Routerパソコンのこと

yamaha VPN 接続先 ネットワーク アクセスできない RTX1200

1 Mins read

トンネル出来たし、相手先のルーターもばっちり見えてる!あとは他のマシンへアクセス?!
あれ。。。あれれ。。。

久しぶりにはまったので覚書!

L2TP/IPSec VPNでルーター間が接続できても、接続先ネットワークへ正しくルーティングさせるためには、下記のコマンドが必要!

ip lan1 proxyarp on

以下のコマンドはダメ!受信ルートがおかしくなったので削除

ip filter source-route on

こんなんに8時間ぐらいかかった・・・とほ

Related posts
macOSパソコンのこと日記

【Mac】ターミナルなど Operation not permitted を回避し開発者仕様にする

1 Mins read

macOS Monterey
Version12.4

■1.「SIP」をdisableに変更
(システム整合性保護(System Integrity Protection: SIP)の無効化)

Macを一度シャットダウン
起動時に「command + R」押下、マークが表示されたら離す
リカバリーモードが起動
上のメニューバーから「ターミナル起動」

# コマンド:「csrutil status」が「enabled」なら
csrutil status

# コマンド:「csrutil disable」を叩く(再起動しないと反映されない!)
csrutil disable

# コマンド:「reboot」にてMac再起動
reboot

■2.ターミナルをファイルフル権限に設定
通常起動後に
「システム環境設定」

「セキュリティーとプライバシー」

「プライバシー」タブの右側「フルアクセス」

「ターミナル」のチェックボックスOn

■3.「.DS_store」を削除&作成不能とする

# .DS_Storeファイル全部削除
sudo find / -name ".DS_Store" -delete
# Finder再起動
Killall Finder

# .DS_Storeファイルを完全に作らない
defaults write com.apple.desktopservices DSDontWriteNetworkStores True
# Finder再起動
Killall Finder

■4.必要ないならiCloud同期しない設定がおすすめ

Linuxパソコンのこと

SSLサーバー証明書 openssl 秘密鍵のパスフレーズを削除

1 Mins read

さてサーバー証明書の秘密鍵が暗号化されたままだとApache起動時にパスワード入力を求められて、再起動後とか起動が止まってしまうことを防ぎたい。

また一台のApacheで複数のURLをVirtualHostにて運用している且つ複数のSSL設定している場合、パスフレーズファイル読み込み指示「SSLPassPhraseDialog 」が出来ない。

なのでパスフレーズカットが気持ちいいね♪

元ファイルのバックアップ
# cp sslhoge.key sslhoge.key.org
パスフレーズの解除
# openssl rsa -in sslhoge.key -out sslhoge.key.none

新しく生成するファイル名を「none」などと別ファイル名とし名前変更することが大切!
エラーにならないけど同じファイル名だと上書きされないで、生成できていないから注意すること!
# openssl rsa -in sslhoge.key -out sslhoge.key.none

エディッタで開くとちゃんとパスフレーズが取れたか分かる

■暗号化されているとこんな感じ
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,35GBFG546FC042B7
 
bLpCb3csi5WDZpaUYhJ5IT2eB6lnuojsPxqS2r0ee+8Gzfu9KyO7/AVmN95XD6Go
n/0d1L341hsJZLPoATzGXLslRSKeSeakI22yZF0Fl6hYrs8rs/aToyUCgYEA3cq1
e/a4VfdRDqLV4ZDfxyP0+yLS+E4WpFi5V83RObfzer1cQs6Z+DV5RRwy8b1VIJjM
XqWr5TplNc/pcFfrEPegw86t1xw6qIh0rDapZd6oxlXkeWJyWOrCMEfXsCEBFz/v
j0RXKPHVndOyP1RBXR0ZgdiFUqOKchRfh/O8r4RzGPkb32+/umqPPU1McXOjkvVO
・・・

■パスフレーズが取れた場合はこんな感じ
-----BEGIN RSA PRIVATE KEY-----
MIIEpAIPURFCAQEA0q0ObXRi1L5mRYWNFGBFJsasTOdTlU0IK9I+S8OWnYJyBU/a
n/0d1L641hsJZLPoATzGXLslRSKeSeakI22yZF0Fl6hYrs8rs/aToyUCgYEA3cq1
yLXgRIJ5oBFkSaK35/qn8lc6pmPZ/dHrJxl3WfPDn3VgIH/m2uhJca1N9oFNPLoz
j3RXKPHVndOyP1RBXR0ZgdiFUqOKchRfh/O8r4RzGPkb32+/umqPPU1McXOjkvVO
yLXgRIJ5oBFkSaK35/qn8lc6pmPZ/dHrJxl3WfPDn3VgIH/m2uhJca1N9oFNPLoz
・・・

しっかりと確認すること♪

LinuxRouterWindows Server

DNS 再帰的な問い合わせ DDos攻撃について

1 Mins read

世の中の「DNS の再帰的な問い合わせを使った DDoS 攻撃」が相変わらず多いようです。

公開している外向きのDNSサーバーは再帰的な問合せをローカルIP以外からは使用できないよう設定する必要がありますが、昔のDNSサーバーは標準で外向きにも答えるようになっているものが多いみたいです。今回、色々な場所=GlobalIPから攻撃が飛んできているのもそのためであり、一定期間でアクセス元が変わってしまい捕まえるのが大変な状況になります。(また、被害者が加害者になってしまう構図も問題です)

以下はRTX1200でDDos攻撃を防ぐ目的で調査した際に判明したことを覚書しておきます。

DNSサーバーで有名なBIND(LINUX)はローカルIPからの問い合わせのみ再帰的な問合せに応答し、外部からの問い合わせには応答しない設定が出来ますので、DMZ内などに1台置くことでセキュリティ対策と保持Domainサーバーの2機能を賄うことが可能となっています。

一方、ActiveDirectryに対応する関係でWindows DNSサーバーを使用している会社さんも結構います。WindowsのDNSサーバーはローカルIPからの問い合わせと外部からの問い合わせに対する切り替え機能がないので、再帰的な問合せに対し応答するかしないかの2つしか設定できないので、社内に上位DNS情報のキャッシュサーバーを置きたい且つ、今まで通り保持Domainは社内のDNSサーバーを使いたいといった場合、セキュリティーの関係上、DMZに外用DNSサーバー、ローカルに内用DNSサーバーと2台立てることが必要となります。

プロバイダーが公開しているDNSを上位指定することでキャッシュサーバーを立てなくても解決できますが、多数のクライアントがある時、引っ越しなどの時は大変になりますね。(そこまで考えなくても良いかもしれませんが。。。)

雑学でした。。。

チームを強化する

サービスの
サブスクリプションの利点を説明するテキストを追加します。