仕事の最近のブログ記事

徹夜して酒飲むと、効きますね。

仮眠とれれば良いんですが、寝過ごしてしまうと怖いのでなかなか仮眠もとれないですし・・・。
結果として、どうしても完徹になってしまうんです。

月末になってから
急に残業と出張が…

たまたま手元にあった実機（Catalyst3750、IOS IP-Services 12.2(20)SE1）を使ってテストしてみたけど・・・コンフィグはこんな感じで。

vlan 10
 name External-Network
 exit
!
vlan 20
 name Internal-Network
 exit
!
interface Vlan10
 description ---- External Network ----
 ip address 192.168.10.254 255.255.255.0
 ip access-group input in
 ip access-group output out
 exit
!
interface Vlan20
 description ---- Internal Network ----
 ip address 192.168.20.254 255.255.255.0
 exit
!
ip access-list extended input
 permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
 permit udp any any eq rip
 permit udp any eq ntp any
 evaluate dyn-in
 deny   ip any any log
 exit
!
ip access-list extended output
 permit tcp host 192.168.20.1 host 192.168.10.10 eq 8080 log reflect dyn-in timeout 10
 permit icmp 192.168.20.0 0.0.0.255 any log reflect dyn-in timeout 10
 permit tcp 192.168.20.0 0.0.0.255 any log reflect dyn-in timeout 300
 permit udp 192.168.20.0 0.0.0.255 any log reflect dyn-in timeout 120
 deny   ip any any log
 exit
!

正直な感触としては、パケットの破棄が多すぎて使い物にならない。尤も、再帰ACLについてはCPUで処理されている筈なので、Catalyst3750の力不足というのも考えられる。より高速なルータ（7200とか）なら実用になるのかも知れないけど・・・。
今すぐ使えるという感じでは無いな。


一応ちゃんとダイナミックにフィルタが更新されてる様子として・・・

Switch#show ip access-lists dyn-in
Reflexive IP access list dyn-in
     permit tcp host 192.168.10.10 eq 8080 host 192.168.20.1 eq 1308 log (3 matches) (time left 119)
     permit tcp host 192.168.10.10 eq 8080 host 192.168.20.1 eq 1307 log (7 matches) (time left 116)
     permit tcp host 192.168.10.10 eq 8080 host 192.168.20.1 eq 1300 log (3 matches) (time left 109)
     permit icmp host 192.168.10.10 host 192.168.20.1  log (87 matches) (time left 9)
Switch#

ちょっと期待はずれでガッカリ。

CiscoのACLで面白い機能を見つけたので、メモ。


CCIEの範疇っぽい内容だけど。



IOS11.3以降でサポートされている機能として、再帰ACLと書かれてるんだけど、どうも単なるダイナミックフィルターっぽい。

再帰 ACL は、Cisco IOS ソフトウェア リリース 11.3 で導入されました。 再帰 ACL では、上位層セッションの情報に基づいて IP パケットをフィルタリングできます。 一般に再帰 ACL は、ルータ内部から開始されたセッションに対して、発信トラフィックを許可し着信トラフィックを制限するために使用されます。

再帰 ACL は、拡張名前付き IP ACL でのみ定義できます。 番号付きまたは標準名前付き IP ACL、またはその他のプロトコル ACL では定義できません。 再帰 ACL は、他の標準 ACL やスタティックな拡張 ACL と組み合せて使用できます。

次に、さまざまな再帰 ACL コマンドの構文を示します。

interface
ip access-group {number|name} {in|out}

ip access-list extended name
permit protocol any any reflect name [timeoutseconds]
ip access-list extended name
evaluate name
次に、ICMP については発信および着信トラフィックを許可し、TCP トラフィックについては内部から開始された場合だけ許可して他のトラフィックは拒否する例を示します。

ip reflexive-list timeout 120

interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group inboundfilters in
ip access-group outboundfilters out

ip access-list extended inboundfilters
permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
evaluate tcptraffic


!--- 次のコマンドにより、tcptraffic という名前の、outboundfilters ACL
!--- の再帰 ACL 部分を inboundfilters ACL に結び付けます。


ip access-list extended outboundfilters
permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic

NAT/NAPTと（他社で言うところの）ダイナミックフィルターが使えるって事は簡易的にファイアウォール的な制御も可能って事じゃない？と思ったんだけど・・・。

実際のところ、実験してみないとどれだけ細かく制御できるのとかは判らないし、CEFとかが効くのかも不明だし、どれだけ実用的に使えるかは不明なんですが。
今度、暇ができたらISRとか3750辺りの評価機でも使って実験してみようっと。

なんかあったとき、逃げとして位なら使えるかも知れないし。


ちなみに、本当の意味でのステートフルな制御はコンテキストベース アクセス制御とか言われててFirewallフィーチャセットが必要っぽい。（Firewallフィーチャセットを買って使うくらいの要件ならPIX/ASA使った方が・・・とも、最近ちょっと思う）


以下、ちょっと愚痴。

上記のCBAC、再帰ACL、普通のACLの違いって、話してもなかなか理解してもらえない部分ですよね。ファイアウォールとACLの違いって何？みたいな聞き方をされたときに、もっと判りやすく説明できる方法があればいいんだけどねぇ。（どうしても技術的な話になっちゃうし、くどくなっちゃうから・・・）

ちょっと出張行ってきて、スッキリ。
内勤で鬱々していたのがウソのようです。

出張先では、完徹だったんですけど(^^;

syslogd・・・言わずと知れたSyslogの収集、記録を行うデーモンなんですけど。最近syslog-ngに切り替えが進んでるらしい。

今日はへとへとになってしまった。


以前MySQLで云々と書いた件だが


実は
某所でMySQLがらみの障害が起きていたというのが真相だった。

基本コード書きはMACかLINUXがいいんですが、会社PCは普通にWINDOWS…。

久々にWINDOWSからリモートでVI使ってみたんですが、ストレス・・・。
やっぱりXcodeのエディタが・・・・

ITpro EXPO：「好きだからこそモチベーションが維持できる」

プログラミング言語Rubyの作者であるまつもとゆきひろ氏とロボットクリエイターの高橋智隆氏による対談が実現。「独創的な開発のために必要なものは何か」をテーマに、二人の“天才”が思いを語り合った。 好きなことに没頭する様子を「天才というよりは変人」と表現する両氏は、「好きになること＝開発に必要な原動力」につながるという。
一方の高橋氏も、「好きなことをしているときは、ご飯を食べるのが面倒になるほど」とその好きなことへの集中ぶりを語る。

とても理解できる。。。

酒の飲み方が…