せりかログ

途中だけどメモ

条件

• 親に謎なプロクシ(parent-proxy.foo.com)がある\そこ通らないと出られない
• ローカルのネットワーク(10.xxx.xxx.xxx と .foo.com)は通してはならない
• 透過型プロクシにしたい

環境

• linux (debian 5 leny)
• squid 3
• iptables

構築

aptitudeとか使ってsquidとかいれる

賢いので、勝手にいろいろ設定してくれる

squidの設定

なにが効いてるのかわからないけど、取り合えず動く
標準の設定ファイルに追記したものだけ抜粋

/etc/squid3/squid.conf

# aclnameを定義して許可する
acl localnet src 10.0.0.0/8
acl to-localnet dst 10.0.0.0/8
acl to-localdomain dstdomain .foo.com
http_access allow localnet

# 親プロクシの設定
# 少なくとも squid ではない（echoも閉じているのでicp-portは0にしておく？）
cache_peer parent-proxy.foo.com parent 3128 0

# 親プロクシ使用の許可とか
# 　：ローカルネットワーク行きは禁止
# 　：他はすべて許可
# （とりあえず書いたけど、意味ないっぽい？）
cache_peer_access parent-proxy.foo.com deny to-localnet to-localdomain
cache_peer_access parent-proxy.foo.com allow all

# 親プロクシ通さずに直接接続することを許可したり禁止したり
# このへん書いておかないと親プロクシにキャッシュがないときに直接外部に行こうとします
# 　：ローカルネットワークは常に直接接続する
# 　：（残りの）すべては決して直接接続しない
always_direct allow to-localnet to-localdomain
never_direct  allow all

# 透過の設定追加
http_port 3128 transparent

書いたらsquid（再）起動
/etc/init.d/squid (re)start

iptablesの設定

eth0は外につながるインターフェース
eth1は内側のインターフェース

# policy
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# lo, localnet
iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j ACCEPT

# proxy
iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s 10.0.0.0/8 --dport 3128 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# NAT
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/8 -j MASQUERADE

必要なら、/etc/network/if-pre-up.d/iptablesとか編集（作成）しておく

/etc/sysctl.confを編集してnet.ipv4.ip_forward=1にする

書いたらネットワーク or PC を再起動

検索用

[debian] [proxy] [squid] [iptables] [プロクシ]

迷ったあげく、debianベースでしばらく運用することにしました

ホストのdebian 5にVMWare Player 2を入れてゲストのWindows Vista 64bitを動かす
あと、ゲストにもう一つdebian入れてゲートウェイを予定

というわけで、現在再インストール中
テスト環境にしていたdebianのままでもいいけれど、システム本体をraidに入れてないし、時間もあるので再構築することにしました

が、タイムアウト
時間的に終わらなさそうなので、続きは明日にする

現在の疑問
mdadmで組んだraidって、パーティションはどうなるの？
インストーラで組んだraidにパーティションを作れなかったんだけど
/dev/md0p1とかできるはずだよねぇ...
今度はバックグラウンドのコンソールからfdiskでパーティション切り直してみようかな

ゲストのVistaから、グラフィックボードは認識しないの？
標準デバイスでしかないのかな
せっかくなのでドライバ入れたいのに...

windows見たいにgui必須なものは使いにくい
レスポンス的にも相当不利だし

結局のところ、今の環境だとplayerで十分な気がしてきた
普通に使えるwindows+いろいろ遊べるサーバ(with vmware)ってのが一番いいのかな
普通に使えるwindowsが無い状態でサーバを用意してもしたかが無いのか

とりあえず、Vistaの64bit版を注文したので、届いたらvistaに入れ直すことにします
今のところはdebianで遊んでおきます

後は玄箱でも買ってきてルータにでもしようかな

キーボード

buffaloの安いキーボード買った
BSKBU02ってやつ
3種のホットキーがついているのですが...これがまた、非常に使いにくい
なんでそんなとこにキー追加して、もとのキーをずらしたのよ
insert押すつもりが、print screenだし、文字を消すつもりでdelete押すとinsert
嫌がらせでしかないと思うんだけど

あとで、別のキーボードを買ってくることにする
次は、キー配置も確認してきます

シンクライアントは、クライアントそのものが無いので放置中（汗
サーバ１台でどうしろと...

ESXiを試した

これって、ハイパーバイザ型で、完全にサーバ向きなのね
普通のServerシリーズみたいに、一つの端末で切り替えたりできないのか
クライアントPCがノートしか無い現状で、これはつらい
Eee Box安くならないかなぁ

Serverは？

ホストにubuntu(server 64bit)を入れようとしてるのだけど、RAIDを正しく認識しない
RAID10なんだけど、なぜかミラーリング部分を別の領域として認識しているみたい
起動すると、RAIDデバイス2つになってる

という困った状態
結局、なんだかんだで、Windowsをホストにしたほうがいろいろ都合が良さそうな罠

教えて

Vista Businessをホストにして、Linuxをゲストにしたとき、
そのLinuxをネットワークのゲートウェイにできる？
Winも、ほかのゲストも、すべてLinux経由じゃないと外部につながらないようにしたい

nic(eepro1000 dual, broadcom)は3枚分ある
できれば、全部Linuxに管理させて、ホストのWinは何も関与させたくない
（windowsをブリッジにしたくない）

追記 2009/08/26

RAID
intel ICH10Rは使わずにLinux上のmdadmで設定ってこと？

Windows Server 2008はまだないなぁ
debianホストにして、vistaをゲストにしたとき、
usb周りの機器ってどうなるの？
USBメモリとか、web camとか、液晶タブレットの入力情報とか
debian経由で、vistaでも使えるのかな

unlocker
ファイルを使っている途中でアプリケーションが落ちたり、何かあったときに便利なツール。

ファイルをロックしているプロセスやハンドルを強制的に落とすことができます。リムーバブルメディアのアンマウント時や、システム開発・評価中に使えます。

なんとなく見えてきた感じ
ほぼ決定か?

VGAは運用開始後は必要ないかもだけど、オンボードのマザボが買えないし、PCIeのカードを持っていないので1つ買っておくことにする。
あとは、適当なマウス・キーボードがほしいなぁ
hard offあたりで、適当なジャンクを探してくるか

サーバマシン

以前あげた構成＋アレイコントローラ（＋LANカード）

RAID

Adaptec RAID 2405
HDDはポート数の都合で4台にしてRAID 1/0にする

LAN

intel pro/1000の安いやつ
後日増設する

ホスト

適当なLinux+Xen

ファイルサーバと認証サーバをやらせる(LDAPで適当に)

ゲスト

ウェブサーバ

適当なLinuxでapacheとかproftpdとか

普段使い用Win

windows serverとかにしないとまずい？
急ぎ必要なものではないので、放置

普段使い用Linux

てきとうにいれる

クライアント

未定
とりあえず手元のPC使っておく
そのうち安いやつを買う

ディストリビューションの1つかと思ってました......
詳しくはぐぐ

apache起動しても403になる

作成したpublic_htmlのフォルダタイプがuserと同じになることが問題

# restorecon -R /home/user/publi_html

でタイプを再設定すれば大丈夫
chconで設定するのもあり

キーワード

[SELinux] [CentOS] [Fedora Core 3] [apache] [httpd] [restorecon] [chcon]

いくつかコメントもらえたので追記
前の記事

単に仮想化するだけなら、Xenとか入れて終わるんだけど、ゲストOSをリモートで（シンクライアント）で使おうと思ったときに、どうなるんだか不明
VMWareでつなぐとかっていうより、リモートのOSを直接起動したいというか、そんな感じ？

サーバ

MacだとApache以外のサーバを立てるのが面倒そうで...
今だと意外と楽にできるようになってるのかな
MacBookだとUPSとか考えないですむので、その辺はよさそうですけどね

ベース

ハイパーバイザ型でもかまわないです
単に手慣れてるLinuxを挙げてあっただけです
あと、Windowsはイヤ

アレイコントローラとかVGAに関して

30000以下の条件だと、onboardに乗ってるやつでよさげなのが見つからなかったのですよ
60000くらい出せばあるのですが...
のちのちCPU追加を前提にマルチプロセッサ対応のにしてもいいんだけど

アレイコントローラは予算が無いのでとりあえずonboardです
でも、Raid 5までしか対応してないので悩み中
できれば6にしておきたい
なにかお勧めあります？

ファイルサーバ

ホストOSにやらせてしまうのが楽かな

クライアント

やっぱりVNCとかでつないだ方がいいのかなぁ
普通のPCにしておくと、台数増えたときにメンテナンスが大変そうで...

NetBook

小さすぎるのが問題
自分も含めて、何人かに解放したいのでそれなりに使いやすいものがほしい

ここにMacBookを持ってくることはありなのかな？

追記 2009/06/05

とりあえず、Xenあたりで組んでみることを想定中

認証サーバを管理OSにたてて、仮想化したやつとか、クライアントの認証に使うことってできる？

最近のCPUはコアたくさん乗ってるし、メモリも容量大きくなってきているのでちょっと構築してみたい
予算が無いので、いろいろ兼用させたいところだけど、どこまでいけるの？

やりたいこと

• サーバを仮想化して、いろいろつっこむ
  Linuxベースにして、LinuxとかWindowsいれてみたい
• 入れたLinuxの1つをウェブサーバにする
  開発環境がほしい＋そのうちゲートウェイにしたい
• 入れたLinuxの1つをファイルサーバにしたい
• 入れたwindowsをシンクライアントから利用したい

OSの組み合わせとか、ほんとにこんなことできるのかよくわかってないので、詳しい人教えてください

サーバ機

予算15万
ただし、それぞれの単価が30000切ってること

あと何が必要？

クライアント機

予算 10万で2台くらい
普通にPC買ってもいいけど、シンクライアントになるなら、それはそれでおもしろそう

デジ・デジ・デイの公開しているファイル名変更ソフト？です．
Vista以降では標準になったようですが，2000/XPにおいて，ファイル名変更でF2を押したときに拡張子が選択されないようにする常駐ソフトです．

先日αバージョンがでましたが，2.1以降はあらゆるエディットコントロールに対応するようです．

ファイル名を変更することが多いかたは使ってみてはいかがでしょうか*1