プロキシ制限ライブラリ

lq.pl Ver.0.97

目次

• プロキシ制限ライブラリについて
• プロキシ制限ライブラリの利用環境
• プロキシ制限ライブラリの使用上の注意
• プロキシ制限ライブラリの使用方法
  • ファイルの準備
  • 掲示板スクリプトの変更
  • データファイルの取り扱い
• アクセス許可／禁止登録用CGI

　このプロキシ制限ライブラリ( lq.pl )は、できるだけ簡単な設定で、プロキシサーバー経由やその他の匿名性の高いアクセスを制限することにより、掲示板荒らしなどを排除しようとするものです。従って、プロキシサーバーなどのアクセス制限は画一的になってしまうので、会社や学校などのようにプロキシサーバー経由でなければアクセスできない訪問者がよく利用するような掲示板などでは使い辛いかもしれません。ISP（プロバイダ）などからのいわゆる「生IP」による訪問者が多い個人HP（ホームページ）の掲示板などでご利用ください。

　このプロキシ制限ライブラリは、掲示板などのスクリプトのサーバーへの設置はなんとかできるが、perl の知識はないというような人にも簡単に組み込むことができるように考慮して作成しました。悪戯防止ライブラリ( zddbbs.pl )のような面倒な設定が不要なので、緊急に荒らしを排除したい場合などにお役立てください。また、事前に組み込んで準備しておけば、いざというときの対策が容易になります。しかも、zddbbs.pl に比べて、ファイルサイズも非常に小さくなっているので、ほとんど負担なく組み込むことができると思います。

　正規の訪問者であっても、会社や学校などでプロキシサーバーを使わざるを得ない場合には、この方とメールなどで連絡を取り、アクセスを拒否したIPアドレスを lq.log ファイルのログから抽出して lq.dat ファイルに登録することにより、個別にアクセスを許可することができます。
　ただ、このような手続きは、結構面倒なものになり相手の方にも迷惑をかけるので、できれば普段から lq.pl ライブラリを使用してログを記録しておき、アクセスを拒否する可能性のある常連の方のIPアドレスを事前に lq.dat ファイルに登録しておくことをお勧めします。このため、lq.pl ライブラリには、ログの記録だけを行い、実際にはアクセス制限を実行しないモードが用意してあります。

　また、このライブラリを使用しても、プロキシサーバー経由などの不正なアクセスが全て完全に排除できる訳ではありません。プロキシサーバーの中には、プロキシサーバー経由であることの痕跡をすべて隠してしまうものがあり、今後もそのようなプロキシサーバーが新たに設置される可能性があるからです。さらに、生IPアドレスによるアクセスであっても、そのサイトの管理者が不正利用の排除に非協力的な場合もあります。
　このような場合、不正なアクセスを行った人のIPアドレスを lq.log ファイルのログから抽出して lq.dat ファイルに登録することにより、個別にアクセスを拒否することができます。

　なお、ブラウザ上で、 lq.log ファイルのログからIPアドレスを指定して lq.dat ファイルに簡単にアクセス許可や禁止を登録できるようにした CGI （ lq.cgi ）も用意しています。

• perl script で作成した掲示板等のスクリプト（以下「掲示板スクリプト」）で利用できます。
  lq.pl ライブラリ自身は特定のスクリプトには依存しません。
• perl のバージョンは、perl4 専用又は perl4,perl5 兼用のものを対象にしています。
  現在フリーで利用できるスクリプトはほとんどがこのタイプだと思います。
  

• このHTMLドキュメント(lq_ins.txtを含む)と lq.pl と lq.cgi(lq.txt) はPDSとして取り扱ってください。
  つまり、作者に無断で、使用、改変、配布が可能です（営利目的を含む）。
  
• lq.pl の使用に基づく損害については、作者は一切責任を持ちません。
  ご自身の責任でご利用ください。

• ファイルの準備
  
  • この lq.pl をあなたのパソコンのハードディスク等に保存してください。
    
  • lq.log の 0 バイトファイルと、lq.dat ファイルを準備します。
    lq.dat は既存のものがなければ、0 バイトファイルをご自身で用意してください。
    
  • lq.pl, lq.log, lq.dat をあなたのＨＰの掲示板スクリプトと同じディレクトリに転送してください。（転送方法は掲示板スクリプトと同じ、いわゆるアスキーモードやテキストモードと称するモードで行います）
  • lq.log, lq.dat のパーミッションを 666 に変更します。（掲示板スクリプトで使用するデータファイルと同じにします）
    lq.pl のパーミッションは、転送したときの 644 のままでいいはずです。
    
    

    ファイル	入手方法	FTP	パーミッション
    lq.pl	このページで取得	ASCII転送	644
    lq.log	0バイトファイルを自作	ASCII転送	666
    lq.dat	既存又は0バイトファイルを自作	ASCII転送	666

• 掲示板スクリプトの変更
  
  • 掲示板などの perl スクリプトの適当な行に下のスクリプトを挿入します。
    挿入位置は、投稿データの書き込み処理を行うルーチンの始まり部分が適当です。
    Web裏技の minibbs.cgi の場合には、「 sub regist { 」という行がある次の行に挿入すればOKです。
    
    もし、挿入位置がよく分からない場合には、perl スクリプトの第1行目にある「 #!/usr/local/bin/perl 」（実際のパスは設置したサーバーによって異なる）の次の行に挿入してください。
    ただし、この場合には、投稿だけでなく閲覧までも制限されるので、誤って排除される人がいるという可能性にご配慮ください。
    

    （以下の挿入スクリプトは、この lq_ins.txt にファイルにしてあります）
    
    # ▼▼プロキシ制限ライブラリ▼▼
    require './lq.pl';
    if ( &lq'pl( 1 ) ) {
    	print "Content-type: text/html\n\n";
    	print "<HTML><BODY>\n";
    	print '<H3>アクセス制限</H3>'."\n";
    	print 'ご迷惑をおかけして申し訳ありません。<BR>'."\n";
    	print '悪戯防止のため、';
    	print 'ただいまプロキシサーバーなどからのアクセスを制限しています。<BR><BR>'."\n";
    	print '事情をお察しの上、ご理解をお願いいたします。<BR><BR>'."\n";
    	print 'なお、ブラウザにプロキシサーバーを設定されている場合には、';
    	print 'プロキシサーバーを使用しないドメインの設定欄に';
    	print 'ここのURLのドメインを登録してください。<BR>'."\n";
    	print 'また、プロキシサーバー経由でなければアクセスできない場合には、「';
    	print $lq'Date;
    	print '」の日時を明記の上、ここの管理人までメールをお願いします。'."\n";
    	print '当該IPアドレスからのアクセスの制限を解除させていただきます。<BR>'."\n";
    	print "</BODY></HTML>\n";
    	exit;
    }
    # ▲▲プロキシ制限ライブラリ▲▲
    

    
    
  • lq.log ファイルにログだけを記録する場合には、関数 &lq'pl( 1 ) の引数 1 を下記のように 0 に変更して下さい。
    
    if ( &lq'pl( 0 ) ) {
    
    この場合、実際のアクセス制限は行われません。lq.log ファイルのログの行頭が D となっているアクセスは、本来アクセスが拒否されるはずのものですので、これが正規のアクセスである場合は、事前にその人のIPアドレスを lq.dat ファイルに登録しておきます。
    
    
• データファイルの取り扱い
  
  • lq.log ファイルには、アクセスがあるたびに（投稿のたびか閲覧のたびかは、上記スクリプトの挿入位置によって変わります）1行ずつファイルの先頭にデータが記録されます。ただし、記録されるのは最大100アクセスまでに限定され、これを超えた場合は古いデータから順に削除されます。
    見本は、こちら lq.log です。
    1行のデータは、行頭に「A」又は「D」の文字が記録されます。「A」(Allow)はアクセス許可を表し、「D」(Deny)はアクセス拒否を表します。アクセス許可の場合のデータ例を下に示します。(Ver.0.92以降「P」を「A」に変更しました)
    A 98/05/12 20:21:07 (OK!) [oosk7DU22.osk.mesh.ad.jp] REMOTE_HOST=133.205.76.82 REMOTE_ADDR=133.205.76.82 ...
    「A」の次には、アクセスがあった日付と時間が記録され、その次の「(OK!)」はアクセスを許可したことを表します。さらにその後には、[ ] 内にドメインネームが記録され、それ以降にREMOTE_ やHTTP_ で始まる主な環境変数が順に記録されます。
    アクセス拒否の場合のデータ例を下に示します。
    D 98/05/12 20:21:15 (PROXY_ENV) [bgsv107.tk.mesh.ad.jp] REMOTE_HOST=133.205.9.138 REMOTE_ADDR=133.205.9.138 ...
    「D」の後には、アクセスがあった日付と時間が記録され、その後の「(PROXY_ENV)」はアクセスを拒否した理由を示します（この場合は、プロキシサーバー特有の環境変数が設定されていたことを表します）。さらにその後に、[ ] 内のドメインネームと主な環境変数が順に記録されます。
    もし、このアクセスが本来拒否すべきではない場合には、REMOTE_ADDR=の後に記録されたIPアドレス（この場合は、「133.205.9.138」）を lq.dat ファイルに登録します。
    
    
  • lq.dat ファイルには、アクセスを許可するIPアドレスと拒否するIPアドレスを登録します。
    見本は、こちら lq.dat です。（ただし、登録内容はデタラメのはずですが…）
    このファイルでは、下のように行頭が 「#」 の行はコメント行となり無視されます。
    # この行はコメント行です。
    アクセスを許可するIPアドレスは、行頭に 「A」 を記述し、その後にスペースかタブを介して許可するIPアドレスを記入します。また、この後にスペースかタブを介してコメントを記述することができます。「133.205.9.138」のIPアドレスのアクセスを許可する場合の例を下に示します。
    A 133.205.9.138 bgsv107.tk.mesh.ad.jpからのアクセスを許可します。
    アクセスを拒否するIPアドレスは、行頭に 「D」 を記述し、その後にスペースかタブを介して拒否するIPアドレスを記入します。また、この後にスペースかタブを介してコメントを記述することができます。「133.205.9.138」のIPアドレスのアクセスを拒否する場合の例を下に示します。
    D 133.205.9.138 bgsv107.tk.mesh.ad.jpからのアクセスを拒否します。
    
    アクセスを許可／拒否するIPアドレスは、先頭から任意の桁まで指定できます。例えば、133.205 を指定した場合、133.205.76.69 や 133.205.79.5 や 133.205.80.5 などのIPアドレスをすべて許可／拒否することができます。
    
    なお、lq.dat に同じIPアドレスが登録されている場合には、より上の行にある登録のみが有効になります。
    
    ところで、メールで連絡を取りアクセスを許可する場合には、偽メールなどにご注意ください。たとえ差し出し人のアドレスが以前からの訪問者のものであっても、そのアドレスが掲示板やその他のページに掲載されている場合には、本当にその人からのメールであるとは限りません。疑わしい場合は、返信メールなどで確認の上アクセスを許可してください（送信アドレスを誤魔化していても、返信を出して返事が来れば、本人であると確認できます）。
    
    

　lq.dat ファイルは、エディタなどで編集して FTP でHPに設置してもいいのですが、ブラウザ上で簡単にIPアドレスの登録を行うCGI( lq.cgi )も用意してあります。

ファイル	使用方法	FTP	パーミッション
lq.txt	lq.cgi に名称変更	ASCII転送	755

　ただし、このCGIは、掲示板などの管理人だけがアクセスできるようにするためパスワードなどの設定が必要になります。
　lq.cgi スクリプト内部でパスワードを
　　　$password = 'ABCDEFGH'; # 認証用パスワード
のように設定した場合、
このCGIを
　　　http://…ＵＲＬ…/lq.cgi?pwd=ABCDEFGH
として呼び出します。
ただし、ここでは lq.cgi 内にパスワードが平文で設定されるので、暗号化が必要な場合は、ここなどを参照して、cryptを使用するように改造してください。
　また、必要に応じて認証用IPアドレスを設定しておいてもいいでしょう。認証用IPアドレスは、あなたがインターネットに接続したときのIPアドレスを設定します。
ISP(プロバイダ)を経由する場合などのように、IPアドレスが接続のたびに変化する場合には、IPアドレスの先頭から共通する部分までを設定します。
例えば、133.213.75.74〜133.213.75.138などのような範囲で変化する場合は、
lq.cgi スクリプト内部の認証用IPアドレスを
　　　$addr = '133.213.75'; # 認証用IPアドレス
と設定します。
（厳密には、$addr = '133\.213\.75'; と設定するのが正確です）
もし、設定方法が分からない場合には、こちら までメールください。

　ここの zddbbs のページのターゲット用の掲示板（オリジナル版）に lq.pl ライブラリを組み込んであるんで（ただし、ログを記録するだけです）、実行イメージを下で試してみてください。

• まず、この 掲示板 を閲覧してから、「戻る」ボタンでここに戻ってください。
  
  
• 次に、この 登録用CGI を呼び出して、あなたのアクセスログが最上行に記録されていることを確認してください。
  あなたが通常のISP（プロバイダ）などからのアクセスである場合は、lq.pl ライブラリはアクセス許可の判断を行うので、下記のような表示になるはずです。
  禁止する？□　A 98/05/12 20:21:07 (OK!) [oosk7DU22.osk.mesh.ad.jp] REMOTE_HOST=133.205.76.82 REMOTE_ADDR= ...
  （ここで行頭に「禁止する？」とあるのは、今回許可されたのだから、登録用CGIでこれを禁止できるという意味です）
  しかし、あなたがプロキシサーバーなどからのアクセスである場合は、lq.pl ライブラリはアクセス禁止の判断を行うので、下記のような表示になるはずです。
  許可する？□　D 98/05/12 20:21:15 (PROXY_ENV) [bgsv107.tk.mesh.ad.jp] REMOTE_HOST=133.205.9.138 REMOTE_ADDR= ...
  
  
• アクセスが許可か禁止かを確認し、その行のチェックボックスをチェックして「登録実行」ボタンをクリックすると、あなたのIPアドレスが登録されます。（チェックボックスの左が「禁止する？」であれば D が付加されて禁止登録が行われ、「許可する？」であれば A が付加されて許可登録が行われます）
  こちら lq.dat で登録の確認ができます。あなたのIPアドレスが一番上の行に登録されているはずです。
  
  
• そして、もう一度、掲示板 を閲覧してから、登録用CGI を呼び出して、あなたのアクセスログを確認してください。
  アクセスの許可と禁止が、先の場合とは逆になるはずです。
  なお、lq.dat に同じIPアドレスが登録されている場合、後に登録されたものが有効になるので、上記操作を繰り返せば、またアクセスの許可と禁止を元に戻すことができます。
  
  
• これらの操作からも分かるように、正規の訪問者がアクセスを拒否された場合には、メールでその日時のデータを送ってもらい、この登録用CGIの該当する日時の行をチェックすれば、以降はアクセスが許可されるようになります。
  また、アクセスを禁止したい書き込みなどがあった場合は、この登録用CGIの該当する日時の行をチェックすれば、以降はアクセスが禁止されるようになります。