| Last Modified : | 01/20 20:08 |
| Access : | |
| tds mode : | [static,site,cache:on] |
シリアルケーブルが付いてこないところ、さすがプロ仕様。初期IPアドレスはrarpでつけろとの指示。DHCPじゃないんすか? FreeBSDなマシンで /etc/ethers にMACアドレスと FQDNを記述した後、DNSの整備も行ってから *1 sudo rarpd -a -v -d -f -s にてrarpd を起動。マニュアルに記載されているオプションを全部ってのもめずらしい。
FAQに置いてないってことはWindows用rarpdのフリーウェアはないんかな。
RT52proに比べてファームウェアが複数インターフェース対応になっているため追加の指定がいくつか必要。 RT52Proとの違いは以下の通り。
isdn local address bri1 03xxxxxxxx pp select anonymous pp bind bri1 pp enable anonymous
あとはRadiusサーバ側のclients (freeRadiusの場合は clients.conf)のエントリを作って、RTX1000側のパスワードと合わせる。
radius secret xxxxxxxx
ルーティングはOSPF。backbone内なので3行で終了〜。デフォルトルートもOSPF経由で取得なり。これでRIPは切れるか? *2
ip lan1 ospf area backbone ospf use on ospf area backbone
PPTPの修正はWindowsUpdateに入っていてもう適用済みだったが、
3件目はInternet Information Service(IIS)Webサーバ用の修正プログラムに関するもので、Windows NT 4.0/Windows 2000/XP を使用してWebサーバをホスティングしているユーザーが対象。
げろーん。今週末にやっといた方がいいよなあ…
IIS 5.0 用の修正プログラムは Windows 2000 Service Pack 4 に含まれる予定です。
作業してたら、「自動更新」でやってきた。昨晩ひさびさに更新作業した時はWindowsUpdateに載ってなかったのに〜〜 …いや、今でもWindowsUpdateには載っていない。最近やばい奴は自動更新のが先なのか。
これもか…。SQLServerのセキュリティパッチってexe一発でなくてもいいけど、せめてディレクトリ分けしてくれればいいのにー
東京ではプロ野球・巨人軍の日本シリーズ優勝記念セールとして「SH2101V」以外のFOMA端末の新規価格が大幅に値下げされていた。
うお! D2101V 8,300円ならシャレで買える値段かも。
ガンダム視聴プロバイダとして突如有用になったフレッツスクウェア、 ふと思ったのだが複数のフレッツ回線からフレッツスクウェアにつないだ時に、回線間でパケットは通るのだろうか? もしそうだとしたら フレッツ契約のみでIP-VPN網が構築可能?(プロバイダ契約なし)なんではないかと。それとも同一電話局内ぐらいかなあ…
fletsスクウェアPPPoE対向ルータがいきなり Destination Host Unreachable を返してくる。
アプリケーションのインストール先をCFカードにすることが出来るのをはじめて知った(遅すぎ)。これならメモリ不足をなんとか耐えられるかな。
サイト閉鎖の際は忘れずに。
過去最大級の爆音にベランダに出てみたら3機の戦闘機の編隊飛行が真上を通過していったのだった。おおー。 今日は入間基地 航空祭。昨年はテロの影響により中止だったなあ。
デジカメを準備して次にやってきた4機編隊を撮影。T-4かしら?
1時からブルーインパルスらしいとの情報。なんか落ち着かないままに昼ごはんを済ます(笑)
2時になるとF-15登場。激烈にうるさい。 *1 そしてほんとーに真上でさまざまなmaneuverしてるらしくいいところが見えん(笑) いい写真撮れるまえに10分ぐらいで終わってしまった。確かに興味のない近隣住民にはあの騒音は迷惑であろー。
…そのまま続けてF-15Jだと信じて撮っていた写真、確認してみたらF-2っぽい(汗)ありー? そしてこの辺の画像処理してると、ものすごくパトレイバー2の気分だ。 最終的に掲示板のヘルプによりF-2との確認を得た。
大量にデジカメ画像ができたので、サムネイル自動生成ツールを探索。
簡易 HTML生成なので、HTML文法には沿ってないけど、とりあえずはこれでいいっしょ。
…と思っていたのだが、掲示板にのせたら激しくアクセスが増えたのであわててHTML 4.01準拠に変更作業(汗) border="0" を抜いて class="b0" alt="..." を追加した。
あと、へっぽこ写真をどう使われようとかまわないつもりなのだが、何があるか分からない時代なので、 とりあえずデジすたマーカー使って中・大画像には透明すかしを入れてみた。さてはて。 とゆーわけで 2002年11月3日 入間基地航空祭 そこそこ手間をかけたページになってしまいました。
たまーに回線が凍るのでping6をとってみると10分平均で22%lossと微妙な値。 50%超えたら使う気にならんのだろうけど、これぐらいだと何とか使えるのであきらめきれないというか。
今朝もDHCPサーバになってたノートパソコンの電源ケーブルが抜けてて、IPv6経由だとメール取れるのにIPv4経由の通信全然できないという楽しい状況になってたし。
それにしても定常的に一定割合のパケットを落とすってどういうことだろう。
今回素直にウィザードに従ってやってみた。下手にExplorerベースでなんとかするより確かに楽。 ファイル名の前にウィザード内で指定した文字列をくっつけてくれて重ならないようになるのもよい。 ただし、この指定した文字列とデジカメ内のファイル名との間にスペースが入るのは気持ち悪いため、以下のrubyスクリプト(space2under.rb)でアンダースコアにした。 画像ファイルのあるディレクトリをカレントディレクトリにした状態で実行すること。
#!/usr/bin/env ruby Dir.foreach(".") { |fn| next if fn == "." next if fn == ".." newfn = fn.gsub(/\s/, "_") print fn, "\t", newfn, "\n" File.rename(fn, newfn) }
レジストリをいじるとデフォルトでアンダースコアをはさむようになってくれないかしら。
それにつけてもSANYO MZ-3買っておけばよかった。大後悔。次にいいカメラが欲しくなるのはいつのことだろう。
リンク張られてたのでこっちから張ってみるテスト。
このF-2か! こっちの写真が2時10分 *1 なのでほんとに岐阜まで30分で到着ぽい。なかなか。
FW: [freetds] FreeRadius and FreeTDS というメールを読むに、freeRadius側の開発チームがODBC経由でいいじゃん、というモードっぽい?
CVS経由で最新版を入手。今日の最新版で make したところ、freeTDS でのコンパイルエラーはなくなった。 しかし接続しようとすると segmentation fault で落ちる。あきらめてODBC経由の接続を試すことに。
raddb/mssql.conf の設定。freeTDSの時と比べると、driverとserverを変えただけ。
sql {
# Database type
# Current supported are: rlm_sql_mysql, rlm_sql_postgresql,
# rlm_sql_iodbc, rlm_sql_oracle, rlm_sql_unixodbc, rlm_sql_freetds
driver = "rlm_sql_unixodbc"
# Connect info
server = "radiusDSN"
login = "radius"
password = "********"
# Database table configuration
radius_db = "radiusdb"
ODBC周りの設定は、 unixODBC を参考に、ドライバの設定はそのまま。
データソースの設定はシステム全体に対して行った。以下のようなHOGEradiusinstを作成。UIDの指定はいらんかったかも
[ODBC Data Sources] radiusDSN = HOGE radius server [radiusDSN] Driver = TDS Description = HOGE radius server Trace = Yes Servername = 192.168.1.1 Database = radiusdb UID = sa
sudo odbcinst -i -l -s radiusDSN -f HOGEradiusins を実行すると、/usr/local/etc/odbc.ini に書き込まれる。 ODBC状態での確認は isql radiusDSN radius ******** -v で接続。 *1
あと一応 /usr/local/etc/freetds.conf の設定を最初にやって tsql での接続テストしたけど、 削除しても動いてるっぽいのでODBCでつながってしまえば関係なさげ。/usr/local/etc/freetds.conf の該当エントリは以下の通り。結局削除したまんまで運用中。
# A typical Microsoft SQL Server 7.0 configuration
[HOGE]
host = 192.168.1.1
port = 1433
tds version = 7.0
AcctStartTime が 1900-1-1 なレコードが余分に書き込まれる。accounting_stop_query が成功しているにもかかわらず、accounting_stop_query_alt を実行している雰囲気。 mssql.conf の accounting_stop_query_alt の設定のところを以下のようにして逃げ。
accounting_stop_query_alt = "SELECT 0"
本当に開始レコードが無い場合に何も記録しなくなってしまうけど、うちのは課金するシステムじゃなし。 INSERTの時に条件文が書けるといい…というよりSQLサーバ側にストアドプロシージャ作ってしまう方が楽であろう。
そのまま記録されるはずと思ったら、このアカウンティングするradiusサーバの raddb/clients.conf に設定書いてなかった。追加して完了〜
YAMAH RTシリーズ IPv6 コマンド仕様 を確認すると、telnetdコマンドはipv6対応でないのね。telnetdはanyにしといてフィルターでなんとかせい、ということか。
radius server コマンドがIPv6対応なんだけど、radiusd側でIPv6対応のものがないような…cistron radiusd ってどうなんだろ。IPv6対応なら移行する気になるけどなあ。
freeRadiusの先を Solaris8 上の SAMBA LDAP で認証させているチャレンジャーな人のページ。
OpenLDAPもやりたいなあと常々思っているんだけど。
zebraで言うところの default-information originate が書けない感じ。STUBエリアならデフォルトルートを叫べるらしいのだが…
内側ネットワークが現在 backbone になっているところをSTUBエリアに変更すればいいのかもしれないけど、 とりあえず真ん中の 8624XL を無理やり AS境界ルーター(ASBR)に仕立てて、そいつのデフォルトルートを RTX1000 に向けるという技に出た。 どうせ内側ネットワークのクライアントマシンはデフォルトルートが8624XL向いているので、あんま関係なかったかも。
8624XLでの設定
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INTERFACE=vlan1 NEXTHOP=192.168.0.xx SET OSPF ASEXTERNAL=ON DEFROUTE=ON
設定例を参考にID,Passwordだけ入れたら素直に稼動。再起動も早い。なかなかグー。
昼間のBroadbandSpeedTestで推定最大スループット 13.5Mbps。CPU速度考えるとこんなもんか。 もっと速度出したいならRTX2000買えつーことだろう。RTX2000の値段でPPPoE 60Mbpsオーバー出れば安定性も加味してコストパフォーマンスに見合うと思う。 *1 あ、RTX2000ってISDNポートがない。いまいち。
おうちで60Mbpsオーバー狙うんならPentium4マシンをぶらさげるべし。
PPPoEをやらせていたSolaris8を半分退役。ただしHTTPプロキシに指定していたので一応外に出られる必要がある。 ルーティングを確認すると違う方向を向いている…と思ったらSolarisデフォルト設定のせいで in.routed が上がってRIPを受けていた。 RIPは停止じゃー
iナンバーサービスのポート番号の設定のデフォルトは、iナンバーサービスのポート番号と同じ番号のアナログポートが着信を受ける。 コマンドは analog arrive inumber-port
ip filter 99 reject-nolog * * * * * ip lan rip filter in 99 ip lan rip filter out 99 ip lan rip listen none
RTA52iでも全く同じコマンドが有効。
nat descriptor type 1 masquerade nat descriptor type 2 masquerade pp select 1 pp1# ip pp nat descriptor 1 pp select 2 pp2# ip pp nat descriptor 1 pp select none
と
nat descriptor type 1 masquerade nat descriptor type 2 masquerade pp select 1 pp1# ip pp nat descriptor 1 pp select 2 pp2# ip pp nat descriptor 2 pp select none
だと、後者の方が2倍ぐらい速い。内部的な処理の重さが違うらしい。
N2051,F2051 の発売予定が12月中旬に延びてるよ…。今月中に出てくれないと困るんだがにゃー。
統合アーカイバプロジェクトのUNZIP32.DLLが商用利用がフリーでないので困ったなーと思って探索。 なんだActiveX (とゆーかCOMオブジェクト)あるんじゃん。断然これであろう。日本語ファイル名がどうなるかは知らんが俺は使わない。
zip32.dll, unzip32.dll, CGZipLibary.dll を C:\windows\system32 にコピー。でもって regsvr32 CGZipLibrary.dll で登録完了。 該当ページのVB6サンプルをVBScriptなサンプルで書き直すとこんな感じ。 *1
Dim oZip
set oZip = WScript.CreateObject("CGZipLibrary.CGZipFiles")
oZip.ZipFileName = "c:\temp\MyZip.Zip"
oZip.AddFile "c:\temp\*.wav"
If oZip.MakeZipFile <> 0 then
MsgBox oZip.GetLastMessage
End If
set oZip = nothing
Wi-Fi Protected Access Overview より引用
Enhanced Data Encryption through TKIP To improve data encryption, Wi-Fi Protected Access utilizes its Temporal Key Integrity Protocol (TKIP). TKIP provides important data encryption enhancements including a per-packet key mixing function, a message integrity check (MIC) named Michael, an extended initialization vector (IV) with sequencing rules, and a re-keying mechanism. Through these enhancements, TKIP addresses all WEP’s known vulnerabilities.
中略
Wi-Fi Protected Access for Home/SOHO In a home or Small Office/ Home Office (SOHO) environment, where there are no central authentication servers or EAP framework, Wi-Fi Protected Access runs in a special home mode. This mode, also called Pre-Shared Key (PSK), allows the use of manually-entered keys or passwords and is designed to be easy to set up for the home user. All the home user needs to do is enter a password (also called a master key) in their access point or home wireless gateway and each PC that is on the Wi-Fi wireless network. Wi-Fi Protected Access takes over automatically from that point. First, the password allows only devices with a matching password to join the network, which keeps out eavesdroppers and other unauthorized users. Second, the password automatically kicks off the TKIP encryption process, described above.
予想通りECBからCBCへの変更。これぐらい最初からしといてくれよ… エンタープライズ向けには引き続き 802.1x 推奨の模様。
PSOやるならGameCubeですかのう…
NAT(ipfilterのrdr)で外に公開しているサービスは、経由したファイアウォールに向かって返事を出さないといけないので、 そういうマシンはルーティング固定…にしていたつもりがRIPがいなくなったら別の方向を向いてみたり。
送信元アドレスで振り分けるルーティングがあいかわらず課題。ipfwで出来るらしいが…。 ipfilter(ipf,ipnat) でフィルタリング、ipfwで外向けルーティングのみという怖い設定はアリなんだろうか。
とりあえずIPFIREWALLを有効にしたカーネルでも、IPFIREWALL_DEFAULT_TO_ACCEPTをつけとけばデフォルト通しになってひどい目には合わないそうだ。
nagiosのインストール方法。ここまでだったらports一発だけど、次回が楽しみ。
Windows用プラグインの紹介。Windows側にDLLを仕込むみたいなのでセキュリティ的に大丈夫なのかどうかは分からない。
くわ。と思ったら WLM-L11G ファームウェア Ver.2.01(2002年9月25日掲載) でアクセスポイント側はすでに対応してたのね。 WinXPだったら使えてたんじゃん。
結構新らし目の製品であった。なんでMfletsと遊んでいた時期に見逃してたんだろ。
Windows2000以上限定。VBScriptでやってることをperlの流儀にしただけ。 Win32::OLE の場合のアクセスの仕方は C++ のサンプルを見るとほとんど同じなので参考になる。
# モジュールOLEを使用する。
use Win32::OLE;
sub SendAtattchedMail {
my ($SMTPServer, $fromaddr, $toaddr, $subject, $msg, $attach) = @_;
# CDO メール送信オブジェクトを生成する。
$iMsg = Win32::OLE->new('CDO.Message') || die $!;
$iConf = Win32::OLE->new('CDO.Configuration') || die $!;
$Flds = $iConf->{'Fields'} ;
$Flds->Item('http://schemas.microsoft.com/cdo/configuration/sendusing')->{'Value'} = 2 ;
$Flds->Item('http://schemas.microsoft.com/cdo/configuration/smtpserver')->{'Value'} = $SMTPServer ;
$Flds->Item('http://schemas.microsoft.com/cdo/configuration/smtpserverport')->{'Value'} = 25 ;
$Flds->Update() ;
$iMsg->{'Configuration'} = $iConf ;
$iMsg->{'To'} = $toaddr;
$iMsg->{'From'} = $fromaddr;
$iMsg->{'Subject'} = $subject;
$iMsg->{'TextBody'} = $msg;
$iMsg->AddAttachment($attach);
$iMsg->Send;
}
LastError() とかは使いたくなりそう。
HDDは3.5インチより2.5インチ主導で技術が進んでるなあ。よきかな。
ホットスワップユニットも5インチベイ1つに2.5インチHDD2台とか希望。
とりあえずフレッツスクウェアに接続。つながらんなーと思ったらWANポートにつなぐはずがDMZポートに接続していた。 ポートが LAN1-LAN2-LAN3-LAN4-WAN ... DMZ という配置で、俺的観念だと DMZは真ん中なので間違ってしばらく気づかなかったという。
スピード計測すると56〜61Mbpsぐらい。十分速い。
さっぱり設定方法の分からんIPSecとどう戦うかな。
自己証明書とCA証明書を入れて、証明書に入っている名前で認証できるっぽい? RTX1000だとpre-shared keyだけなのでほんとにできるならものすごく優秀だ。
ペットはいなくなりました…と言われてちょっと悲しんでみたけど、メールを出そうとしたら「ペットに渡す」のアイコンが有効で、ペット付メールが送信できた。 さらに帰ってきたらペット復活。
スピードの点では見るべきものはないが、いまどきのグラフィックカードにしてはファンレスなのが◎。
これなら取り回し的に3.5HDDのうしろにSerialATAアダプタもありかなー。
/.J見て知ってたんだけどまあいいやと思ってたら、namedの再起動で文句言うようになってた。がしがし変更作業。
Windows2000のDNSは、1台変えたらドメイン内のDNSサーバが全部勝手に変更された雰囲気。
IPv6ではなくて足元のマシン、ぼろぼろパケットを落とすのでNICを換えてみたが改善せず。HUBのポートとケーブルを換えて改善した。なんだー
FreeBSD IPsec mini-HOWTO 日本語訳 がこんなところに。
よかった。ほんとーによかった。とても30分とは思えないものすごい密度の話。細田守監督 おかえりなさい。
ネットで情報つかんでなかったらリアルタイムでは見てなかったと思う。次は49話。
4.5Rからnullfsもそこそこ使えるレベルらしい。 /usr/src/sys/miscfs/nullfs/null.h $FreeBSD: src/sys/miscfs/nullfs/null.h,v 1.11.2.3 2001/06/26 04:20:09 bp Exp $ と確かに手が入った形跡。
jail作る時に欲しくなるんだよな。
IDとパスワードの統合管理ソフト。IPSecテスト用秘密鍵のパスワード文字列を簡単に作りたいなーと思って探したらこんなものが。
これを参考に構築しようと思って作業。/etc/ipsec.conf って両側で同じじゃんと思ってたら、 ipsec.conf は in と out を逆にしないとダメだった。setkey -D で出力されるようになれば racoon の設定は完了。
ちなみに /etc/ipsec.conf は、こんな ipsec.conf.eruby を作って eruby ipsec.conf.eruby > /etc/ipsec.conf で生成した。
<%
net1='192.168.0.0/24'
tunend1='a.b.c.d'
net2='192.168.1.0/24'
tunend2='a.b.c.d'
%># ipsec.conf
# ESP tunnel from <%=net1%> to <%=net2%>
# <%=tunend1%> <%=tunend2%>
# this file is created from /usr/local/etc/racoon/ipsec.conf.eruby
flush;
spdflush;
# do not use 2 lines shown below with racoon
#add <%=tunend1%> <%=tunend2%> esp 9991 -E simple "himitu1";
#add <%=tunend2%> <%=tunend1%> esp 9992 -E simple "himitu2";
spdadd <%=net1%> <%=net2%> any
-P out ipsec esp/tunnel/<%=tunend1%>-<%=tunend2%>/require;
spdadd <%=net2%> <%=net1%> any
-P in ipsec esp/tunnel/<%=tunend2%>-<%=tunend1%>/require;
## IPSec(ESP) pass in quick proto esp all group 100 pass in quick proto esp all group 1000 pass in quick proto esp all group 10000 pass out quick proto esp all group 150
外向けのルールを追加しないと ip 以外のプロトコルがデフォルト無効になってるのでちょっとはまった。
この時のエラーメッセージが no route to host。トンネルが確立しないと gif インターフェースがUP状態にならないのかもしれん。 昔はgifインターフェースにIP振った瞬間にこっち側のIPにはping飛んだものなのだが、今回こっち側にもpingが飛ばずなんか ルーティングのミスなのかzebraと干渉しているのかといろいろ悩んでしまった。 netstat -rn でルーティングテーブルに出てくるのに no route to host と言われると困ってしまう。 gif・tunインターフェースは鬼門だなあ。
途中までracoonとやりとりしてたのに、いきなり全然パケットが飛ばなくなった。RTX1000側の設定をやりなおしても変わらず。どうしてー
これのNATの設定のせいだった。きっちり全部書くとログは出るようになった。
でもやっぱ分からん。ぼんやりとは分かって来たけど、本を読んで用語とかきっちり押さえないとログが判読できない〜
GeForce2MX(SSH-HDTV)+Pentium4 1.8GHzなマシンで 1858。プレイするにはきつそう。する気ないけどー
こういうの公開してくれると楽だな。しかもすごい簡単。すばらしい。
「最近メールの到着が遅いんだけど」と言われて調べてみたら、home利用率100%…mrtgのグラフを見ると10月初旬には満杯になった模様。 よくもまあ動いていたものだ…誰かがPOPで受け取って出来た空き領域に順次配送という感じであったのだろう。このへんはqmailの堅牢さを感じる。
ヘビーユーザーは10数名なので個別対応することにして完了。近い将来50MBぐらいのクオータかなあ、などと思ったのでファイルシステム自体のクオータは有効にする作業など。 SolarisでのHDD容量制限(quota) がgoogleで最初にひっかかった。vfstabのオプションの欄は略語でなくてそのまま "quota" で設定。
/dev/dsk/c1d0s6 /dev/rdsk/c1d0s6 /export/home ufs 2 yes logging,quota
携帯FMラジオがちょっと欲しいというのがメインなので、ソリッドプレイヤーとしてはいまいち感のあるこいつもいいかなと。 先週あたりから店頭に並んでいる模様。
ちなみにこの記事に載ってる型番が違う。
UPnPなんだが、FreeBSDのportsに入っている奴を使っているとたまにcore吐いて死ぬ。FreeBSD的には実用段階にないなあ。特に更新されてないし。
FreeBSDのmake buildworld がほぼ失敗するので、どこかハード的なトラブルの模様。 富士通問題もあったし、マスタースレーブで2台ぶら下がっているハードディスクを疑ったんだけど、1台抜いても状況に改善がなかった。
なのでメモリかと思い、SDRAMの端子に鉛筆を適用して挿しなおし。BIOSでPC100に設定(メモリーモジュール自体はPC150と主張している)。あとACPIをオフにしてみた。
最初の1回目はやはり途中でこけたけど、シグナルで死んだわけではないコンパイルエラー。 そもそもcvsupでまともなソースが引っ張れてるかどうか不明なので、/usr/src の下をもってくるところ *1 から再試行〜〜通った。
安全第一ファイアウォールみたいな用途にしか使わんのでこれでいいや。
やはりPC150などという謎のシールで主張しているメモリモジュールは駄目だのう。 同じメモリーモジュール全く同じ症状が出て、対処も同じで解決したのでメモリーモジュール犯人当確。ベースも同じベアボーンマシン、HDDは片方がIBMペア、もう片方がSeagateペア。
ミラーしているディスクの片方を外して一度起動した後もう一度元に戻すと、外したディスクのplexが無効になっている。
vinum -> ls S var_g.p0.s0 State: stale PO: 0 B Size: 3999 MB S var_g.p1.s0 State: up PO: 0 B Size: 3999 MB S home_h.p0.s0 State: stale PO: 0 B Size: 30 GB S home_h.p1.s0 State: up PO: 0 B Size: 30 GB vinum -> lp P var_g.p0 C State: faulty Subdisks: 1 Size: 3999 MB P var_g.p1 C State: up Subdisks: 1 Size: 3999 MB P home_h.p0 C State: faulty Subdisks: 1 Size: 30 GB P home_h.p1 C State: up Subdisks: 1 Size: 30 GB
ここで、vinum start var_g.p0 コマンドを実行してあげればミラーのリビルドを開始してくれる。 2つのパーティションを同時に開始すると、リビルドも同時にやろうとして処理が遅くなってしまうので止めた方がよい。 *1
一応外向けDNSサーバは allow-query をデフォルト通さず、NS指定されているゾーンだけ allow-query 出すというポリシーで 構築してるんだけど recursion は有効なまま。この解決方法は提示されていないので安全なのかどうかが不明。
超めんどくさー。ていうかまだパッチ出てないし。たぶんcvsup対応でFreeBSD 4.6.2-p5とかにする予定。
…ん?BIND9には影響しないのか。これを機にBIND9に移行するというのも手かもしれない。
RedHatの時は訳も分からずなんとなく設定していたが、もちっと真面目に設定。 bind8 から bind9 に変えるためのメモ を参考に。
まずパッチが来るのが遅そうな3.5.1Rマシンで作業したら、entropy.c:949: unexpected error: fcntl(8, F_SETFL, 4): Inappropriate ioctl for device を食らう。FreeBSD4系なら直っているそうなのだが…エラーを出しつつも無視してしまうパッチを当てて回避。
--- work/bind-9.2.1/lib/isc/unix/entropy.c Thu Nov 14 11:59:47 2002
+++ work/bind-9.2.1/lib/isc/unix/entropy.c.orig Thu Nov 14 11:58:52 2002
@@ -280,9 +280,7 @@
"fcntl(%d, F_SETFL, %d): %s",
fd, flags, strbuf);
-#ifdef USE_NONBLOCK_FCNTL
return (ISC_R_UNEXPECTED);
-#endif
}
return (ISC_R_SUCCESS);
上記コードの部分は /dev/random でブロックされるのが嫌らしかったので、乱数デバイスを /dev/random から /dev/urandom に変更することでブロックしないようにした。 以下パッチは /usr/ports/net/bind9/Makefile に適用。
--- Makefile Thu Nov 14 12:01:40 2002 +++ Makefile.orig Thu Nov 14 12:01:01 2002 @@ -24,7 +24,7 @@ ISCVERSION= 9.2.1 GNU_CONFIGURE= yes -CONFIGURE_ARGS= --localstatedir=/var --disable-linux-caps --with-randomdev=/dev/urandom +CONFIGURE_ARGS= --localstatedir=/var --disable-linux-caps .include <bsd.port.pre.mk>
/var/run/named.pid があっても怒るし、/var/run に書き込み権限を持たせるのもいまいちなので、pidの位置を /var/run/bind9/named.pid とすることにして起動スクリプトを作成。 *1
mkdir /var/run/bind9 chown bind /var/run/bind9 rm -f /var/run/bind9/named.pid exec /usr/local/sbin/named -c /var/named/named.conf -u bind
…このpidファイルに関するこだわりは、「chroot環境を構築せい」というメッセージなのだろうか。
ゾーンファイルのTTLについては既にせっせと記述していたので問題なかった。
ついでに。やっと始動しそうな感じか?
パッチが出た模様。反映は今晩ぐらいかな。
FreeBSDのcvsupでやってきた…んだけど、どのリリースタグか分からん。4.6.2-RELEASEへの適用ももうすぐであろう。
4.7-RELEASE作ってみたら、そいつに適用されてた。4.7-STABLEに入ってなかったんで気づかなかったよ。
すっかりportupgradeのお世話になる生活になってしまって、最近md5の確認なしでソースからコンパイルしたのはapacheぐらい。
次回からはapacheもmd5確認してから…というか 同じFTPディレクトリに置いてあるmd5ファイルは何の確認にもなってないから、portsを一度通してから個別にオプションつけたコンパイルという流れにするかなあ。
上記の通りふたたびFreeBSD 4.7-RELEASEに挑戦したのだが、やはりipfilter 3.4.29 が今までの設定で通らずはまって、すぐに元に戻すはめに。
ファイアウォールが外向けDNSを兼任してるので、cvsupで4.7-RELEASEにするよりかはbind9にした方がましであった…
passive ftpまわりのNAT変更が悪さをしているっぽい? 動いている例だと これ とか。
3.4.29周りの情報収集してたらこんな脆弱性発見。3.4.29への更新必須の模様。ひえー FTPには早く絶滅して欲しい。
東京めたりっくの下のファイアウォール(=PPPoEはレンタルルータ上で、FreeBSDファイアウォールはIPフレームしか扱わない)だと何の問題もなし。やはりtunデバイスとの相性か。ムキー。
困ったなあ…PPPoEするマシンは4.6.2Rベースでipfilterとbindだけ更新という方針かな。
/etc/ppp/ppp.linkup で
MYADDR: !bg /sbin/ipf -y
とやって ipfilter にインターフェースの変更を通知するのがミソらしい、のを発見。 *1 これでうまくいくかな?
プロバイダ向けのデフォルトルートを add! default HISADDR で書くと受け付けてくれなかった。フレッツスクウェアとの2面PPPoEするにあたっての 現在の /etc/ppp/ppp.conf はこんな。 *1
default:
set device PPPoE:fxp1
set mru 1454
set mru max 1492
set mtu max 1492
set log Phase tun command
set dial
set login
nat enable no
set reconnect 10 99999
ocn:
set authname hogehoge@hoge.ne.jp
set authkey xxxxxxxx
add default HISADDR
square:
set authname guest@flets
set authkey guest
/sbin/ipf -y でも無駄だった。メーリングリストにヘルプー。しつつあきらめて4.6.2Rに巻き戻し。今日から4.6.2R-p5でbindにもパッチがあたっている。
行きたいなーでも23日の18時には名古屋にいないと、と思ってたら。余裕で締め切られてた。
BSDCONには行けないので、日記で答えてみたり。
jailは結局まだ未体験なのだが、jail=(chroot環境+α)に違いないという予想の上で、例えばapache用の環境を構築する際
という感じにすると、 、本体でapacheやその他CGIで使われそうなプログラムのアップデートすると自動的に追従してくれて管理が楽なんじゃないかなー。 更にマウントオプションnosuid,nodevあたりを使うとオイシイかもしれない。 マウントオプションも含めて書込可能ディレクトリの設定が /etc/fstab にまとまってるところも管理上有利。何にしてもnullfsが信用できるんなら…ということで。 *1
ウチでも動いてない とか、 ウチはちゃんと動いている とか今のところ解決策にまでは至っていない。設定ファイルとテスト方法をきちんと提示しないとまずかったかな。
仕事用メイン回線なのでおいそれと長時間止められないのよね。 4.6.2-RELEASEに対してipfilter 3.4.29 を適用してみやう。
pseudo-device tun # Packet tunnel.
となっているところ、
pseudo-device tun 2 # Packet tunnel.
とかにして、最初から割り当ててしまえばいいのかなあ。
いつの頃からか忘れたが adduser(8) ではなく pw(8) でユーザ追加している。ランダムなパスワードを割り当てるなら sudo pw useradd tako -w random とか。 'pw useradd'でgoogleするとqmailのインストール話の割合がかなり多いので、qmailインストール手順の広まりと関係がありそうだ。
上野ヨドバシでもimpressと同じようにiFP-108Tと間違った型番で売ってた。箱に180Tってちゃんと書いてあるやん(笑)
操作性は最悪。メニューの上下移動するのにどうしてスティックを左右に動かさないといけないねん…スティック押し込みで「選択」、下で「戻る」。 機能的には価格に見合うものを提供しているので、FM聴きっぱなしとかMP3全曲を流しっぱなしとかのユーザであれば、まあまあ良いんではないかと。
個人的には現在 TRAVELOGUE ヘビーローテーション中なので問題なし!
最近のFreeBSDは maxusers 0 で搭載メモリに応じてほぼ問題ないレベルにしてくれるので、わざわざ設定しているのは /etc/sysctl.conf での kern.ipc.somaxconn=1024 ぐらい。
コンパイルオプションもPentiumIIIとPentium4が半々ぐらいになって、下手にCPU指定するとパッケージが共有できない *1 ので、一時期指定していたものを現在では削ってしまっている。
新しく立てた、Bfletsマシン 4.7R-p2で作ってしまったけどすぐに4.6.2R-p5にできるよう make buildworld までした状態で設置した。 で、てっきり4.6.2R-p5かと思ってたら 4.7R-p2状態でPPPoEが稼動している。その状態でipfするとちゃんとipfilterがかかる。 なーぜーだー。
/etc/rc.conf で ipfilter_enable="NO" にしてて、後から手でipfコマンドをたたいたのがよかったのだろうか。
Mozilla系ブラウザだけど、めちゃ軽快。レンダリングもほぼ問題なし。 Bookmark系の操作によってはNetscape4派な人でもこれなら気に入るかなあ。
Windows版バイナリだとIPv6には対応してなさげ。ソースから作ればIPv6いけるかしらん?
結局 /usr/src の下をまっさらにして *1 から make buildworld したら直った。なんだったんだ…
長らく安定したマシンだったので油断してたけど、メモリ不安定マシンの時と同じ症状だとは。 cvsup がファイルの差分を検出できなくて新旧入り混じった状態のソースツリーだったのだろうか。
次回からメジャーアップデート時には全部持ってくることにしよう。
アカウント追加のため raddb/users ファイルの変更をして、確か users だったら再起動はいらないはずだったよなーと試したが新アカウントでつながらず。 結局再起動が必要だった。
通常は電話番号認証・パスワード空文字での運用なのだが、ザウルスでつなぎたいけどザウルスは空パスワードを許可していなかった、というのがアカウント追加の理由。 パスワードはどんな文字列でもマッチ、というルールの書き方もあるのかな…と思いつつあまり困ってないので放置。
今週中にFOMAな仕事をやっつける必要がありそうだったのであきらめてN821iをT2101V+641P-IIに分割。N2051にしたかったよー FOMAカードを挿すところの作りが弱いので気をつけて欲しいとの注意を受けた。よほど壊す人続出なんであろう。 プラン39+パケットパック2000で申し込み。 *1 1パケット0.1円なのでパケットパック使い切るぐらいのデータ通信すればお得な計算だ。JPhoneのパケットが恐ろしく遅いからなあ…
しかし電車の中からトラブル対応で通信するとあっという間に使い切るかも…20000パケットって2.5MBytesかあ。64KのPHSで5分びっしりと同じ通信量… とりあえず週末圏内かどうかよく分からん新幹線の中から通信してみる予定。
「電話帳消えるかもよ」という定番文句を言われて承諾したら、FOMAのみに転送して PHSに転送してくれなかった。俺のメイン端末はPHSなんだー(叫)
携帯メモリツールを使ってN821iから吸い出し、SH811に転送。SH811からPHS間電話帳転送。結局PHSデータカードの出番はなかった。
初めて公衆-トランシーバ2面待ちの可能な端末を持った気がする。
電話番号@em.nttpnet.ne.jp では届かなくなってたらしい。新しくメールアドレスを申請したら届くようになった。
ショップから猛烈抗議との噂。10万枚しかなくてかなり奪い合いなんじゃないかとか言われてたしな〜 予約者全員に配られるんなら発売と同時でいいっす。どうせ正月まで出来ないし。
電話機にIP電話機能を搭載したADSLモデムまたはTAを装着、一般加入電話の番号をダイヤルして利用する。
Bfletsは?と一瞬思ったが、専用ADSLモデムなのね。 でも「またはTA」のとこが実はRT-56vとかだったらBfletsでダメな理由ないよなあ…
これ使うとさりげなくIPv6リーチャブルになったりは…しないかな。
PowerPCに対応してるということはOpenBlockSSに入るかなあ。IPv6サポートを最初から謳っているところも興味がある。 あとはKerberosあたり。
DNSの調子がおかしい雰囲気。例のbindの脆弱性のおかげでアタックされてる?
砂場でBINDを動かす に沿って設定したBIND8だとセカンダリDNSを運用していた場合 named-xferをどうするかが面倒かつセキュリティ的にも嬉しくない *1 ので、実は-tオプションによるchrootを停止していた。
BIND9だとnamed-xferが一体になっているので問題なし。つーことで順次BIND9への移行作業開始。 うちのchroot環境整備はこんな。 *2
mkdir -p /var/named/var/run chown bind /var/named/var/run chgrp bind /var/named/var/run (cd /var/named/var; ln -s ../ named)
/etc/rc.conf の該当部分
named_enable="YES" named_program="/var/named/namedstart.sh" syslogd_flags="-p /var/named/var/run/log -a 127.0.0.1/32 -a 192.168.0.0/16:*"
/var/named/namedstart.sh
#!/bin/sh rm -f /var/named/var/run/named.pid exec /usr/local/sbin/named -c /var/named/named.conf -u bind -t /var/named
chroot後のディレクトリに秘密鍵が置いてあると台無しなので、dnssec-keygenで作成したファイルは消しておく。
named.confも読めなくしたいと一瞬思うが、named.confがnamedプロセスから読めないと rndc reload が効かなくなってしまい不便。そのための片方向暗号なり。
やっとsnapshotから離れられそうだ。
2回連続でダウンロードできず…自動更新機能がそろそろ行き渡ったせいでアクセス集中か。
数日間Phenixで過ごそう。
JPhoneパケット端末への最大の障壁がなくなった。JPhoneここのところ本業での営業努力がかなり低下気味だっただけに、すごく嬉しい。 有料だといっそFOMAにメール投げた方が安い状態だったからなあ。FOMAを日常的に持ち歩く気にならないけど。
@mimori.org が見えないというエラーで配送できないメールがあった。うちのBINDが不調だったのかなあ…
今朝の変更 *1 で mimori.org のMXが消失しとった(汗) 有効期限を3日にしといたおかげで 最近メールくれた人からはメール受け取れてなんとか緊急事態は免れたようだ。このドメインで有効なアカウントは俺の1つしかないはず… 向こうで配送蹴ってくれて発見が早まってよかった。これで3日経ってたらやばかったよ。あとメーリングリストには影響なくて良かった。 *2
DNSの設定変更をしたら DNS Report でのチェックを忘れずに>俺
現在のnagios設定だとホストのIPアドレスを直接書いてしまうので、DNSエントリのミスは検出できない。 DNSサーバをparentに指定しつつ、DNSをわざわざ引かせるようにするのがいいのだろうか。
モモがいっつも寝ていて、メール出すのに叩き起こさないといけないのは、試用版の仕様なんじゃろか。
あとメール配送処理中に視点変えたりしてたらいきなり落ちた。送信簿にも残らずメール消失。配送処理中はおとなしくしていた方がいいらしい。
2.20での機能
起動可能なアプリケーション タイプとして *.cmd, *.batを追加
これさえあればIPv6ルーティングのクリアがずいぶんと楽に。802.1xのサポートも重要。プリインストール版は2.12だったのでアップデートだ。
MDACかあ…ADO大好き人間なのでそこらじゅうで当てまくらないと。すでにMDAC2.7にしたところもそこそこあるはずだが、きっちり管理してないからなあ。
この脆弱性の影響を受けるバージョンの MDAC がインストールされた場合でも、RDS が有効に設定されている場合にのみ Web サーバーに危険が及びます。
RDSについては無効に設定どころか、まず削除してるのでとりあえず大丈夫かも。
電話番号を転送しようと思って 電話番号だけのメールをAL-Mailから送るとcharset=us-asciiになるのだが、 パルディオEメールでそれを受けたら「受信できないコードのメッセージを受信しました」 というツレナイ表示。 メールの最初に「電話」と入れるというマヌケなメールを再送…しても同じ。これはちゃんとiso-2022-jpだなあ。?_?
FreeBSDから電話番号だけのメールを送ったら届いた。 Charsetとは関係ないんかしら。
なんかGPGRelayが勝手に署名していたのかも。
予約特典を「数量限定」から「予約者全員プレゼント」に変更
予想通り。プレミアムにならなくてよかった〜
累計900万歩達成〜952日目。
OCN FOMAパケット通信 だと問答無用で1分10円。 asahi-nett FOMAからの接続 だとasahi-netのダイアルアップ扱い。Bfletsに入っていると5時間分の接続がついてくる。asahi-netはやっぱ安いのう〜〜 とはいえDoCoMoがパケット課金でasahi-netが時間課金というどうにもならない設定はそのまま。
よほどの理由がない限りプロバイダ経由にする必要はなかった。しかも端末に最初からmoperaの設定が入っている。なんだー。
内容はどうでもいいんだけど、AT+CGDCONT=2,"PPP","nifty.com" を入力する対象COMポートは、モデムに割り当てられたポートで、 Command Port ではない。まぎらわしい…
以前DoCoMoよりデータカードをもらってモニターした時には大敗北した新幹線。パケット通信ならつなぎっぱなしに出来るんではないかと実験。 *1
東京を出発してから接続開始。ダイアルアップの確認はしてあったけど IBM Access Connections の設定をしてなかったのでそいつから。 IBM Access Connections はバージョンを上げたらChangeLogの通り接続先の変更への追従がずいぶんと早くなった。
品川を出たあたりで最初の接続をしてメールチェックに成功。そのまま接続しっぱなしで新横浜の駅停車中にメールチェックに成功。 T2101Vの画面はなんとなく省電力だけど接続しているとのアイコンが点滅している。 …さてここから先はFOMAの圏内かどうかも怪しいぞ〜(笑)
う、圏外になったところでブラウザを立ち上げたら通信切断。うむう。 熱海駅で圏内になり接続開始すると、パケット通信の開始までいったもののユーザ認証に行く前にトンネルに入って失敗。
トンネル群を抜けて平地になると通信は思ったよりは好調。TeraTermでssh接続した先のログファイルをlessで閲覧してみると、 スペースを押して5秒ぐらい待つと1ページ分スクロールするような雰囲気。 トンネルに入っても、トンネルを抜けた後に通信がすぐ復活してくれる。
安城三河を過ぎたら平地だというのに圏外だ。
しかしFOMAの充電器を持ってこなかったのは失敗かも。電池持たない端末だとどうせ必要になるから買うか(汗)
一応左右真ん中のちょっと後ろの方に席を陣取ってみたけど、真横にでかい柱がある時点で音場的にダメな雰囲気濃厚… 前半は音が定まらないというか、ブラシで叩いている楠ドラムの音がしょぼくて困った。 スティックに切り替えた後半からはパワーで押し切れるようになったけど。
そしてアンコールの檸檬カバーは肩の荷が下りるような歌を聴けてようやく納得。未森さんの日本歌曲はすべてを包み込む優しさがある。
ホテルのロビーの無線フリースポットで住所を調べたら歩いていけるところだったので行ってみた。 ルビー・サファイアの発売直後だったせいか大混雑。店構えも東京・大阪と違って小さめで普通のキャラクターショップといった雰囲気。 *1
ぐるりと一周して最近増殖した携帯用ストラップを確保。レジに並び買い物が終わると、店の前に人が立って入場制限をかけていた。 カードやミニチュアを大量買いする人もそこそこいて繁盛している。まだまだ人気あるんだなあ。
名古屋オリジナル商品もあったのかもしれないが、ゆっくり見る余裕がなくて確認できなかった。ピンズぐらいあったのかしら。 というより最初に「おとくな掲示板」を探したんだけどそれがない。新商品やオリジナルグッズの紹介を一目で確認できないと不便だ。
前回アーバンに乗り損ねたので今回は確実にアーバンを選択して乗車…してからデラックスシートにちょっと興味が(笑) あと帰りの新大阪発東京行き「のぞみ」の指定を名古屋の窓口で行ってみる。
新幹線よりはマシかなあ。しかし名古屋から離れるにつれ、圏内にもかかわらずパケット通信が途絶える現象が5回ぐらい発生。 その後「ここから電波が弱くなります」という車内アナウンスとともに伊勢湾沿いから山間部に入ると圏外へ。
大阪教育大あたりの前のトンネルを抜けると圏内復帰…地図を確認すると丁度奈良県から大阪府に入ったところだった。 ここまできっちり都道府県境で切り替わると気持ちいい。
はじめて来る会場。OCAT向かいの川沿いの地区を最近再開発したようだ。東京で言うと 晴海トリトンの雰囲気で、川沿いが板張りデッキになってるところなんかはまさにそのまんま。
なんばHatchの入っている建物に店がほとんどないのはまだしも、 OCAT の店がレストランを除いて半分ぐらい閉店して看板の上にテープが貼られている。 不景気というか再開発に失敗したという雰囲気濃厚。 ポケモンセンター名古屋のあったところも似たような近代的再開発地域 *1 なんだけど、名古屋の方は結構人が多かっただけに大きなギャップを感じる。大阪の場合ユニバーサルスタジオ〜南港周辺の方に奪われてしまっているのかな。
こんなにOCAT目の前なら帰りはOCATからバスで関空に向かうのが一番時間的に楽だったろうなーと思ったけど今日の午後はほとんどの便が満席。 土曜日が祭日なのが効いているのだろうか。
昨日とうってかわってものすごくハイテンションだった。特に楠ドラム。会場の音響も抜群でスカンと抜ける反響音が心地よい。 おかげで最初から最後まで楽しかった〜
今までギターが音楽を引っ張るようなサウンドが多かったのが、ピアノとベースが音を支配しているような感じ。もちろん未森さんの声が主役なんだけど。 おかげでロックというよりはジャズ仕立てという雰囲気が濃厚だなあと思って聴いていた。 いろんなサウンドに挑戦する姿勢にはほんとに脱帽だ。
別名 携帯電話ドメイン一覧。 昔は小泉メルマガにも同じリストがあって便利だったのに、小泉メルマガが携帯対応になってしまいリストが消えていた。
似たようなのを探したら農水省に発見。たぶんどっちもIIJ管理だろうしそこそこ信頼できるであろう。農水省メルマガがずーっと携帯対応しないといいなあ(笑)
/usr/src をまっさらにしてからcvsup, make buildworld, make installworld という感じでアップグレード作業したところ、何の問題もなし。
ipfilterメーリングリストは読んでもいまいち得るものがないので報告して撤退することにした。
元がISO-2022-JPと思われる文書を rubyで Kconv.tojis(Kconv.toeuc(x)) かけたらファイルの内容に違いがあって何かと思ったら、 Kconv.tojis は日本語の終わりを ESC-(-B とASCIIへの図形集合指定で終わり、元のファイルは ESC-(-J とJISローマ字への図形集合指定で終わっていた。
ASCIIとJISローマ字がどう違うのか一瞬分からなかったので調査。チルダが問題になることはあまりないので、 バックスラッシュか円マークかを指定するものらしい。 厳密にこの図形集合指定の解釈が可能でバックスラッシュと円マークが混在できる表示システムを一つとして知らないが。
名古屋ボトムラインと同じぐらい
DVI端子付、ファンレス、LowProfileと静音パソコンにDVI端子経由で接続したい場合に候補になりそうなボード。
デュアルディスプレイにも対応。今わざわざグラフィックボードを買うならこれかな。
チェック・ポイント社やシスコ社製品などへのNAT越え機能(NAT Traversal) のサポート
Cisco対応ってことは多分フツーのNATだよな。なんでもNAT越えできるんだったら使ってみたい。
ここのアオリ文句すら見ず何も知らない状態でビデオ鑑賞。ベッピンでうまい女優だなーと思っていたのがエンディングクレジットで斉藤由貴と気付いたぐらいで。
前半は舞台上で劇中劇とリアルの間をぽんぽんと切り替わる。虚構の時間とリアルの時間が別々に流れているようでいて、虚構の時間をリアルにしてしまう一人の人物、 というところに気付いたのとほぼ同時に、魔王は呼び出され虚構とリアルは舞台上で混じり合う。 その場面の切り替わるところの緊張感がストレートに伝わってきたところがとにかくすごかった。そこからエンディングまでは全く目が離せない。
もともと個人的に不条理童話も大好きなんでそこのところもポイントが高い。
ということで行く予定。11月10日発売というのを見て一瞬目の前暗くなったけど、まだチケットあってよかったよ。 ローソンで検索すると仙台公演のキャストが斉藤由貴だった *1 けど、ぴあでチェックするとさすがにそういうことはない模様。
VIA C3系がいかにクールかを実感できる。Celeron533MHzなマシンをアップグレードするならC3 900MHzあたりが妥当かなあ。 キャッシュ減った分のペナルティがどんなものかは微妙。
techside.net によると9時40分にアソビットシティーに100人ぐらい並んでいたとのこと。 自分は10時半ぐらいにひょろ〜とヨドバシ上野店に行って特典ディスクゲット。ただ、ヨドバシはポイントカード必須ということで とても友人に頼まれた分までは買えそうになく、友人分はAmazonで予約。値段あんま変わらないし送料無料だし。
ついでなのでIPSec系の本も頼んでしまった。
見た目の印象としては、アクリルの質感のためにG4 Cubeを進化させたようなイメージ。 進化を一番感じさせるのはワイヤレスキーボードとキーボードスタンドのおかげかな。あと トラックボールの採用が素晴らしい。自宅でワイヤレスキーボード&マウス生活をする場合、ソファーにごろりとしながら操作したりするわけだが、 マウスの操作は太ももの上をすべらせることになって今ひとつ。普通の人でもトラックボールやトラックポイントが欲しくなると思う。
とにかくキーボードにこだわりがあるようなので一度触ってみたい。
ダビングスピードに「ジャスト」があるのがいい感じ。 長い作品なら尺に合わせてのエンコードだし、短い作品ならFINEにするだけだろうし、というのが数枚DVD作成してみての結論なので、 あとはいかにチャプター指定が楽かどうかだけが興味あるところ。
やはりnagiosでDNSを参照したSMTPチェック必要だな。nagios-plugin の check_smtp はホスト名の指定であってDNSのMXレコードをチェックするわけではないので 何か別の手立てが必要。
これもファンレス、LowProfile。
qmailmrtg7 いいなこれ。ついでにdaemontoolsベースに移るかなあ。
OPTIONS
to causes the packet to be moved to the outbound queue
on the specified interface. This can be used to
circumvent kernel routing decisions, and even to
bypass the rest of the kernel processing of the
packet (if applied to an inbound rule). It is thus
possible to construct a firewall that behaves
transparently, like a filtering hub or switch,
rather than a router. The fastroute keyword is a
synonym for this option.
マニュアルが主張するには ipfだけでもマルチホーム *1 できるんじゃん。ガンダム見るだけなら必要ないからなー、未だこのネタgoogleにひっかからない。ipfw使う話ならあるんだけど。
OpenBlocksで一度使ってたので設定は楽勝。とりあえず手元に近いところを全面的に置き換えてみて1週間ぐらい様子見して問題なければ客先にも順次導入だ。
次はqmail…と思ってたけどzebraのが楽そうだったのでzebraをdaemontools下での稼動に変更。超楽勝。 ただ専用のアカウントを考えるのがめんどくさかったのでとりあえずdnscacheと同じで…
とりあえずテスト機で /usr/local/etc/rc.d/ に書いていたサービスをがんがん daemontools にしてみた。ただしapache以外。 apache2の場合は httpd -DNO_DETACH とすればdaemontools下に置けるらしい。
![[Mail]](../img/mail.gif){kind=small}
<mimoriso@anet.ne.jp>.
All rights reserved. このサイトはリンク上等です。