![[Mail]](../img/mail.gif){kind=small}
<mimoriso@anet.ne.jp>.
All rights reserved. このサイトはリンク上等です。
| Last Modified : | 01/20 20:08 |
| Access : | |
| tds mode : | [static,site,cache:on] |
FreeBSD IPsec mini-HOWTO 日本語訳 がこんなところに。
よかった。ほんとーによかった。とても30分とは思えないものすごい密度の話。細田守監督 おかえりなさい。
ネットで情報つかんでなかったらリアルタイムでは見てなかったと思う。次は49話。
4.5Rからnullfsもそこそこ使えるレベルらしい。 /usr/src/sys/miscfs/nullfs/null.h $FreeBSD: src/sys/miscfs/nullfs/null.h,v 1.11.2.3 2001/06/26 04:20:09 bp Exp $ と確かに手が入った形跡。
jail作る時に欲しくなるんだよな。
IDとパスワードの統合管理ソフト。IPSecテスト用秘密鍵のパスワード文字列を簡単に作りたいなーと思って探したらこんなものが。
これを参考に構築しようと思って作業。/etc/ipsec.conf って両側で同じじゃんと思ってたら、 ipsec.conf は in と out を逆にしないとダメだった。setkey -D で出力されるようになれば racoon の設定は完了。
ちなみに /etc/ipsec.conf は、こんな ipsec.conf.eruby を作って eruby ipsec.conf.eruby > /etc/ipsec.conf で生成した。
<%
net1='192.168.0.0/24'
tunend1='a.b.c.d'
net2='192.168.1.0/24'
tunend2='a.b.c.d'
%># ipsec.conf
# ESP tunnel from <%=net1%> to <%=net2%>
# <%=tunend1%> <%=tunend2%>
# this file is created from /usr/local/etc/racoon/ipsec.conf.eruby
flush;
spdflush;
# do not use 2 lines shown below with racoon
#add <%=tunend1%> <%=tunend2%> esp 9991 -E simple "himitu1";
#add <%=tunend2%> <%=tunend1%> esp 9992 -E simple "himitu2";
spdadd <%=net1%> <%=net2%> any
-P out ipsec esp/tunnel/<%=tunend1%>-<%=tunend2%>/require;
spdadd <%=net2%> <%=net1%> any
-P in ipsec esp/tunnel/<%=tunend2%>-<%=tunend1%>/require;
## IPSec(ESP) pass in quick proto esp all group 100 pass in quick proto esp all group 1000 pass in quick proto esp all group 10000 pass out quick proto esp all group 150
外向けのルールを追加しないと ip 以外のプロトコルがデフォルト無効になってるのでちょっとはまった。
この時のエラーメッセージが no route to host。トンネルが確立しないと gif インターフェースがUP状態にならないのかもしれん。 昔はgifインターフェースにIP振った瞬間にこっち側のIPにはping飛んだものなのだが、今回こっち側にもpingが飛ばずなんか ルーティングのミスなのかzebraと干渉しているのかといろいろ悩んでしまった。 netstat -rn でルーティングテーブルに出てくるのに no route to host と言われると困ってしまう。 gif・tunインターフェースは鬼門だなあ。
途中までracoonとやりとりしてたのに、いきなり全然パケットが飛ばなくなった。RTX1000側の設定をやりなおしても変わらず。どうしてー
これのNATの設定のせいだった。きっちり全部書くとログは出るようになった。
でもやっぱ分からん。ぼんやりとは分かって来たけど、本を読んで用語とかきっちり押さえないとログが判読できない〜
GeForce2MX(SSH-HDTV)+Pentium4 1.8GHzなマシンで 1858。プレイするにはきつそう。する気ないけどー
こういうの公開してくれると楽だな。しかもすごい簡単。すばらしい。
「最近メールの到着が遅いんだけど」と言われて調べてみたら、home利用率100%…mrtgのグラフを見ると10月初旬には満杯になった模様。 よくもまあ動いていたものだ…誰かがPOPで受け取って出来た空き領域に順次配送という感じであったのだろう。このへんはqmailの堅牢さを感じる。
ヘビーユーザーは10数名なので個別対応することにして完了。近い将来50MBぐらいのクオータかなあ、などと思ったのでファイルシステム自体のクオータは有効にする作業など。 SolarisでのHDD容量制限(quota) がgoogleで最初にひっかかった。vfstabのオプションの欄は略語でなくてそのまま "quota" で設定。
/dev/dsk/c1d0s6 /dev/rdsk/c1d0s6 /export/home ufs 2 yes logging,quota
携帯FMラジオがちょっと欲しいというのがメインなので、ソリッドプレイヤーとしてはいまいち感のあるこいつもいいかなと。 先週あたりから店頭に並んでいる模様。
ちなみにこの記事に載ってる型番が違う。
UPnPなんだが、FreeBSDのportsに入っている奴を使っているとたまにcore吐いて死ぬ。FreeBSD的には実用段階にないなあ。特に更新されてないし。
FreeBSDのmake buildworld がほぼ失敗するので、どこかハード的なトラブルの模様。 富士通問題もあったし、マスタースレーブで2台ぶら下がっているハードディスクを疑ったんだけど、1台抜いても状況に改善がなかった。
なのでメモリかと思い、SDRAMの端子に鉛筆を適用して挿しなおし。BIOSでPC100に設定(メモリーモジュール自体はPC150と主張している)。あとACPIをオフにしてみた。
最初の1回目はやはり途中でこけたけど、シグナルで死んだわけではないコンパイルエラー。 そもそもcvsupでまともなソースが引っ張れてるかどうか不明なので、/usr/src の下をもってくるところ *1 から再試行〜〜通った。
安全第一ファイアウォールみたいな用途にしか使わんのでこれでいいや。
やはりPC150などという謎のシールで主張しているメモリモジュールは駄目だのう。 同じメモリーモジュール全く同じ症状が出て、対処も同じで解決したのでメモリーモジュール犯人当確。ベースも同じベアボーンマシン、HDDは片方がIBMペア、もう片方がSeagateペア。
ミラーしているディスクの片方を外して一度起動した後もう一度元に戻すと、外したディスクのplexが無効になっている。
vinum -> ls S var_g.p0.s0 State: stale PO: 0 B Size: 3999 MB S var_g.p1.s0 State: up PO: 0 B Size: 3999 MB S home_h.p0.s0 State: stale PO: 0 B Size: 30 GB S home_h.p1.s0 State: up PO: 0 B Size: 30 GB vinum -> lp P var_g.p0 C State: faulty Subdisks: 1 Size: 3999 MB P var_g.p1 C State: up Subdisks: 1 Size: 3999 MB P home_h.p0 C State: faulty Subdisks: 1 Size: 30 GB P home_h.p1 C State: up Subdisks: 1 Size: 30 GB
ここで、vinum start var_g.p0 コマンドを実行してあげればミラーのリビルドを開始してくれる。 2つのパーティションを同時に開始すると、リビルドも同時にやろうとして処理が遅くなってしまうので止めた方がよい。 *1
一応外向けDNSサーバは allow-query をデフォルト通さず、NS指定されているゾーンだけ allow-query 出すというポリシーで 構築してるんだけど recursion は有効なまま。この解決方法は提示されていないので安全なのかどうかが不明。
超めんどくさー。ていうかまだパッチ出てないし。たぶんcvsup対応でFreeBSD 4.6.2-p5とかにする予定。
…ん?BIND9には影響しないのか。これを機にBIND9に移行するというのも手かもしれない。
RedHatの時は訳も分からずなんとなく設定していたが、もちっと真面目に設定。 bind8 から bind9 に変えるためのメモ を参考に。
まずパッチが来るのが遅そうな3.5.1Rマシンで作業したら、entropy.c:949: unexpected error: fcntl(8, F_SETFL, 4): Inappropriate ioctl for device を食らう。FreeBSD4系なら直っているそうなのだが…エラーを出しつつも無視してしまうパッチを当てて回避。
--- work/bind-9.2.1/lib/isc/unix/entropy.c Thu Nov 14 11:59:47 2002
+++ work/bind-9.2.1/lib/isc/unix/entropy.c.orig Thu Nov 14 11:58:52 2002
@@ -280,9 +280,7 @@
"fcntl(%d, F_SETFL, %d): %s",
fd, flags, strbuf);
-#ifdef USE_NONBLOCK_FCNTL
return (ISC_R_UNEXPECTED);
-#endif
}
return (ISC_R_SUCCESS);
上記コードの部分は /dev/random でブロックされるのが嫌らしかったので、乱数デバイスを /dev/random から /dev/urandom に変更することでブロックしないようにした。 以下パッチは /usr/ports/net/bind9/Makefile に適用。
--- Makefile Thu Nov 14 12:01:40 2002 +++ Makefile.orig Thu Nov 14 12:01:01 2002 @@ -24,7 +24,7 @@ ISCVERSION= 9.2.1 GNU_CONFIGURE= yes -CONFIGURE_ARGS= --localstatedir=/var --disable-linux-caps --with-randomdev=/dev/urandom +CONFIGURE_ARGS= --localstatedir=/var --disable-linux-caps .include <bsd.port.pre.mk>
/var/run/named.pid があっても怒るし、/var/run に書き込み権限を持たせるのもいまいちなので、pidの位置を /var/run/bind9/named.pid とすることにして起動スクリプトを作成。 *1
mkdir /var/run/bind9 chown bind /var/run/bind9 rm -f /var/run/bind9/named.pid exec /usr/local/sbin/named -c /var/named/named.conf -u bind
…このpidファイルに関するこだわりは、「chroot環境を構築せい」というメッセージなのだろうか。
ゾーンファイルのTTLについては既にせっせと記述していたので問題なかった。
ついでに。やっと始動しそうな感じか?
パッチが出た模様。反映は今晩ぐらいかな。
FreeBSDのcvsupでやってきた…んだけど、どのリリースタグか分からん。4.6.2-RELEASEへの適用ももうすぐであろう。
4.7-RELEASE作ってみたら、そいつに適用されてた。4.7-STABLEに入ってなかったんで気づかなかったよ。
すっかりportupgradeのお世話になる生活になってしまって、最近md5の確認なしでソースからコンパイルしたのはapacheぐらい。
次回からはapacheもmd5確認してから…というか 同じFTPディレクトリに置いてあるmd5ファイルは何の確認にもなってないから、portsを一度通してから個別にオプションつけたコンパイルという流れにするかなあ。
上記の通りふたたびFreeBSD 4.7-RELEASEに挑戦したのだが、やはりipfilter 3.4.29 が今までの設定で通らずはまって、すぐに元に戻すはめに。
ファイアウォールが外向けDNSを兼任してるので、cvsupで4.7-RELEASEにするよりかはbind9にした方がましであった…
passive ftpまわりのNAT変更が悪さをしているっぽい? 動いている例だと これ とか。
3.4.29周りの情報収集してたらこんな脆弱性発見。3.4.29への更新必須の模様。ひえー FTPには早く絶滅して欲しい。
東京めたりっくの下のファイアウォール(=PPPoEはレンタルルータ上で、FreeBSDファイアウォールはIPフレームしか扱わない)だと何の問題もなし。やはりtunデバイスとの相性か。ムキー。
困ったなあ…PPPoEするマシンは4.6.2Rベースでipfilterとbindだけ更新という方針かな。
/etc/ppp/ppp.linkup で
MYADDR: !bg /sbin/ipf -y
とやって ipfilter にインターフェースの変更を通知するのがミソらしい、のを発見。 *1 これでうまくいくかな?
プロバイダ向けのデフォルトルートを add! default HISADDR で書くと受け付けてくれなかった。フレッツスクウェアとの2面PPPoEするにあたっての 現在の /etc/ppp/ppp.conf はこんな。 *1
default:
set device PPPoE:fxp1
set mru 1454
set mru max 1492
set mtu max 1492
set log Phase tun command
set dial
set login
nat enable no
set reconnect 10 99999
ocn:
set authname hogehoge@hoge.ne.jp
set authkey xxxxxxxx
add default HISADDR
square:
set authname guest@flets
set authkey guest
/sbin/ipf -y でも無駄だった。メーリングリストにヘルプー。しつつあきらめて4.6.2Rに巻き戻し。今日から4.6.2R-p5でbindにもパッチがあたっている。
行きたいなーでも23日の18時には名古屋にいないと、と思ってたら。余裕で締め切られてた。
BSDCONには行けないので、日記で答えてみたり。
jailは結局まだ未体験なのだが、jail=(chroot環境+α)に違いないという予想の上で、例えばapache用の環境を構築する際
という感じにすると、 、本体でapacheやその他CGIで使われそうなプログラムのアップデートすると自動的に追従してくれて管理が楽なんじゃないかなー。 更にマウントオプションnosuid,nodevあたりを使うとオイシイかもしれない。 マウントオプションも含めて書込可能ディレクトリの設定が /etc/fstab にまとまってるところも管理上有利。何にしてもnullfsが信用できるんなら…ということで。 *1
ウチでも動いてない とか、 ウチはちゃんと動いている とか今のところ解決策にまでは至っていない。設定ファイルとテスト方法をきちんと提示しないとまずかったかな。
仕事用メイン回線なのでおいそれと長時間止められないのよね。 4.6.2-RELEASEに対してipfilter 3.4.29 を適用してみやう。
pseudo-device tun # Packet tunnel.
となっているところ、
pseudo-device tun 2 # Packet tunnel.
とかにして、最初から割り当ててしまえばいいのかなあ。
いつの頃からか忘れたが adduser(8) ではなく pw(8) でユーザ追加している。ランダムなパスワードを割り当てるなら sudo pw useradd tako -w random とか。 'pw useradd'でgoogleするとqmailのインストール話の割合がかなり多いので、qmailインストール手順の広まりと関係がありそうだ。
上野ヨドバシでもimpressと同じようにiFP-108Tと間違った型番で売ってた。箱に180Tってちゃんと書いてあるやん(笑)
操作性は最悪。メニューの上下移動するのにどうしてスティックを左右に動かさないといけないねん…スティック押し込みで「選択」、下で「戻る」。 機能的には価格に見合うものを提供しているので、FM聴きっぱなしとかMP3全曲を流しっぱなしとかのユーザであれば、まあまあ良いんではないかと。
個人的には現在 TRAVELOGUE ヘビーローテーション中なので問題なし!
最近のFreeBSDは maxusers 0 で搭載メモリに応じてほぼ問題ないレベルにしてくれるので、わざわざ設定しているのは /etc/sysctl.conf での kern.ipc.somaxconn=1024 ぐらい。
コンパイルオプションもPentiumIIIとPentium4が半々ぐらいになって、下手にCPU指定するとパッケージが共有できない *1 ので、一時期指定していたものを現在では削ってしまっている。
新しく立てた、Bfletsマシン 4.7R-p2で作ってしまったけどすぐに4.6.2R-p5にできるよう make buildworld までした状態で設置した。 で、てっきり4.6.2R-p5かと思ってたら 4.7R-p2状態でPPPoEが稼動している。その状態でipfするとちゃんとipfilterがかかる。 なーぜーだー。
/etc/rc.conf で ipfilter_enable="NO" にしてて、後から手でipfコマンドをたたいたのがよかったのだろうか。
Mozilla系ブラウザだけど、めちゃ軽快。レンダリングもほぼ問題なし。 Bookmark系の操作によってはNetscape4派な人でもこれなら気に入るかなあ。
Windows版バイナリだとIPv6には対応してなさげ。ソースから作ればIPv6いけるかしらん?
結局 /usr/src の下をまっさらにして *1 から make buildworld したら直った。なんだったんだ…
長らく安定したマシンだったので油断してたけど、メモリ不安定マシンの時と同じ症状だとは。 cvsup がファイルの差分を検出できなくて新旧入り混じった状態のソースツリーだったのだろうか。
次回からメジャーアップデート時には全部持ってくることにしよう。
アカウント追加のため raddb/users ファイルの変更をして、確か users だったら再起動はいらないはずだったよなーと試したが新アカウントでつながらず。 結局再起動が必要だった。
通常は電話番号認証・パスワード空文字での運用なのだが、ザウルスでつなぎたいけどザウルスは空パスワードを許可していなかった、というのがアカウント追加の理由。 パスワードはどんな文字列でもマッチ、というルールの書き方もあるのかな…と思いつつあまり困ってないので放置。
今週中にFOMAな仕事をやっつける必要がありそうだったのであきらめてN821iをT2101V+641P-IIに分割。N2051にしたかったよー FOMAカードを挿すところの作りが弱いので気をつけて欲しいとの注意を受けた。よほど壊す人続出なんであろう。 プラン39+パケットパック2000で申し込み。 *1 1パケット0.1円なのでパケットパック使い切るぐらいのデータ通信すればお得な計算だ。JPhoneのパケットが恐ろしく遅いからなあ…
しかし電車の中からトラブル対応で通信するとあっという間に使い切るかも…20000パケットって2.5MBytesかあ。64KのPHSで5分びっしりと同じ通信量… とりあえず週末圏内かどうかよく分からん新幹線の中から通信してみる予定。
「電話帳消えるかもよ」という定番文句を言われて承諾したら、FOMAのみに転送して PHSに転送してくれなかった。俺のメイン端末はPHSなんだー(叫)
携帯メモリツールを使ってN821iから吸い出し、SH811に転送。SH811からPHS間電話帳転送。結局PHSデータカードの出番はなかった。
初めて公衆-トランシーバ2面待ちの可能な端末を持った気がする。
電話番号@em.nttpnet.ne.jp では届かなくなってたらしい。新しくメールアドレスを申請したら届くようになった。
ショップから猛烈抗議との噂。10万枚しかなくてかなり奪い合いなんじゃないかとか言われてたしな〜 予約者全員に配られるんなら発売と同時でいいっす。どうせ正月まで出来ないし。
<mimoriso@anet.ne.jp>.
All rights reserved. このサイトはリンク上等です。