音楽とは全く関係ないところにな!
置き場がないのでスイッチ群の上に設置という
いよいよこの部屋の方向性が分からなくなってきました
どうでもいいですがボカロの中では一番ミクが好きです。
[ 1 コメント ] ( 17789 回表示 ) | このエントリーのURL | ( 2.9 / 1967 ) | ツイート
またあれからしばらくpfSenseを使ってみたのですが、かなりいい線を行っていると思います。正直元々入っていたRADIUS oneよりも利用価値があると思います。
個々のパッケージを調べればもちろんHowToがありますが、pfSenseに組み込んだ状態としてのパッケージ紹介ページがあるようでなかったので、パッケージの内のいくつかを紹介してみようと思います。
ちなみに順不同です。
AnyTerm
AnyTermはAjaxベースのターミナルで、HTTPからログインすることによりTeraterm等をインスコしなくてもターミナルが使用できるという優れもの。
pfSenseの場合、ログインすると専用のシェルが立ち上がりますがメニューから選択(8番)すればtcshが立ち上がります。ここから更にSSHでローカルネット内のマシンに接続という使い方が中々便利でした。
ただし、そのままではHTTPでの接続なので通信が暗号化されず、簡単にキャプチャされてしまいます。
そこで、次に紹介するStunnelと組み合わせて使ってHTTPS通信上で使うことが推奨されています。
STunnel
リッスンポートに来たアクセスをSSL越しにしてリダイレクトするプラグインで、たとえば8888番ポートに来たアクセスを192.168.1.2:80等にリダイレクトする、といった使い方が出来ます。これを使うとJavaアプレット版VNCなんかも暗号化して使うことが出来ました。
上のAnyTermと組み合わせるほかにも色々使えるプラグインだと思います。
ntop
pfSenseとはまた別に動くネットワークアナライザで、今有効なセッション・一番誰が帯域を使っているのか・どのプロトコルが一番使われているのか(HTTP,Messenger,HTTPS,P2P他)などをグラフでわかりやすくまとめてくれるプラグインです。ネットワークアドミン以外からすると驚異ですよこれは。
IMSpector
MSN/Yahoo/IRCなどのメッセンジャのログをキャプチャしてしまうと言う恐ろしいソフト。そのほか、ファイルの転送の阻止なども出来ます。
Fortigateにこの機能がついていましたがまさかpfSenseにまであるとは驚きです。まあ、平文通信なのでこれがなくてもWireshark等で簡単にのぞけてしまうのですが。
一つ言えることは、会社でメッセなんてするな、という事です。
HAVP
HTTP-Anti-Virus-Proxyの略で、Squidと併用したりトランスペアレントとして動かしたりすることによりAntiVirusの効果が手に入ります。
ただ、SW処理なので、どうしてもこれを有効にしてしまうとサイズの大きいファイルを落とすときに速度がかなり落ちてしまいます。
具体的にはローカルの違うサブネットにある100Mのファイルを落とすのに10MB/secで落とせた(途中のルータが100M)のが1MB/sec位まで落ちてしまい、なおかつCPUのロードアベレージが常に高いという状況でした。サイズの大きいファイルを無視するようにすれば一応は回避できますが。
HAVPそのものはZIPファイルの中まで見てくれるような作りになっているので悪くはないと思うのですが、FortiASICのような専用設計機には敵いません。
外部向けの転送速度だとこうでした
AVなし
■速度.jp スピードテスト 高機能版 回線速度測定結果
http://zx.sokudo.jp/ v3.0.0
測定時刻 2010/03/10 05:21:08
回線種類/線路長/OS:-/-/Windows 7/-
サービス/ISP:-/-
サーバ1[N] 82.1Mbps
サーバ2[S] 70.2Mbps
下り受信速度: 82Mbps(82.1Mbps,10.2MByte/s)
上り送信速度: 68Mbps(68.4Mbps,8.5MByte/s)
※上のステップ1で回線種類やサービス名を選択して測定すると、ここに「速い」か「遅い」かといった診断コメントが表示されます。
80Mbps以上出ており、超高速です。心よりお祝い申し上げます。
AV有効
■速度.jp スピードテスト 高機能版 回線速度測定結果
http://zx.sokudo.jp/ v3.0.0
測定時刻 2010/03/10 05:26:24
回線種類/線路長/OS:-/-/Windows 7/-
サービス/ISP:-/-
サーバ1[N] 31.3Mbps
サーバ2[S] 17.4Mbps
下り受信速度: 31Mbps(31.3Mbps,3.91MByte/s)
上り送信速度: 54Mbps(54.3Mbps,6.7MByte/s)
※上のステップ1で回線種類やサービス名を選択して測定すると、ここに「速い」か「遅い」かといった診断コメントが表示されます。
むぅ…。
Snort
pfSenseをIDSに出来ます。不正なパケットを見つけたら破棄・ログが出来ます。
IDS/UTMの一番厄介なのはサブスクリプションの購読ですが、SnotはGPLに基づいているので誰でも利用できます。
最初はOinkmaster codeというところに何を入れていいのか分からなかったのですが、ユーザー登録してからサインアップしてhttp://www.snort.org/account/oinkcodeにアクセスすることによりアクチベーションコードが作成できました。
ここで罠だったのがFirefoxではコードがGenerate出来ないという点です。仕方ないのでクソッタレIEを使いましょう。
IDSとしては政府も使ってるらしい位の性能はあるみたいです。
まだ入れたばかりでテストしてないので、今度色々パケットを作って試してみようとおもいます。
その他
Iperf -言わずとしてたネットワークの環境テストツール
Packetcapture -名前のまま。IPhostを指定してダンプします。ダンプしたファイルをWEBUIからダウンロードすることも出来ます。
Note -CGIなメモが作れるのですが、タグ分けなどが出来ないので今ひとつ使い道が。。。Tracみたいなものがあればなあと思う次第。
まだ何種類か入れてないパッケージがあるくらいに追加パッケージは充実しています。
また、MultiCoreな環境にも対応しているので、これ用のマシンを作ってもいいと思います。最初はm0n0wallベースと聞いたのでマルチコアでも1つしか使えないのではと思っていたのですが、調べたら対応しているみたいです。
普通のマシンでやってもいいのですが、なんというか普通のATX筐体ではネットワークアプライアンスとして萌えないので、やるなら1U鯖が欲しいとか思ってしまいます。やめてそんな目で見ないで
これ用に強力な1U鯖が欲しいと思ってしまう今日この頃です。Forti,Fireboxありますが。
[ 2 コメント ] ( 7631 回表示 ) | このエントリーのURL | ( 3 / 1920 ) | ツイート
前回、RADIUS専用アプライアンスから何故かFWにさせられてしまったRADIUS oneですが、いじってみると中々pfSenseが面白いです。
まず大まかに述べると、pfSenseは基本的にはLayer2-4のパケットフィルターであり、そこに様々なソフトウェアが付随しています。PPPoEも喋れるのでルーターとしての使用も出来、NAT/NAPTもサポートします。
当然外向きのNetworkInterFaceと内向きのNIFが必要になるので、最低2つのLANポートが必要になります。そこに後管理ポートが1つあると更にいいと思います。
初期から入っているソフトとしてはOpenVPN、PPTPサーバ、IPSecによるVPNやDHCP、DNS、そしてPPPoEサーバそのものも持っているのでルータ等の設定のテストにも使えます。ブラウザからWake on LANのパケットも流せるようになっているので、PCの起動用GWなんかとしても使えますし、中身はOpenBSDなのでCronを使って色々なジョブをさせたり…など使い道は無限大です。
その中でも面白いのがCaptive portalで、認証されていないPCを繋ぐとWEBブラウザのページが強制的にログインページへリダイレクトされ、そこでログインをしないとPingすら通らないという機能で、よく無線LANのHotSpotでやってるあれです。
マクドナルドの無線LANを使うときなんかもこの方式なので、分かる人はあんな感じだと思ってください。(適当な言い方
ログインユーザーの管理は、pfSenseローカルで持つこともLDAPやRADIUS認証を組み合わせることも可能なので、やろうと思えば結構本格的なシステムが作れると思います。pfSenseそのものに無線LANを持たせればかなり上等なAPができあがりますね。
そして、pfSenseには専用追加パッケージも配布されていて、後から機能を追加することも可能です。
現在利用可能な追加パッケージ一覧
AutoConfigBackup
Avahi
Backup
Cron
DNS Blacklist
Dashboard
Dashboard Widget: HAVP
Dashboard Widget: Snort
DenyHosts
Fit123
FreeSWITCH
FreeSWITCH Dev
HAVP antivirus
IGMPproxy
LCDproc
NRPE v2
Notes
Open-VM-Tools
OpenBGPD
OpenOSPFD
OpenVPN Status
OpenVPN-Enhancements
PHPService
Proxy Server with mod_security
Pubkey
Shellcmd
States Summary
TFTP
Zabbix Agent
anyterm
arping
bandwidthd
blinkled
darkstat
diag_new_states
dns-server
freeradius
haproxy
haproxy-dev
imspector
iperf
jail_template
nmap
ntop
nut
onatproto
pfJailctl
pfflowd
phpSysInfo
rate
siproxd
snort
snort-dev
squid3
squid
squidGuard
stunnel
vHosts
vnstat
vnstat2
widentd
これらのパッケージをWEBブラウザから選択してさくっと追加できます。
同じBSD系FWならGB-1200を持っているのですが、こいつはURLフィルタリングが出来るんだよなーとか思っていたらpfSenseでもSquid/SquidGuardを追加することにより実現できてしまいました。GB-1200涙目
URLフィルタリングの種類には、最初から何種類かのカテゴリ分けがありそれを有効・無効にしたり、自分でURLを追加したり、BlackListを公開しているURLを追加したりすることが出来ますが、まあこの辺はFWアプライアンスの本職のそれにはかなわないかなと思います。
Squidはトランスペアレントプロクシとして動かせるので、こっそり裏でURLフィルタリング・ロギングをかけるといった使い方も出来ます。
試したところ、フィルタリングに引っかかったら別のURLなどにリダイレクトさせたり、ipでアクセスするのを防いだり(例 google.comに66.249.89.103と入力してアクセスする)など、公共機関でも使えるんじゃないかと思うくらいによくできていました。SSL-VPNを張ってその先でプロクシを使う、という事をしてしまうとさすがに防げませんでしたが。
そのほか、HAVPと組み合わせることによりアンチウィルスプロクシの効果も手に入るようです。
安定性の方は、1週間ほど使ってみましたが、特に今のところは問題は出ていません。
パフォーマンスも、RADIUS oneの構成(Pentium 4 2.6CGHz HT,DDR 400 512*2MB)でNAPT有効時でも外から中へ700Mbps後半程度の速度で通信できたので、中々良好だと思います。
ただ、フルスロットルで通信してしまうとCPUのロードアベレージが70%ほどに達してしまうので、それなりの所に設置する必要があると思います。まあSW処理なのでそりゃそうなのですが。
MTUが64Byteのショートパケットのテストもしてみましたが、複数台のマシンの合計で100kppsくらいは裁けるようです。対向3台、内側4台でテストしたので1台あたりは25kpps位でしょうか
色々いじった結論としては、そこそこなハードウェアの上であれば高度なACL等を組んでもOKで、少し古めなハードウェアの上であっても100Mなブロードバンドルータとして使うのなら問題ないと思います。
[ コメントを書く ] ( 18884 回表示 ) | このエントリーのURL | ( 2.9 / 1888 ) | ツイート
前回に引き続き、RADIUS oneの話になるのですが出てきた問題がいくつかありました。
まず、RADIUSサーバの設定がよく分からないです。これに関しては完全に自分の知識不足なのでどうにかしようと思うのですが、しかしその設定用のJavaアプレットがどうしようもないのでやる気が失せます。
設定Javaアプレットの
・設定画面を開きっぱなしでしばらく放置しているとセッションが有効期限切れになってまたログインを強要される
→ログインし直してもアプレットがふってこない
→強制再読込も無駄
→再度設定するにはブラウザを完全に(タブを閉じるとかではなく)終了させないとならない
→IEが設定専用ブラウザになった
・バックグラウンドからフォアグラウンドへ変わった際に画面が描写されなくなる事がある
→再度設定するにはログインし直してね
→ログインし直してもアプレットがry
・ウィンドウサイズを変更すると変更用のボタンが反応しなくなることがある
→再度設定するにはログインし直してね
→ログインし直してもry
・DirectX系のアプリを立ち上げると画面が描写されなくなる
→再度設定するにはry
…こいつはどうしようもないという結論が出ました。
そこで、マザーにGibEを2つ持ちなおかつFEも1つ持っているので、前から気になっていたBSDベースのファイアウォールOS(というよりはファームウェアに近い)m0n0wallでも入れてみようかなと思ったのですが、マシンスペック的にはPentium4であるにしてもそこそこな性能は持っているので、それの上位番(まあ若干コンセプトは違いますが)であるpfsenseを入れてみることにしました。一応いまのRADIUS one OSはイメージとしてバックアップしました。
まずOSのインストールは、マザーにSATAコネクタを4つ持っているのでそこらに転がっていたドライブを繋いで起動しました。
どうでもいい動画;RS232から見るBIOS
Get the Flash Player to see this player.
必死に文字を書いてる感じが伝わってきて面白い。ちなみに動画では分からないですがキーを押してから1-2秒経たないとレスポンスが帰ってきませんwボーレートを上げても大して変わらないです。
が、BIOSから先はどうもシリアルには吐き出されないようなので、その辺に転がっていたPCIのRadeon 9200を接続してみることにしました。どうでもいいですがPCIのグラボは一本は持っておくべきだと思いますw
そのままでは入らないのでねじを外してマザーを引き抜いてみると…
PS/2インターフェースがw
http://www.infoblox.co.jp/products/1000.cfm
標準の1Uサーバハードウェアをベースにした競合製品とは異なり、Infoblox-1000アプライアンスには、余計なハードウェアインタフェース(外部ディスクドライブ、キーボードポート、マウスポートなど)がありません。このため、最も安全で信頼できるプラットホームを持ち、基本的なノンストップネットワークID サービスを提供できる、市販品では唯一の真のネットワークIDアプライアンスとなっています。
…あれ?
確かに間違ってはいませんが正しくはこうですね
標準の1Uサーバハードウェアをベースにした競合製品とは異なり、Infoblox-1000アプライアンスには、余計なハードウェアインタフェース(外部ディスクドライブ、キーボードポート、マウスポートなど)がありません。※ただし内部を除く
このため、最も安全で信頼できるプラットホームを持ち、
※ただし分解される場合を除く
基本的なノンストップネットワークID サービスを提供できる、市販品では唯一の真のネットワークIDアプライアンスとなっています。
まあ普通分解される前提ではないのでいいですが。
しかしここまで書いておきながら前面USBにキーボードを刺すとBIOSいじれてしまうのはどうかと思いますが。
細かい揚げ足取りはさておき、グラボを刺すと当然のごとくPOSTが出力され起動できました。まず内側・外側向きのNIFの設定、IPの設定、デフォルトパスワードなどを設定したらHDDへ書き込みます。今回はデフォルトの150GBのHDDに書き込みましたがCFあたりに書き込むのが故障率的な意味でベストだと思います。
一度立ち上がってしまえば後は普通のWEB UIから色々設定していくのでグラボは必要なくなります。
そして完成。特に問題なくWEB UIにログインできました。
筐体が元々ネットワークアプライアンスなのでFWとしてラックに入れても分かる人じゃないとわからないかとw
今回はとりあえずインスコまでですが、次回時間があったらソフトウェアの面を実験して記録したいと思います。
[ 4 コメント ] ( 19490 回表示 ) | このエントリーのURL | ( 3 / 1887 ) | ツイート
タイトルの機器がずいぶん前から手元に2台あったのですが、色々していたらいじる暇がなくていじるのはまた今度にしようと積んでいました。
詳細PDF
http://www.takachiho-kk.co.jp/products/ ... RADIUS.pdf
要はRADIUS認証専用アプライアンスです。
後述の通り、内部は普通のPCなので改造して1Uのサーバとして動かした方が楽しそうな気がしないでもないですが。
そして今日、気が向いたのでちょろっといじってみました。
まず一台。シリアルを繋いで待ってみると何も反応なし。こういうときは大体クロスとストレートを間違えているので、ストレートからクロスケーブルに替えてまた電源を入れてみると…
Phoenix - AwardBIOS v6.00PG, An Energy Star Ally
Copyright (C) 1984-2003, Phoenix Technologies, LTD
TYAN Tomcat i875 S5102 v1.03h 011504
Main Processor : Intel Pentium(R) 4 2.40GHz(200x12.0)
Memory Testing : 1047552K OK
CPU Brand Name : Intel(R) Pentium(R) 4 CPU 2.40GHz
Hyper-Threading Technology CPU Detected (Hyper-Threading Technology Enabled)
Memory Frequency 320MHz (Dual Channel Mode Enabled)
IDE Channel 0 Master : Maxtor 6Y120M0 YAR51EW0
IDE Channel 0 Slave : None
IDE Channel 1 Master : None
IDE Channel 1 Slave : None
Phoenix Technologies, LTD
System Configurations
+==============================================================================+
| CPU Type : Intel Pentium(R) 4 Base Memory : 640K |
| CPU ID/ucode ID : 0F25/15 Extended Memory :1046528K |
| CPU Clock : 2.40GHz Cache Memory : 512K |
|------------------------------------------------------------------------------|
| Diskette Drive A : 1.44M, 3.5 in. Display Type : EGA/VGA |
| Diskette Drive B : None Serial Port(s) : 3F8 2F8 |
| Pri. Master Disk : LBA,ATA 100, 122GB Parallel Port(s) : None |
| Pri. Slave Disk : None DDR at Bank(s) : 0 2 |
| Sec. Master Disk : None |
| Sec. Slave Disk : None |
+==============================================================================+
Pri. Master Disk HDD S.M.A.R.T. capability .... Enabled
PCI device listing ...
Bus No. Device No. Func No. Vendor/Device Class Device Class IRQ
--------------------------------------------------------------------------------
0 29 0 8086 24D2 0C03 USB 1.0/1.1 UHCI Cntrlr 7
0 29 1 8086 24D4 0C03 USB 1.0/1.1 UHCI Cntrlr 9
0 29 7 8086 24DD 0C03 USB 2.0 EHCI Cntrlrtrlr 5
0 31 2 8086 24D1 0101 IDE Cntrlr 14
0 31 3 8086 24D3 0C05 SMBus Cntrlr 11
2 1 0 8086 1019 0200 Network Cntrlr 11
3 2 0 8086 1013 0200 Network Cntrlr 5
3 7 0 1002 4752 0300 Display Cntrlr 7
3 8 0 8086 1051 0200 Network Cntrlr 10
ACPI Controller 9
Verifying DMI Pool Data ...........
と、POSTコードが流れてきました。これ普通のマザーボードでも出来ないかな。OSが立ち上がった後ならLinux/Unixではコンソールに吐けるのですが、BIOSは専用のマザーじゃないと出来ないっぽいんですよね。
それはともかく、いくら待ってもここから先へ進まないという状況に。おそらくBootデバイスが見つからないのではないかと思い、一度このマシンからは離れ、試しにもう一台の方を立ち上げてみることにしました。
すると普通に起動でき、Loginプロンプトが出てきました。
ここから推測するに、多分HDDが故障してOSが起動できなくなっているのではないかと思い、試しに起動するマシンのイメージを起動できない方へ書いてみることにしました。
そして分解してみる。
BIOSのPOSTコードにもあったように、中身は普通のSocket 478の板でした。Tyan製です。
よく見るとコンデンサにRubyconやらMatsushitaやらいいところのものが使われていて分かる人はニヤニヤ出来る構成だと思います。
まあ、特にASICが積まれているわけではないのでつまらないと言えばつまらないですが。
さて、記憶媒体には普通のSATA HDDが使われているのでこれを他のドライブに移植します。KnoppixでマウントしてみるとEXT3でフォーマットされたパーティションが3つあり、中身は改造されたLinuxでした。
同じ容量のHDDがあればDDでよかったのですが、今手元に余っているのがSeagateの薄いタイプの80GBのドライブしかなかったのでTrueImageでごりごりバックアップ。TrueImageだとバックアップ元と先のドライブの総容量が違っても自動で計算してくれるので楽です。GRフォーマットとか特殊なものはセクタバイセクタのみになりますが、EXT*,FAT*,NTFSなど主要なものは網羅しているので大丈夫だと思います。※ただしZFSやらXFSやらNilFS等の変態的なFSを除く
そしてイメージを新しいHDDに移行。そして電源を入れてみると、起動できなかったRADIUS oneが起動しました。
初期化は簡単だったのですが、その次の問題はデフォルトパスワードが分からないと言うこと。まずUserGuideがない。
手当たり次第にadmin;admin,root;root,infoblox;infoblox,radiusone;radiusone,admin;passwd,operator,manager;friend...などやってみたのですがどれも外れでした。
積んだのでこの間に気分を変えるためにちょっと飲み物を買いに行ったのですが、そのときに色々思い浮かんだので更に試してみると、
admin;infoblox
が正解でした。一応初期化はされていたようです。推測できる範囲で助かりました…。
IPが設定できたのでtelnet、SSH,HTTP、HTTPSを試してみるとHTTPSが繋がるようになっていました。まあ、オレオレSSL認証なのでものすごくブラウザに怒られるのですが。
するとJavaのアプレットが立ち上がりデータベースの設定が出来るようになりました。
そのうちCiscoのAironet 1232やCentreCom 9424で認証させて遊んでみようと思います。
------------------------------
【追記】
RADIUSの概念は分かっても設定が分からなくて積んだw
[ コメントを書く ] ( 1108 回表示 ) | このエントリーのURL | ( 3 / 1755 ) | ツイート
<<最初へ <戻る | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 進む> 最後へ>>