Network
2010年06月02日
ustream実験
EeePCの内蔵WebCamでできるんかいなと実験。
ustreamを使って何をするかはあとで考えるとしてできるかどうか実験してみた。幸いEeePCにはWebCamが内蔵されているので簡単かなーと思ってやってみた。ustreamへの登録をちょいちょいとすませたあとに自分の放送チャンネルを作ってBroadcast Nowだけか。Flashを使っているので楽チンだと。簡単だねー。検索にひっかかるようにするにはどこでキーワードを書くのかだけ悩む。ライブの画面のところで書くというだけですかね。
iptableで接続を制限
久しぶりにさわったんで忘れていたよ。
大体は次のような感じでちょいちょいと。ESTABLISHEDとか書くのを忘れていたよ。なぜか繋がらないよーとかやっていたのは当たり前の話だった。ちなみにポリシーをDENYにしてないのはめんどくさかったから。
# iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,25,53,80 -j ACCEPT # iptables -A INPUT -i eth0 -p tcp -j LOG --log-prefix 'LOG-REJECT: ' # iptables -A INPUT -i eth0 -p tcp -j REJECT
2010年03月16日
VDSL装置故障
なぜかフレッツがおかしいと思ったら。
PCを起動したらなぜかDHCPで拾えない。何やっても駄目でCTUの故障かねとNTTに電話。VDSL装置が異常だって。業者が来て治していった。停電の影響らしい。それはそうとしてひかり電話だったら大変だっただろうなあとか思いつつ。
2009年03月30日
stoneって便利だな
ファイアウォールの内側からproxyでごにょごにょするのが楽。
何が楽ってコンパイルが楽。ファイルが2つしかない。適当にやってもなんとかなる。サーバにsshで入れない状況のときにサーバー側から
ssh -R sport:127.0.0.1:dport host
とかやれば転送が効くので stone proxy sport とやる。
2009年01月21日
fail2banでtrackback spamを防ぐ
fail2banでうっとうしいtrackback spamを追い出そうとした。
fail2ban-regexで実験しようとしたら…???初期設定のものをテストしても一切引っかからないのはなぜに? と調べたら 0.7.5-2etch1は駄目だけど0.8.3-2では大丈夫。バグなのか? よくわからん…。
filter.d/zope-plone-trackback.confを作成して次のように設定。適当すぎるがまあいい。
failregex = <HOST> - - .*/trackback HTTP
jai.confに次のように設定。
[zope-plone-trackback]
enabled = true
port = http,https
filter = zope-plone-trackback
logpath = /var/log/apache2/access.log
maxretry = 6
こんな感じでやったら
# iptables -L fail2ban-zope-plone-trackback
Chain fail2ban-zope-plone-trackback (1 references)
target prot opt source destination
DROP 0 -- 92.48.127.153.svservers.com anywhere
RETURN 0 -- anywhere anywhere
とかなったので大丈夫かなと。
が、しかーし、逆引きはあるけど正引きがないという恐しいところホストがあった! log に逆引きで記録してあるから IP がわからないので規制できないというよくわからん話が…。
2009年01月15日
不況ネタ
まあ、どうでもいいんですけど
ノーテルがChapter 11申請ですかー。
2009年01月12日
OpenVPN 実験
CA作るのが面倒かと思ったが共有鍵でやる方法で簡単にできるようなのでやってみた。ひじょーに簡単。
サーバー: 192.168.1.2/24 ・ GW: 192.168.1.1/24 ただし NATで 172.16.1.2/24 ・ 172.16.1.1/24 で外に公開されているものとする。クライアント側は意識の必要はないが172.16.10.1だとする。GWでUDP/1192をあけておくこと。
openvpn --genkey --secret static.keyで共有秘密鍵を作成してサーバーとクライアントで保持。
サーバー側のconfigは以下のとおり。server.confとする。
dev tun10.8.0.1とかは好きに決めていい。
ifconfig 10.8.0.1 10.8.0.2
secret static.key
クライアント側は次のとおりでclient.confとする
remote 172.16.1.2これでサーバー側に10.8.0.1が割り当てられクライアントに10.8.0.2が割り当てられる。
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret static.key
サーバー側で
# openvpn --config server.confクライアント側で
# openvpn --config client.confと実行する。サーバー側の出力が
Mon Jan 12 16:33:56 2009 OpenVPN 2.0.9 i486-pc-linux-gnu [SSL] [LZO] [EPOLL]クライアント側が
built on Sep 20 2007
Mon Jan 12 16:33:56 2009 IMPORTANT: OpenVPN's default port number is now 119
4, based on an official port number assignment by IANA. OpenVPN 2.0-beta16
and earlier used 5000 as the default port.
Mon Jan 12 16:33:56 2009 TUN/TAP device tun0 opened
Mon Jan 12 16:33:56 2009 ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Mon Jan 12 16:33:56 2009 UDPv4 link local (bound): [undef]:1194
Mon Jan 12 16:33:56 2009 UDPv4 link remote: [undef]
Mon Jan 12 16:34:11 2009 Peer Connection Initiated with 172.16.10.1:1194
Mon Jan 12 16:34:12 2009 Initialization Sequence Completed
Mon Jan 12 16:34:01 2009 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL]という具合になれば成功している。互いにpingを飛ばすなりして確認すること。
[PKCS11] built on Sep 18 2008
Mon Jan 12 16:34:01 2009 IMPORTANT: OpenVPN's default port number is now 1194, b
ased on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earl
ier used 5000 as the default port.
Mon Jan 12 16:34:01 2009 /usr/sbin/openvpn-vulnkey -q static.key
Mon Jan 12 16:34:01 2009 WARNING: file 'static.key' is group or others accessible
Mon Jan 12 16:34:01 2009 TUN/TAP device tun0 opened
Mon Jan 12 16:34:01 2009 /sbin/ifconfig tun0 10.8.0.2 pointopoint 10.8.0.1 mtu 1500
Mon Jan 12 16:34:01 2009 UDPv4 link local (bound): [undef]:1194
Mon Jan 12 16:34:01 2009 UDPv4 link remote: 172.16.1.2:1194
Mon Jan 12 16:34:11 2009 Peer Connection Initiated with 172.1.6.2:1194
Mon Jan 12 16:34:12 2009 Initialization Sequence Completed
このままではクライアントが192.168.1.2にはアクセスできるが 192.168.1.0/24 にアクセスできるわけではない。ネットワーク全体にアクセスしたい場合には次のcliet.confに足す。
route 192.168.1.0 255.255.255.0gwに10.8.0.2/32へのルーティングを192.168.1.2に向けるようにルーティングを付け足すこと。さらに /proc/sys/net/ipv4/ip_forwad = 1にすること。
2008年11月15日
Linuxでルーティングの勉強
LinuxでOSPFなどの勉強をしよう。
NIC2枚挿しPCを集められないのでVMware上で作成する。bridgeネットワークにしておいて eth0とeth0:0に割り振る。
- lr01 192.168.100.71/24, 172.16.71.1/24, 172.17.71.1/24
- lr02 192.168.100.72/24, 172.16.72.1/24, 172.17.72.1/24
と作成する。
lr01にquaggaをインストールする。zebra.confをexampleからコピーしてくる。/etc/quagga/daemonも修正してzebra=onにする。これでquaggaが起動する。telnet localhost zebraで接続を確認。vtyshで接続するとまとめて設定できるので便利。そうじゃないとルーティングプロトコルごとにtelnetで繋ぐ必要があるので面倒。
! lr01
router ospf
network 172.16.71.0/24 area 0.0.0.1
network 192.168.100.0/24 area 0.0.0.0
! lr02
router ospf
network 172.16.72.0/24 area 0.0.0.2
network 192.168.100.0/24 area 0.0.0.0
という感じになる。 互いに172.16.71.1と172.16.72.1にpingが通るにOSPF動かしているルータからルーティング情報を拾ってきたのできっと大丈夫だろう。あとはshow ip ospf interface とか show ip ospf neighbor とかで確かめてみりゃOK。ただeth0とeth0:0はL2で同じところに繋がっているちょっと自信持てない。
次はBGP。基本はASを設定して自分の持ってるネットワークを隣のルータに教えるということか。
! lr01
router bgp 65071
bgp router-id 172.17.71.1
network 172.17.71.0/24
neighbor 192.168.100.72 remote-as 65072
! lr02
router bgp 65072
bgp router-id 172.17.72.1
network 172.17.72.0/24
neighbor 192.168.100.71 remote-as 65071
あとはshow ip bgpとかで確認。
2008年06月15日
Interop 2008
L2・L3は終わったのか。ネットワーク屋は死ぬしかないのか。
4コマまで縮小されてしまってはどうしようもない。Ciscoがブースを出してないという時点で衝撃を受ける。ShowNetも最終という噂もあるし、来年は3コマという話も聞く。大体スイッチの売りがCO2の削減と言っている時点で行き詰まりを現している。L2/L3の世界だけではやっていけないということか。
展示内容に疑問を示すと明らかに不愉快そうに話をするNTT Comの説明員は首吊ってこい。
2008年05月28日
MRTGでいろいろ取るには
MRTGに便利な機能があるわけじゃないので…。
2008年04月18日
TFTPをちょっと
TFTPをちょっと使う。
えーと、SunでNetbootをやっていたころ以来か?
apt-get tftpでさっと入れる。inetd.confを編集してパスを変更。最初書き込めなかったのはあらかじめ作った空ファイルのファイル名を間違えていただけというどうでもいい結論。
2008年02月10日
ライブラリのSSL証明書検証について
気になったのでざっと調べてみる。いろいろな言語のHTTPSを扱うライブラリで期限切れのSSL証明書を使っているサイトにアクセスしてみる。
- Ruby - open-uriを使ったら OpenSSL::SSL::SSLError: certificate verify failed となった
- Python - urllibを使ったらそのままスルー
- PHP5 - cURLを使ったら curl_execが FALSEを返すようだ。他のcURLも同じかな?
2008年01月24日
ネットワークエンジニアとして
日に日に馬鹿になっていく気がする。
- RIPはブロードキャスト。OSPFは隣接ルータを指示する。RIPはhorizenがある。
- Deffie-Hellmanを忘れるなー。適当にやっているのがよくわかる。
- Ciscoやったことないのはやばい。正確にはやったことがあるが10年以上昔だ。Zebra(Quagga)ってどうなんだっけ。
- Stevensの本は読み返すこと。
- NATもポートがどうの?うーん、ハードウェアとかあったしな。NATの通常のトラブルじゃないことは間違いない。
- GREトンネルってなんだったけ
- iptablesで全部ログを取ることもあったような。sshのbrute forceを叩き落とすとか。
落ち着いて考えればすぐに思い出せるはずなんだが。 技術的でないトラブル解決ばかり上手くなっていく…。
まとめるとネットワークエンジニアとしてのレベルがどんどん下がっているということ。
2007年12月27日
動画サイト
なんか笑うしかない状況。
自分は黙ってCD聞いてます…。
2007年09月09日
xorp
xorp - eXtensible Open Router Platform
ソフトウェアによるルーティング実装。BGP・OSPF・RIP等々サポート。Quaggaとの違いは本家のサイトのFAQにある。オペ側にとってはインターフェースが一つということが特徴のようだ。プロトコル毎に複数あった。BSDだから組み込みに使いやすいよとあった。どこかで実験してみないといけないな。
2007年08月11日
snmpd
Debianでsnmpdの設定。
単にデータが取れなくて悩んだという話。communityは設定したしなんでだろうと思ったが。/etc/defautl/snmpdのSNPDOPTSで127.0.0.1だけに制限されていた。
あとは disk / 10000 だとかつけていく。
2007年07月26日
nsd
authoritative name domain server
authoritiのみのネームサーバー。recursiveはやってくれません。slaveだけやらせようと思ったら2.xではゾーン転送をSOAで判断するということをやってくれないので躊躇。3.xはSOAを見るようになったそうだ。ゾーンファイルのマニュアルがないなと思ったらBINDとほぼ互換。RFC1035なのかな。
2007年07月21日
packit
Network Injection and Capture
ethernetのパケットを作成してキャプチャできる
ARP poisoningの実験をしたかった。
packit -m inject -t arp -x 192.168.0.2 -X 1:2:3:4:5:6 -E 6:5:4:3:2:1
とかやってみる。-Eが送信先。
2007年07月09日
QuaggaでRIP
dynamic routingをやろうとおもってQuaggaを入れる。RIPをとりあえずやってみる。
うまくいかない。
rip_read: cannot find interface for packet from 192.168.*.254 port 520
となる。何が原因かね。
原因判明。ripdだけ上げていたから駄目だったようだ。zebraも立ち上げないと駄目だった。見事にRIPを拾うようになった。
設定はtelnetで2601番(zebra)・2602番(ripd)に入ればOK。writeでファイルに書き出してくれる。面白いよね。(あたり前なんだが)quaggaをさわっているとむかしむかーし遊んでいたCiscoを思い出す。
結構RIPは使えるんだなという感想。ルーティングの本を読んでRIPがなんとなく嫌だったんだが、小規模ネットワークには十分ですな。スタティックをかきまくるよりはずっといい。
2007年04月16日
FON実験
無線LANのPCを調達して実験。
- FON_APアクススポイントに接続
- FONの登録ページおかしくないか? 同じ項目が二つあったりして意味わからん。
- MyPlaceはWPAで。S/Nがパスワードになっている。
- FON_APからは内側のネットワークにはアクセスできないようになっているようだ。が、微妙なネットワーク構成だと微妙なことになりますね。
