Mimori's Algorithms Diary

席が後方中央だったのも手伝ってツアー中一番音のバランスが良かったんではないだろうか。 「雨の力も借りてのどの調子がよい」との言葉通り気力充実といった感じ。 名古屋・大阪では全く立たなかったのが、今回初めてrokaで立つ。rokaってこんなに手拍子の合う曲だったっけ?

個人的にメーリングリストでチケット入手された方との話も落ち着いた感じでよかった。

手元のドライブは16倍速どまりだからそれぐらいのメディアに止めておいた方がいいということか。

年末に備えて携帯電話・PHSをFOMAに転送してみるテスト。

@ ヒショ機能

@ DoCoMo PHS の転送電話

そういや12月になったというのに発売にならんな。2002年秋モデルがそろそろ2002年発売すら危うい雰囲気。

昨日とはうってかわってダメダメな序盤。なんでー。席を替わってもらいかなーり前の席だったおかげで音が後ろの方にいっちゃってる…のとは別問題だと思うのだが。

という感じで5曲終わって「眠れぬ夜の庭で」で突然ツアー中最高のパフォーマンス。 ベースが引っ張るビートにすっかりやられてしまった…やっぱ今回のツアーの目玉はベースっすよ。

そしてネクターはきっとすっ飛ばすという予想は当たったけど、まさかゲストが来て2曲余分に歌うとは思ってなかった。 鈴木重子さんとのコーラスは絶品。渡辺さんのピアノも「ピアニスト」というだけあって繊細なメロディ〜

LANインタフェースのIPv6アドレスの自動設定機能を追加した

楽が出来るような気もするが動的IPv6をつけでどういう役に立つのかは不明

RTX1000のスループットを向上した。

ほほう。

@ アップグレードした

apache2 に適用してみた。apache2はデフォルトDSOなので、 ここにあったソース を展開した後、gmake APXS=/usr/local/apache2/bin/apxs でインストール完了。Makefileがgmake専用っぽいところがちょっとだけはまりポイント。

httpd.conf には以下の行を LoadModule auth_digest_module modules/mod_auth_digest.so の下あたりにくっつける。

LoadModule auth_pam_module modules/mod_auth_pam.so

以上。

Suicaリーダが3000円とは思ったより安い。

到着〜ハードカバー絵本付きでこれだけでも結構高そうな感じだ。 起動するといきなり自動アップデータ発動。お前はオンラインゲームか(笑)

kernel-mode ppp になるらしいのでNETGRAPHを組み込んだカーネルにして実験。 カーネルは以下のオプションを追加しておいた。mpd は /usr/ports/net/mpd より作成。

options         NETGRAPH
options         NETGRAPH_PPPOE
options         NETGRAPH_SOCKET
options         NETGRAPH_ETHER

user-mode ppp を一度起動してしまうとNETGRAPHなpppoeノードを奪われてしまってうまく動かないようだ。 いちいちリブートするのでは停止時間が長すぎるのでちとmpd自体の実験は中断。 user-mode pppの作ったPPPoEノードの削除方法、または同じノードをmpdで利用するための名前を探索。

@ /usr/sbin/ngctl コマンド

  Name: ngctl73341      Type: socket          ID: 00000019   Num hooks: 0
  Name: <unnamed>       Type: socket          ID: 00000017   Num hooks: 1
  Name: <unnamed>       Type: pppoe           ID: 00000004   Num hooks: 2
  Name: fxp1            Type: ether           ID: 00000002   Num hooks: 1
  Name: fxp0            Type: ether           ID: 00000001   Num hooks: 0

  Name: fxp1            Type: ether           ID: 00000002   Num hooks: 1
  Local hook      Peer name       Peer type    Peer ID         Peer hook
  ----------      ---------       ---------    -------         ---------
  orphans         <unnamed>       pppoe        00000004        ethernet

  Name: <unnamed>       Type: pppoe           ID: 00000005   Num hooks: 2
  Local hook      Peer name       Peer type    Peer ID         Peer hook
  ----------      ---------       ---------    -------         ---------
  tun0            <unnamed>       socket       00000020        tun0
  ethernet        fxp1            ether        00000002        orphans

  Name: ngctl3341       Type: socket          ID: 00000046   Num hooks: 0
  Name: <unnamed>       Type: pppoe           ID: 00000044   Num hooks: 2
  Name: <unnamed>       Type: socket          ID: 00000043   Num hooks: 0
  Name: <unnamed>       Type: vjc             ID: 00000042   Num hooks: 4
  Name: <unnamed>       Type: bpf             ID: 00000041   Num hooks: 3
  Name: mpd3161-PPPoE   Type: ppp             ID: 00000040   Num hooks: 7
  Name: ng0             Type: iface           ID: 0000003f   Num hooks: 1
  Name: <unnamed>       Type: socket          ID: 0000003e   Num hooks: 2
  Name: fxp1            Type: ether           ID: 00000002   Num hooks: 1
  Name: fxp0            Type: ether           ID: 00000001   Num hooks: 0

@ インターフェース名

@ リンクアップのチェック

for i in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
do
        ng0がリンクアップしてたら抜けろ
        sleep 1
done

for i in 5 1 1 1 1 1 1 1 2 4 8 16 32
do
        ng0がリンクアップしてたら抜けろ
        sleep $i
done

ezwebの端末って同じ機種でも別のバージョン返してくるのか…C302Hなんて何度かメジャーバージョンアップがかかっている。

読了。「IPsecやりたい」が先行してるならまずこの本だな。

FreeBSDからRTX1000へ接続できなかったのは identifier にIPアドレスを指定しなかったせいなんじゃないかと類推中。 単語の意味も分かってきたし次回は接続できるのを期待。

スタティックルート書くとダメかも情報が一番気にかかる。たぶんDMZ使わなければ大丈夫だと思うのだが… 2個目を買ってVPN対抗試験やるかどうか悩み中。

mpdでググった時に出てきたpptpの話。PPPoEしているmpdで直接pptp受けられたらおいしいがどうなんだろ。 これでmpdがradius認証してくれるように進化してくれたら最高。radius認証は/usr/sbin/pppと見比べて自分でパッチ当てたいぐらいだ。

昨シーズンMVPのダンカンとロビンソンのツインタワーに全然負けてない姚明。想像以上のプレイヤーだ。SHAQとの対決も見てみたい。

人間風車があまりにツボだったので犬夜叉のDVDを注文するついでに買ってみた。

このタイトルでパラレルワールドと言われたら鐘の音が世界の繋ぎ目だと思うところが、実はストームブリンガーだった、というオチに そういや序盤に伏線張ってたよなー *1 と思い出させるだけでも芯が通っている。

人間風車で感じたように、ファンタジーの世界観も僕の感性とばっちし。新感線の演じるファンタジーだとどーにも理解不能だったに比べて何が違うんだろう。 魔法の使い方かなあ。あくまで神の奇蹟だからであろうか。来年の人間風車がますます楽しみだ。

「!! メールの不正中継が可能です !!」とかいうメールが突然転送されてきてびっくり。確かに一番最近立てたサーバではあるのだが、 手でチェックした範囲ではopenrelayになっているようでもなく一体どういうチェックをしたのかと…

sendmailやExchangeServerの仕様に関してのチェックもしていて、 メールアドレスの中に中継サーバを記述できるSMTPサーバを不正中継可能としてみなすらしい。資料としては MAILADDR あたりの経路つきアドレスとか。 *1

qmailの場合例えばUUCP時代に使われていた tako!ika というメールアドレスは、"tako!ika" というローカルユーザとして扱うため RCPT TO: は通ってしまい、その結果だけで不正中継可能と判断されたようだ。 実際に記載されているメールアドレスに転送されたかどうかまでチェックして欲しいんだけど…

実証実験で対象になっている路線は(中略)虹01系統（浜松町駅〜東京ビックサイト）

年末ビックサイトで実証試験できるらしい。もしかするとバスカード売り場で宣伝してるかも。

@ ラッピングバス情報 人物/キャラ選択

Windows2000での設定について詳細に書いてあるので、Windows2000/XPの設定をしたいなら徹底入門よりいいかも。 あとは歴史的事情やどんな暗号があるかについての話が面白い。

@ STARTTLS

17個もサブネット登録しないといかんのか。めんどくさー

daemontoolsだとサービス再起動が確実なところがナイスだよなーと今さらながら思った。

/usr/local/etc/mpd

PPPoE:
        set link type pppoe
        set pppoe iface fxp1
        set pppoe service "whatever"

/usr/local/etc/mpd.conf

PPPoE:
        new -i ng0 PPPoE PPPoE
        set iface addrs 1.1.1.1 2.2.2.2
        set iface route default
        set iface disable on-demand
        set iface idle 0
        set iface up-script /usr/local/etc/mpd/mpd.linkup
        set iface down-script /usr/local/etc/mpd/mpd.linkdown
        set bundle disable multilink
        set bundle authname ＜プロバイダのアカウント＞
        set link no acfcomp protocomp
        set link disable pap chap
        set link accept chap
        set link mtu 1492
        set link mru 1454
        set ipcp yes vjcomp
        set ipcp ranges 0.0.0.0/0 0.0.0.0/0
        open iface

/usr/local/etc/mpd.linkup, /usr/local/etc/mpd.linkdown (2ファイルとも同じもの)

#!/bin/sh
/sbin/ipf -y
/sbin/ipf -Fa -f /etc/ipf.rules
/sbin/ipnat -CF -f /etc/ipnat.rules

/usr/local/bin/svc -t /var/service/sshd
/usr/local/bin/svc -t /var/service/named
/usr/local/bin/svc -t /var/service/ntpd
/usr/local/bin/svc -t /var/service/ipmon
/usr/local/bin/svc -t /var/service/zebra
/usr/local/bin/svc -t /var/service/ospfd
/usr/local/bin/svc -t /var/service/qmail
/usr/local/bin/svc -t /var/service/qmail-smtpd
/usr/local/bin/svc -t /var/service/qmail-pop3d
/usr/local/bin/svc -t /var/service/apache2
/usr/local/bin/svc -t /var/service/sockd

/usr/local/etc/mpd/mpd.secret はヒミツ

/var/service/mpd/run

#!/bin/sh
exec env PATH=/usr/local/sbin:/usr/bin:/usr/local/bin:/bin \
        /usr/local/sbin/mpd PPPoE \
        2>&1

あくまで未森さんはゲストのはずなのに、未森さんの曲をビシっと決めるところはさすが百戦錬磨のミュージシャン達。

ボレロのように段々と音が重なっていくアヴェマリアよかった。「歌え〜と背中を押してくれるようなドラム」というのが本当に伝わってきた。 こうやって音楽が聴けるのは幸せだなあ〜♪

Bシングルを取るはずが(特急券申込書には「1人用」という欄しかなかったせいで)Bソロに。 Webでの情報通りかなり狭い…けど15分ぐらいいたら住めば都と慣れてきた。なんとかなるもんやね。 ビール1本飲んだらスカーっと熟睡。なんか前回のA寝台の時より寝れた感じだった。

どこかで人身事故があったそうで東京への到着が1時間強遅れた。せっかくだから特急料金払い戻しになるぐらい遅れればよかったのにー

tcpmssd を一瞬インストールしたが IPDIVERT ベースなので ipfilterと同居させるのにはよろしくないっぽい。一度も起動せずアンインストール。

@ IP Filter Current version: 3.4.31

3.4.30  26/11/2002 - Released
add MSS clamping code from NetBSD

@ OSPFとMTU

埼玉県8Mbps以上24ヶ月で検索したら、Panasonic Hi-Hoが一番安くて *1 ちょっと嬉しい。1.5Mモデムで一度高い金奪われてるけどな…紹介活動でもしてみるかな。

@ 広島県の山の中

IPsecでPPTPみたいにクライアントから接続するプロトコル拡張 XAUTH について調べた。ietf にあるドキュメントが期限切れなおかげでまとまったドキュメントにさっぱり当たらない。 RTX1000のファームウェアアップグレード でも「拠点側でXAUTHが動作するようにした」という記述もありダイアルアップVPNとしてはそちらに進む方向のような雰囲気があるのだが… RTX1000でセンター側動作がRADIUS認証で実装されるとすごーく嬉しい。

しかしここに書いてあった ettercap って恐ろしいソフトだな。ssh1やHTTPSの盗聴??

@ IPsec 関連インターネットドラフトリスト

個人的には既に知ってる話題ばかりで読むとこなかった。

@ Symantec Enterprise VPN 7.0

1.5になって YYYYMM.td2 というテキストファイルで管理されてるらしいのでCVS+makeで更新できるかも。来年から移行しようかなあ…

これならFreeBSD上のクロスコンパイル環境の構築が出来そうな気がする。

sshでログインしてのtty作業も辛い。どーゆーこっちゃ。

軽く設定してみた。mpdを複数起動することはできないので、mpd.conf を以下のように変更。

default:
        load PPPoE
        load pptp
PPPoE:
        new -i ng0 PPPoE PPPoE
...
pptp:
        new -i ng1 pptp pptp
...

PPTP接続そのものはすぐにできたけど、PPTPで割り当てた端へのpingですら届いたり届かなかったり… あ、WindowsクライアントはOSPFルータじゃないからその分もPPTPサーバ側で広告しないといかんのか。

FOMAからつないだ時の作業用vpnのつもりだったのがFOMAがいまいちだったためにあまり気合が入らずルーティングの問題追求は途中で終了。

FreeBSDにおけるOpenBlockSS用のクロスコンパイル環境の構築、結局 ここ の説明だけでは途中のエラーが回避できず、上記リンクより一歩一歩進めることでやっとnewlibまでできた。ただしgcc作る時に --enable-shared --enable-threads はつけちゃダメ。

linuxカーネルの構築にはGNU shutils, findutils, sed, make が必要。shutilsはportsでインストールするとプログラムの先頭にgが付く(expr→gexprとか)ので、 どうせbinutilsのインストール先にPATHを通すのだからそこに入れてしまうのが吉。要するにbinutilsと同じ --prefix をつけてコンパイルする単純作業するだけ。

ぷらっとで配っている 2.4.10ベースのカーネルをコンパイルしようとすると、アセンブラが PPC405拡張命令を認識できないと言って止まってしまう。PPC関連のパッチがクロスコンパイル用としては整備されていないようだ。 2.4.20-pre7 であればトラブルなし。とりあえずzImageまで通ったけどramdiskまで含めたファームウェアの構築はこれから。早くext3かReiserFSに到達したいー。

@ ramdiskイメージの構築

vnconfig -v -c vn0c ramdisk.image
mount -t ext2fs /dev/vn0c ./rd

MCP試験の受験記。受ける前に見ると役に立つと思う。たぶん。

いきなりWebメールサーバ立てることになりそうだったので…元々Courier-imapdは使ってたので Courier の中に入っているWebメールについて調べててここに。

@ インストール

@ 最初の起動

FreeBSDの jperl のアップデートを portupgrade でかけたら、Jcode.pmやらApache.pmを巻き添えにしたらしくチャットが動作不能に …というのが作業の6時間後ぐらいに発現したらしい。その頃はフロ入って寝るモードだったため回復がさらに遅れた。 modperlだとapacheのサブプロセスが生きてる限りライブラリの修正が反映されないからなー。

あとapache2経由だとCGI起動だったために関係なかった。

毎度ながら思ってるが、行政機関が「割安で」証明書発行してくれるようになってくれんかなー。世界最先端のIT国家を目指すんなら。

検索してたらひっかかってしまったのよー

courier-imap の設定が書いてあってそれはそれで役に立つのだが、portupgrade での /usr/local/etc/pkgtools.conf の中に MAKE_ARGS を書く話題がベリグー。 今までは 01make.sh というファイルを使って指定していたので echo /usr/ports/*/*/01make.sh で探し出して以下のように記述。

  MAKE_ARGS = {
        'databases/freetds'     => 'WITH_UNIXODBC=yes' ,
        'net/openldap2'         => 'WITH_SASL=yes' ,
        'net/net-snmp'          => '-DBATCH' ,
        'net/zebra'             => '-DBATCH' ,
        'security/cyrus-sasl'   => 'KRB5_HOME=/usr/local' ,
        'security/pam_krb5'     => 'KRB5_IMPL=mit' ,
  }

rpm並に楽で、しかも自分流のカスタマイズができてますますいい感じだ。

上げてみた。0.8のUnixODBC接続で SQLサーバ側が再起動した場合に再接続してくれない問題は解決したのだろうか…

@ Multiple MySQL vulnerabilities

テストマシンで入れてみた。でもファイアウォールだと結局ntpサーバ上げたいし、 ぶら下がってるのはWindows2000のWindowsTimeサービスだったりするしあんまり出番がない感じ。

内部的には安定運用に入ったんで、外部にも半分ぐらい導入。

字幕も原作翻訳者の監修が入ったらしいし買ってもいいかなーと店に行ったがなかった。ほんとに売れてるらしい。amazonで買うかのー

mmsプロトコルのムービーをダウンロードするソフト。インターフェースはしょぼいが必要最低限はこれでOK。コマンドライン版があるのもよい。

@ Hi Net Recorder

ログファイルだと圧縮すると10分の1ぐらいになったりするのでなんとなく圧縮したくなるけど、 「ログの保存期間に対してディスクの容量が足りない」ということがなくなってきた。

新規に立てるマシンだと40GBからスタートだからなあ…

@ qmail-smtpd 用 multilog

exec setuidgid qmails multilog n30 s999999 !"/usr/bin/bzip2" t ./main

HTTP/1.1では絶対URI 以外不可。事実上 http:// で始まってないといけない。

user-mode ppp だと10Mpbs前後だったパフォーマンスが、25Mbpsに上昇。結構効くな。

11月10日のどれみを見た時、マジカルエミのラストを思い出させるなーと思ったりしたので、似たように感じた人はいないのかと探した結果。

未森荘 で使っているのと同じ音符カウンターなところにも妙に親近感が。

今まで見た いのうえ歌舞伎(だよな) の中では一番面白かった。いつもは終盤話がまとまりつつあるところで「ふう」と一息ついてしまう場面があったと思うのだが、 今回は最後の最後まで緊張感が維持されている。やっぱアツヒロの演技好きだわ。

非力なマシンの再生にはリモートデスクトップ。

Flashに脆弱性 があるというので ダウンロードページ に行ってもアップデートしてくれないので、まずアンインストラーを実行する必要があった。

…やってみたら、Lunascapeで「ActiveXのダウンロード」を無効にしていたのが原因だった。 ダウンロードページには「コンピュータを再起動する必要があります」と書いてあるけど、実際にはIEを再起動するだけでOK。

通常のIP-VPN契約より安いVPN。思いっきり外界を通るIPsecなVPNソリューション。 Mucho-EV/PK ってまだまだ現役? 今だったら FITELnet の方がまめにファーム更新してていいと思うのじゃが。

個人的には「24時間保守」だったらどれも安いと思う。平日昼間のNetScreen25以上はちょっと高いんじゃないかなー。 ただし初期設定費用が別で、それがどれぐらいなのかが謎。

連続でそこそこ巨大なパッチがやってきたのでいい加減まじめにSUS運用しようかという気分。

@ グループポリシーへの変更を即時に反映させたい場合は？

リリースノート によると標準価格110,000円。RTX1000よりちょっと安いけど、たぶん市価は同じですな。機能もほどんど似ているけどPKIサポートが目玉かな。

OSPFがなくてBGP4なところと同時セッション数64が微妙。

3DESでも50Mbps以上

って本当なのかなあ。IPsec冗長構成 も気になるところ。

パラメータをあわせたら phase1 が通るところまでは確認できた。けど次に進まない。トンネルそのものの形成に失敗しているような雰囲気。

実際に運用しているIPv6トンネルの gif インターフェースにはIPv4アドレスを振っていないんだから、

ifconfig gif0 create tunnel <こっちのIP> <あっちのIP>

だけでいいはずなんだが…

@ man gif(4) の BUGS セクションより

@ FreeBSD/i386 5.0-DP2 Release Notes 2.1.4 Network Protocols

いっそSolrais9ってどうだろうと見に行ったら

お知らせ: 2002年12月4日付けでプログラム内容が変更されました。従来は用途に限らずシングルプロセッサコンピュータで Solaris 8/9 を無償でご使用頂けましたが、2002年12月4日以降は、教育機関における使用、評価目的での使用(60日間)、Solaris 用アプリケーションの設計/開発/テスト目的での使用に限りシングルプロセッサコンピュータでご使用頂けます。

こんなことが。今まで使ってたとこにも適用されるんかなあ…そうだったら撤収するだけだけど。

@ Intel版Solaris9

フレッツISDNのユーザーは対象外

帯域は足りると思うんだけど…うーん。

ftpでCDのイメージを落としつつセキュリティーパッチの当て方を調査。 セキュリティーとNetBSD に勧告が置いてあって、実際に勧告を読むと anonymousCVS からソースを持ってきて再インストールになっている。 リリースタグは netbsd-1-6 のような感じ。 CVSupも存在しているので、おそらくCVSupでこのリリースタグを指定すればいけるんではないかと… ググった結果で参考になりそうなページは これ とか これ 。

HDD のパーティション・スライスを切るためのインターフェースが激しく不親切なので、Xありのデフォルトをベースに /usr に2GB強、/var に残り全部 で割り当てた。

@ カーネルの名前は /netbsd

@ CDROMをマウント

mkdir /cdrom
echo '/dev/cd0a /cdrom cd9660 rw,noauto 0 0' >> /etc/fstab
mount /cdrom

@ パッケージのインストール

PKG_PATH=ftp://ring.asahi-net.or.jp/pub/NetBSD/packages/1.6/i386/All
export PKG_PATH
pkg_add -v tcsh-6.12.00.tgz
pkg_add -v sudo-1.6.6.tgz
pkg_add -v ja-less-358.tgz
pkg_add -v dante-1.1.13.tgz
pkg_add -v rsync-2.5.5.tgz
pkg_add -v pkgchk-1.30.tgz
pkg_add -v perl-5.6.1nb7.tgz

@ CVSup のインストール

PKG_PATH=ftp://ftp.mk.bsdclub.org/pub/NetBSD/CVSup/i386-1.6
export PKG_PATH
pkg_add -v cvsup-static-16.1.f.tgz

@ カーネル再構築

cd /usr
CVSROOT=:pserver:anoncvs@sup.jp.netbsd.org:/cvs/cvsroot
export CVSROOT
cvs login
  Passwd: anoncvs
cvs checkout src
cvs checkout pkgsrc

@ pkgsrc

hostname="tako.hoge.com"
auto_ifconfig=YES
ip6mode=autohost
rtsold=YES              rtsold_flags="-a"
sshd=YES

@ NetBSD-current 追っかけ日記

mkdir /usr/src-1.6
cd /usr/src-1.6
CVSROOT=:pserver:anoncvs@sup.jp.netbsd.org:/cvs/cvsroot
export CVSROOT
cvs login
  Passwd: anoncvs
cvs checkout -r netbsd-1-6-RELEASE src

@ /etc/mk.conf

MASTER_SITE_BACKUP=     \
        ftp://ring.asahi-net.or.jp/pub/NetBSD/packages/distfiles/ \
        ftp://ftp.jp.netbsd.org/pub/NetBSD/packages/distfiles/

MASTER_SORT= asahi-net.or.jp .jp

@ wget

@ daemontools, djbdns, qmail

@ apache2

@ sushi(8)

@ NetBSD の初期化とサービス制御

/etc/rc.local。PATHを指定しないと起動しないサービス多数だった。

env - PATH=/local/bin:/usr/pkg/bin:/usr/bin:/bin /bin/csh -cf '/usr/pkg/bin/svscan /var/service &'

/etc/rc.shutdown.local。svscan自体はいきなり落ちても問題なかろう。

/usr/pkg/bin/svc -dx /var/service/*/log
/usr/pkg/bin/svc -dx /var/service/*

RAIDframeだとrootパーティションもミラーできるらしい。

プライマリ側のHDDが死んだ場合にどうブートさせるかとかの運用に関するドキュメントは見つからなかった。 しかしrootパーティションは期間を決めてrsyncで同期取るぐらいの方が人為的ミスからの復旧に役立つような気もする。

@ NetBSD: RAIDframe

man ftp した。ftp ftp://ほげ は想像の範囲内だったが、ftp http://ほげ は予想外。 …ってFreeBSDでも確認したらftpがHTTPしゃべるよ。いつの間にそんなことに〜

ソース全部持ってきた後に /etc/weekly を動かして /var/db/locate.database を作成。locate fetch したら ftp のソースに fetch.c があるのが確認できた。

Windows2000でのRAMDISKの使い方。WindowsXPの場合は以下のようにここに置いてあるソースをちょっと改変してコンパイルする必要がある。

While you call the IoCreateDevice function (RamdiskAddDevice function in pnp.c), change the device type from FILE_DEVICE_VIRTUAL_DISK to FILE_DEVICE_DISK and recompile the driver. After you install the driver, restart the system in order to access the Ramdisk through Explorer

システムがゴミを勝手に作っては残すタイプのTEMPディレクトリには電源切ったら勝手に消えるドライブも有効かと。

/etc/ipconfig.pppoe0 はほぼ書いてある通りだが、pppoe0インターフェースの netmaskが 0xff000000 でつながるのは気持ち悪いので、0xffffffff にしておく。 フレッツなので mtu も 1454 にしておく。 papをchapにしてみたら通らなかった。

create
! /sbin/ifconfig fxp0 up
! /sbin/pppoectl -e fxp0 $int
! /sbin/pppoectl $int myauthproto=pap 'myauthname=XXX' 'myauthsecret=XXX' hisauthproto=none
inet 0.0.0.0 0.0.0.1 netmask 0xffffffff up mtu 1454

フレッツスクウェア用 /etc/ifconfig.pppoe1 を書けば2セッションに。

create
! /sbin/ifconfig fxp0 up
! /sbin/pppoectl -e fxp0 $int
! /sbin/pppoectl $int myauthproto=pap 'myauthname=guest@flets' 'myauthsecret=guest' hisauthproto=none
inet 0.0.0.0 0.0.0.1 netmask 0xffffffff up mtu 1454

/etc/ppp/ip-up と /etc/ppp/ip-down

#! /bin/sh

### outgoing route is defined in /usr/pkg/etc/zebra/zebra.conf
# /sbin/route add default $5

/sbin/ipf -y
/sbin/ipf -Fa -f /etc/ipf.conf
/usr/sbin/ipnat -CF -f /etc/ipnat.conf

/usr/pkg/bin/svc -t /var/service/sshd
/usr/pkg/bin/svc -t /var/service/ntpd
/usr/pkg/bin/svc -t /var/service/ipmon
/usr/pkg/bin/svc -t /var/service/zebra
/usr/pkg/bin/svc -t /var/service/ospfd
/usr/pkg/bin/svc -t /var/service/qmail
/usr/pkg/bin/svc -t /var/service/qmail-smtpd
/usr/pkg/bin/svc -t /var/service/apache2
/usr/pkg/bin/svc -t /var/service/sockd

/etc/ipf.conf はいつもの奴をインターフェース指定を変更。

/etc/ipnat.conf。mssclampで指定する値は 1454 ではなく 1414 になるので注意。rc.conf では ipnat の起動を指示しない。

map pppoe0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp auto mssclamp 1414
map pppoe0 192.168.0.0/24 -> 0.0.0.0/32 mssclamp 1414
map pppoe1 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp auto mssclamp 1414
map pppoe1 192.168.0.0/24 -> 0.0.0.0/32 mssclamp 1414

ルーティングは例によって zebra.conf に書いておく。

ip route 0.0.0.0/0 pppoe0 10
ip route 172.26.0.0/16 pppoe1 10

ospfd.conf に redistribute static metric 1000 を書いてフレッツ用のルーティングを配布。

@ tcpwrapper

@ フレッツスクウェア用 dnscache 設定

172.26.35.131
172.26.35.132

RTX1000でつないでいた回線をNetBSD化完了したので初期化。最初にtelnetするために前回はIPv4アドレスを割り当てていたが、今回はIPv6リンクローカルに挑戦。

LANに接続した後、ping6 -I fxp1 -n ff02::1 でLAN上にあるすべてのIPv6アドレスを調査 *1 。MACアドレスが機械の裏に貼ってあるのでそれと照合するとどれがRTX1000のリンクローカルアドレスか分かる。 でもって telnet fe80::2a0:xxxx:xxxx:xxxx%fxp1 すれば工場出荷状態のRTX1000にtelnetで入れた。 アドレス振り間違えてもtelnetで入れるIPv6マンセー。

つながったよー。最後の鍵はトンネル作成しているルータ・ファイアウォール上ではない 192.168.0.0/24側のマシンからpingを打つということだった。ファイアウォール上からのpingだと謎の発信元IPアドレス *1 が設定された状態。また、192.168.5.0/24 側(RTX1000の下)からだとトンネルが上がらない。 あと、ルータ・ファイアウォールを再起動した場合は、pingコマンドを再実行しないとダメだった。

NetBSD上の /etc/racoon/racoon.conf。NetBSDにぶら下がっているプライベートネットワークは 192.168.0.0/24

# "path" must be placed before it should be used.
# You can overwrite which you defined, but it should not use due to confusing.
path include "/etc/racoon" ;
#include "remote.conf" ;

# search this file for pre_shared_key with various ID key.
path pre_shared_key "/etc/racoon/psk.txt" ;

# racoon will look for certificate file in the directory,
# if the certificate/certificate request payload is received.
path certificate "/etc/openssl/certs" ;

# "log" specifies logging level.  It is followed by either "notify", "debug"
# or "debug2".
log debug2;

remote anonymous
{
        exchange_mode main,aggressive;
        # exchange_mode aggressive,main;
        doi ipsec_doi;
        situation identity_only;

        my_identifier address;
        # my_identifier user_fqdn "sakane@kame.net";
        # peers_identifier user_fqdn "sakane@kame.net";
        #certificate_type x509 "mycert" "mypriv";

        nonce_size 16;
        lifetime time 1 hour;   # 1時間 = 3600秒
        initial_contact on;
        support_mip6 on;
        proposal_check strict;    # obey, strict or claim

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 2 ;    # 2 は modp1024 と同じ
        }
}

sainfo anonymous
{
        pfs_group 2;
        lifetime time 1 hour;   # 1時間 = 3600秒
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}

proposal_check は当初 obey でやっていたが、strict の方が再接続に対して快調な感じ。

NetBSD上の /etc/ipsec.conf は以下のファイルを eruby に通して作成した。

<%
net1='192.168.0.0/24'
tunend1='＜RTX1000のグローバルIPを指定＞'
net2='192.168.5.0/24'
tunend2='＜NetBSDのグローバルIPを指定＞'
%># ipsec.conf
# ESP tunnel from <%=net1%> to <%=net2%>
#                 <%=tunend1%> <%=tunend2%>
# this file is created from /usr/local/etc/racoon/ipsec.conf.eruby
flush;
spdflush;

# do not use 2 lines shown below with racoon
#add <%=tunend1%> <%=tunend2%> esp 9991 -E simple "himitu1";
#add <%=tunend2%> <%=tunend1%> esp 9992 -E simple "himitu2";

spdadd <%=net1%> <%=net2%> any
    -P out ipsec esp/tunnel/<%=tunend1%>-<%=tunend2%>/require;
spdadd <%=net2%> <%=net1%> any
    -P in  ipsec esp/tunnel/<%=tunend2%>-<%=tunend1%>/require;

/etc/racoon/psk.txt には RTX1000のIPアドレス・パスワードを書いておく。

RTX1000 の設定。基本的にはYAMAHAに置いてある IPsec 設定ガイド にある通りだが、racoonに書いたパラメーターを明示的に追加。 aaa.bbb.ccc.ddd はRTX1000に振ったグローバルアドレス。RTX1000にぶら下がっているプライベートネットワークは 192.168.5.0/24

ip lan1 address 192.168.5.1/24
ip lan1 proxyarp on
ip lan2 address aaa.bbb.ccc.ddd/29
ip lan2 nat descriptor 1
tunnel select 1
ipsec tunnel 101
tunnel enable 1
ip route 192.168.0.0/24 gateway tunnel 1
ip route default gateway 61.206.152.65 metric 10
nat descriptor type 1 masquerade
nat descriptor address outer 1 aaa.bbb.ccc.ddd
nat descriptor address inner 1 aaa.bbb.ccc.ddd 192.168.5.1-192.168.5.254
nat descriptor masquerade static 1 1 aaa.bbb.ccc.ddd udp 500
nat descriptor masquerade static 1 2 aaa.bbb.ccc.ddd esp
ipsec auto refresh on
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike encryption 1 3des-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike local address 1 aaa.bbb.ccc.ddd
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ヒミツ
ipsec ike remote address 1 ＜NetBSDのグローバルIPを指定＞
ipsec sa policy 101 1 esp 3des-cbc sha-hmac

IPSec on FreeBSD にはgifを使ったトンネルが紹介されていたが、今回 gif は何の関係もなし。実はFreeBSDでも出来たのかなあ…

@ FreeBSD IPsec mini-HOWTO

@ PFS (Perfect Forward Security) をやめる …のは失敗

sainfo anonymous
{
        # pfs_group 2;
	以下略
}

@ スループット

@ phose2 のみ AESにしてみた

sainfo anonymous
{
        pfs_group 2;
        lifetime time 1 hour;
        encryption_algorithm rijndael, 3des, des ;
        authentication_algorithm hmac_sha1 ;
        compression_algorithm deflate ;
}

ipsec sa policy 101 1 esp aes-cbc sha-hmac

# show ipsec sa

sa   sgw connection   dir  life[s] remote-id
--------------------------------------------------------------------------
1    1   isakmp       -    3565    NetBSDのIP
2    1   tun[001]esp  send 3572    NetBSDのIP
3    1   tun[001]esp  recv 3572    NetBSDのIP

SA[1] 寿命: 3565秒
自分側の識別子: RTX1000のIP
相手側の識別子: NetBSDのIP
プロトコル: IKE
SPI: c6 56 0b 54 9b 1a d2 76 cd 85 cf 70 45 ba f8 84
鍵 : ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[2] 寿命: 3572秒
自分側の識別子: RTX1000のIP
相手側の識別子: NetBSDのIP
送受信方向: 送信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 0f fd ec 20
鍵 : ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[3] 寿命: 3572秒
自分側の識別子: RTX1000のIP
相手側の識別子: NetBSDのIP
送受信方向: 受信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 06 de c0 23
鍵 : ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------

NetBSDのIP RTX1000のIP
        esp mode=tunnel spi=115261475(0x06dec023) reqid=0(0x00000000)
        E: rijndael-cbc  ほげほげ
        A: hmac-sha1  ほげほげ
        seq=0x0000008b replay=4 flags=0x00000000 state=mature
        created: Dec 24 11:09:34 2002   current: Dec 24 11:11:54 2002
        diff: 140(s)    hard: 3600(s)   soft: 2880(s)
        last: Dec 24 11:11:54 2002      hard: 0(s)      soft: 0(s)
        current: 16680(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 139  hard: 0 soft: 0
        sadb_seq=2 pid=666 refcnt=2
RTX1000のIP NetBSDのIP
        esp mode=tunnel spi=268299296(0x0ffdec20) reqid=0(0x00000000)
        E: rijndael-cbc  ほげほげ
        A: hmac-sha1  ほげほげ
        seq=0x0000008b replay=4 flags=0x00000000 state=mature
        created: Dec 24 11:09:34 2002   current: Dec 24 11:11:54 2002
        diff: 140(s)    hard: 3600(s)   soft: 2880(s)
        last: Dec 24 11:11:54 2002      hard: 0(s)      soft: 0(s)
        current: 8340(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 139  hard: 0 soft: 0
        sadb_seq=1 pid=666 refcnt=1

ping打ちっぱなしにしていたところいつの間にか通らなくなった。どうもphase2の更新に失敗しているっぽい。まだまだ分からないことが多い〜 両方とも初期化したら通るようになったが原因追及せねば安定して使えん。

調査すると、RTX1000側のsaが消えて NetBSD側のsaが残っている状態。つながった直後の有効期限は両方とも1時間になってるのになあ。 なんか180秒ぐらいで死ぬ。NetBSD側で setkey -f /etc/ipsec.conf とやるか、racoonを再起動するか どちらか一方で回復。 RTX1000側はがんばってphase2確立しようとしている雰囲気なのでracoon側の設定の問題だと思うのだが。

@ racoon.conf の initial_contact off

@ racoon.conf の generate_policy on

＜RTX1000のIP＞[any] ＜NetBSDのIP＞[any] any
        in ipsec
        esp/tunnel/＜RTX1000のIP＞-＜NetBSDのIP/＞require
        created: Dec 24 16:23:50 2002  lastused: Dec 24 16:23:50 2002
        lifetime: 3600(s) validtime: 0(s)
        spid=7 seq=4 pid=410
        refcnt=1
＜NetBSDのIP＞[any] 61.206.152.68[any] any
        out ipsec
        esp/tunnel/＜NetBSDのIP＞-＜RTX1000のIP＞/require
        created: Dec 24 17:09:02 2002  lastused: Dec 24 17:09:02 2002
        lifetime: 3600(s) validtime: 0(s)
        spid=12 seq=0 pid=417
        refcnt=1

root権限で build.sh (オプションなし)を実行したらインストールまで全部完了されてしまった。ただしカーネル以外。 build つーぐらいだからインストールしないもんだと思ったのにー。

phase2までは何の問題もなし。MR104DV側のVPNステータスで見ると、NetBSDの下からMR104DVまでespなパケットが到達している模様。 でもMR104DVからパケットが来ない。SPIを見る限り両方向ともsaは出来ているのに。

…MR104DV自体はデフォルトだとpingを返さない仕様なのでそれが原因の可能性大。リモートで設定中でその他にpingを返してくれそうなマシンが向こうのセグメントに無いため今日のところは中断。 もしかすると一発で成功してるかも。

@ セキュリティ オプション IPsecパススルー

IBM Password ManagerはPCに搭載されたセキュリティーチップを使用して、それらの重要なデータを暗号化して保存するので、ハードディスク内を覗かれても他人がパスワード情報を盗むことはできません。

また、IBM Client Security Softwareに登録されたユーザーは登録された任意のアプリケーションや様々なWEBサイトへアクセスするユーザーIDやパスワードの代わりに、パスフレーズや指紋認証を使用してログインすることができます。これにより、様々なWEBサイトやパスワードを使用するアプリケーションへのアクセスのために覚えなければいけなかったたくさんのユーザーIDやパスワードの代わりに同一のパスフレーズや指紋認証だけですべてログインできるようになります。つまりローカルPC内でのシングル・サインオン環境が実現できます。

Client Security Software をフツーの人に勧める際のメリットとして分かりやすい。

@ IBM Client Security Software V5.01

記事はWindowsXPだが実際に作業したのはWin98。 Win98でのインターネット接続の共有の開始の仕方。

インターネット接続の共有が内側に配るアドレスとしては 192.168.0.0/24 が強制されるようで、ADSLモデムがDHCPで配るアドレスが 192.168.0.0/24 だったのを 192.168.2.0/24 に変更する必要があった。

ただし XPであればブリッジになる ことも可能なようだ。

@ ICSの基本設定（Windows 98 SE編）

こいつはIDE RAID組む際の候補としてナイス。しかし3月発売予定かー

転送先の電話番号登録(関東)は menu-1722、転送サービスの開始は menu-1721、転送先電話番号の確認は menu-175、解除は menu-174、 転送前の呼出時間設定は menu-171-数値設定-menu-onhook

転送先の電話番号登録は 070-XXXX-0142 にかけて 2→電話番号→9。 転送電話開始は 070-XXXX-0142 にかけて 1→1→9。 転送電話終了(留守番電話開始)は 070-XXXX-0142 にかけて 1→2→9。 留守番電話も止めるときは 070-XXXX-0142 にかけて 0。

1時間ほど(最初の島を出るまで)やってみた。激しく3D酔い。時のオカリナの場合 Zボタン連打でもしない限りは視点移動が穏やかだったのが、 Cレバーちょこっと触るだけでがんがん視点移動してくれて頭がおいつかない。…といったあたりに歳を感じてみたり。

家の中の出入口近辺での視点移動が強烈なのがいけなかった感じもする。本編に入ったら気にならないようになってるといいなあ。 あまり酔うようだったら14インチディスプレイでのプレイになるかも。

14時頃の調査。JPhoneがかかりずらいが、AU(CDMA),NTTP,FOMAはいずれも特に問題なし。