近況(2013/02/13) [雑記]
色々と忙しく、FreeBSDにはあまり手が付いておりません。とりあえずざっとやりたいこと、見直したいことを自己メモという意味も含めてまとめてみました。
■IPv6環境の見直し
auひかりで、デュアルスタックIPv6環境が手に入ったのは良いですが、IPv6のネットワークアドレスがダイナミック割り当てとなっているのが非常にイケてないです。FreeBSDで無理矢理DHCPv6 クライアントを動かす仕組みは作りましたがやはり不完全で、うまく連携できないことが間々発生します。
具体的には、
(1)FreeBSDがブートし、DHCPv6でIPアドレスが割り当てられる
(2)前述のIPアドレスでWebサーバ、プロキシサーバ、Sambaサーバのサービスが起動する(Listen)
(3-1)DHCPv6割り当てによるネットワークアドレス(およびIPアドレス)が、知らない間に突如変わっている
(3-2)resolv.confも書き換わり、DNS名前解決先がローカルDNSではなくISP側を向いてしまう
(4)起動したサービスが異常動作を起こす
とまぁ、こんな感じです。(3-2)のDNSをローカルDNSに向け直しても、今度は正引きのIPv6アドレスがおかしくなっているので、やはりどこかで異常を起こします。auひかりでのFreeBSD IPv6はちょっと早いですかねぇー。
一応、(3-1)のDHCPv6クライアントオプション指定で、DNSのパラメータは受け取らないようにしているはずなんだけどなぁ…。それでもなぜか書き換わるresolv.confです。
昔はFreeBSDに割り当てるネットワークアドレスはIPv4のプライベートネットワークアドレスであり、かつ、グローバルIPアドレスとは良い意味で独立していたため、グローバルIPアドレスがどのように変わろうとも影響を受けなかったというのが逆に便利だったのかなぁと。
※サーバを立てるには、やはり固定IPアドレスが必須ですね
■Squidの見直し
前述のIPv6環境におけるサービスとしてネットワークアドレス変更時に影響を受けるサービスの一つです。急にレスポンスが悪化するので、なんとなく気付くのですが、やはり都度直すのが面倒です。
と言うより、確実に遅いですね…。キャッシュによる高速化効果はゼロもしくはマイナスです。キャッシュサーバを立てておきながら、それを使ってアクセスする人間が一人しかいないというのもそもそもの問題ですが、前述の運用が面倒な部分をガマンしてまで使い続ける意味があるのかと。で、結論は使わないことにしました。
Muninのグラフ化で、アクセス数やらヒット率やら面白そうな情報は可視化できるのですけどね。普通に使っているとほとんどSquidキャッシュにヒットせず、ヒット数を上げるためにSquidをチューニングすると逆に動作が遅くなるという…。まぁ、短い間でしたが楽しめました。
■ipfwの見直し
調子が悪いというか、なんて言うのでしょう。…よく分かりません。下記のようにやっていて、本来は確立済みのセッションはcheck-stateがうまく処理し、フラグの立った不正なパケットのみがドロップされるという魂胆です(よくあるやり方)。が、正常なセッションにもかかわらずcheck-stateをすり抜けてドロップされるログがいっぱい残るのです。なぜなんでしょう。
■IPv6環境の見直し
auひかりで、デュアルスタックIPv6環境が手に入ったのは良いですが、IPv6のネットワークアドレスがダイナミック割り当てとなっているのが非常にイケてないです。FreeBSDで無理矢理DHCPv6 クライアントを動かす仕組みは作りましたがやはり不完全で、うまく連携できないことが間々発生します。
具体的には、
(1)FreeBSDがブートし、DHCPv6でIPアドレスが割り当てられる
(2)前述のIPアドレスでWebサーバ、プロキシサーバ、Sambaサーバのサービスが起動する(Listen)
(3-1)DHCPv6割り当てによるネットワークアドレス(およびIPアドレス)が、知らない間に突如変わっている
(3-2)resolv.confも書き換わり、DNS名前解決先がローカルDNSではなくISP側を向いてしまう
(4)起動したサービスが異常動作を起こす
とまぁ、こんな感じです。(3-2)のDNSをローカルDNSに向け直しても、今度は正引きのIPv6アドレスがおかしくなっているので、やはりどこかで異常を起こします。auひかりでのFreeBSD IPv6はちょっと早いですかねぇー。
一応、(3-1)のDHCPv6クライアントオプション指定で、DNSのパラメータは受け取らないようにしているはずなんだけどなぁ…。それでもなぜか書き換わるresolv.confです。
昔はFreeBSDに割り当てるネットワークアドレスはIPv4のプライベートネットワークアドレスであり、かつ、グローバルIPアドレスとは良い意味で独立していたため、グローバルIPアドレスがどのように変わろうとも影響を受けなかったというのが逆に便利だったのかなぁと。
※サーバを立てるには、やはり固定IPアドレスが必須ですね
■Squidの見直し
前述のIPv6環境におけるサービスとしてネットワークアドレス変更時に影響を受けるサービスの一つです。急にレスポンスが悪化するので、なんとなく気付くのですが、やはり都度直すのが面倒です。
と言うより、確実に遅いですね…。キャッシュによる高速化効果はゼロもしくはマイナスです。キャッシュサーバを立てておきながら、それを使ってアクセスする人間が一人しかいないというのもそもそもの問題ですが、前述の運用が面倒な部分をガマンしてまで使い続ける意味があるのかと。で、結論は使わないことにしました。
Muninのグラフ化で、アクセス数やらヒット率やら面白そうな情報は可視化できるのですけどね。普通に使っているとほとんどSquidキャッシュにヒットせず、ヒット数を上げるためにSquidをチューニングすると逆に動作が遅くなるという…。まぁ、短い間でしたが楽しめました。
■ipfwの見直し
調子が悪いというか、なんて言うのでしょう。…よく分かりません。下記のようにやっていて、本来は確立済みのセッションはcheck-stateがうまく処理し、フラグの立った不正なパケットのみがドロップされるという魂胆です(よくあるやり方)。が、正常なセッションにもかかわらずcheck-stateをすり抜けてドロップされるログがいっぱい残るのです。なぜなんでしょう。
${fw_cmd} add check-state
${fw_cmd} add deny log tcp from any to any frag
${fw_cmd} add deny log tcp from any to any established
