でびあんのがらくた箱 » 自宅サーバ管理日記

フィルタリングの効果をみる

DebianOoM — Wed, 10 Mar 2010 07:18:31 +0000

せっかくIPフィルタリスト作ったんだから、その効果を見てみたいなぁ・・・

ということでフィルタリングした結果をulogdを使ってMySQLに記録を取ってみる。

インストール参考リンク： iptablesログ解析(IPTables log analyzer)

まぁ、参考リンク通りでインストールできると・・・思ったらulogdのmakeでエラー(;´Д`)

make時に
[cpp num="false" highlight_lines="2"]gcc -I-I/usr/include/mysql -DOLD_MYSQL=1 -g -O2 -Wall -DULOGD_CONFIGFILE=\”/etc/ulogd.conf\” -I/lib/modules/`uname -r`/build/include -I.. -I../libipulog/include -I../include -fPIC -o ulogd_MYSQL_sh.o -c ulogd_MYSQL.c
ld -shared -rdynamic -L/usr/lib/mysql -lmysqlclient -lz -lcrypt -lnsl -lm -lssl -lcrypto -o ulogd_MYSQL.so ulogd_MYSQL_sh.o -lc
ld: bad -rpath option
make[1]: *** [ulogd_MYSQL.so] Error 1
make[1]: Leaving directory `/usr/local/src/ulogd-1.24/mysql’
make: *** [recurse] Error 1[/cpp]
と出てしまう場合は Rules.makeの
[cpp highlight_lines="4"]# mysql output support
#ULOGD_SL+=MYSQL
MYSQL_CFLAGS=-I-I/usr/include/mysql -DOLD_MYSQL=1
MYSQL_LDFLAGS= -rdynamic -L/usr/lib/mysql -lmysqlclient -lz -lcrypt -lnsl -lm -lssl -lcrypto [/cpp]
「-rdynamic」を削る

makeできたもののMySQLに記録されなくて /var/log/boot.logや/var/log/messagesあたりに
[text]Mar 10 15:38:32 main ulogd: Wed Mar 10 15:38:32 2010 <7> ulogd.c:462 load_plugins: ‘/usr/local/lib/ulogd/ulogd_MYSQL.so’: /usr/local/lib/ulogd/ulogd_MYSQL.so: undefined symbol: mysql_init[/text]
とか出ている場合は Rules.makeの
[cpp]MYSQL_LDFLAGS= -L/usr/lib/mysql -lmysqlclient -lz -lcrypt -lnsl -lm[/cpp]
に「-umysql_init」を追加。
(VineLinuxだとmakeは通ったがこうなった)

で、今回はフィルタリングで破棄した記録だけが欲しいので
[text]# iptables -A INPUT -m limit –limit 1/s -j ULOG –ulog-nlgroup 1 –ulog-prefix ‘INPUT’[/text]
ではなくて、チェインKRFILTEREDに
[text]# iptables -A KRFILTERED -j ULOG –ulog-nlgroup 1 –log-prefix “Rej-TCP ”
# iptables -A KRFILTERED -j DROP[/text]
ってかんじに設定。

・・・って必死で設定してみたけど、サーバ再編するんだった(;´Д`)

XenServerに移行

DebianOoM — Tue, 09 Mar 2010 04:01:05 +0000

昨夜からすったもんだしながら、なんとかVMware ESXiからXenServerに移行しました。

まだ、このBlogとTrackMania@BLHサイトを復旧させただけなので(;´Д`)

ん～と・・・詳しくはまたあとで(;´ω`)

Linkメモ(Xen server)

DebianOoM — Sat, 06 Mar 2010 11:52:43 +0000

Xen official : http://xen.org/
シトリックス : http://www.citrix.co.jp/

Xen ServerをRAID1で
＞無料になった XenServer を RAID1化してみる
＞無償になったXenServerのRAID1 化

 XenServerをUSBメモリでインストールする

2chのスレ
＞【VMWare・Virtual Server・Xen】仮想化＠自宅鯖

やっぱりどうにもサーバが調子悪い

DebianOoM — Tue, 02 Mar 2010 08:11:52 +0000

再構築中のサーバ群（「まだやってんのか」とか言わない）だけど、なんだかどうも調子が良くない。

VMware ESXi server 4で、まだ仮想サーバ２個しか動いてないのに妙に反応が鈍い。

ESXiでサクッと認識してくれるようなRAIDコントローラを持ってないので、仮想サーバにそれぞれ２台の仮想HDDを割り当てて仮想サーバ内でSoftwareRAID1なんてやってるのが良くないんだろうか？(;´ω`)

ESXiそのものがSoftwareRAIDで動いてくれると（RAIDコントローラ買うような金はない）いいんだけど・・・

これのせいなのかどうかわからないけど、仮想サーバの設定を弄るとおかしくなる現象も発生してる。

「メモリ割り当て512MBじゃ少ないかなぁ」って割り当てを1024MB（1GB）に増やす、仮想HDDを追加する・・・ただそれだけで仮想サーバの挙動がおかしくなる。
一見普通に起動したように見えて、サイトにアクセスすると表示がバグバグ・文字化けの嵐・普通のページなのに「ダウンロードしますか？」とかダイアログがでる・・・・などなどなど

ESXiのせいなのか？おいらの使い方が悪いのか？(;´Д`)

XenとかKVMを試してみるかぁ・・・・

kvs.jpも更新期限が来てた(;´ω`)

DebianOoM — Mon, 01 Mar 2010 09:45:44 +0000

blh.jpの更新期限～なんて書いてたら、このBlogを置いているkvs.jpが先だった(;´ω`)

Domain Information:
[Domain Name] KVS.JP
[Registrant] kvs.jp
[Name Server] ns.kvs.jp
[Created on] 2005/03/18
[Expires on] 2010/03/31
[Status] Active
[Last Updated] 2009/04/01 01:05:04 (JST)

ということで、ValueDomain（http://www.value-domain.com/）で更新申請。

このドメインも丸５年になるのか～・・・

特定の国からのアクセスを弾く

DebianOoM — Tue, 23 Feb 2010 08:46:48 +0000

だいぶ前のメモの「韓国 IP アドレスからのパケットを遮断する」からフィルタリストが取得できなくなっていたので、自分で作ってみた(;´ω`)

APNICのIPアドレス割り当てリストを元に、特定の国のIPだけを抜き出してリスト化しました。

おことわり

上記の通り、自家製スクリプトでAPNICのIPアドレス割り当てリストから機械的に特定の国コードのIPだけを抜き出してリストアップしただけです。

APNIC管轄外のIPなど抜けがあります。

（一応確認しましたが）ネットマスクの計算にミスがあるかもしれません（ぉぃ

このフィルタを利用して受けたいかなる不利益にたいしても一切責任を負いません。

IPリスト

韓国 : KR.sh.txt / KR.txt
中国 : CN.sh.txt / CN.txt
香港 : HK.sh.txt / HK.txt
台湾 : TW.sh.txt / TW.txt

「*.sh.txt」がiptables用のスクリプト
「*.txt」がただIPを並べただけのリスト

更新日などはhttp://www.kvs.jp/iplist/ を参照ください。
cronで週に１回自動更新するようにしてあります。
（他にもリストアップたほうがいい国コードがあれば追加します）

使い方

使い方も一緒ですが、念のため書いておきます。

フィルタ用にiptablesのチェインを作成
[shell gutter="false"]# iptables -N KRFILTER
# iptables -N KRFILTERED
[/shell]

適用したいフィルタを実行
[shell gutter="false"]# sh CN.sh.txt[/shell]

フィルタにひっかからなかった（アクセス許可する）パケットを通過させる設定
[shell gutter="false"]# iptables -A KRFILTER -j ACCEPT[/shell]

フィルタに引っかかった（アクセス拒否する）パケットを破棄する設定
[shell gutter="false"]# iptables -A KRFILTERED -j DROP[/shell]

TCP 接続開始パケット（NEW）を INPUT チェインから KRFILTER に飛ばす設定を追加
[shell gutter="false"]# iptables -A INPUT -p tcp -m state –state NEW -j KRFILTER[/shell]

フィルタルールを保存
[shell gutter="false"]# /sbin/service iptables save[/shell]

参考

mail serverで悩む・・・

DebianOoM — Fri, 19 Feb 2010 07:04:52 +0000

さて、自宅サーバ群再構成ということでチマチマと作業してるんだけど、mail serverで悩みちう。

現状は、qmail+vpopmailで VirtualDomain/VirtualUserにしてる。
（qmailadminで管理）

複数のドメインを扱い(VirtualDomain)、OSへのlogin IDを作成することなく各ドメインごとに別々にユーザー(メールアドレス)が作れる(VirtualUser)ので重宝してるんだけど、qmail本体はもう何年もメンテナンスされてないのでイマドキのmail serverとして組み上げるには各種Patch当てが必要だったりでちょっとめんどい。

かといって、他のmail server daemon(ソフト)を使うとなると、現在のメールアドレスやらの移行が大変だし・・・

そんな時に見つけたのが↓のページ
＞バーチャルドメイン設定(Postfix&Dovecot+qmail&vpopmail)

外部メールサーバとの通信はpostfixが行い、届いたメールはqmailに（ほぼ）丸投げ、vpopmailでVirtualDomainとVirtualUserを管理するが、pop3/IMAPはDovecotが管理する（・・・でいいんだよね？）

なんかちょっと設定がややこしそうだが、これならVirtualDomain/VirtualUserはそのままに外部にはイマドキのmail serverとして組み上げられる( ^ω^)

ちょっと試してみよう。

無理矢理・・・

DebianOoM — Mon, 15 Feb 2010 14:56:13 +0000

php 5.2.10にしてみた。

CentOS 5.4の標準は php 5.1系

おおむね問題ないんだけど、いくつかのスクリプトが5.2以降を要求するので
＞Les RPM de Remi – Packages
というレポジトリを利用してアップデート。

だが！remi レポジトリだと一気に php 5.3.1になってしまう。

とりあえず、5.3.1で様子をみてたんだけど、TrackManiaゲームサーバ用のASECOというスクリプトが大量にエラーを吐いてまともに動作しない(;´Д`)

戻す・・・と 5.1系になってしまうし、アップデートすると5.3系・・・

自分でphp 5.2系をsourceからbuildするか？

・・・いや、それやると後が面倒(;´Д`)

コマッタコマッタ・・・

どっかにphp 5.2系のrpmはないものか・・・と探してみたら
＞http://rpms.famillecollet.com/enterprise/5/olds/i386/
ありましたヽ(´▽` )ノ

念のため、ESXiでSnapShotをとって現状を保存。
これで「変にバージョンが混在しちゃってワケワカメになった(;´Д`)」とかなっても、この時点まで戻すことができるヽ(´▽` )ノ

で、php 5.3.1関連のパッケージをごっそり削除。

そして、↑からdownloadしてきた php 5.2.10系のrpmパッケージを片っ端からインストール。

・・・・・apacheを再起動して・・・・

さっくりとphp 5.2.10で動きましたぁぁぁヽ(´▽` )ノ

とりあえず、ゲームサーバ1個＋ASECOを起動して様子見！

なんとかなってきた

DebianOoM — Sun, 14 Feb 2010 16:43:51 +0000

データの移行は完了。

TrackMania@BLHサイトも表示されることを確認したが、微妙に変な感じがするのでアクセス制御で外部からは見られないようにしてある。

TrackManiaサーバも1個だけ起動してみて動作することを確認。
ASECOでエラー（というか警告）が出ているのでまだ非公開のまま。

諸々の都合でPHPが5.3.1になってしまったので、一通り確認してみないと不具合がでそう(;´Д`)
（ASECOの警告はこのせいかもしれない）

早いとこ完全復旧させたいが、疲れたので今日はここまで(;´ω`)

T105とVMware ESXi server 4

DebianOoM — Sun, 14 Feb 2010 11:58:20 +0000

さて、ま、結局、悩んだ末にPowerEdge T105にVMware ESXi server 4という組み合わせで構築しました。

T105はQuadCore Opteron 1352(2.1GHz)にメモリ４GB(ECC DDR2-667 1GBx4)、HDD 1TB(SATA 250GBx4)という構成。

で、DDR2 800 ECC 2GB ｘ2が手元にあったので、1GBｘ２と差し替えて合計６GBに！

と思ったら、起動時に警告がでて止まる(;´Д`)

調べてみたら、DDR2-667とDDR2-800メモリを混在させると警告が出るらしい。
（http://sokubo.blogzine.jp/memo/2009/06/post_a8b3.html）
起動時にF1キーを押せば済む話だが、本稼働時には（例によって）冷蔵庫でモニタレス・キーボードレスになるので、キーを押せない。

悩んだあげく、DDR2-667のメモリは全部抜いてDDR2-800 ２GBx2とした。
DDR2-667 1GBｘ4はヤフオクででも売っぱらってDDR2-800メモリを追加で買えばいいだろう(;´ω`)

ESXi server 4はUSBブート。
参考にしたサイト → VMWare ESXi 4.0をUSBメモリでブートする

3. /usr/lib/vmware/installer/VMware-VMvisor-big-164009-x86_64.dd　を取り出す

この部分が「VMware-VMvisor-big-164009-x86_64.dd.bz2」という圧縮ファイルだったので解凍してからDD for WindowsでUSBメモリに書き込み。

でびあんのがらくた箱 » 自宅サーバ管理日記

フィルタリングの効果をみる

関連しそうなentry

XenServerに移行

関連しそうなentry

Linkメモ(Xen server)

関連しそうなentry

やっぱりどうにもサーバが調子悪い

関連しそうなentry

kvs.jpも更新期限が来てた(;´ω`)

関連しそうなentry

特定の国からのアクセスを弾く

おことわり

IPリスト

使い方

関連しそうなentry

mail serverで悩む・・・

関連しそうなentry

無理矢理・・・

関連しそうなentry

なんとかなってきた

関連しそうなentry

T105とVMware ESXi server 4

関連しそうなentry

でびあんのがらくた箱 » 自宅サーバ管理日記

フィルタリングの効果をみる

関連しそうなentry

XenServerに移行

関連しそうなentry

Linkメモ(Xen server)

関連しそうなentry

やっぱり どうにもサーバが調子悪い

関連しそうなentry

kvs.jpも更新期限が来てた(;´ω`)

関連しそうなentry

特定の国からのアクセスを弾く

おことわり

IPリスト

使い方

関連しそうなentry

mail serverで悩む・・・

関連しそうなentry

無理矢理・・・

関連しそうなentry

なんとかなってきた

関連しそうなentry

T105とVMware ESXi server 4

関連しそうなentry

やっぱりどうにもサーバが調子悪い