8) から渡されるコマンド引数を使用します。

faithd は、ローカルな TCP ポート番号を元に動作モードを決定し、必要な時/可能な時には特別なプロトコル処理を有効にします。例えば、 faithd が FTP ポート上で inetd(8) から起動されると、これは、FTP リレーとして動作します。

この動作モードでは、 inetd(8) 中に faithd 用の特別なサポートを必要とします。

アクセス制御

悪意あるアクセスを防ぐため、 faithd は、単純なアドレスベースのアクセス制御を実装しています。 /etc/faithd.conf (または -f で指定した configfile) で、 faithd は、望まないトラフィックの中継を防ぎます。 faithd.conf 設定ファイルは、次の形式の指示を含んでいます:

• src/ slen deny dst/ dlen

  問い合わせの始点アドレスが src/ slen に合致する場合で、変換後の終点アドレスが dst/ dlen に合致する場合、接続を拒否します。

• src/ slen permit dst/ dlen

  問い合わせの始点アドレスが src/ slen に合致する場合で、変換後の終点アドレスが dst/ dlen に合致する場合、接続を許可します。

これらのディレクティブは、順番に評価され、最初に合致するエントリが効果を持ちます。合致するものがないと (ルールセットの最後に到達した場合) トラフィックは、拒否されます。

inetd モードでは、 inetd(8) のアクセス制御機能でトラフィックをフィルタ可能です。

# sysctl net.inet6.ip6.accept_rtadv=0 
# sysctl net.inet6.ip6.forwarding=1 
# sysctl net.inet6.ip6.keepfaith=1 
# ifconfig faith0 up 
# route add -inet6 3ffe:501:4819:ffff:: -prefixlen 96 ::1 
# route change -inet6 3ffe:501:4819:ffff:: -prefixlen 96 -ifp faith0

デーモンモードのサンプル

telnet サービスを変換し、そしてローカルな telnet サービスを提供しない場合は、次のように faithd を起動します:

# faithd telnet

もし /usr/libexec/telnetd にある telnetd(8) によるローカル telnet サービスを提供したい場合は、次のコマンドラインを使用します:

# faithd telnet /usr/libexec/telnetd telnetd

ローカルデーモンに追加の引数を渡したい場合は:

# faithd ftp /usr/libexec/ftpd ftpd -l

他の使用例です。サービスが始点ポート範囲をチェックする場合には、 -p が必要かもしれません。

# faithd ssh 
# faithd telnet /usr/libexec/telnetd telnetd

inetd モードのサンプル

inetd.conf(5) に次の行を追加します。構文は、オペレーティングシステムによって様々でしょう。

telnet  stream  tcp6/faith  nowait  root  faithd  telnetd 
ftp     stream  tcp6/faith  nowait  root  faithd  ftpd -l 
ssh     stream  tcp6/faith  nowait  root  faithd  /usr/sbin/sshd -i

inetd(8) は、カーネル TCP リレーサポートが有効にされている状態で listen (接続を受け付け) しているソケットをオープンします。コネクションが到着すると、 faithd が inetd(8) から起動されます。コネクションの終点が、予約した IPv6 アドレスプレフィックスの範囲内の場合、 faithd は、コネクションをリレーします。それ以外の場合、 faithd ユーティリティは、サービスに対応する telnetd(8) のようなデーモンを起動します。

アクセス制御の例

以下に単純な faithd.conf 設定を示します。

# 3ffe:501:ffff::/48 からのすべてに変換器の使用を許し、 
# 次の IPv4 の終点へ接続させます: 
# - 10.0.0.0/8 と 127.0.0.0/8 以外のすべて 
# 他の接続は許しません。 
# 
3ffe:501:ffff::/48 deny 10.0.0.0/8 
3ffe:501:ffff::/48 deny 127.0.0.0/8 
3ffe:501:ffff::/48 permit 0.0.0.0/0