第142日目:root弟(´・ω・`)と社内サーバでiplをお勉強です・・・
|
どうも、('A`)です。
いやあ、前回の日記をアップした後、えらい目に会いまして・・・
ニュースにもなったので皆さんご存じだと思いますが、データセンターに接続できない
状態になりまして、、、詳しい事はコチラにまとめてあります。
あ、3/17時点ではもう落ち着きまして、サーバ達も元気に動いています。
で、7.3Rのamd64とi386を社内サーバにインストールしてカーネルをいじったり、
ULEスケジューラの不具合のpatchファイルをサーバ構築時に使うパッケージ群に
反映させたりしていると、浮かない顔をしたroot弟(´・ω・`)に声かけられました。
('A`):「どしたの?沈んじゃって・・・」
(´・ω・`):「FreeBSDではファイヤーウォールがカーネルモジュールとして在って、
簡単に使えるって聞きまして・・・」
('A`):「あー、はいはい。」
(´・ω・`):「で、/boot/kernelにipl.koってあるんで、試しにローディングしたら・・・
サーバが応答しなくなって、、、再インストールする破目になって。。。」
('A`):「ありゃりゃ、いきなりやっちゃダメだよ。」
(´・ω・`):「すみません。」
|
実はroot弟(´・ω・`)の話を聞いて、何だったけ?となりまして、念の為
googleさんで調べたら、、、、自分の日記が引っかかっちゃった・・・トホホ。
ちなみに第21日目です。
ちょうどロードバランサー(aniki)を作っていた時にipfwを触ってみたんだった。
脳梗塞で入院する前の、元気だった頃の事だ。懐かしいなあ・・・
(´・ω・`):「あ、使ってたんですね?」
('A`):「うん、でも、あんまり覚えてないなあ。試しに社内サーバで動かしてみよう」
(´・ω・`):「お願いします(涙」
|
で、FreeBSDではiplというのとipfwの2種類のモジュールがありまして、こいつが
簡単に起動できちゃうんだけど、厄介なやつでして。
デフォルトでは「全て遮断」なのですよ、ハイ。
ですから、レンタルサーバとか借りている人(実機を直接操作できない環境の人)は
気をつけて下さい。
('A`):「じゃあ、いくよ。 kldload ipl.ko ポチっとな」
(´・ω・`):「あ、メッセージが出てきた。」
|
ipfw2 (+IPV6) initialized, divert loaderble, nat loaderble,
rule-based forwarding disabled, default to deny, logged disabled.
('A`):「じゃあ、SSHでログインできるか、試してみて。」
(´・ω・`):「はいー、お待ちを。。。」
数分後、
(´・ω・`):「ダメでした。」
('A`):「だろうねえ。見てごらん。」
(´・ω・`):「あ、NTPなんちゃらって出ていますよ。」
('A`):「そうだね。これはこのサーバがNTPサーバと通信しようとしたのが
拒否されたんだよ。」
(´・ω・`):「自分自身が通信したのに?」
('A`):「そう。だってNTPサーバとiplは別物だからね。じゃあ、
設定はどうなっているか見てみよう。ipfw list ポチっとな」
|
65535 deny IP from any to any.
(´・ω・`):「これだけですか?」
('A`):「判りやすいね。直訳すると どんなところからのIPを拒否します、っと
言ってるんだよ。」
(´・ω・`):「ウヘッ!」
('A`):「なので、モジュールをローディングして稼働させる前に、保険として
この内容で、/etc/ipfw.confを前もって作っておくんだよ。」
|
add 65530 allow all from any to any
(´・ω・`):「えーと、メモ、メモっと。」
('A`):「で、あとは /etc/rc.conf に以下の2行を追加してから、サーバをリブート」
|
firewall_enable="YES"
firewall_type="/etc/ipfw.conf"
('A`):「じゃあ、もう一回動かしてみるよ。reboot っと。。。うん、試してみて。」
(´・ω・`):「はいー、お待ちを。。。」
数分後、
(´・ω・`):「ログインできました。」
('A`):「うんうん。さて、ipfw list ポチっとな」
|
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65530 allow ip from any to any
65535 deny ip from any to any
(´・ω・`):「SSHからコマンド叩いても、同じ結果になりました。」
('A`):「うんうん。ポイントは65535よりも若い番号で全部allowの行を付け加える事。
でもね、これは結果的にノーガード状態だからね。
この状態から、いろんな条件を /etc/ipfw.confに記述するんだよ。」
(´・ω・`):「はいっ!」
('A`):「しかしまた、何だってファイヤーウォール動かそうと思ったの?」
(´・ω・`):「えーと、アクセスを規制しなきゃいけない時の勉強です・・・
方法だけでも知っておけば、いざという時に役立つだろうなあ、と。」
('A`):「あるほど・・・そうだ。何かおすすめの設定方法の雛型なんか考えてよ。
いつか日記で発表できる様に、ね・・・」
(´・ω・`):「うーん、うーん、、、、」
|
勉強熱心な子です、root弟(´・ω・`)は。
負けない様に頑張らなきゃ・・・
さて、7.3RはRC2まで出ましたが、RELEASE版はまだです。
予定より2週間遅れというところでしょうか?
(この日記を書いたら、次の日に現れたりして・・・)
そうだ、今日ニュースをチェックしたら、CNET Japanでこれを見つけました。
キヤノン、ドメイン名「.canon」を申請へ--取得活動を開始
.canonですか・・・取得できたらすごいなあ。
というか、色々大変だろうなあ。Verisignが管理するのかなあ。
どこが窓口になるのか、どういう手順で申請するのか、見守っていきたいですね。
(.maido3とか.2chとかも可能なのかなあ・・・)
あんまり書くと、「おいっ、('A`) ちょっとドメイン取れるか、やってみろよ!」なんて
火の粉を浴びるかもしれないので、ここらへんで止めておきます。
それでは、また。
|
|
|
|
|