iptablesのデバグ
12.4. iptablesのデバグiptables のデバグはなかなか骨が折れる。というのも iptables がいつも分かりやすいエラーメッセージばかり出すとは限らないからだ。そこで、 iptables でよくあるエラーメッセージと、それが出る理由をおさらいしておこう。 まず最初が "Unknown arg" エラー。出る原因はいろいろとある。例えば下のようなメッセージだ。 work3:~# iptables -A INPUT --dport 67 -j ACCEPT iptables v1.2.9: Unknown arg `--dport' Try `iptables -h' or 'iptables --help' for more information. この例なら、使用している引数がひとつだけなので解決はあまりにも容易い。このエラーメッセージにお目にかかるのは、普通、長い長
Stray Penguin - Linux Memo (rsyslog)
RHEL/CentOS 6に標準でインストールされる rsyslog は 5.8.x。しかし、rsyslog7 という名称で rsyslog 7.4.x のパッケージも用意されていて、5.8.x からアップグレードすることが可能だ。rsyslogのドキュメントでも言われているが、バージョン5 は機能が甚だ中途半端。処理速度も遅い。当ページでは、rsyslog 7.4.10 で Syslogサーバを仕立てる上で分かった rsyslog の機能やコツについて述べる。ちなみに RHEL/CentOS 7 では最初から rsyslog 7.4.x が標準となっている。 <- バージョン5 での検証と解説はこちら RHEL/CentOS 6での rsyslog 5->7 へのアップグレード方法 RHEL/CentOS 6でも rsyslog 7.4 が rsyslog7 という名称で選択可能パッケー
Iptablesチュートリアル 1.2.2
Japanese translation v.1.0.1 Copyright © 2001-2006 Oskar Andreasson Copyright © 2005-2008 Tatsuya Nonogaki この文書を、フリーソフトウェア財団発行の GNU フリー文書利用許諾契約書バージョン1.1 が定める条件の下で複製、頒布、あるいは改変することを許可する。序文とその副章は変更不可部分であり、「Original Author: Oskar Andreasson」は表カバーテキスト、裏カバーテキストは指定しない。この利用許諾契約書の複製物は「GNU フリー文書利用許諾契約書」という章に含まれている。 このチュートリアルに含まれるすべてのスクリプトはフリーソフトウェアです。あなたはこれを、フリーソフトウェア財団によって発行された GNU 一般公衆利用許諾契約書バージョン2の定める条件の
Stray Penguin - Linux Memo (Perl-3)
`used only once' 警告を消す 設定変数だけを別ファイルに分けることは多いはず。しかし、その場合、 warnings を有効にすると、`used only once, possible typo' (この変数は一度しか使われていないぞ。ミススペルじゃないのか?) という警告が出ることが多い。これを防ぐには、本体スクリプトの冒頭で、 #!/usr/bin/perl use warnings; no warnings qw(once); 出力バッファリングを一時的に無効化する 或るファイルハンドルに対してのみ出力バッファリング (output buffering) を無効にするには、そのファイルハンドルを select() してオートフラッシュ変数 $| を 1 に設定する。select() を再び元の状態に戻しておくのを忘れてはならないが、ひとつの複合 select文で一息に行
Stray Penguin - Linux Memo (iptables)
非常に役に立つ HOWTO に、 Oskar Andreasson の Iptables tutorial がある。日本語訳が存在しなかったので翻訳した (2006/01 本家にも掲載されました - Thank you, Oskar !)。 iptables は、カーネルが利用するIPパケットフィルタのルールを、操作するためのユーティリティ。カーネルそのものと密接に関係しており、kernel-2.2 では ipchains が使われていた。kernel-2.4 以降、 iptables が標準となる。ipchains とは比べものにならないほど、膨大な種類の操作オプションが用意されている。ipchains との最も大きな違いは、パケットを既存のコネクションとの関係性によって識別できる「コネクショントラッキング (接続追跡)」 というメカニズムを実装していること。この conntrack 機
Stray Penguin - Linux Memo (qmail-2)
このサイトは、もともと作者の自分用メモとして書き始めたものです。書いてあることが全て正しいとは限りません。他の文献、オフィシャルなサイトも確認して、自己責任にて利用してください。
ユーザ空間でのステート
7.3. ユーザ空間でのステートこれまで見てきた通り、カーネルの内部では、パケットはそのプロトコルに応じていくつかの異なったステートを採り得る。しかし、カーネルの外に用意されているのは、前述した 4 つのステートだけだ。ステートは、主に state マッチと組み合わせて、コネクション追跡上での現在のステートを調べることを通じて利用する。利用可能なステートは、NEW, ESTABLISHED, RELATED, INVALID, UNTRACKED だ。下の表に、各ステートの採り得る状態を簡潔にまとめた。 NEW ステートは、それが初めて観測したパケットであることを表す。つまり、或る特定のコネクションの中で conntrack モジュールが初めて検出したパケットがこれに合致する。例えば、SYN パケットが検出されたとして、それがあるコネクションで最初のパケットならマッチする。ただし、必ずしも
Stray Penguin - Linux Memo (NFSv4)
「良い意味でも悪い意味でも古いNFS」 を、インターネット経由でも使用できるようにと改良したのが、 NFSv4 すなわち NFS Version 4 だ。本当に安心してインターネット経由で使えるかどうかにあまり興味はないが、NFS の Version 2 や 3 に比べると、mountd, lockd, statd 及び quotad の機能を NFS デーモン内部に取り込んだこと、(基本的には) portmapper が必要なく、サーバは 2049 番ポートだけ解放すればよくなったこと。NFS over TCP が標準になったこと、デフォルトの読み取りブロックサイズが格段に大きくなったこと、ファイルのオープン/クローズやキャッシュなど多くのオペレーションをクライアントに任せるようになったことなどが特徴だ。従来の NFS と NFSv4 との違いは NFSv4 TESTING for Li
SCTPの特徴
2.10. SCTPの特徴Stream Control Transmission Protocol (SCTP) はネットワーク戦線ではまだ新顔の部類に入るプロトコルだが、利用される場面は日に日に広がりつつあり TCP および UDP プロトコルの弱点を改善するものでもあるため、こうしてセクションを設けて解説することにした。 SCTP は TCP にも勝る高信頼性を備え、なお且つ、プロトコルヘッダの造りから、オーバーヘッドが低く抑えられている。 SCTP には非常に興味深い特長がいくつかある。このプロトコルについてより詳しく知りたい人は、RFC 3286 - An Introduction to the Stream Control Transmission Protocol と RFC 2960 - Stream Control Transmission Protocol を読んでいただ
Stray Penguin - Linux Memo (BASH)
exp で 1文字を対象にしたいのであれば ?([a-f]) のようにクラスを併用することも可能。必ずしも `|' を使わなければならないわけではない。また、正規表現は ?(bash@(ref)) のように入れ子にすることもできる。 Bashで正規表現(2) ([[ =~ ]]オペレータ) 二重の `[[' を使い比較演算子に `=~' を使うと、右辺は拡張正規表現とみなされる。前項とは異なりこちらは本物の正規表現だ。面白いのは、マッチ部分が BASH_REMATCH という配列にアサインされるという点。 VAR=$(LANG=C date +'%c') # VAR='Wed Dec 22 22:51:41 2010' DAYOFWEEK=Wed PATTERN='^'$DAYOFWEEK' ([[:alpha:]]{3}) [[:digit:]]{2} ([0-9:]+)' [[ $VA
Stray Penguin - Linux Memo (NFS)
NFS ファイル共有システムは、良い意味でも悪い意味でも「古い」。UNIX 系 OS にはほぼ必ず実装されているので、LINUX マシン同士でファイルを簡単にやりとりすることができる。しかし一方、メールの SMTP プロトコルのように、他人 (他PC) が信じられる時代の性善説で成り立っているプロトコルである点は否めず、セキュリティを確保しながら利用するのは難しい。出来る限りのセキュリティ対策を施し、ローカルネットワーク内のみでの使用に限定し、使う時だけ起動させる姿勢で用いるべきだ。 ※ 当ページは NFSv4 が使い物になる前、主に nfs-utils 1.0.4 での検証を元に書いたものだ。NFSv4 については、もっと最近別ページにまとめた。 NFS の動作に関係するデーモン RedHat 系の RPM パッケージでは、portmap だけは portmap パッケージ、それ以外は
Linux logrotateの解説ページ
logrotate は、放っておけば際限なく肥大してしまう各種ログファイルに対して、世代ローテーションをして何代目かになったら破棄するとか、それらをメールでどこかに送信するなど、様々な処理が行える。世代管理やサイズ制限などの機構を自前で持たないプログラムからのログを管理するのになくてはならない道具だ。 Logrotate実行の流れ logrotate 自体はデーモンではないので cron (※1) と組み合わせて利用する。実行の流れは、RedHat系ディストリビューションでは以下のようになっている: cron が run-parts コマンド(※2)で /etc/cron.daily/logrotate スクリプトをキックする。 /etc/cron.daily/logrotate は 主設定ファイルである /etc/logrotate.conf から設定を読み込んで logrotate を
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ユーザ空間でのステート
Iptablesチュートリアル 1.2.2
ICMPコネクション