ログイン
編集不可のページディスカッション情報添付ファイル

検索条件 "linkto%3A%22ytoku%2Fdaily-record%2F2011-01-11%22" に対して、結果は0件でした。条件を変更するか、 HelpOnSearching を参照してください。

メッセージを消す
ytoku/daily-record/2011-01-11

MMA

Squidが別のIPアドレスで通信していた日

MMAに設置されている透過的リバースプロキシ(Squid)の通信元IPアドレスが、ゲートウェイ用のものではなくサーバの管理用アドレスになっていた。squidに以下の設定を加えることによって接続元のIPアドレスを変更することができた。

tcp_outgoing_address (ゲートウェイのIPアドレス)

問題はHTTPSの転送である。接続元IPアドレスを指定できるように実装した覚えがない。 connect.c自体にその機能がないように見える。ncコマンドであれば-sオプションで指定できるようなので後でこっちに変更しよう。

IPsecによるトンネルのためのpfルール

pfでIPsecの通信が通るように、取り合えずisakmpとespのパケットを双方向に通すようなルールを書いたのだが、tcpdumpしてみると時々次のようなパケットが引っかかっていた。

19:36:23.584195 rule 14/0(match): pass in on gif0: (リモートのVPNゲートウェイ) > (ローカルのVPNゲートウェイ): frag (0|1232) ESP(spi=0x07d6bba2,seq=0x29f), length 1232
19:36:23.584210 rule 14/0(match): pass in on gif0: (リモートのVPNゲートウェイ) > (ローカルのVPNゲートウェイ): frag (1232|68)

調べてみるとIPv6のフラグメントヘッダがついたパケットらしい。 FreeBSD WikiのIPv6TODOによれば、内容によってフィルタリングすることはまだできないようである。

IPsecによるVPNの構成

VPNで使われている通信メカニズムがよく分からない。どうやらracoon2というソフトウェアで鍵交換をしているらしいが、いつただのトンネルがVPNに化けるのかしら?

spmd_enable="YES"
iked_enable="YES"

とりあえず後でこの辺を読む: