IPv6経路確認

投稿日: 2011年2月20日 作成者: tmaki

利用しているDTI VPSはIPv6対応しており、また自宅からはFreebitのFeel6を利用してIPv6でアクセスできるようにしてある。

その経路・レスポンスタイムを調べてみる。

1.IPv6アクセスの場合
[code]
# tracepath6 aaaa.furelo.jp
— aaaa.furelo.jp ping statistics —
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 27.461/27.715/28.108/0.336 ms
exchange:/var/backup/tokkyo # tra6 aaaa.furelo.jp
tracepath tracepath6 traceroute traceroute6 trap
exchange:/var/backup/tokkyo # tracepath6 aaaa.furelo.jp
1?: [LOCALHOST] pmtu 1500
1: 2001:3e0:75d::1 3.239ms
2: 2001:3e0:75d::1 asymm 1 3.269ms pmtu 1280
2: 2001:3e0:0:30:230:b6ff:fedf:541b 29.764ms
3: feel6-gate.feel6.jp 28.901ms
4: 2001:3e0:0:c:204:4eff:fea0:7854 30.739ms
5: freebit-gate.tunnel1.otemachi4.v6.dti.ad.jp 31.577ms
6: 2001:2e8:20:11::11 asymm 7 32.934ms
7: ix1-gate-oi1.oi.v6.dti.ad.jp asymm 8 34.867ms
8: 2001:2e8:22:202::20 35.115ms
9: 2001:2e8:61d:0:2:2:0:1 34.656ms
10: v6-2001-2e8-61d-0-2-1-0-9f.ub-freebit.net asymm 9 34.379ms reached
Resume: pmtu 1280 hops 10 back 9
[/code]

2.IPv4アクセスの場合

[code]
# tracepath www.furelo.jp
1: exchange.furelo.jp (192.168.11.102) 0.055ms pmtu 1500
1: setup.netvolante.jp (192.168.11.1) 2.236ms
2: setup.netvolante.jp (192.168.11.1) asymm 1 2.354ms pmtu 1454
3: HOKKAIDO3-NTTeast0.flets.2iij.net (203.180.73.81) 9.783ms
4: spr002lip20.IIJ.Net (203.180.195.5) 8.449ms
5: spr002bb01.IIJ.Net (58.138.116.149) asymm 6 8.996ms
6: tky001bb01.IIJ.Net (58.138.98.106) asymm 7 24.659ms
7: tky001bf00.IIJ.Net (58.138.80.217) asymm 8 23.897ms
8: tky001ix01.IIJ.Net (58.138.80.98) asymm 9 24.285ms
9: 210.173.177.13 (210.173.177.13) asymm 10 24.389ms
10: 122.28.104.173 (122.28.104.173) asymm 11 25.165ms
11: 118.23.168.20 (118.23.168.20) asymm 12 25.195ms
12: 118.23.146.126 (118.23.146.126) asymm 13 25.513ms
13: 122.28.177.110 (122.28.177.110) asymm 14 285.193ms
14: ix1-gate-oi1.oi.dti.ad.jp (202.216.225.182) asymm 15 34.900ms
15: core3-10.oi.dti.ad.jp (203.181.69.66) 29.311ms
16: 202.216.248.137 (202.216.248.137) 29.625ms
17: v-183-181-1-247.ub-freebit.net (183.181.1.247) 30.826ms
18: v-183-181-0-159.ub-freebit.net (183.181.0.159) asymm 17 31.224ms reached
Resume: pmtu 1454 hops 18 back 17
[/code]

IPv4でのアクセスとそれほど遜色名いレスポンスタイムが出ている。

カテゴリー: IPv6 | コメントする

rsyncdを使ってバックアップサーバを立てる

投稿日: 2011年2月19日 作成者: tmaki

新しくインストールしたopenSUSEサーバで、rsyncdデーモンを起動し、バックアップサーバとして運用を行う。

同じLAN内からは、バックアップ領域に無条件でアクセスできるように、rsyncdの設定を行う。
[code]
# cat /etc/rsyncd.conf
uid = root
gid = root
read only = true
use chroot = true
transfer logging = true
log format = %h %o %f %l %b
log file = /var/log/rsyncd.log
pid file = /var/run/rsyncd.pid
slp refresh = 300
use slp = false

[backup]
path = /var/backup
comment = backup files
hosts allow = {許可するIP/サブネットを指定}
hosts deny = *
read only = no
[/code]

自動起動するように設定する。
[code]
# /sbin/chkconfig rsyncd on
# /etc/init.d/rsyncd start
[/code]

以下のコマンドでバックアップされることを確認する。
# rsync -a {バックアップ対象} {バックアップサーバIP}::backup

カテゴリー: Technology | コメントする

openSUSEをインストールした

投稿日: 2011年2月19日 作成者: tmaki

CentOS5.6やCentOS6のリリースが遅れており(そろそろ出るらしいが)、今後どうなるか不安があるので、別のディストリビューションを試すことにする。

自宅サーバはXenServer5.5の上で動かす関係で、Xenの準仮想化に対応したディストリビューションの方が良いので、openSUSEをインストールしてみた。

引っかかった箇所として、XenServerは仮想マシンのブートローダーとしてpygrubを利用する関係で、/boot領域をext4ではなく、ext3でフォーマットする必要があった。

パッケージ管理ツールは、CentOSでのyumコマンドの代わりに、zypperコマンドを使うことになるが、ほとんど同じ感覚で利用できる。

カテゴリー: Technology | コメントする

SPFの設定

投稿日: 2011年2月19日 作成者: tmaki

SPF (Sender Policy Framework)を設定していないことを思い出したので、登録する。

DNSサーバとして PowerDNSを利用しているので、PowerAdminを利用して、以下の TXT レコードを追加する。

[code]
furelo.jp IN TXT "v=spf1 a mx -all"
[/code]

※ドメインが A (or AAAA)レコードで引いたIPと一致するか、もしくはMXレコードで指定されているサーバのIPと一致した場合に許可する設定。

DNSSEC導入前はこれで完了していたのだが、DNSSEC導入後はコマンドラインから以下の操作が必要。

[code]
# pdnssec check-zone furelo.jp
# pdnssec rectify-zone furelo.jp
[/code]

SPF対応している Yahoo宛のメールアドレスに送信して、動作確認。

カテゴリー: DNSSEC, Technology | タグ: | コメントする

九州整備新幹線 整備基地

投稿日: 2011年2月14日 作成者: tmaki
カテゴリー: 写真 | タグ: | コメントする

PowerDNSを使ってDNSSECに対応

投稿日: 2011年2月13日 作成者: tmaki

CentOS5.5の環境でPowerDNSを利用してDNSSECに対応する。
Bindを利用したDNSSECの方法はいろいろ検索して出てくるが、PowerDNSについては見つからなかったのでその方法をメモしておく。

DNSSEC対応出来たかチェックするためにdigコマンドを用いるが、標準パッケージでは+sigchaseオプションが利用できない(DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_5.3)。その為、bindをソースからインストールする。
[shell]
# wget http://ftp.isc.org/isc/bind9/9.7.2-P3/bind-9.7.2-P3.tar.gz
# tar zxvf bind-9.7.2-P3.tar.gz
# cd bind-9.7.2-P3
# ./configure –disable-openssl-version-check STD_CDEFINES="-DDIG_SIGCHASE=1"
※sigchaseオプションを有効にする
# make
# make install
※新しいバージョンが/usr/local/bin/digにインストールされる。
# hash -r
[/shell]

既存のPowerDNSのDB(pdns)のバックアップを取得して、別途pdnssec DBにリストアする
[shell]
# mysqldump -p DB名 > pdnssec.sql
# wget http://wiki.powerdns.com/trac/browser/trunk/pdns/pdns/dnssec.schema.mysql.sql
# mysqladmin -p create pdnssec
# mysql -u root -p pdnssec < dnssec.schema.mysql.sql
※DNSSEC用スキーマの追加
[/shell]

PowerDNSは3.0からDNSSECに対応しているが、リポジトリに登録されていない。ソースからインストールする場合、Boostライブラリのあたらし目のバージョンが必要だが、これもリポジトリにない。面倒なので、PowerDNSの配布元がライブラリをstaticリンクしたパッケージを公開しているので、それを利用する。
※すでにPowerDNS+MySQLにて運用している前提で記載してあります。
[shell]
# wget http://powerdnssec.org/downloads/packages/pdns-static-3.0pre.20110207.1990-1.i386.rpm
# rpm -ivh –force pdns-static-3.0pre.20110207.1990-1.i386.rpm
※既存のpdnsパッケージと競合するので強制的にインストールする。
# rpm -qlp pdns-static-3.0pre.20110207.1990-1.i386.rpm
/etc/init.d/pdns
/etc/powerdns
/etc/powerdns/pdns.conf
/usr/bin/pdns_control
/usr/bin/pdnssec
/usr/bin/zone2sql
/usr/man/man8/pdns_control.8
/usr/man/man8/pdns_server.8
/usr/man/man8/zone2sql.8
/usr/sbin/pdns_server

# cd /etc/powerdns
# cp /etc/pdns/pdns.conf /etc/powerdns/pdns.conf
※既存の設定ファイルで上書き
# vi pdns.conf
launchの箇所にgmysql-dnssecを追加し、DB名を変更する。
ここから——-
gmysql-dbname=pdnssec
gmysql-dnssec
ここまで——-

必要であれば、MySQLの接続権限を追加する。
# mysql -p
GRANT SELECT,INSERT,UPDATE,DELETE ON pdnssec.* TO ‘DB接続ユーザID’@’localhost’;
FLUSH PRIVILEGES;
quit

またPowerAdminを使っているのであれば、接続先DB名を変える。

# /etc/init.d/pdns stop
# /etc/init.d/pdns start
[/shell]

どうもgmysql-dnssecを有効にした場合、以下で行うpdnssec secure-zone コマンドを実行するまでは、digなどでレコードが取得できなくなる模様。
※pdnssec secure-zoneコマンドはKSKと2つのZSKをドメインに追加するコマンド

[shell]
# pdnssec secure-zone furelo.jp
# dig +dnssec -t A furelo.jp @localhost
  ※RSSIGレコードがAレコードの他に返ってくることを確認する。
# pdnssec export-zone-dnskey furelo.jp 1 | grep DNSKEY > trusted-keys
  ※KSK(Key Signing Key)をエクスポートする。
# dig +dnssec +sigchase +trusted-key=./trusted-keys -t A furelo.jp @127.0.0.1
  ※理解していないが、以下のようにsuccssと出たのでOKと思われる。
;; WE HAVE MATERIAL, WE NOW DO VALIDATION
;; VERIFYING CNAME RRset for www.furelo.jp. with DNSKEY:64131: success
;; OK We found DNSKEY (or more) to validate the RRset
;; Ok, find a Trusted Key in the DNSKEY RRset: 38374
;; VERIFYING DNSKEY RRset for furelo.jp. with DNSKEY:38374: success

;; Ok this DNSKEY is a Trusted Key, DNSSEC validation is ok: SUCCESS
[/shell]

今後、レコードを修正したら、以下の2つのコマンドを実行しないと、反映されない。
[shell]
# pdnssec check-zone furelo.jp
# pdnssec rectify-zone furelo.jp
[/shell]

レジストラがDNSSEC未対応のため、JPドメインにはまだ登録出来ないので、
代わりにISC DLV Registryに登録を行ってみる。

先ほど作成した trusted-keysの内容をDNSKEY Recordsとして登録する。
登録したら、TXTレコードに登録する内容が表示されるので、DNSレコードに登録する。

pdnssecコマンドのヘルプ:
[shell]
# pdnssec -h
Usage:
pdnssec [options] [show-zone] [secure-zone] [rectify-zone] [add-zone-key] [deactivate-zone-key] [remove-zone-key] [activate-zone-key]
[import-zone-key] [export-zone-key] [set-nsec3] [set-presigned] [unset-nsec3] [unset-presigned] [export-zone-dnskey]

activate-zone-key ZONE KEY-ID Activate the key with key id KEY-ID in ZONE
add-zone-key ZONE [zsk|ksk] Add a ZSK or KSK to a zone
[bits] [rsasha1|rsasha256] and specify algorithm & bits
check-zone ZONE Check a zone for correctness
deactivate-zone-key Dectivate the key with key id KEY-ID in ZONE
export-zone-dnskey ZONE KEY-ID Export to stdout the public DNSKEY described
export-zone-key ZONE KEY-ID Export to stdout the private key described
import-zone-key ZONE FILE Import from a file a private key, ZSK or KSK
[ksk|zsk] Defaults to KSK
rectify-zone ZONE Fix up DNSSEC fields (order, auth)
remove-zone-key ZONE KEY-ID Remove key with KEY-ID from ZONE
secure-zone Add KSK and two ZSKs
set-nsec3 ZONE ‘params’ [narrow] Enable NSEC3 with PARAMs. Optionally narrow
set-presigned ZONE Use presigned RRSIGs from storage
show-zone ZONE Show DNSSEC (public) key details about a zone
unset-nsec3 ZONE Switch back to NSEC
unset-presigned ZONE No longer use presigned RRSIGs
[/shell]

カテゴリー: DNSSEC | タグ: , | コメントする

LuaスクリプトをCGIとして動作させる。

投稿日: 2011年2月13日 作成者: tmaki

テンプレートモジュールのcgilua.lpを利用したいので、適当にモジュールをインストールする。

LuaRocks

[shell]
# yum –enablerepo=epel install lua-devel
# wget http://luarocks.org/releases/luarocks-2.0.4.tar.gz
# tar zxvf luarocks-2.0.4.tar.gz
# cd luarocks-2.0.4
# ./configure
# make
# make install
[/shell]

CGILua
luarocksコマンドを利用してインストールする。
luarocksコマンドを利用した場合、インストール先が/usr/local/share/lua/ 以下になったため、入れなおすのも面倒なのでシンボリックリンクを張っておく。
[shell]
# luarocks install cgilua
# cd /usr/share/lua/
# mv 5.1 5.1.orig
# ln -s /usr/local/share/lua/5.1 .
[/shell]

サンプルluaスクリプトを適当なファイル名で作成し、実行権限をつけておく。
[lua]
#!/usr/bin/lua
tmp=100

lp = require "cgilua.lp"
io.stdout:write("Content-Type: text/html;charset=UTF-8;\n\n")
lp.include("index.lp")
[/lua]

サンプルテンプレートをindex.lpというファイル名で作成する。
[html]
<html>
<body>
aaa=<?lua
print(tmp)
?>
</body>
</html>
[/html]

実行結果
[html]
Content-Type: text/html;charset=UTF-8;

<html>
<body>
aaa=100

</body>
</html>
[/html]

カテゴリー: Lua | 1件のコメント

LuaスクリプトからMySQLを利用するサンプル

投稿日: 2011年2月12日 作成者: tmaki

LuaスクリプトからMySQLにDB作成・INSERT・SELECTを行うサンプル。

※CentOSの場合、EPELのluaとlua-sql-mysqlパッケージを入れておくこと。

[lua]
require "luasql.mysql"
require "socket"

function rows (connection, sql_statement)
local cursor = assert (connection:execute (sql_statement))
return function ()
return cursor:fetch()
end
end

env = assert(luasql.mysql())
con = assert(env:connect("DB名", "ユーザーID", "パスワード", localhost, 3306))

res = con:execute([[
DROP TABLE logging
]])

res = assert(con:execute([[
CREATE TABLE logging (
name varchar(50),
value varchar(50)
)
]]))

— レコード作成
x = socket.gettime()
list = {}
for i=1,100000 do
table.insert(list, { name="Test1", value="Test1 Value", });
end
print(string.format("Initialize elapsed time: %.6f\n", socket.gettime() – x))

— レコードをDBにINSERT
for i,p in pairs (list) do
res = assert (con:execute(string.format([[
INSERT INTO logging
VALUES (‘%s’, ‘%s’)]], p.name, p.value)
))
end
print(string.format("Insert elapsed time: %.6f\n", socket.gettime() – x))

— DBからレコード取得(イテレータ未使用版)
cur = assert(con:execute([[
SELECT name, value from logging
]]))
print(string.format("Execute elapsed time: %.6f\n", socket.gettime() – x))
print("Num is ".. cur:numrows());
row = cur:fetch({}, "a")
while row do
— print(string.format("Name: %s, Value: %s", row.name, row.value))
row = cur:fetch(row, "a")
end
print(string.format("Fetch elapsed time: %.6f\n", socket.gettime() – x))
cur:close()

— DBからレコード取得(イテレータ使用版)
for name, value in rows (con, [[
SELECT name, value from logging
]]) do
— print(string.format("Name: %s, Value: %s", name, value))
end
print(string.format("Fetch/Execute elapsed time: %.6f\n", socket.gettime() – x))
cur:close()

con:close()
env:close()
[/lua]

カテゴリー: Lua | コメントする

Luaスクリプトでの時間計測方法

投稿日: 2011年2月12日 作成者: tmaki

1. os.clock() を利用

10msec程度の分解能がある模様。
[lua]
x = os.clock()
— 何か時間がかかる処理
print (os.clock() – x)
[/lua]

2. socket.gettime()を利用

os.clock()より分解能が高い(14桁)。精度は調べてない。
[lua]
require "socket"
x = socket.gettime()
— 何か時間がかかる処理
print (socket.gettime() – x)
[/lua]

カテゴリー: Lua | タグ: | コメントする

関門海峡

投稿日: 2011年2月11日 作成者: tmaki

カテゴリー: 写真 | コメントする