タグ:ネットワーク ( 81 ) タグの人気記事
RTXルータでパケットフィルタのログを確認する
ヤマハのRTX1100ルータでフィルタリングの設定をしたのですが、どうもうまく行ってないような感じがするので、フィルタされたかどうかログを確認しようと思いました。
show log コマンドでログが確認できますが、デフォルト設定ではパケットフィルタされた情報は残りません。

RTXには以下の3つのログタイプがあります。

NOTICE : パケットフィルタリングで、落としたパケットの情報
INFO : 通常の情報(デフォルトで有効)
DEBUG : 障害解析などの為に、ISDNやPPPのデバッグ情報



今回はパケットフィルタされた情報が欲しいので以下のように NOTICE タイプのログを有効にします。

syslog notice on


これで通信を試しログを表示して見ました。


show log

1980/03/13 15:57:20: LAN1 Rejected at OUT(10000) filter: TCP 10.10.210.23:110
> 192.168.0.10:1374
1980/03/13 15:57:23: LAN1 Rejected at IN(5000) filter: UDP 192.168.0.10:138 >
192.168.37.255:138
1980/03/13 15:57:23: LAN1 Rejected at OUT(10000) filter: TCP 10.10.210.23:110
> 192.168.0.10:1374



フィルタされていると上記のようなログが出ます。

ログの削除は下記コマンドで出来ます。

clear log


調査が終わったら、下記コマンドでログの出力を停止しておくのが良いでしょう。

no syslog notice


なお、RTXルータはリセットすると日時までリセットされるようなので、リセット後は日時の設定をしておいたほうが無難です。
また、NTPのスケジュールを仕掛けておくといいと思います。

date yyyy/mm/dd
time hh:mm:ss

↓ntpで時刻合わせしたほうが楽だと思います。
ntpdate xxx.xxx.xxx.xxx
↓毎日1:00に時刻合わせを行います。
schedule at 1 */* 1:00 * ntpdate xxx.xxx.xxx.xxx


現在の日時は以下のコマンドでわかります。

show environment


参考:
fujishinko 雑記帳 : YAMAHA RTX1100に関するメモ
ヤマハルータでログを取得する(syslog機能)公開 : マロンくん.NET
[PR]
by jehoshaphat | 2014-02-03 00:04 | ネットワーク | Trackback | Comments(0)
VMware ESXiのネットワークアダプタを変えてみた(Solaris10 5/08)
VMware ESXi5.0 を使っていますが、今までネットワークアダプタは何気なく E1000 を使っていました。
テスト的に作った Solaris10 のゲスト環境でもE1000でした。

あまりアダプタで違いはないと思っていたんですが、どうやら結構違いあるようです。
詳しくは、VMware KB: 仮想マシンに使用するネットワーク アダプタの選択で解説されています。

簡単に言うと E1000 は Intel 82545EM ギガビット イーサネット NIC をエミュレーションしているようです。ほとんどのゲストOSでこのNICは利用できるようです。

VMXNET3 はパフォーマンス向上のために設計された準仮想化NICのようです。
Solarisは 10 U4 以降なら使えるようです。

今回のSolarisは以下の様なバージョンでした。

# cat /etc/release
Solaris 10 5/08 s10x_u5wos_10 X86
Copyright 2008 Sun Microsystems, Inc. All Rights Reserved.
Use is subject to license terms.
Assembled 24 March 2008


Solaris10はアップデートが 5/08 とか 8/07 とかの名称になっていますが、VMwareのサイトには Update4 以降の対応と有ります。
Solaris 10 オペレーティングシステム アップデートリリース情報でどれが何番目のアップデートかわかります。

今回は 5/08 で5番目のアップデートなんで、VMXNET3は対応できるということになります。

VMwareの設定画面でE1000のアダプタを削除し、新たにVMXNET3のアダプタを作成します。

その後起動して ifconfig を叩いてみます。

bash-3.00# ifconfig -a
lo0: flags=2001000849 mtu 8232 index 1
inet 127.0.0.1 netmask ff000000

まだ設定していないので、自身のアダプタしか出てきてませんね。

dladmで一応アダプタを確認してみます。

bash-3.00# dladm show-dev
vmxnet3s0 リンク: unknown 速度: 0 Mbps デュプレックス: unknown

ちゃんと認識はしているようですが、無効なので unknown になっています。

NICを有効にしてやります。

bash-3.00# ifconfig vmxnet3s0 plumb

bash-3.00# dladm show-dev
vmxnet3s0 リンク: down 速度: 0 Mbps デュプレックス: full

unknownではなくなりました。VMwareの設定で非接続にしているのでdownになっています。
この状態でifconfigを叩いてみました。

bash-3.00# ifconfig -a
lo0: flags=2001000849 mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
vmxnet3s0: flags=1000802 mtu 1500 index 2
inet 0.0.0.0 netmask 0
ether 0:50:56:xx:xx:xx

IPが設定されていないようです。
(Solaris)NICが2つある場合のIP設定で書いたようにインターフェイスとホスト名を、設定ファイル名で結びつける必要があります。IPは今までE1000で使っていたのを使うので、以下のようにファイルをリネームしました。

bash-3.00# mv /etc/hostname.e1000g0 hostname.vmxnet3s0

これでリブートします。

shutdwon -y -g0 -y6

再起動後ちゃんとネットワークが接続できるようになりました。
ベンチマークはとってないですが、どれくらいパフォーマンスがあがるもんなんでしょうね。
[PR]
by jehoshaphat | 2014-01-23 07:33 | 豆知識 | Trackback | Comments(0)
(Linux)NICのリンク速度を知りたい
Linuxでネットワークインターフェースのリンク速度を表示する方法です。ethtoolコマンドを使うといいようです。

# ethtool em1
Settings for em1:
Supported ports: [ TP ]
Supported link modes: 10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
1000baseT/Full
Supported pause frame use: No
Supports auto-negotiation: Yes
Advertised link modes: 10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
1000baseT/Full
Advertised pause frame use: No
Advertised auto-negotiation: Yes
Speed: 100Mb/s
Duplex: Full
Port: Twisted Pair
PHYAD: 2
Transceiver: internal
Auto-negotiation: on
MDI-X: on
Supports Wake-on: pumbg
Wake-on: d
Current message level: 0x00000007 (7)
drv probe link
Link detected: yes

上の例だと1GbpsのNICですが、繋がっているハブが100Mbpsなのでリンク速度は100Mbpsになっています。

参考:
NICのリンク速度等詳細な情報を確認する方法:ぴろにっき:So-netブログ
[PR]
by jehoshaphat | 2014-01-16 00:38 | Linux | Trackback | Comments(0)
OP25B対策Part1 Linuxルータでポート変換(非推奨)
会社のインターネット用プロバイダが、今まで固定IP使ってたんですが、経費削減で動的IPに変更させられました。
このプロバイダでは、固定IP以外からはOP25B(Outbound Port 25 Blocking)されています。
(OP25Bについては、OCN|OCN迷惑メール対策:,WAKWAK - Outbound Port25 Blocking等参考。)

で、会社のメインのメールはプロバイダとは別のレンタルサーバを使っています。
クライアントのメーラはサブミッションポート(587)を使うように設定しなおせばいいんですが、問題は各種サーバはPCの監視ソフト、スキャンメールができる複合機で、送信ポートが設定できないものがあるということです。

ということで、送信ポートが設定できないソフトや機械でどうやってレンタルメールサーバに送るか検討してみました。

一つはルータでのポート変換を行うという強引策と、もうひとつは自社にメールサーバを立てるという方法です。


Linuxルータでポート変換

これはかなり強引な方法で、送信先ポートが25になっているのをルータで587に変換してしまうという方法です。
レンタルサーバ上のメールサーバがSMTP認証がなくても使えるので、クライアントからメールサーバ宛のパケットの送信先ポートを変換してしまいます。

手持ちのインターネットゲートウェイに使っているルータが、送信先ポート変換ができなさそうだったので、ゲートウェルータとLANとの間にLinuxルータを置いてみました。
で、iptablesのDANT機能でポートを変換します。

イメージとしては以下のような感じです。
e0091163_2313977.jpg


Linuxルータのiptablesの設定は以下のようにしました。
静的NATを使って設定したので、仮想インターフェイスの作成が必要です。
(仮想インターフェイスの作成については、(Linux)CentOSでちょっとトリッキーなNATルータを構築してみたを参照)

iptables -F
iptables -t nat -F
iptables -X


iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT


#NATの設定リセット
iptables -t nat -F

#クライアントからのパケットを仮想インターフェイスのIPにアドレス変換
iptables -t nat -A POSTROUTING -s 10.0.0.2 -j SNAT --to 192.168.0.10
#仮想インターフェイスに入ってくるパケットをクライアントのIPアドレスに変換
iptables -t nat -A PREROUTING -d 192.168.0.10 -j DNAT --to 10.0.0.2


#DNAT例 ここで25ポートを587ポートに変換 (xxx.xxx.xxx.xxxはメールサーバのIP)
iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to-destination xxx.xxx.xxx.xxx:587


この環境で、クライアントからメール送信(25ポート宛て)した時に、Linuxルータ側でパケットキャプチャしたときは以下のようになってました。

# tcpdump -n tcp port 25 or 587
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on seth0, link-type EN10MB (Ethernet), capture size 96 bytes
19:54:25.039575 IP 192.168.0.10.aztec > xxx.xxx.xxx.xxx.submission: S 3954643844:3954643844(0) win 65535
19:54:25.061470 IP xxx.xxx.xxx.xxx.submission > 192.168.0.10.aztec: S 373935822:373935822(0) ack 3954643845 win 65535
19:54:25.062094 IP 192.168.0.10.aztec > xxx.xxx.xxx.xxx.submission: . ack 1 win 64970
19:54:25.089189 IP xxx.xxx.xxx.xxx.submission > 192.168.0.10.aztec: P 1:30(29) ack 1 win 33120
19:54:25.093427 IP 192.168.0.10.aztec > xxx.xxx.xxx.xxx.submission: P 1:17(16) ack 30 win 64955
19:54:25.115068 IP xxx.xxx.xxx.xxx.submission > 192.168.0.10.aztec: P 30:53(23) ack 17 win 33120
19:54:25.150178 IP 192.168.0.10.aztec > xxx.xxx.xxx.xxx.submission: P 17:57(40) ack 53 win 64944
19:54:25.171725 IP xxx.xxx.xxx.xxx.submission > 192.168.0.10.aztec: P 53:61(8) ack 57 win 33120
19:54:25.172503 IP 192.168.0.10.aztec > xxx.xxx.xxx.xxx.submission: P 57:95(38) ack 61 win 64940
19:54:25.193558 IP xxx.xxx.xxx.xxx.submission > 192.168.0.10.aztec: P 61:69(8) ack 95 win 33120
19:54:25.194221 IP 192.168.0.10.aztec > xxx.xxx.xxx.xxx.submission: P 95:101(6) ack 69 win 64936
19:54:25.215981 IP xxx.xxx.xxx.xxx.submission > 192.168.0.10.aztec: P 69:83(14) ack 101 win 33120
19:54:25.220544 IP 192.168.0.10.aztec > xxx.xxx.xxx.xxx.submission: P 101:1285(1184) ack 83 win 64929
19:54:25.342188 IP xxx.xxx.xxx.xxx.submission > 192.168.0.10.aztec: . ack 1285 win 33120
19:54:25.342812 IP 192.168.0.10.aztec > xxx.xxx.xxx.xxx.submission: P 1285:1290(5) ack 83 win 64929
19:54:25.375987 IP xxx.xxx.xxx.xxx.submission > 192.168.0.10.aztec: P 83:111(28) ack 1290 win 33120
19:54:25.389477 IP 192.168.0.10.aztec > xxx.xxx.xxx.xxx.submission: P 1290:1296(6) ack 111 win 64915
19:54:25.410860 IP xxx.xxx.xxx.xxx.submission > 192.168.0.10.aztec: P 111:134(23) ack 1296 win 33120
19:54:25.411031 IP xxx.xxx.xxx.xxx.submission > 192.168.0.10.aztec: F 134:134(0) ack 1296 win 33120
19:54:25.411620 IP 192.168.0.10.aztec > xxx.xxx.xxx.xxx.submission: . ack 135 win 64903
19:54:25.411817 IP 192.168.0.10.aztec > xxx.xxx.xxx.xxx.submission: F 1296:1296(0) ack 135 win 64903
19:54:25.433325 IP xxx.xxx.xxx.xxx.submission > 192.168.0.10.aztec: . ack 1297 win 33119

25 packets captured
25 packets received by filter
0 packets dropped by kernel

どうやら、ちゃんとレンタルのメールサーバと会話できているようです。

しかし、上記のiptablesの設定は、あくまで実験環境なので実際に運用するにはLinuxルータ側でNAPTの設定が必要かと思われます。
DNATの --to-destination でポート変換がかけれるわけですが、IPも必ず指定しないと行けません。
ということで、インターネット側のメールサーバはひとつしか使えないことになるので、複数メールサーバを使っている場合にはNGです。
また、指定時はIPアドレスでないといけないこともネックですね。(もし、レンタルサーバのメールサーバのIPが変わったら変更しないといけません)

ということで、この方法は余り現実出来ではありません。

もう一つの方法OP25B対策Part2 sendmailでメールサーバを構築し別メールサーバに全転送(推奨)のほうが現実的です。(Postfixでの方法はOP25B対策Part2 メールサーバを構築し別メールサーバに全転送【Postfix編】で書いています。)


余談ですが、iptabelsの設定の中で、"REDIRET" というのがあります。
これを使えば、ポートだけ変換できるじゃん!と思ったんですが、これはLinux自身でパケットを受信する場合のみポートリダイレクトするようです。
今回のように、ルータとしての役割を持たせてパケット転送するときには使えないということです。

iptables -t nat -A PREROUTING -p tcp --dport 25 -j REDIRECT --to-port 587

このことは、@IT:natテーブルを利用したLinuxルータの作成の最後の方に 「「-j REDIRECT」は、ホスト自身の別サービスポートにしかリダイレクトできません。そのためLinuxルータとHTTPプロキシサーバが同一のホストで動作していない場合は、REDIRECTも使用できません。」 と書いてました。



参考:
iptables のテーブル表示 と アクセス許可/natの例 - ihirokyの日記
Mazn.net iptablesでポートフォワーディング
iptablesの設定あれこれ
iptablesによるパケットフィルタリング
REDIRECTターゲット REDIRECTがホスト自身に対してしか適用されないことが書いてません。。
[PR]
by Jehoshaphat | 2013-04-01 23:00 | ネットワーク | Trackback | Comments(0)
Solaris10のスタティックルートとICMPリダイレクト
Solaris10で静的ルートを追加する方法です。


一時的(再起動するまで)に追加する方法は以下のとおりです。

# route add 10.0.12.0/24 192.168.0.24
add net 10.0.12.0/24: gateway 192.168.0.24


永続的に追加する場合、以下のように -p オプションを付けます。

# route -p add 10.0.12.0/24 192.168.0.24
add net 10.0.12.0/24: gateway 192.168.0.24
add persistent net 10.0.12.0/24: gateway 192.168.0.24


-pオプションをつけると、/etc/inet/static_routes ファイルに設定が追加されます。
ただ、このファイルは手で直接触ってはいけないようです。

# cat /etc/inet/static_routes
# File generated by route(1M) - do not edit.
10.0.12.0/24 192.168.0.24


ルートを確認するには Solaris の場合、netstat -rn を使います。

# netstat -rn

Routing Table: IPv4
Destination Gateway Flags Ref Use Interface
-------------------- -------------------- ----- ----- ---------- ---------
192.168.0.0 192.168.0.1 U 1 2 e1000g0
10.0.12.0 192.168.0.24 UG 1 0
224.0.0.0 192.168.0.101 U 1 0 e1000g0
127.0.0.1 127.0.0.1 UH 1 28 lo0


スタティックルートを削除するには以下コマンドを使います。

# route delete 10.0.12.0/24 192.168.0.24
delete net 10.0.12.0/24: gateway 192.168.0.24


永続的にスタティックルートを削除するには、-pをつけます。

# route -p delete 10.0.12.0/24 192.168.0.24
delete net 10.0.12.0/24: gateway 192.168.0.24
delete persistent net 10.0.12.0/24: gateway 192.168.0.24


さて、あるSolarisサーバにスタティックルートを設定し運用してましたが、ネットワーク構成の変更に伴い静的ルーティングを削除しました。
しかし、netstat -rnするとなぜか勝手にルーティングが増殖します。
再起動してもダメでした。その時のルーティングは以下のような状態でした。

bash-3.00# netstat -rn

Routing Table: IPv4
Destination Gateway Flags Ref Use Interface
-------------------- -------------------- ----- ----- ---------- ---------
default 192.168.0.1 UG 1 3094
192.168.0.0 192.168.0.11 U 1 8 e1000g0
192.168.1.5 192.168.0.2 UGHD 1 1
192.168.1.6 192.168.0.2 UGHD 1 1
192.168.1.7 192.168.0.2 UGHD 1 1
192.168.1.10 192.168.0.2 UGHD 1 1
192.168.1.11 192.168.0.2 UGHD 1 1
192.168.1.12 192.168.0.2 UGHD 1 1
192.168.1.13 192.168.0.2 UGHD 1 1
...(省略)...
127.0.0.1 127.0.0.1 UH 18 642 lo0


こちらで意図して設定してないルーティングはのフラグは UGHD になっています。
フラグの意味については、FreeBSDの資料になりますが、静的ルーティングを見ると、以下の意味でした。

U:使用可能
H:ホスト単位の設定
G:ゲートウェイ
D:ICMP redirectによって経路が自動的に変更された
S:手動で経路追加された

ここで怪しいと思ったのは Flags のDである ICMP リダイレクトというものです。
恥ずかしながら、今までICMP Redirectというものを知りませんでした。


ICMPリダイレクトについては、ICMP(Internet Control Message Protocol)その5
@IT:基礎から学ぶWindowsネットワーク 2.ICMPメッセージ(2)@IT:ICMPリダイレクト使用時のファイアウォール設定に注意などでどういうものか詳しく説明されています。

要は、同じセグメントに複数のルータがある場合、デフォルトゲートウェイとなっているルータがクライアントに「このルートは別のルータ通したほうがよいよ」ということを教え、クライアントは自身のルーティングテーブルのその情報を追加するわけですね。

Solarisだと上記のフラグでICMPリダイレクトによって追加されたルートということがわかりますが、WindowsOSの場合、route print コマンドでサブネットマスクが 255.255.255.255 になっているものがICMPリダイレクトによって追加されたルートになるようです。
また、Windowsの場合、以下のコマンドでどれくらいICMP Redirectパケットを受け取ったかがわかります。

netstat -s -p icmp
ICMPv4 Statistics
Received Sent
Messages 3498388 3477291
Errors 848 0
Destination Unreachable 30481 187
Time Exceeded 2 131
Parameter Problems 0 0
Source Quenches 0 0
Redirects 438 0 ←ここの数
Echos 3185110 291863
Echo Replies 281510 3185110
Timestamps 0 0
Timestamp Replies 0 0
Address Masks 0 0
Address Mask Replies 0 0


Solarisの場合、以下コマンドでICMPリダイレクトを無視するかどうかがわかります。

bash-3.00# ndd -get /dev/ip ip_ignore_redirect
0

0ならICMP redirectを無視しない、1なら無視ということでしょう。
以下のようにするとICMPリダイレクトを無視する設定に出来ます。

bash-3.00# ndd -set /dev/ip ip_ignore_redirect 1


また、ICMPリダイレクトによって作られた経路情報の保持期間は以下のコマンドでわかります。

bash-3.00# ndd -get /dev/ip ip_ire_redirect_interval
60000

ただ時間の単位がわからなかったんですよね。
おそらくミリ秒じゃないかなと思うんですが。。


このあたりのパラメータが、/dev/ip ドライバの設定パラメーター[nddコマンド][NICドライバ、TCP/IPパラメータ関連] - Solaris Userが参考になります。
nddコマンドについては、Solarisネットワークチューニングが参考になります。


今回は、同じセグメント内にルータ一つとL3スイッチが1つ有り、デフォルトゲートウェイになっているL3スイッチが気をきかせすぎてもう一つのルータ向けの通信を検知するとICMPリダイレクトパケットを流していたようです。
こう考えると、一つのセグメントには一つのゲートウェイだけ持たすのがシンプルでいいですね。

参考:
ルーティング設定 | hajichan.net technical version
私的備忘録兼つぶやき:Solaris10 静的ルートの追加と削除
富士通:ネットワークの設定/表示:ルーティング情報の設定
[PR]
by Jehoshaphat | 2013-03-30 22:57 | Unix | Trackback | Comments(0)
(Solaris)NICが2つある場合のIP設定
VMware ESXi でNICが2つあるSolarisの仮想サーバを作成したんですが、どうやらSolarisのセットアップ中では一つのNICしか有効にならなかったようです。

ifconfig叩くとこうなっていました。

# ifconfig -a
lo0: flags=2001000849 mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
e1000g0: flags=1000843 mtu 1500 index 2
inet 192.168.125.67 netmask ffffff80 broadcast 192.168.125.127
ether 0:c:29:44:aa:e6


さて、もう一つのNICを別セグメント用として使いたいんですが、その設定をメモしておきます。
まず、もう一つのNICの名前を確認する方法ですが、dladm show-dev で確認できます。

# dladm show-dev
e1000g0 リンク: up 速度: 1000 Mbps デュプレックス: full
e1000g1 リンク: unknown 速度: 0 Mbps デュプレックス: half

不明だったNICが e1000g1 という名前ということがわかりました。
無効化されているので、リンク状態が unknown になっています。

このデバイスを有効化してやります。有効化は ifcofnig の plumb オプションを使います。

# ifconfig e1000g1 plumb


改めて ifconfig と dladm show-dev で見てみると以下のように表示されるようになりました。

# ifconfig -a
lo0: flags=2001000849 mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
e1000g0: flags=1000843 mtu 1500 index 2
inet 192.168.125.67 netmask ffffff80 broadcast 192.168.125.127
ether 0:c:29:44:aa:e6
e1000g1: flags=1000842 mtu 1500 index 5
inet 0.0.0.0 netmask 0
ether 0:c:29:44:aa:f0

# dladm show-dev
e1000g0 リンク: up 速度: 1000 Mbps デュプレックス: full
e1000g1 リンク: up 速度: 1000 Mbps デュプレックス: full




次にIPアドレスの設定をしていきます。

まず、/etc/inet/ipnodes でホスト名とIPアドレスの対応に追加します。
(ホスト名はNIC毎にユニークにしないといけません)

# vi /etc/inet/ipnodes

#
# Internet host table
#
::1 localhost
127.0.0.1 localhost
192.168.125.67 SunRaySRV3 loghost
192.168.135.3 SunRaySRV3-e1000g1   ←追加



サブネットを設定します。

# vi /etc/inet/netmasks

# The netmasks file associates Internet Protocol (IP) address
# masks with IP network numbers.
#
# network-number netmask
#
# The term network-number refers to a number obtained from the Internet Network
# Information Center.
#
# Both the network-number and the netmasks are specified in
# "decimal dot" notation, e.g:
#
# 128.32.0.0 255.255.255.0
#
192.168.125.0 255.255.255.128
192.168.135.0 255.255.255.0   ←追加


そして、インターフェイスとホスト名を結びつけます。
/etc/hostname.インターフェイス名 のファイル内に、ホスト名を記述します。
例えば最初から認識していたNICの場合、以下のようになっていました。

# vi /etc/hostname.e1000g0
SunRaySRV3

今回、e1000g1 というインターフェイスが増えたので、/etc/hostname/e1000g1 というファイルを作成し、以下のように記述します。

# vi /etc/hostname.e1000g1
SunRaySRV3-e1000g1


これで再起動します。

デフォルトゲートウェイやDNSサーバのアドレスの設定はSolaris10でIPを変更する方法で書いているとおりです。


補足:
なお、今回はサーバの物理NIC(Gbps対応)を、100MbpsのL2につないでいたんですが、VMWareネットワーク上では仮想スイッチを経由して繋ぎにいっているため、仮想OS(Solaris)側からは1Gbpsで接続されているように見えるようです。(仮想スイッチ~L2スイッチ間のリンク状態はvShere Clientの"構成"→"ネットワーク"で確認できます。どうもVMWareのオートネゴシエーションは稀に100Mbps半二重とかにしてしまうようなので、固定にしたほうが安全かもしれません)

参考:
ネットワークを調査する 50 の方法
Solaris10:未構成NICをOSインストール後に構成する方法
UNIXサーバ Solaris Technical Park Solaris 逆引きコマンド一覧 ネットワークの設定/表示 ネットワークインターフェイスの設定 : 富士通
[PR]
by Jehoshaphat | 2013-03-18 21:29 | Unix | Trackback | Comments(0)
プロキシの設定をするとWindows7でWindowsUpdateのエラーになる。
プロキシの設定をしたWindows7でWindowsUpdateを実行しようとすると、80072EFEや80072EEE,80072EFDのエラーとなります。

そういう場合、以下のコマンドを実行してIEのプロキシ設定をインポートするといいようです。

netsh winhttp import proxy source=ie


上記の設定をもとに戻す(リセット)するには以下のようにします。

netsh winhttp reset proxy


現在の設定を確認するには以下のようにします。

netsh winhttp show proxy

結果が、「直接アクセス」ではなく、インターネットオプションで設定したプロキシサーバーの値になっていれば設定完了しています。

なお、余談ですがWindowsアップデートが使用するドメインは主に以下となるようです。プロキシで以下のドメインへのアクセスは許可するようにしておきましょう。
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com
download.microsoft.com
ntservicepack.microsoft.com
wustat.windows.com
v4.windowsupdate.microsoft.com
v5.windowsupdate.microsoft.com


参考:
Windows 7 のproxy接続環境でWindowsアップデートするとエラーになる
Windows設定関連/プロキシ経由のWindows Updateができない場合の対処
HTTP プロキシ経由の Windows アップデートを有効化する Windowsアップデートに必要なドメイン一覧。
[PR]
by Jehoshaphat | 2013-01-04 01:36 | 豆知識 | Trackback | Comments(0)
Privoxyでホワイトリスト方式のプロキシを立ててみた
WindowsPCで、許可したサイトしか閲覧できないようにして欲しいという依頼がありました。
IEのコンテンツアドバイザを使っても良かったんですが、今回はそのPC自身にプロキシソフトをいれて、そこでフィルタリング出来ないか試してみました。

PrivoxyはオープンソースのWebフィルタでプロキシとして動作するようです。フィルタの設定がかなり柔軟で、主に広告コンテンツを除去したりするのに使われているようです。さらにtorと一緒に使ってさらに匿名性を挙げるためにも使われるようです。

インストールファイルが終われば設定ファイルを触ります。
config.txtには全般的な設定が入っています。
アクションファイルには、どのURLにどのフィルタをかけるかの設定を書きます。
フィルタファイルには、フィルタを正規表現で定義します。

ホワイトリスト方式の設定はFAQ(公式日本語訳)/設定に載っていました。

まず、config.txtを探して以下のようにuser.acitionファイルを使う設定になっているか確認します。

actionsfile user.action

(個別のアクションはuser.actionファイルに記述するのが良いようです)
次に、user.actionファイルで以下のように定義すると、全てのURLがブロックされます。

{ +block }

このあとに{ -block }を定義し許可するサイトを指定していきます。

{ -block }
.jehupc.exblog.jp
.youtube.com
.google.com
.jehupc.com

この時、パターンの書き方がちょっと特殊なので気をつけます。(この点がPrivoxy アクションファイル( user.action )のパターン指定で気をつけたいこと - digital 千里眼に書かれています。)

このドメインのパターンが部分一致でないのです。
例えば、jehupc.comと定義した時、jehupc.comのページはOKですが、xx.jehupc.comはNGになります。
そのドメイン全体に適用させたい場合は、ドメイン名の先頭に「.」を入れればOKなようです。


設定が終わればブラウザにプロキシの設定しをします。
デフォルトであれば待ち受けポートは8118なので、127.0.0.1:8118をプロキシ先として設定します。

これでprivoxy.exeを起動し、ブラウザでアクセスすると指定したURL以外は見なくなっているはずです。
指定したサイト以外にアクセスするとブロック画面が出るんですが、この画面の"go there anyway. "をいうリンクを押下すると見えてしまいます。
なので、このリンクをのけます。そのためには、configt.txt で以下のように設定するといいようです。

enforce-blocks 1


また、毎回exeを起動するのも面倒なのでサービスとしてインストールしてしまう方法も書いておきます。

コマンドプロンプトで、privoxyの引数に --install をつければいいようです。

privoxy.exe --install



参考:
Privoxyであれこれ
Privoxy 3.0.19 User Manualアクションファイルの公式マニュアル。英語。
Privoxyで、Webページの読み込みが不完全になることがある件。こういう場合、keep-alive-timeoutを無効化するといいようです。
Privoxyとは - はてなキーワード
IE7のコンテンツアドバイザーでフィルタリングを試す~Googleを子供向けポータルにする方法(2) コンテンツアドバイザを使う場合の方法です。
[PR]
by Jehoshaphat | 2013-01-04 01:19 | ネットワーク | Trackback | Comments(0)
インターフェイスを指定してrouteコマンドで静的ルートを設定する
ルーティングテーブルを操作しゲートウェイを設定するで、Windows環境でスタティックルートを設定する方法を書きました。
しかし、NICが複数ある場合はどのNICにするか指定しないといけないようです。

route コマンドの IF オプションで指定できます。ヘルプを見ると、インターフェース・インデックスを指定するようにとなっています。

インターフェイスインデックスは route print で確認できます。
以下のような感じです。


>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...xx xx xx xx xx xx ...... Intel(R) 82562V-2 10/100 Network Connection - パケット スケジューラ ミニポート
0x3 ...xx xx xx xx xx xx ...... VirtualBox Host-Only Ethernet Adapter - パケット スケジューラ ミニポート
===========================================================================
...省略...

3番目(VirtualBox Host-Only Ethernet Adapter)に設定するには以下のようにします。

>route -p add 10.0.128.0 mask 255.255.255.0 10.0.0.2 IF 3


参考:
route - Windowsコマンド集:ITpro
Windowsでインタフェースindex番号の確認方法 - ゴー!ゴー!けいじ!!
[PR]
by Jehoshaphat | 2012-12-01 21:28 | ネットワーク | Trackback | Comments(0)
(Linux)CentOS6では参照するDNSサーバの書き方が変わった?
RedHatEnterprise6.0のクローンであるCentOS6ですが、名前解決のために指定するDNSサーバのアドレスの指定方法が変わったようです。

今までは、/etc/resolv.conf に nameserver xxx.xxx.xxx.xxx としていました。
しかし、resolv.conf にはこう書いています。

# No nameservers found; try putting DNS servers into your
# ifcfg files in /etc/sysconfig/network-scripts like so:
#
# DNS1=xxx.xxx.xxx.xxx
# DNS2=xxx.xxx.xxx.xxx
# DOMAIN=lab.foo.com bar.foo.com


どうやら、/etc/sysconfig/network-scripts/ のインターフェイスの設定に DNS1=xxx.xxx.xxx.xxx という感じで書かないと行けないようです。

こんな感じです。

vi /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE="eth0"
BOOTPROTO="static"
HWADDR="00:0B:xx:xx:xx:xx"
IPV6INIT="yes"
IPV6_AUTOCONF="no"
NM_CONTROLLED="yes"
ONBOOT="yes"
IPADDR="192.168.0.100"
NETMASK=255.255.255.0
DNS1=192.168.0.1
DNS2=192.168.0.2
GATEWAY=192.168.0.254


こうして、再起動すると、/etc/resolv.conf に自動的に設定が書かれていました。
[PR]
by Jehoshaphat | 2012-11-27 23:13 | Linux | Trackback | Comments(0)