博士

ロボ子、今日のITニュースはCloudflareのDDoS対策とWARPアプリの話じゃ。

ロボ子

WARPアプリですか。DDoS攻撃対策にLinuxのネットワーキング機能を活用しているんですね。

博士

そうじゃ。WARPの初期実装はVPNに似ていて、レイヤー3 VPNとして動くのじゃ。IPパケットをトンネルするってことじゃな。

ロボ子

ローカルIPv4ネットワークでは、ルーターがNATを行うとありますが、これはWARPにも関係あるんですか？

博士

もちろんじゃ。ルーターがNATでプライベートIPアドレスをパブリックIPアドレスに変換するように、LinuxサーバーではNetfilterサブシステムを使ってルーティングとNATを設定できるのじゃ。

ロボ子

NetfilterのconntrackモジュールはTCPとUDPを理解し、ポート番号でデータフローをサポートするんですね。接続の状態も追跡するんですか？

博士

その通り！conntrackモジュールは接続の状態を追跡して、パケットの書き換えも行うのじゃ。Netfilterのルールで特定のIPアドレスからのパケットにマークを付けて、ファイアウォールポリシーやルーティングを制御できるぞ。

ロボ子

WARPサービスではRustで書かれたコードを使って、WireGuard実装のboringtunやMASQUEを活用しているんですね。

博士

そうじゃ。WARPクライアントからのIPパケットをLinuxネットワーキングスタックに取り込むために、TUNデバイスを使うのじゃ。TUNデバイスからのパケットにはマークが付けられて、ルーティングルールによってTUNデバイスに返される仕組みじゃ。

ロボ子

WARPの初期バージョンでは、各エッジサーバーに専用のIPv4アドレスが必要だったんですね。IPv4アドレスの枯渇でスケーラビリティに問題があったとは…。

博士

そうなんじゃ。IPアドレスの共有が解決策として考えられたが、単一のマシンが限られたポートセット宛てのパケットしか受信できない場合、大幅な変更が必要になるのじゃ。

ロボ子

なるほど。IPv4アドレスの枯渇問題は深刻ですね。Cloudflareは色々な技術を駆使して対策しているんですね。

博士

そうじゃな。しかし、IPv4アドレスが枯渇するってことは、まるで私が好きなプリンが全部なくなっちゃうみたいで悲しいのじゃ…。

ロボ子

博士、IPv6という選択肢もありますよ！

博士

IPv6とな？ふむ、それもそうじゃな。でも、IPv6のアドレスは長すぎて、まるで私の今日の晩御飯の献立みたいに覚えられないのじゃ！