2013年9月23日

HP ProLiant MicroServerで再稼動

2011年5月に自宅サーバとして購入したMP57-D(J)ですが、8月の停電で電源が逝ってしまわれたので、新しいハードウェアを購入しました。

HP ProLiant MicroServerです。(Gen8じゃ無いほうです。)

micro_server.jpg

ちょうどGen8が発売されたのですが、価格が6万円と少し割高だったので、性能は落ちますが2万強で購入できる型落ちのN54Lにしました。

N54Lですがカタログスペック上はメモリーの上限は8GBと記載がありますが、実際は16GBまで認識するようなので、Transcend(PC3-10600 DDR3)の8GB×2個を購入して無事認識しました。また、ハードディスクはSATAⅢの1T×2個を追加購入しています。(規格はSATAⅡですが下位互換可能です。)

MP57-D(J)はESXiをUSBブートして使用していたため、移植はブートUSBを差し替え、ESXiを起動しました。基本ESXiは無事認識しましたが、ハードウェアの構成内容が異なっていたため、NICの再設定が必要でした。
後、オンボードのRAIDコントローラを使おうと思いましたが、残念ながらESXiから認識しなかったので、そのままデータストアを2個作ってOS上でバックアップすることにしました。

データの移行ですが、MP57-D(J)で使用していたハードディスクを外付けディスクでeSATA接続して、データストアのマウントしてからVMDKファイルなど新しいディスクにコピーした後インベントリの追加で完了です。

メモリーが8GBから16GBに増えたので、OpManagerを稼動しているメモリーが不足気味のWindows8を、2GBから4GBに設定変更したところサクサク動くようになりました。ESXを構築するときはメモリは多めに出来る構成の方を選択しましょう。ESXの移行は簡単だったので、自宅の環境を仮想マシンにして本当に良かったと感じました。

#仕事が忙しくて、MP57-D(J)がダウンした事にしばらく気がつきませんでした。8月6日から1ヵ月程度落ちてました。

2012年11月13日

muninでSRXのトラフィック監視

muninでSRXのトラフィックの監視を行ってみました。

設定環境

以前にmuninでモニタリングポストのプラグインを作っており、バージョンアップの検証が面倒だったため、少し古いバージョンを使っています。また、muninの基本的な設定が完了している前提で記載していますので、その点はご了承ください。

  • FreeBSD 8.2-RELEASE
  • munin-master-1.4.6
  • munin-node-1.4.6

SRXのSNMP設定

SNMPについては、192.168.40.2からのみRead-Onlyで許可して、それ以外は拒否する設定を入れています。「xxxxxxx」は、コミュニティー名です。

 
juniper@SRX100H> configure
Entering configuration mode
 
[edit]
juniper@SRX100H#set snmp community xxxxxxx authorization read-only
juniper@SRX100H#set snmp community xxxxxxx clients 192.168.40.2/32
juniper@SRX100H#set snmp community xxxxxxx clients 0.0.0.0/32 restrict
[edit]
juniper@SRX100H#commit
 

SNMPでトラフィックを取得するためには、SRXのインタフェースINDEXを調べる必要があります。今回はVLAN40とPPPoEインターフェースのpp0.0を調べました。以下の結果ではvlan40がindex番号501で、pp0.0がindex番号533であることが判ります。

juniper@SRX100H> show snmp mib walk 1
dot3adTablesLastChanged.0 = 18945
sysDescr.0    = Juniper Networks, Inc. srx100h internet router, kernel JUNOS 12.1R3.5, Build date: 2012-08-09 09:57:30 UTC Copyright (c) 1996-2012 Juniper Networks, Inc.
sysObjectID.0 = jnxProductNameSRX100
sysUpTime.0   = 8900938
     :
ifDescr.4     = lsi
ifDescr.6     = lo0
ifDescr.7     = tap
ifDescr.8     = gre
ifDescr.9     = ipip
ifDescr.10    = pime
ifDescr.11    = pimd
ifDescr.12    = mtun
ifDescr.21    = lo0.16384
ifDescr.22    = lo0.16385
ifDescr.248   = lo0.32768
ifDescr.501   = vlan.40
ifDescr.502   = pp0
ifDescr.503   = irb
ifDescr.504   = st0
ifDescr.505   = ppd0
ifDescr.506   = ppe0
ifDescr.507   = vlan
ifDescr.509   = fe-0/0/0
ifDescr.510   = fe-0/0/0.0
     :
ifDescr.523   = fe-0/0/7
ifDescr.524   = fe-0/0/7.0
ifDescr.525   = sp-0/0/0
ifDescr.526   = sp-0/0/0.0
ifDescr.527   = gr-0/0/0
ifDescr.528   = ip-0/0/0
ifDescr.529   = mt-0/0/0
ifDescr.530   = lt-0/0/0
ifDescr.531   = sp-0/0/0.16383
ifDescr.532   = vlan.50
ifDescr.533   = pp0.0
     :

muninの設定

まず、「munin.conf」と「plugins.conf」にSRX用の設定を追加します。「munin.conf」で記載されているアドレスはSRXではなくmunin-nodeのIPアドレスです。後、srx.or2.toをSRXのFQDNとしてDNSに設定しています。hostsファイルでも良いのでIPアドレスが引けるようにしておいて下さい。

/usr/local/etc/munin/munin.conf
最終行に以下の行を追加
[srx.or2.to]
    address 192.168.40.2
    use_node_name no
/usr/local/etc/munin/plugin-conf.d/plugins.conf
最終行に以下の行を追加
[snmp_srx.or2.to*]
env.community xxxxxxx
env.host srx.or2.to
env.version 2

続いて、pluginを設定を行います。リンクを作成する際にファイル名とindex番号を付けるだけです。

# ln -s /usr/local/share/munin/plugins/snmp__if_ /usr/local/etc/munin/plugins/snmp_srx.or2.to_if_501

ln -s /usr/local/share/munin/plugins/snmp__if_ /usr/local/etc/munin/plugins/snmp_srx.or2.to_if_533

本来、ここでmunin-nodeを再起動すれば良いのですが、自分の環境では「munin-update.log」に以下のエラーメッセージが出力されてグラフが表示出来ませんでした。エラーメッセージを見ればなんとく判りますが、ある値が取れていないことが判ります。

 
# tail -f /var/log/munin/munin-update.log
2012/11/12 01:30:03 [INFO] creating rrd-file for snmp_srx_or2_to_if_533->recv: '/var/munin/or2.to/srx.or2.to-snmp_srx_or2_to_if_533-recv-d.rrd'
2012/11/12 01:30:03 [ERROR] Unable to create '/var/munin/or2.to/srx.or2.to-snmp_srx_or2_to_if_533-recv-d.rrd': min must be less than max in DS definition
2012/11/12 01:30:03 [ERROR] In RRD: Error updating /var/munin/or2.to/srx.or2.to-snmp_srx_or2_to_if_533-recv-d.rrd: opening '/var/munin/or2.to/srx.or2.to-snmp_srx_or2_to_if_533-recv-d.rrd': No such file or directory
2012/11/12 01:30:03 [INFO] Reaping Munin::Master::UpdateWorker<or2.to;srx.or2.to>. Exit value/signal: 0/0
 

改めて、SRXのMIBを見てみるとVLAN40とpp0.0の回線帯域の値が0になっていました。どうやらこれがエラーの原因のようです。

juniper@SRX100H> show snmp mib walk 1
     

.1.3.6.1.2.1.2.2.1.5.4 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.6 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.7 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.8 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.9 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.10 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.11 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.12 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.21 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.22 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.248 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.501 = Gauge32: 0
     :
.1.3.6.1.2.1.2.2.1.5.528 = Gauge32: 800000000
.1.3.6.1.2.1.2.2.1.5.529 = Gauge32: 800000000
.1.3.6.1.2.1.2.2.1.5.530 = Gauge32: 800000000
.1.3.6.1.2.1.2.2.1.5.531 = Gauge32: 800000000
.1.3.6.1.2.1.2.2.1.5.532 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.533 = Gauge32: 0
     :
 

プラグインのリンク元のプログラムを、回線帯域の値が存在する場合だけ実行するように変更しています。送信と受信の2箇所変更する必要があるので注意して下さい。

# vi /usr/local/share/munin/plugins/snmp__if_ 

↓この行を削除する。

print "recv.max $speed\n";

↓この行を追加する。

 if ($speed) {
     print "recv.max $speed\n";
}
 
↓この行を削除する。

print "send.max $speed\n";

↓この行を追加

if ($speed) {
    print "send.max $speed\n";
}

munin-nodeの再起動

最後に「munin-node」を再起動して設定ファイル類の再読み込みを行ってください。後は5分~15分程度待ってグラフが表示されることを確認して下さい。

 /usr/local/etc/rc.d/munin-node restart
Stopping munin_node.
Starting munin_node.

 

2012年11月 4日

インターネット接続ルータ更新完了

今まで自宅のインターネット接続用に使用していたCisco1812Jに引退してもらい、JuniperSRX100に更新しました。とりあえず、1812Jで検証用で使用していた不要な設定を削除して、SRXに設定を移植していきましたが、Dimoraの設定が地味に大変でコンフィグが800行近くになってしまいました。

ファンレスのSRXに更新したことで、ようやく部屋が静かになりました。引退した1812Jですが、うるさいファンを交換したら会社の検証機として使用する予定です。

設定した内容

コンフィグは長くなってしまいましたが、設定した内容自体はあまり多くなく以下の項目ぐらいでしょうか。

  • SecurityZONEとして「WAN」、「DMZ」、「LAN」を作成
  • DMZからWANに対してのSourceNATの設定
  • WANからDMZに対してのDestinationNATの設定
  • PPPoEの設定
  • Syslogの設定
  • NTPの設定

ネットワーク構成図

今まではLAN側のセグメントが1つでしたが、今後DMZとLANに分けようと思っています。そのため現時点ではDMZだけ使用しています。

MyNW.jpg

SRX100の設定内容

Junosのコンフィグを書いたことがある人は判ると思いますが、設定上色々なポリシー名が必要になってきます。そのため、ポリシー名は原則大文字で書くようにして、Junosの構文なのかポリシー名なのか判り易くしています。

自宅のSRXのコンフィグについては、以下に記載しますので参考にしてみて下さい。

続きを読む "インターネット接続ルータ更新完了"

2012年2月 8日

ロシアドメインからのリファラスパム

このサイトのWEBアクセス解析を眺めてみると、2012年1月頃からロシアのドメイン「 ru 」からこのサイトにリンクが貼られているように見えました。残念ながらこのサイトは日本語のみで書かれているため、ロシアからリンクをされるメリットがありません。しかもTOPサイトからリンクを張っているように見えるので怪しさ倍増です。

<このブログにリンクを張っていると言い張っているサイト> 
 
 zel-klimat.ru
 www.otvetnemail.ru
 cable-rzn.ru
 planet-best.ru
 vlirt.ru
 bertsi.ru
 
 ※真っ当なサイトではないと思いますのでアクセスしていません。

WEBサーバのログを確認にしてみると、短時間でOSを変えたり、ブラウザを変更してアクセスしていますので、人為的なアクセスではなく、ロボットやツールでアクセスしていることが判ります。一番上のログですが、「OSは英語版windowsXPを使っていて、ブラウザはOperaを使用していて、"ttp://cable-rzn.ru/"のサイトにある"ttp://or2.to/2011/07/post-13.html"のリンクをクリックして来ました。」というログです。

178.137.5.23 - - [05/Feb/2012:15:29:06 +0900] "GET /2011/07/post-13.html HTTP/1.0" 200 38486 "ttp://cable-rzn.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 9.0"
178.137.5.23 - - [05/Feb/2012:15:29:08 +0900] "GET /2011/07/post-13.html HTTP/1.0" 200 38486 "ttp://cable-rzn.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
178.137.5.23 - - [05/Feb/2012:15:29:08 +0900] "GET /2011/07/post-13.html HTTP/1.0" 200 38486 "ttp://cable-rzn.ru/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"

これは、リファラスパム(referer spam)と言い、Googleなどの検索サイトで検索され際に上位ヒットするために、足跡を残すためのスパムで、コメントスパムやトラックバックスパムと同じ目的で使われています。

リファラスパムは主にサイトの誘導を目的としているので、ログに残る以外は実害はないようです。念のためリファラスパム先のリンクにはアクセスはしないようにしましょう。最悪の場合はウイルスに感染する可能性があります。リンク先のサイトが気になるような場合は、検索サイトを利用して調べてみるのも良いかもしれません。

最後に、WEB解析ページを公開しているサイトをたまに見かけますが、リファラスパムに貢献することになるので、非公開にするかパスワード等によるアクセス制御をしましょう。

 

2011年7月30日

サーバ移行完了!!

MP57-Dを購入してから早3ヶ月、ようやくWEBコンテンツやメールサーバの移行が完了し、新しいサーバで運用を開始しました。
MovableTypeのImageMagicが正しく動作の問題で、コメント入力に必要な文字が表示されず、しばらくコメント出来ない状態でしたが、こちらも修正しました。
とりあえず、この状態でしばらく様子を見ながら運用予定ですが、不具合など気が付いた点などあればコメントをお願いします。

後はMP57-DのVMware上にFreeNSDをインストールしてファイルサーバのデータの移行が完了すれば、旧PCサーバは停止出来そうです。

 

  • CKEditer

今回 Movable type の記事作成のためのリッチテキストエディタとしてCKEditerを導入してみました。前使っていたリッチテキストエディタは高性能でしたがレスポンスが遅く文書を書くのに時間がかかていましたが、なかなかレスポンスがよくサクサク文書がかけます。(Pen4からcore i5にグレードアップした影響もあるかも)
以下、CKEditerのインストール方法です。

インストール
 

  1. ダウンロードページから「CKEditor-x.x.x.zip」をダウンロードします。(x.x.xにはバージョン番号が入ります)
  2. ダウンロードしたファイルを展開します。
  3. CKEditor-x.x.x/plugins/CKEditor を、インストール先のMTに plugins/CKEditor としてアップロードします。
  4. CKEditor-x.x.x/mt-static/plugins/CKEditor を、インストール先のMTに mt-static/plugins/CKEditor としてアップロードします。
  5. 設置完了です

2011年7月10日

トレンドマイクロによる嫌がらせなWEBアクセス

まず以下のホスト名(FQDN)を見てください。このサイトにトレンドマイクロからアクセスがあったホスト(FQDN)とそのIPアドレスです。

アクセスがあったホスト名(FQDN) ホスト名のIPアドレス
wtp-g4-maya7.sjdc 150.70.97.38
wtp-gs-maya3.sjdc 150.70.75.161
sjdc-wtp-gb-maya1.sdi.trendnet.org 150.70.64.193
iad1-wtp-gd-maya4.sdi.trendnet.org 150.70.64.196
sjdc-wtp-g3-maya5.sdi.trendnet.org 150.70.64.197
sjdc-wtp-gb-maya9.sdi.trendnet.org 150.70.64.201
sjdc-wtp-gb-maya10.sdi.trendnet.org 150.70.64.202

続いて名前解決の一例です。( NXDOMAINとは、そんな名前はありませんって意味です。)

# nslookup wtp-gs-maya3.sjdc
Server:         127.0.0.1
Address:        127.0.0.1#53

** server can't find wtp-gs-maya3.sjdc: NXDOMAIN

# nslookup 150.70.97.38
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
38.97.70.150.in-addr.arpa       name = wtp-gs-maya3.sjdc.

Authoritative answers can be found from:
70.150.in-addr.arpa     nameserver = tmns5.trendmicro.com.
70.150.in-addr.arpa     nameserver = tmns6.trendmicro.com.
tmns6.trendmicro.com    internet address = 150.70.93.8
tmns5.trendmicro.com    internet address = 150.70.93.7

あれ?と思いませんか?

IPアドレスを逆引きしたホスト名の名前解決が出来ません。わざとかどうかは判りませんが、トレンドマイクロは自分の身元を隠蔽しているのです。しかも、「sjdc」という現時点では存在しないトップレベルドメインを使っています。
RFCで厳密に定義してあるかは調べていませんが、一般的にはマナー違反で、情報系を取り扱う企業として疑うレベルです。

しかも、これらのIPアドレスはWEBレピテーションといわれるシステムで使用していて、閲覧意思のないアクセス数を増やしてくれているようです。トレンドマイクロが使用しているアドレスレンジは把握しましたが、どうやら単にブロックしてしまうと不正なサイトとして利用ユーザに通知される可能性があるという厄介な仕様のようで、対処をどうしようか思案中です。
トレンドマイクロからのアクセスが来たら、トレンドマイクロのWEBサイトに誘導するようにしたら問題ないかな?

参考までにトレンドマイクロからWEBアクセスが来るアドレスレンジを記載しておきます。

  • 216.104.15.0/24
  • 150.70.0.0/16 

自分が利用しているWEB解析ソフトでは逆引きをしてホスト名で一覧を作成するため、アドレスの特定に時間がかかりました。。。