ネットワーク

Zabbixに手を出してみることも考えたが、お手軽にportsからMuninで構築。マスタ端末はウェブのあるJailに設定する。

ひとまず、Apache, Disk, Mysql, Process, Systemまわりと、ルータのSNMPからトラフィックを見るようにした。Jailの中なのでCPUとか負荷とか色々と信頼できない値ばかりでて不便。後で調整しなおさなければ。

後は、各Jailにしこむだけ、と。

vSphere 4.0がならCIM経由でなら状態を出力してくれるようなので、そっちからMuninに渡せるインタフェースがつくれればいいのか。

Nagiosの例とか、MonitoringExchange – VMWare (ESX)とか、色々あるらしい。

FreeBSDだとportsにsblim-wbemcliがあるので、色々試行錯誤していると情報がとれた。GT100bはハードウェア温度がvSphere Clientから見えないので、おそらくCIM経由でも取れないのだろう。それでも、各VMの正しいステータスが見えるなら、やる価値はある。muninのnodeは楽に作れそうだし。

# wbemcli ecn -nl -noverify 'https://root@esxhost:5989/root/cimv2'

まずはJailを作成。流石に慣れてきた。

ezjail-admin  create -f default ritsuko.localnet 192.168.xxx.xxx

そして、portsでまずはmysql-server-5.5をインストール。

元のデータは、mysqldumpで取って、新環境で同名ユーザ、同名DBを作成。

mysqldump --single-transaction database > database.sql

scpでデータを転送の上、簡単に流しこんでいる。

mysql < mysql.dump.sql

apache22をインストール。ついでにモジュールまわりもごそごそと設定。最低限必要なものはhttpd.confに書いていたつもりだが、いくつか後で追加で設定する必要があった。

Apacheの設定でPHPが何故かFastCGI経由になっている。しばらく頭をかかえたが、そういえばそんなバグ回避していたなあ。

Apacheの設置で、どうにも起動しないと思っていたらaccf_http(9)の罠にはまったらしい。簡単に言えばHTTPを特別扱いしてカーネル内にバッファをもうけるもの。

まずは親機の方でカーネルモジュールをロードするよう /boot/loader.conf に追加。

accf_data_load="YES"
accf_http_load="YES"

といいつつ、面倒なのでその場でロード。

# kldload accf_http
# kldload accf_data

Jail内で/etc/rc.confに追加。

accf_http_load="YES"

PHPまわりもインストール。php5だけじゃ駄目でphp-extensionsなるものまであるのか。xcacheもportsにあったので、そちらで入れる。

それにしても鬼のようにportsが増える。PerlにPython、PHPとP言語が自動で揃ってしまった。

PHPの php.ini はほぼそのまま移植、MySQLのmy.cnfは現地優先で特に移植なし。

そんなこんなで一通りの移行完了。

おまけで、pflogsummを入れて、Greylistingの効果を見てみる。結構3rd relayの試みもあるものだなあ。

一通り試してみて問題が無かったので、ルータのSNATを新サーバに向けなおす。rep2もちでに移行。

Cyrus-imapdをインストールしたところから、設定を再開。まずは imapd.conf を適当に稼動しているのを見つつ操作。序盤の操作は前回同様。

# /usr/local/cyrus/mkimap
# saslpasswd2 -c cyrus-admin
# /usr/local/bin/cyradm --user cyrus-admin localhost

はまった点。

その一、認証をauxpropにしていなかった。saslauthd経由で今迄やっていたのでそうしようとしたが、よく考えるとauxpropでそのまま読んでくれた方が都合が良かった。/usr/local/lib/sasl2/Sendmail.confもauxpropに修正。

その二、ドメインが違った。外のドメインのためのメールボックスなので、saslpasswd2 -c cyrus-admin@hostname.domainname などと一々ドメイン指定しなければいけなかった。ユーザを作る際も同様。

IMAPsにするべく、SSL用の鍵を作成。

# openssl genrsa -rand /dev/urandom -out ca.key 2048
# openssl req -new -key ca.key -out ca.csr
# openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
# openssl genrsa -rand /dev/urandom -out server.key
# openssl req -new -key server.key -out server.csr
# echo 01 > ca.srl
# openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -in server.csr -out server.crt

で、最終的なimapd.conf がこんな感じ。

configdirectory: /var/imap
partition-default: /var/spool/imap
servername: mail.fortunerinn.org
admins: cyrus-admin
sieveusehomedir: yes
subscription_db: berkeley
sasl_pwcheck_method: auxprop
sasl_auto_transition: yes
tls_cert_file: /usr/local/etc/cert/server.crt
tls_key_file: /usr/local/etc/cert/server.key
lmtpsocket: /var/imap/socket/lmtp
idlesocket: /var/imap/socket/idle

imapsyncをportsから入れて、メールボックスを仮移行

# imapsync \
  --host1 192.168.xxx.xxx \
  --user1 silver --passfile1 passwdfile1 \
  --host2 192.168.xxx.xxx \
  --user2 silver --passfile2 passwdfile2

後は、Postfix + postgrey設定だな。

DNSSECをみすえてと、いい加減にBINDの肥大化と手順のややこしさにめげてきたので、DNSのResolverをunbound、Contantsをnsdに移行してみる。Jailでさくさくと複数環境を用意して、それぞれportsでinstall。

まずはunboundからざっと設定。localなzoneは、local-dataとして完全に記載する形にした。本当は外ファイルに出すべきなのかな。IPv6対応は外回線が確保できてからということで、あえてOFF。DNSSEC対応はこれから様子見つつテスト予定。portsなので起動も/usr/local/etc/rc.d/unboundからできるし、rc.confでunbound_enable=”YES”で起動も設定。

server:
        verbosity: 0
        interface: 192.168.xxx.xxx
        do-ip4: yes
        do-ip6: no
        do-udp: yes
        do-tcp: yes
        do-daemonize: yes
        access-control: 0.0.0.0/0 refuse
        access-control: 127.0.0.0/8 allow
        access-control: ::0/0 refuse
        access-control: ::1 allow
        access-control: ::ffff:127.0.0.1 allow
        access-control: 192.168.xxx.xxx/24 allow
        use-syslog: yes 

        private-address: 192.168.0.0/16
        private-domain: "localnet"

        local-zone: "localnet." static
        local-data: "ns.localnet. A 192.168.xxx.xxx"
        local-data-ptr: "192.168.xxx.xxx ns.localnet"

nsdも同様に別Jailに設定。ZONEは独自形式もできるようだが、そのままBINDのものを利用。逆引きの登録ができないのが若干不安。同じように登録してやればいいのかな。

と思ったら、ISPの業務移譲に伴い、逆引き移譲が消えているらしい。むー。

server:
        ip-address: 192.168.xxx.xxx
        hide-version: yes
        ip4-only: yes

        database: "/var/db/nsd/nsd.db"
        username: nsd
        zonesdir: "/usr/local/etc/nsd"

zone:
        name: "fortunerinn.org"
        zonefile: "fortunerinn.org.zone"

ついでに、RT105eでサーバへの静的NATもしているため、そちらも設定も変更しておく。

# nat descriptor masquerade static 1 1 192.168.xxx.xxx udp domain
# nat descriptor masquerade static 1 2 192.168.xxx.xxx tcp domain

今迄のサーバのBINDを止めて、一通り問題ないことをチェックしてから、移行完了。

unboundのlocal-dataをファイル分割。ついでに、nsdでSPFをIPアドレス制限で表明してみる(←まだやってなかった)。

Interop Tokyo 2010に朝から参加。

仕事上のお付き合いやリサーチなんかはさておいて、まず気になったのがShownet。今回は初の100GB回線x2系統で商用ネット接続と実にふるっている。ネットワーク図を見ると。CISCOのCRS-3(最大通信速度322Tbps)などのコアルータ、各種豪華機器がずらりと並んでいる。対外接続はYBB, OCN, ODN, KDDI, ntt.netとトランジットしているらしい。

NOCのまわりを巡るとラックに設置した機器が見えるようになっていて、ホワイトボードでの解説もついている。イベント回線確保と相互接続検証実験を兼ねているので、各所に実験的なんだろうなあという組合せが見うけられる。いや、OPは門外漢なので数割もわからないんですけど。

今回のネットワーク図は端々にある解説と大分ずれており、どういうことなんだろうと思っていたら、ISSRまわりの説明を会場内のPODにあるラックまわりで見て納得。簡単に言えば、今回のネットワークは全部仮想化されている。

それもただ「抽象化してみました」な仮想化ではなく、「高スループット、高遅延」「低スループット、低遅延」など「違うネットワーク特徴・特性を持つ仮想面」で動作している。それぞれの仮想面をスライスと呼び、Interopでは10面位使っているようだ。

「(ISPやキャリアで?)新サービスで実験がしたい時は新スライスを切る」がコンセプトらしい。写真から復元してみると各スライスはこんな感じ。

1. Hyper Visor Slice(HVC)面
2. v4,v6,100G,MPLS IX, 2/4byte AS面 (Border Slice)
3. AIO LSN面
4. Juniper LSN面
5. グローバル面
6. グローバル面+Firewall (Juniper SRXがLSN兼FW/合体変形しません)
7. 疑似攻撃生成面 (ネットテスト機材で帯域埋めてテスト/Nicterなどで監視?)
8. DS-lite面 (A10 AX26002/ゲーム機じゃなくってIPv6関連技術の方)
9. 信頼性重視面(VoIP, BFDとか。異機種間VRRPv3切り替えもここ?)
10. 6 Rapid Deployment(6rd)面 (v4-v6 translateをCisco ASR1002で)
11. Ether OAM面 (.IAGとY.1731の相互接続)
12. 800-Auto面 (クリックひとつで面移動)

もちろん、全てがIPv4/IPv6のDual Stack。IPv4のIANA枯渇があと1年少々になったのもふまえ、IPv4は基本的にLSN(Large Scale NAT)の配下や6RDなどで押しこめているのも興味深い。

他にも、光ファイバを束ねてワイヤリングを楽にしたり、NTPと同期した時計だったり、これだけ複雑な各機器の監視を行ったり、それを情報視覚化していたり、アタックを監視していたり、とトピックが満載。一応一通りは巡ったはずだが見落していることが絶対に多くありすぎると断言できる。

余談だが、久しぶりにluminさんに再会。何年ぶりだろうか、同じ業界なのに意外なほど会わないので実に懐しいものがある。私が見た時はiPadでデモをやろうとしていて、Flash問題でPBHの動画リプレイがデモできなくってと嘆いていた。話によるとおーざく氏もこられているとか。どこかのイベントでばったり逢えると良いのだが。

新たな手口を用いるワーム「オートラン」確認。AutoKeyを悪用 | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）

ユーザが回避策を考案するように、このワームの拡散を企むサイバー犯罪者もまた、新しい手口を発案し続けます。そのため、ワーム感染の防止策を講じたユーザであっても、サイバー犯罪者の餌食となる可能性があります。そして今回、ワーム「オートラン」拡散に用いられる新しい手口として、autorun.inf内の「ActionKey」を利用した事例が確認されました。

詳しくは調べていないから不明だけど、どの程度の対策が無理になるのかは重要。流石にパッチあててパッチあててグループポリシーかけて、まで無効なら泣く。まあ、多分大丈夫だと思うんだけどなあ。

IANAのIPv4プールから1.0.0.0/8が割り当てられた時にも話題になったが、とにかく1.0.0.0とか1.2.3.4とか、マニュアルに適当に書いたりデフォルト値にする人達がいる。そういう人達にはRFC(今ならRFC3330)を読めといいたいが、事実そういうトラフィックは出てしまっているし、たまに経路情報やDNS情報としても出ているらしい。

そして、APNICが2010/2/22〜2010/3/1の間だけ経路情報を流してみて調査した結果がこちら。本来ならばほとんど何も出ないはず。

Traffic in Network 1.0.0.0/8

ところが、蓋をあけてみると1.0.0.0/8全体で平均160Mbpsのトラフィックがあり、バーストトラフィクとして1〜30秒間で200Mbpsとか300Mbpsとか、あげくの果てには3秒間で860Mbpsとか10秒間で750Mbpsとか。かなりのトラフィックがあったようだ。

(元)上司のA氏はDDoSの偽装IPのリプライが戻ってきているんじゃないかと分析していたが、パケットの90%弱がUDPパケットだし、バースト部分についてはその可能性がかなり高いと思う。ただ、それを除いても定常的に一定の数値が出ているし、平均160MbpsのすべてがDDoSだとも思いにくい。

ちなみに、細かくトラフィックを見ていると、多かったのは 1.1.1.0/24 (平均78Mbps,ピーク352Mbps)、1.4.0.0/24(平均12Mbps,ピーク44Mbps)、1.2.3.0/24(平均11Mbps, ピーク127Mbps)、1.0.0.0/24(平均7Mbps,ピーク30Mbps)、1.10.10.0/24(平均3Mbps, ピーク8Mbps)といったところ。

ピークが激しいのはDDoS分が含まれるとしても、1.1.1.1 とかが多そうな 1.1.1.0/24 や、1.2.3.4 が多そうな 1.2.3.0/24 はあきらかに設定で流れてきていそうだ。1.4.0.0/24 というのはピークが低い割に流れてきているんだけど、これも何か有名な機器で設定されてしまったとかあるんだろうか。

いずれにせよ、このエリアはゴミトラフィックが流れてきやすいということで。debogonも結構かかったみたいだし、割り当てを受ける方も覚悟が必要ですね。

今年も何時もの通り…と思いきや、アイレムは4/1前から事前予告が入る徹底ぶり。いったい何がと思ったら、PlayStation@Homeを用意しておけということらしい。

4/1になって少ししたら更新されたので中身を見てみると、没ゲームのサイト。なんというか映画にアニメにとマルチメディア展開全開で嘘をつきまくってます。と、昨年までならここまで。今年はなんと1日だけテストプレイを公開しますということで、PlayStation@Homeのアイレムの所でゲームをプレイできるという…。

話しかけたら姿がかわってあたりも一面それっぽくなりました。アイレムの管理下の場所全部を使っているのか、重くて確認できませんでしたが複数エリアも余裕。海辺では巨大な怪物がのたくりまわってました。棘にやられて死んだあたりで実質ハングアップしたので、あきらめて終了。なんて規模だ。

ゲームといえば週間トロステーションも4/1特別号。こちらも延々バトルしながら迷宮を潜るミニゲームが。朝出勤前に見ていたので、途中で適当に撤退。クロが色々な名前で出てくるのだけれども、それぞれに違った衣装で酷い技を使うので見飽きない。これも見た目以上に手間がかかってそうです。翌日が通常号配信なので、気合はいってますねえ。

円谷はSNS→まとめブログときて、今度はtwitterもどき。恐るべきことに、通常twitterにも各キャラクタを作って、独自のもどきの方も更新しての二重リアルタイム更新。22時位まで見ていましたが、日中も延々更新して、かけあいや漫才やってました。来年はいったいどうなってしまうんだ…。

さくらインターネットはとある科学の超電磁砲とのコラボで一面「とある〜」仕様に。確実に一定の割合は転んでしまったことでしょう。

インプレスはいつも通りでほっと一安心。この適度なゆるさが良い。うちの会社も妙なプレスリリースを出していた模様。公式twitterより上層部の個人twitterアカウントで話が進んでいるあたりはまだまだか。

アルトネリコのトウコウスフィアも4/1仕様。昨年は見ていないけど、これはこれで酷く、楽しい。1,2のキャラクタは4/1仕様でぶっこわれ、3のキャラクタは初参戦。しかし、3には2でもいたキャラクタがいるわけで…まあなんというか哀れなことに。来年もあるのだろうか。

とにかく、今年は気合が入りすぎている所多数。聞いたところではTYPE-MOONもtwitterでかけあいやっていたとか。流石に仕事があるので半リアルタイムで追えるのは1箇所がせいぜいですね。

1. yebo blog: 中国にあるDNSルートサーバが不審な動きをして停止
2. 中国国内に配置される、DNS ルート･サーバーが閉鎖された？ « Agile Cat — Azure & Hadoop — Talking Book

全世界に分散配置されているDNS Root Server。I Root Serverの分散先の一つ、中国においていたサーバが突然嘘の答えを返しはじめたらしい。

FaceBook, Twitter, YouTube等を調べると嘘をついたそうなので、検閲ですね。閉じたネットワークの出口でするならまだしも、全世界に影響する形で、しかも委託されたサーバでするあたりがえげつない。一応「やってないよ!」と主張はしているようですけど…。

当然のように、中国のI Root ServerはAnycastから外された様子。けれども、Root Serverの地図を見る限りまだ他にも中国・香港内には DNS Root はあるようだし、他の管理団体の動静が注目されます。

そして、ニュースにならんのね、この類…。インターネット接続を先進国の重要インフラに含めても良い位に、インターネットは日々の生活の裏で活用されている。DNSはその中でも間違いなく基幹となる重要サービスの一つだ。これがなければメールもウェブもまともに動かない。んだけどなあ…。

今回の事件は立派に、DNS Root Hijack という最悪の事態の一つ。メールの宛先もウェブの行き先も全部好きにかえられる。情報を隠すも盗み見るも、見にきた人を攻撃サイトに誘導するも自由自在。是非こういうことがあった、と報道をして欲しいものだ。

MobileHackerz再起動日記: 自宅サーバを無届けで設置すると逮捕される？

電気通信事業法の話。

実質問題ないよというのは、いつでも別件で使われるよという意味に思えてならない。まあ普通に使っていればいいわけだが。届出が必要な場合も受領して認定するわけではないので、とりあえず出せばいいらしい。

RFC 5218 – What Makes For a Successful Protocol?

RFCになったからといって何でも使われるわけではなく、HTTP Cookie2のようにただひたすら使われていないものも多数あるわけです。その中で生き残ってきたプロトコルについてのまとめ。

10年後、IPv6はどちらに入るのだろうか?

手持ちの機材であれこれいじろうとしてみたが、現在適当に分割しているDMZを真面目に分けると、サーバとの間が100Mbps律速になってしまうのに気がついて、悩む。そして、VLANで適当に対処しようとしたらハブを企業向け製品にリニューアルしないといけない。むむむ。

ついでに、メインマシンの片方が無線なので、1000Base-T同士で通信することがあまり無いからと放置していた Jumbo Frame を設定しようとしてみる。Macはシステム環境設定からあっさりできるが、色々な結節点になっている Time Cupsule が対応していないことが判明して断念。

…しばらくこのままで、ルータのリプレースだけ考えるか。

ps3mediaserver – Project Hosting on Google Code

DLNAサーバ化させるPS3 Media ServerをMacBook Proに入れて、PS3からみてみる。無線でも十分みられるものなんだな。BRAVIAでモードをかえるとモーションフローがきくのが面白い。

BRABIA自体もDLNA対応のようだが、若干の設定がいるらしい。PS3 Media Server　(PMS)　まとめwikiを参考にいじればなんとかなる…のだろか?とりあえずPS3経由で見られるからいいか。

ルートゾーンへのDNSSECの導入と展開 〜DNSSECの世界的普及に向けた大きな一歩〜

Root DNSSec に対応するためには、SHA-1をさけてSHA-256に対応する必要があるので、最新(予定)のbindまたはunboundが必要となるのか。

運用を学ぶという点では、今からDNSSECをいじっておいた方が良いのだろうけど、DURZとかからんでうまく動くのかどうか、検証を待って対応されてからの方が素直に手間が減りそうな気もする。

いずれにせよ、2010/07までにRoot DNS ServerがDNSSEC対応するはずなので、その後からでも遅くはないか。IPv6対応とまぜると障害切り分けで地獄を見そうだけれども、LSNはいつ実施されてしまうのだろう。

• [PS3] バッファローコクヨサプライ BUFFALO AVケーブル HDMIプラグ:HDMIプラグ 廉価版 1.5m BSHD0115BK ブラック

PS3の接続用に、HDMIケーブルをヨドバシのポイントで購入。

そして家に帰って、PS3とRD-XD72DをDLNAで接続してみる。RD-XD72DはDLNAに対応している。そしてPS3はDLNAクライアントになれる。と、いうことで試してみた。違うネットワークに繋いでいるので、同じネットワークに繋ぎなおしてから設定開始。

RD-XD72Dのマニュアルの応用編で設定方法を調べて、RD-XD72DのウェブクライアントにSafariからログイン。「ネットdeナビ設定」の「DLNA」から設定できる。

PS3の「設定」→「ネットワーク設定」→「設定内容と接続状態の一覧」からMACアドレスを調べる。

DLNA設定を「サーバ有効【フィルタ制限あり】」にし、PS3のMACアドレスを登録し「利用」にチェック。

おー、録画番組がPS3の操作で見られる。早送りやスキップでもたつくのはネットワーク経由だから仕方ない。1.5倍速だと余裕。10倍速だとカクカクでかえって遅くなる程度。だが、余興としてはなかなかいいね、これ。

…普段使えないけど。