<   2006年 07月 ( 15 )   > この月の画像一覧

宮部みゆき『スナーク狩り』

No.29
光文社文庫:1992
☆☆☆
「そうさな……おまえが作家になれるかどうかは、俺にはわからねえ。だが、おまえは間違ったって人間のクズなんかにはならねえよ。何があったって、他人様に迷惑をかけるような人間にはならねえ。それは俺が保障してやる」

どこかにはこれと真逆のことを言われ続けた人もいますが。

宮部みゆき作品の中では評価は高いながらも結構マイナーで、いわゆる「隠れた名作」的な扱いがされている作品。そんなわけで大分前から存在は知りつつ、ずっと未読のまま今に至りました。

いろいろありつつも、何故かみんな最終目的地が金沢となる人たちの半日間。読み終えるまで気づかなかったのですが、たった半日の出来事が全てなんですよね……。いきなり銃を持った女性の話から入り、めまぐるしく場面が変わる密度の濃さがそう思わせるのでしょうか。各パート間のつながりは全てを俯瞰できる読者サイドからならば比較的早い段階で分かります。それを踏まえて、何のことは無い一都市のはずの金沢が、何か凄い所に見えてくる構成と文章力の妙は見事だと思います。

ただ、収束点がちょっと早いかな? と感じました。ラジオによる呼びかけとか、実際そんなことがあるのかどうか知りませんが、ちょっと非現実的な感じですし、作品全体から浮いてしまっているような。その後にまだ物語は反転するものの、金沢に着く前に一部の登場人物が合流してしまうのもなんか勿体無く感じました。

作品全体の流れとはちょっと離れますが、刑事の桶川と黒沢がいい味出しています。過去の資料を大量にストックした「仕事場」を自分の住む公団住宅とは別にアパートを借りて構築し、部下のことはどこの訛りかも良く分からない感じで「おめさん」と呼ぶベテラン桶川とその部下黒沢のコンビ。主人公に据えても中々面白い作品になるような気がしますけれどねぇ……。桶川が思わせぶりなキャラ設定の割に本作ではほとんど事件解決に役立っていないような気がするのがもったいなく感じるのです。

関連本→
宮部みゆき『長い長い殺人』:個人的には宮部作品のうち「隠れた名作」系としてこれを推す。
伊坂幸太郎『ラッシュライフ』:「関連性が分からない群像劇」系の到達点だと思う。ピースが埋まる感覚が実に心地よい。
[PR]
by fyama_tani | 2006-07-28 23:47 | 本:国内ミステリ

野沢尚『破線のマリス』

No.28
講談社文庫:1997
☆☆☆☆
「確信犯だったら、身勝手で傲慢な主観的真実でかまわない、か?」

客観的な真実などどこにも無い、と。

テレビドラマの脚本家として既に名を成しながら、乱歩賞に応募を続け、3回最終候補に残り、ついに本作で受賞した、という訳の分からない経歴を持つ作品です。

自分が深く関わっている業界のアドバンテージを生かし、テレビ番組の制作現場が凄い迫力で描かれています。最初からテンション高く、それが最後まで落ちない落ちない。起こる事件も、放送業界から巨大学校法人、霞ヶ関を巻き込むまでのスケールの大きいものです。

では、社会派ミステリなのか? というと、何かそれとは違うような気がします。いや、実はミステリでも無いのかもしれない。少なくともボリューム的にメインに据えられた事件には明確な解答が与えられないから。とすると、ドキュメンタリーショー的なのかもしれません。作中に出てくる「事件検証」のコーナー構成と作品全体の構造が入れ子になっている、とでも言えましょうか。実際、ニュースやワイドショーで事件を取り上げるときに、それが解決済みである必要性はどこにも無い、とすると分かりやすいかも。

でもやっぱりミステリ系の賞を取っている以上、この文脈で捉えてしまうのはあまり良くないかも。この状況を理解するキーは、事件に対する解釈が全て主人公の視点から為されている、ということなのかもしれません。これは作中においての主人公の主張とも通じるし、ラストシーンにおける独白ともつながるのでは、と考えられます。主人公の主観における最重要課題を解決するための一素材に過ぎなかった、というわけで、読者の登場人物の間で事件の関連性が逆転していると。

この部分の齟齬が一番うまく決まっているのが、ラストシーンにおける「時間のずれ」でしょう。テープ完成と隠し撮りしていた犯人の解明が逆転している、という事に気をつけてあの部分は読んでこそ、と思います。しかし、こういうのって小説ならではですよねえ。リアリティのかけらも無いんだけど成立しちゃうんですよねえ。

関連本→
宮部みゆき『模倣犯』:映像操作をモチーフにした作品の一つの到達点では。犯人指摘のシーンはかなり印象的。
マイクル・クライトン『エア・フレーム』:一般人になじみの無い業界を無理無く導入する巧さ、ラストの「現実にはありえないけど何か説得力あるし鮮やか」な演出など、共通点多し。
[PR]
by fyama_tani | 2006-07-26 23:14 | 本:国内ミステリ

古泉迦十『火蛾』

No.27
講談社ノベルス:2000
☆☆☆☆+
 真なる教えは伝えられなければならず、求められなければならない。しかしその媒体に言葉が用いられると、その弊害として教えは変質を免れない。

言葉を否定したその先にあるものは。

一言で言ってしまうと訳分からない作品です。伝記を編纂するために各地を遍歴している作家ファリードがその過程で「とある高名な聖者」に連なる人物であるとされるアリーという行者に話を聞きに行き、そこでアリーが語った物語が軸となっています。

この「伝記」というのはイスラム世界に関するものらしく、作品全体がイスラム教世界観に覆われています。しかも、風俗としてのイスラム教ではなく、イスラム僧の修行に関わる部分、すなわち、宗教の中核となる部分に焦点が当たっているので、とんでもなくコアなイスラム論が展開されることとなります。

でも何故か出てくるのは密室殺人。作中でこれが語られるのは実は割合としてはそんなに多くは無いのですが、その短さで「誰が」「どうやって」「何故」という主要な3要素を完璧に提示しきっています。更に、それら全てに必然性のある解答が示され、かつ延々と展開されるイスラム論は単に装飾のためではなく、必然のものであったことが分かる、と。

自分は一章を読んだ時点で、「これは凄いかもしれない」と思ったクチですが、駄目な人はとことん合わないと思います。でも自分の中では推理小説として一級品だと思います。

関連本→
京極夏彦『鉄鼠の檻』:仏教(禅宗)版といったところ。この作品はかなり長いが、ほぼ同じ主題を1/3程度の長さで描ききってしまった『火蛾』はやっぱり凄いのかも。
森博嗣『封印再度』:この作品と『鉄鼠の檻』は類似性が指摘されることも多いのですが、自分の中ではあまり良く理解できていませんでした。それが『火蛾』を読んでそれを間に挟むことで流れが理解できました、という事で。
[PR]
by fyama_tani | 2006-07-22 22:34 | 本:国内ミステリ

東野圭吾『探偵ガリレオ』

No.26
文春文庫:1998
☆☆☆
「科学者だって、冗談をいう時はあるんだよ」

冗談ばかりの人も少なくありませんが。

警視庁捜査一課の刑事である草薙が出くわした奇妙な事件に光明を見出すために、友人の物理学科助教授、湯川の所に行く――そんな構成の短編集です。

事件のトリックを解決するのが科学者ですので、当然トリックも物理的なものとなります。中には本当にできんの? みたいなものも混じっていますが(実際に実験するわけにもいかないですしね……)。純粋物理というよりは機械・電子系のトリック中心のような気がします。作者の経歴由来でしょうか。唯一の化学寄りなものは冒頭の一言で理解できましたが、あれも実現性という点からは微妙です。第一自分ならそんな危険な方法は使いたくないです。痕跡を残さないということを第一目的にするならば別な方法も考えられるし。

えっと、話がそれましたが。この手の話の場合、湯川のような人物は得てしてキワモノっぽく描かれるのが常ですが、本作においては、確かに一般的な感覚からは離れた言動は見られるものの、それに引っ張られること無く、淡々と話が進んでいるという印象を受けました。話の土台の部分――どの切り口から物語を展開していくか、どのような伏線を仕込むか、など――がしっかりしているから、キャラ中心になることなく、読みやすいのでしょうね。

関連本→
森博嗣『詩的私的ジャック』:短編一個をダラダラと(良い意味で言ってます)長編に延ばすとこんな感じ、かな?
パトリシア・コーンウェル『検屍官』:同じ科学トリックでもこっちは生もの寄り。これも話の切り込み方が巧いのです。
[PR]
by fyama_tani | 2006-07-20 22:29 | 本:国内ミステリ

シンナーって何よ?

非行の中ではベタなメニューの一つ、シンナー遊び。でも、その実態って自分の中では結構謎でした。同列にトルエンが挙げられる事も多くて、こっちはそりゃあ知ってるよ、という話ですが、シンナーは有機溶剤だという情報のみで、具体的にどんな化合物であるかは「?」という話。

で、こういう時にwikipedia先生は便利なのです。

シンナー (thinner) は、後述の数種の有機溶剤の総称で、ラッカー、ペイント、ワニスなどの塗料を薄めて粘度を下げるために用いられる。そのため「うすめ液」ともいわれる。またシンナーは、独特の臭いを放ち、この臭いを嫌う人は多い。

塗料に含まれる樹脂・セルロース誘導体・添加物を析出しないこと、平滑な塗面を与えることなどが条件となる。

トルエン、酢酸エステル類、アルコール類などが用いられる。


うーむ、つまり凄いざっくりとした分類なのね。この定義によればトルエンもシンナーの一部という事か。

それにしても、大分性質の違うものがごっちゃになってる、という印象。手に入りやすさを考えると、「酢酸エステル類」は酢酸エチル、「アルコール類」はエタノールかメタノールという事になると思うので以下はそういう事として進めるけど、まず臭いが違う。3種類扱ったことある人ならばまず確実に見分けがつくぐらいに違う。あと揮発性。これだけ求めるならばトルエンは若干マイナス。安全性という面から見ると、トルエンとメタノールが危ない方ではないでしょうか。

一つ確実に言える事は一言にシンナーといってもロット(=入手先)によってその性質はかなり変わってくる、という事。ということはこれが良いとかこだわりみたいなものがあっても良いんじゃないのですか。

本来の用途として使う事を考えても、揮発性の問題もそうですし、トルエンとアルコール類となるとかなり極性が変わってくるので、溶解させるものもかなり違ってくる、という事でどんな塗料を使うかによって異なるものを使ってもおかしくないんじゃないのかなあ。この辺完全に推測でもの言ってるけど。

そしてやっぱりわざわざこんな訳分からんものを吸引しようという気が知れない。この手の有機溶剤ならば廃人になってお釣りが来るくらいの量をバリエーション揃えて用意しておりますな状況ですが。
[PR]
by fyama_tani | 2006-07-17 22:03 | 化学:実験その他

荻原浩『コールドゲーム』

No.25
新潮文庫:2002
☆☆☆
 もうひとつの比較的新しい事務用風の本棚の中身は、まったく別物だった。数冊のコミック本をのぞけば、背表紙を読んだだけで部屋の主の性向ががまるで変わってしまったことがわかる。
『実戦サバイバル術』『肉体改造365日』『外人部隊直伝・殺人格闘技』『劇薬・毒薬読本』『実録ピッキングマニュアル』

この手の本って大書店でしかるべき棚に行けば置いてあるけど、本当に役に立つことなんか書いてあるの?

最近やたら本屋で見かけるような気がしないでもない荻原浩。とりあえずこれが初だけれど、凄い無難なところを突いている、という印象を受けました。主人公の高校生の周りに来る不気味な犯行予告とそれの再現、どうも犯人は中学校の時にいじめられていた奴で、そいつが復讐目的でやってるっぽい、ということで高校生なりのやり方で調査が始まるという、そんな流れ。

夏休みの時期にすることで、昼間行動していてもなんら不自然ではない+学校内の描写をあまりやらずに済む(バラバラの高校に進学した中学校時代の同級生が集まるので、これ以外の時期では不自然さを無くすのはかなり大変だろうと考えられる)、いかにもな不良たちだけでなく、優等生キャラをうまく織り込んでいる(酒の勢いで、という理由は見事)自然さなど、細かく計算されているな、と思います。

一方で、結構おいしい題材が投げっぱなしになっているのがもったいないかなと。例えば、ひきこもりの堀井はもう少しうまく使えるような気がする。ピザーラの兄ちゃんの存在は面白かったけれど。あと犯行時刻に関する事を登場人物に気づかせるのはもう少し後でも良かったかなあ。でも犯人が実は○○(ネタバレ)だった、という可能性はあの状況だったら考えるわけも無いだろうから、いいのか。

関連本→
宮部みゆき『魔術はささやく』:高校生が主人公の作品としてはこれがベスト。さすがにこんなのはそうそう出てこないですよね。
折原一『沈黙の教室』:いじめ+同窓会というモチーフ類似。よりトリッキーなものを求めるならば。

以下はネタバレ
[PR]
by fyama_tani | 2006-07-16 20:48 | 本:国内ミステリ

記憶はつじつまを合わせて

誰も見ていない感があるココですが、たまにはmixi内の日記とつなげてみよう。

飲み会の後、一人で最寄り駅から自宅へと歩いて帰る10分程度の記憶がいつも無い――そんな意味づけが困難な状況が最近多いです。

記憶力にそれほど自信があるわけではありませんが、酒が入ったからといってその場の記憶が無くなる、という事はそう滅多に無い、と自分では思っております。しかし、先述の現象の意味づけをしようとすると、それは間違っているかもしれない、という推測に至ります。

まずはこちらの小話をご覧下さい。

ある学会が開催されることになり、参加予定の申し込みをした研究者たちには日程表が配られた。Aさんはこの学会に興味があったが、参加予定の申し込みを前もってすることを忘れてしまったのでいつ開催されるか具体的な日時が分からない。そこで、知り合いのBさんに聞いてみることにした。
A「この学会っていつからいつまでよ? 5日間くらいって聞いたけど」
B「えーっと……、適当にしか見ていないからはっきりとは覚えていないけれど、確か4月3日から7日まで間じゃないかな」
A「OK。ありがとう(Bのあの性格からすると本当に把握しているか微妙だな……。数日ずれているかもしれない)」
そんなわけで、Bさんの言うことは怪しいと判断したAさんはもう一人の知り合いであるCさんにも聞いてみることにした。
A「この学会行きたいんだけど、いつからいつまでだっけ?」
C「うーん、結構先だと思ったから具体的な日時まで気にしてなかったな。確か7月7日が最終日で……、だから7月3日から7日までの5日間じゃない?」
A「あっ、そうなんだ。ありがとう(Bの野郎、4月とか嘘つきやがったな)」
何故BさんとCさんは同じ告知を読んだはずなのにぜんぜん違う日程を答えたのでしょうか。


面倒くさいので、すぐ答え。告知の書類に「4月3日~7月7日」と書かれていた、つまり主催側のミスプリだった、という事。Bは「4月3日からの5日間」Cは「7月7日までの5日間」とそれぞれ勝手に解釈していたので、こういった食い違いが起こった。

何が言いたいかというと、「人間はつじつまの合わない情報を見せられたとき、無意識のうちに自分に都合が良いように書き換える」ということですね。先の例だと、別なところにあった「5日間」という先入観が、始めと終わりのどちらかしか見ないという臆断を生んでしまった結果と解釈できます。しかし、これでAとB、AとCの間で会話は(その場では)成立してしまう罠。

これを飲み会の時の記憶に応用すると、仮に半分以上記憶が飛んでいたとしても、次の日に(無意識下で)シナリオを組み上げてしまった結果、「きちんと覚えている」という自己完結へつながっているのでは、という疑惑が生まれます。そして、最寄の駅から自宅までの歩きみたいな、何の変哲も無い部分は何かとリンクさせることができず、孤立してしまってその結果「記憶が無い」という事になってしまっていると考えられる。

これが本当ならば、飲み会の時に話していた内容を次の日に相手に振って、「そんな事覚えていない」と言われるのは、向こうが忘れたのではなく、もとからそんなことなど無かったのかもしれません。しかしここでも、相手には「酒を飲んだから記憶を失っている可能性がある」という先入観があるため、深い問題にはなりません。飲み会にその相手が本当にいた場合、という条件がつきますが……。

更に進めると、相手が飲み会の場にいようがいまいが成立してしまうのです。全ては自分の妄想なのですから。というかそもそも、そんな飲み会は存在していたのでしょうか。そして、この場でくだらん文章を書き散らかしているのは一体誰でしょうか?
[PR]
by fyama_tani | 2006-07-15 23:18 | 雑記

松本清張『Dの複合』

No.24
新潮文庫:1968
☆☆☆☆
 彼は刑務所関係の友人を思い出した。大学の同級生だが、いまは相当な地位に昇っている。彼ぐらいの年齢だと、公務員で順調なコースを歩いた者はみんな偉くなっていた。

これぞ勝ち組人生。

今の今まで松本清張を読んだことがありませんでした。松本清張というと、「4分間だけホームが見渡せる」とかが有名だと思いますが、俺が選んだのは何故かこれ。しかも本屋でなんとなく手を取ったとかではなくて、指名買い。我ながら本を選ぶ観点がおかしい。

主人公である、売れない小説家の所に舞い込んだ執筆依頼に端を発し、日本全国が鍵となるスケールの大きい謎の提出がなされる作品です。ベースとして浦島・羽衣伝説があり、民俗学的薀蓄がたくさん出てくるので、そっち方面の作品かと思いきや……。良くこれだけの話を大きな破綻無くまとめたなあ、と思います。やっぱ大家ともなると違うものだ。

もったいない点を敢えて挙げるならば解決に至る部分でしょうか。前半部分が結構もったいぶるような構成になっていて、「これは凄そうだ」と思わせておいて、いや、実際それに見合うくらい凄いんですけど、ちょっと解決に至るまでの道筋がご都合主義的過ぎじゃない? と感じました。それはそれで面白かった、とも言えますが。

交通機関その他、ちょっと現代から比べて変わってしまっているところも多く、またバリバリ薀蓄なので読むのに時間がかかるかな、と身構えていたのですが、割と良いペースで読めたというのもポイント大かも。

関連本→
島田荘司『占星術殺人事件』:これの日本全図の使い方も凄かったですね。
「ドラマ トリック」内で佐野史郎が出ていた回:「サイ・トレーラー」とかいう題名でしたっけ。過去と現実のシンクロに本作と通じるものを感じる。ちなみに、「トリック」をミステリ的な観点から見た場合、自分の中ではこれがベストです。
[PR]
by fyama_tani | 2006-07-13 23:30 | 本:国内ミステリ

乙一『失はれる物語』

No.23
角川文庫:2003
☆☆☆
 すでに死んでるというのに、いったい、何やってんだか。

俺もいったい、何やってんだか。

基本的には過去の短編集を寄せ集めて新たな一つの短編集を作った、ということなのでしょうか。基本的に初出がラノベ系というのが凄いです。実際に読んだ事があるわけではないので印象で、という事になりますが、こんな話良く書かせたな、という位、普通に話として完成されています。逆に言うと若干地味。いずれの作品も一般的なミステリのアンソロジーに混ざっていても不自然に思わない出来だと思いますが、特に「Calling You」、「しあわせは子猫のかたち」の2作が頭一つ抜けていると感じました。

一つ問題点を挙げるとすれば、計算的過ぎるという事でしょうか。短編は長編を短くしたものではないという事をしっかり理解しているという点は評価できますが、少し型どおり過ぎるような……。設定で「両親がいない」とか共通点も多いですしね。「手を握る泥棒の話」のように設定がかなり面白いものもあるのですが、最後の最後で詰めきれていない、という印象を受けました。「Calling You」は最後の最後の1ミスが勿体ない(あくまでミステリとして見た場合、という事になりますが)。

関連本→
森博嗣『まどろみ消去』:これを読んで、この人は長編より短編向きなんじゃないか、と思った。
本多孝好『MISSING』:ちょっとだけミステリテイスト、という点が似ている短編集。
[PR]
by fyama_tani | 2006-07-09 19:49 | 本:国内ミステリ

Mac OS X Tiger でマニアックにファイアウォールを設定してみる

さて、サーバ(と言えるほどのものでも無いですが)の監査を受けるに当たって、OpenSSH関連と同じ位問題になったのが、ファイアウォールの設定。Mac OS Xには標準でファイアウォール機能があるので、それを使っていれば大丈夫だーみたいな感じでいい加減にやったら文句言われて終了、という事を繰り返す事数回、どうやらその原因は、「あるポート番号を開けるように設定すると、全ての通信元からの(そのポート経由の)アクセスを受け入れてしまう仕様になっている」という事である事が判明。それファイアウォールとして意味あんの? と思いつつ、まあどうにかしないといけないわけで、やっぱり何も知らない所から孤独な作業が始まりましたと。

以下ではそこで得られた知見をまとめ。一応この方法で、特定の場所から特定のポート経由のアクセスだけを受け入れる(パケットフィルタリングというらしい)、という設定が可能っぽい。で、その結果監査側からのアクセスブロックに成功し、監査のガイドラインを変更へ追いやったみたいです。一歩間違うとサイバーテロの標的にされかねない環境(研究機関なので)である以上、監査のレベルもそれなりに高いはずである、という憶断に従えば、この事からある程度信頼性の高い方法という事になりますね。元知識がゼロなので何ともいえませんが。

Panther以前の仕様は知りません。Tigerだけのような気がする。あと、ぶっ壊れたら御愁傷様。

その前に、Mac OS Xにおけるファイアウォール関係の設定をおさらい。
・「システム環境設定」→「共有」で設定できる。
・「ファイアウォール」タブを選択し、「開始」でファイアウォール機能が「入」になる(デフォルトでは外からのアクセスを原則全て(tcp)遮断)。「切」にしておくメリットはほとんど無いと思う。
・ポートの開け閉めは「サービス」タブと連動。「サービス」の意味は、サーバソフトを立ち上げるかどうかという意味。例えば、「リモートログイン」を「入」にするとSSHのサーバソフト(sshd)が起動して、ファイアウォールが入になっていればSSHが使うポート番号「22」が開けられる。つまり、サービスが切になっているものに関しては、いくらポートが開いていてもアクセス不能(アクセスを処理できるものがいないので)。という事は、不正アクセスを防ぐ最終手段は、外部と通信するソフトを全て切る、という事だろうな。だから、後述の方法を使うと「ファイアウォール」タブは使えなくなってしまうけれど、必要なものは「サービス」タブから「入」にはしておかないとどんな設定でも徒労に終わる。
・ソフトによって使用するポート番号は決まっている。ここのリストとかを使うと便利。
http://www.vwnet.jp/mura/tcpip-port.htm

で、本題。Mac OS XはUNIX系のOSをベースにしているので、GUIで設定できる項目でもその実体はただのUNIXのソフトだった、という事は多いです。ファイアウォールに関してもきっとそうに違いない、という事でいろいろ調べて、どうやらそれがipfwというものだという所までたどり着く(これがかなり大変だった)。で、次にipfwの設定方法を調べて読むと、やっぱり特定通信元からのアクセスのみを受け入れる、という事は可能っぽい。でも、そうした解説ページのほとんどはファイアウォールを一から構築する事を目的として書かれていて、素人には意味分からん、というオチ。

そこでOS Xの標準設定をパクって使えば良いんじゃね? という結論に至る。以下その具体的なやり方。

・上記方法に基づき、ファイアウォールを「入」にする。この時、詳細を選択し、「UDPトラフィックをブロック」「ファイアウォールのログを記録」「ステルスモードを使用」にチェックを入れておく。今回は例示のために「サービス」タブから「リモートログイン」と「FTPサービス」、あと「ファイアウォール」タブから「ネットワークタイム」を入にしておく。

・ターミナルから以下のように入力。
$ sudo ipfw list

ipfwコマンドを使うときには必ず管理者権限で、という事で頭にsudo。listで現在の設定を一覧で出力してくれる。今の設定の場合、出力はこんな感じ。
02000 allow ip from any to any via lo*
02010 deny ip from 127.0.0.0/8 to any in
02020 deny ip from any to 127.0.0.0/8 in
02030 deny ip from 224.0.0.0/3 to any in
02040 deny tcp from any to 224.0.0.0/3 in
02050 allow tcp from any to any out
02060 allow tcp from any to any established
02070 allow tcp from any to any dst-port 22 in
02080 allow tcp from any to any dst-port 21 in
12190 deny log tcp from any to any
20000 deny log icmp from any to me in icmptypes 8
20310 allow udp from any to any dst-port 53 in
20320 allow udp from any to any dst-port 68 in
20321 allow udp from any 67 to me in
20322 allow udp from any 5353 to me in
20340 allow udp from any to any dst-port 137 in
20350 allow udp from any to any dst-port 427 in
20360 allow udp from any to any dst-port 631 in
20370 allow udp from any to any dst-port 5353 in
22000 allow udp from any to any dst-port 123 in
30510 allow udp from me to any out keep-state
30520 allow udp from any to any in frag
35000 deny log udp from any to any in
65535 allow ip from any to any


1行あたり一つのルールを意味しているらしい。これの組み合わせで表現する。
太字にした部分が、サービスとかから有効にした結果変わった部分。それ以外は基本設定のようなものだから良く分からなくてもOKという事にした。以下のURLでいろいろな設定の場合のサンプルが見れる。

http://www.hc.keio.ac.jp/itc/manual/mac/Security/

つまり、太字の部分をいじれば望みのアクセス制限がかけられるという訳。

実際に設定する前に、ルールの意味を。こんな風に解釈してみる。

[行番号] [allow or deny (log)] [tcp or udp] from [どこからのアクセス?] to [どこへのアクセス?] dst-port [ポート番号] [in or out]

[行番号]:ルールを適用する順番を決める。数字の大きい方から適用されていく。つまり、数字の少ないルールほど優先される。ちなみに、65535はデフォルトであって、「全てのアクセスを受け入れる」という意味。これより小さい番号を設定しなければならない。つまり、これは一番優先度が低いという事。

[allow or deny (log)]:そのまま。このアクセスを許可するか拒否するか。deny logとするとログを取るようになる。

[tcp or udp]:tcpかudpか。ポート番号と普通セットで書かれているので、それに準じれば良い。あとicmpとかいうのもあるらしいが、デフォルトで全拒否となっていて、それで問題無いっぽいので無視。

[どこからのアクセス?], [どこへのアクセス?]:anyとすると何でもOKとなる。IPとかホスト名とかを指定すればそれのみ有効。「システム環境設定」ではこの部分の変更が効かないから問題だったのだね。具体的な指定方法は後述。

[ポート番号]:どのプロトコルか。先に挙げたリストを使うなりして何とかしてほしい。

[in or out]:ファイアウォールの外側からのアクセス(in)か内側からのアクセス(out)か。普通inを気にするものだと思う、のでinしか使わない。

若干これに従わないものが混じっていますが、それは全無視で。

実際の設定は、こう。

$ sudo ipfw [add or delete or flush] ルール

addで追加、deleteで削除(行番号指定だけでOK)、flushでルールの全削除(確認有り)。つまり、「システム環境設定」経由でひな形を作っておけばコピペが有効。

以上を踏まえて、最初のリストに戻る。太字の部分を解説すると、2070行はSSH(ポート番号がtcpの22だから)、2080行はFTP(ポート番号がtcpの21だから)、22000行はネットワークタイム(ポト番号がudpの123だから)をそれぞれあらゆる場所から許可する、という意味になる。では、これをちょっといじって、SSHはIPアドレス110.1.2.3と111.4.5.6からのみ許可する、としてみる。
$ sudo ipfw delete 2070
$ sudo ipfw add 2070 allow tcp from 110.1.2.3,111.4.5.6 to any dst-port 22 in

カンマで区切ることでアドレス指定はいくつもつなげられる。

ちょっと応用。FTPは192.168.10.0から192.168.10.254の255個のアドレス全てから受け入れる、としてみる。
$ sudo ipfw delete 2080
$ sudo ipfw add 2080 allow tcp from 192.168.10.0/24 to any dst-port 21 in

W.X.Y.0/24という書き方で、W.X.Y.0からW.X.Y.254まで全部、という意味。下記のURLを参考に。
http://www.networkworld.jp/b-course/-/17982.html
この界隈の人間は世界の常識であるかのようにこういう書き方をするが、こんなの一般人に分かるかボケ <解読するまでにもの凄く時間がかかった人

こういう調子で、開けたいポートに関して(デフォルトでは全遮断、12190行と35000行にそう書いてある)tcp関連は2061〜12189行の範囲、udp関連は20371〜30509行の範囲に書いていけば良い。

注意点が一つ。一回ipfwコマンドで設定をいじると、「システム環境設定」からファイアウォールがいじれなくなります(他のファイアウォールソフトが有効になっていると設定ができないようになっていて、ターミナルから操作することは何故かそれに当たっているらしい)。ごちゃごちゃやって復帰できなくなったら再起動(ログアウトするだけじゃまだ残っているからダメ)で。再起動で全部消えます。

ネタ。
「システム環境設定」からApple Remote Desktopを有効にすると3283と5900のtcp, udp両方が開くけど、最低限必要なものはtcpの5900番(これはVNCソフトで一般に必要とされるポート)だけっぽい。これだけでもリモート制御は可能。じゃあ3283番は何なんだ、という事になるが、これはApple Remote Desktopの「レポート機能」というものを使う時に必要となる。でもこれも使っているのはudpの3283番で、tcpの3283番は使ってなさそう。意味分からん。

こうやって苦労して作った設定も、再起動すると全部消えやがるので、シェルスクリプトでも書いておいた方が良いです。こんな昔のファミコンソフトみたいな事しなくても、どこかに設定ファイルとかで残しておく場所があるんじゃないの? と思って調べても現状分からず。南無。
[PR]
by fyama_tani | 2006-07-09 16:33 | 雑記