nDiki : トンネル

2001年5月8日 (火)

Zebedee で念願の secure connection 達成

とあるサーバへの接続(pop, telnet, ftp)がセキュアではないのでずっと不安なのだが、ルート権限がないので sshd も動かせない。 以前 sshd を一般ユーザで動かそうとしたのだが、その時は失敗。

今回 Zebedee を知ったので試してみることにした。Zebedee はフリーのセキュアなトンネルプログラム。 設定無しで動く/Windows上でも動く/通信の圧縮あり/特許問題なし/GPLあたりが特長。

Debian GNU/Linux ではまだパッケージ化されていないようなのでソースからビルドインストールに必要なライブラリも一応一緒に作ることにする(Zebedee の Makefile が Zebedeeアーカイブをを展開先の親ディレクトリに各ライブララリパッケージを展開してある事を前提としているので、その方が楽)。

Zebedee のサイトからソースパッケージと必要なライブラリ(zebedee-2.2.1.tar.gz, blowfish-0.9.5a.tar.gz, zlib-1.1.3.tar.gz, bzip2-1.0.1.tar.gz を作業ディレクトリにとってくる。

ビルドする環境は Debian GNU/Linuxインストール先を /usr/localzebedee-2.2.1 とする。

 $tar zxvf blowfish-0.9.5a.tar.gz
 $cd blowfish-0.9.5a
 $make optimize
 $cd ..

 $tar zxvf zlib-1.1.3.tar.gz
 $cd zlib-1.1.3
 $./configure
 $make
 $cd ..

 $tar zxvf bzip2-1.0.1.tar.gz
 $cd bzip2-1.0.1
 $make
 $cd ..

 $tar zxvf zebedee-2.2.1.tar.gz
 $cd zebedee-2.2.1
 $make OS=linux
 $make install OS=linux ROOTDIR=/usr/local/zebedee-2.2.1
 $cd doc_jp
 $make
 $make install ROOTDIR=/usr/local/zebedee-2.2.1

インストール終了。ローカルでテストしてみる。

zebedee -s でサーバを起動。 telnet サーバをたちあげていないので smtp にトンネリングしてみる。 zebedee localhost:smtp でクライアントを起動。

 zebedee(4621/1024):  Listening on local port 3401

と表示されたので telnet localhost 3401 で接続してみる。 成功。

ということで次は接続先のサーバ(FreeBSD)にインストール。 zebedee の make で OS=freebsd にするのと、ROOTDIRを $HOME/local/zebedee-2.2.1 にする以外は同じ。

で今度はローカルからFreeBSDサーバへ接続してみる。 FreeBSD 側で zebedee -s。 失敗。

 zebedee(50819/5152): ERROR: can't resolve host or address 'localhost'

あちゃ。localhost でひけないか。 zebedee -s 実際のサーバ名 で起動する。

クライアント側から telnet で接続してみる。 zebedee 実際のサーバ名:telnet でクライアントを起動。

 zebedee(8807/1024):  Listening on local port 2324

と出たので telnet <i>実際のサーバ名</i> 2324 で telnet 接続。 成功。

やほ。成功。 問題は Zebedee サーバが落ちたときに telnet で入って起動しなおさなければならない事。 ま、しょうがないかなぁ。 cron まわして落ちていたら再起動するようにするかな……

次は pop の設定。 fetchmail で zebedee を利用するようにする。 fetchmail-with-zebedee.conf に

 defaults
     no mimedecode
     pass8bits
 
 poll popサーバ名
      protocol pop3
      via localhost
      user ユーザ名
      password パスワード
      fetchall

と書いておき、

 $zebedee -e "fetchmail -f fetchmail-with-zebedee.conf --port %d" popサーバ名:pop3

を実行。%d がトンネルのローカルポートに置換されて fetchmail が実行されるのでこれでトンネルを開いて pop する事ができる。 もちろん、ローカルポート番号を指定して Zebedee クライアントを起動しておいて、fetchmail の設定ファイルにそのポート番号を指定しておいても可能。

とりあえずこれである程度安心。 接続が横取りされているかチェックするには Identity Checking をしなければならない(し Zebedee はそれが可能だ)が、面倒になってくるのでそこまではいいにする。

スポンサード リンク
[ 5月8日全て ]

2003年9月27日 (土)

品川

午後ちょっとした時間があったので、カメラを持って散歩でも。 っと思ったが特に行く場所も思いあたらないので、手近なところで来月には新幹線も停まるようになる品川へ。

ウィング高輪EAST

品川

先月末に閉店したけいきゅう品川(京急ストア)は昨日「ウィング高輪EAST」としてオープンしたらしい。 明らかに新幹線駅開業に合わせた戦略だな。 入ってみたけど、普通に改装したって感じ。 ま、京急ストアよりは wing の方が洒落た感じがして一般うけが良くなる事を狙ったというところか。

駅からハイキング&ウォーキング

品川

品川駅を出て第一京浜をテクテクと北上。 すると向こうから、黄色いリボンをつけた(主に年配の)人たちがワラワラとやってくる。 そういえば、品川駅に「駅からハイキング」ゴール受付の机が出てたんで、きっとそれだな。 後で調べたら「江戸開府400年記念ウォーク第4回忠臣蔵ゆかりの地を歩く」というお題で、

  1. 新橋
  2. 浅野内匠頭終焉の地
  3. 義士洗足の井戸
  4. 南部
  5. 大石主税切腹の地
  6. 曹渓寺
  7. 泉岳寺
  8. 品川

というコースだったらしい。 実はちょっとしたオフ会の余興の散歩コースに参考になるかなと先日パンフレットを駅でもらったところ。 しかし、JR で開催している同日は危険すぎるな。 あんなにモケモケ歩いている隊列につかまりたくない。

高輪橋架道橋

品川

品川駅の北側、泉岳寺の付近にあるJRの線路の東西を結ぶ連絡通路。 品川駅の連絡通路が有料だった頃、東西(無料で)行き来するにはここまで迂回するか、はたまた南側の(ゴジラ初上陸で一度破壊されている)八ツ山橋をまわるしかなかった。

と知ってはいるものも、実際には用も無いので通った事は無かったんだよね。 目前までは行ってみたり、京浜東北線の車窓から見下ろしてみたりはしているんだけれど。

実際通ってみると、こりゃ低い。 身長約165cmなのだが、ぎりぎり直立できる程度。 歩くと頭を擦りそうなのでちょっと腰を落とす事になる。

ま比較的有名な名所を見ておいたということで。

芝浦中央公園 -> 品川

品川

トンネルをくぐって、芝浦中央公園へ。 人気もあまりなく、比較的ゆっくりできる。 下水道芝浦水処理センターの上に作られた公園なのだが、何と北側と南側の2ヶ所しか出口がない(A面、B面)。 旧海岸通りを挟んだ、テニスコートのあるC面の方も見にいきたかったのだが、ぐるっと回ることになるのでパス。

南出口は新しく立ったドコモのビルの裏にある。 そのままNTT品川ツインズとコクヨショールームの間を通って品川駅へ。

品川

ということで賞味1時間ほどのお散歩。 結局 Nikon F3/T の方ではあまり写真撮らんかったな。

[ 9月27日全て ]

2004年1月16日 (金)

[ お仕事 ] OCNエコノミー -> OCN ADSLアクセスIP8「フレッツ」プラン

本日移行。IP アドレスDNS サーバメールサーバ、Web サーバを一斉入れ換え。

午前中にはJPRS側の設定が変更され一時的に名前が引けなくなる。 午後、ADSL側開通(フレッツADSL 12M からサービス変更)。 ほぼ順調。

ただし、中からADSL経由で外へ出ていけない(別の人がルータの設定に苦戦)。 OCNエコノミー側から外へ出れるのだが、」OCNエコノミー側の IP アドレスの正引きがキャッシュされていて古い名前が引けるけど、逆引きはもうできない」という状態に一時的にあるせいで、naney.org に ssh 接続できず(ssh_exchange_identification: Connection closed by remote host)。

別の某大学サーバへは ssh でき、そこから naney.org へ ssh。 ログを見ると、

 Jan 16 15:20:05 www9 sshd[9382]: warning: /etc/hosts.allow, line 34: can't verify hostname: getaddrinfo(xxx.yyy.co.jp, AF_INET) failed
 Jan 16 15:20:05 www9 sshd[9382]: refused connect from aaa.bbb.ccc.ddd (aaa.bbb.ccc.ddd)

という感じ。うーん SSH経由での外部サーバからのメール取得ができん。 しょうがないので、某大学にSSHトンネルを掘り、そのトンネルの中にもいっちょトンネルを掘って一時的に迂回。

 ssh -L 12345:www.naney.org:22 xxx.yyy.ac.jp

しておいて、

 ssh -L 12346:xxx.naney.org:110 -p 12345 localhost

して、localhost:12346 にPOP3接続と。

そうこうしている間に直ったらしい。

完了

DNSセカンダリのゾーン転送もうまくいっているという連絡が入ったし、ほぼ移行作業完了。 残業/休日出勤しないで済んだ。

[ 1月16日全て ]

2004年2月2日 (月)

[ Linux ] SSH remote port forwarding

Web カメラ*1画像ファイルとか、ノート PC から cron で定期的にサーバへ送信している。しかしPUSHじゃなくてPULLも活用したい。

それから Web サーバはホスティングサーバなのであまりヘビーな事はできないし、ツールのビルドに必要なライブラリとかを一般ユーザで用意するのもいろいろ面倒ということで、一部の処理は手元のホストでやらせてもいいかなと。

だいたいいつもIPマスカレード下にいるので、トンネルを用意しないと。 SSHがやはりお手軽かな。 例えば、

 ssh -R XXXX:127.0.0.1:80 www.naney.org

しておけば www.naney.org 上からそのホストに

 wget http://localhost:XXXX/service.cgi?foo=1234

などとしてPULLできるようになる。 ...はずだがうまくいかないや。何故?

プライベートネットワーク同士ではうまくいったので「ルータがらみ?」かと思ったが、別の外部ホストに対して実験してみたところそっちではうまくいったので、そうでもない様子。

でいろいろチェックしてみたところ www.naney.org

 Feb  2 12:08:41 yyyy sshd[61628]: error: Hm, dispatch protocol error: type 80 plen 33

エラー吐いてた。 もしやと思って ssh 実行時に -1 したら成功。 通常の SSH接続だと ssh -2 でもつながるし、LocalForward でもプロトコル2でつながっているんだけどなぁ。

そういえば ssh -4 は 'Use IPv4 only.' (OpenSSH_3.6.1p2)。 'Force protocol version 4' が必要な時代がきたらどうするのかな?

*1休止中

[ 2月2日全て ]

2004年4月23日 (金)

MewSSH

設定を確認したら一部のConfigで「メールサーバにSSH接続して、そのサーバ自身(localhost)上のSMTPポートにトンネルを掘る」べきところを「localhost(メールを出しているMewのあるホスト)にSSH接続して、メールサーバのSMTPポートにトンネルを掘る」というとんでもない設定になっていた。 暗号化されてないではないか。トホホ。

どうやら以前設定をごちゃごちゃいじった時に間違えていたらしい。 設定を修正したらSSH port forwarding で会社の SMTP サーバに接続すると1通目しか送信できなくなるというトラブルも解消された。 これが原因だったか。

さて、POP3のパスワード変更しなければ。

[ 4月23日全て ]

2005年6月21日 (火)

侵入計画?

rimage:/nDiki/Flickr/20698122.jpg 昼休みになると、同僚の物理博士がせっせとオフィス中を計測してまわっている。 もしかしたら、秘密裏にトンネルを掘って侵入するつもりかもしれない。

できあがるものが楽しみである。

[ 6月21日全て ]

2007年2月20日 (火)

トンネル越えの特急列車

rimage:/nDiki/Flickr/396404952.jpg

久しぶりに食玩。BOSS BestShot ジオラマフィギュア。

トンネルから出てきたスーパービュー踊り子がドラマチック。

[ 2月20日全て ]

2009年6月24日 (水)

今日のさえずり - UQ WiMAX の CM をみてルービックキューブやりたくなっている

2009年06月24日

  • 09:32 駅までで既にずいぶんしっとり。 [mb]
  • 12:05 本社との通信が遅いというので一応ルータ再起動したら、VPN が繋がらなくなった……。 *P3
  • 12:08 こちら側のルータ設定確認したり IPSec トンネルを再度有効化したりしても駄目だったんだけれど、本社側のルータ再起動してもらったらあっさりつながった。 *P3
  • 12:09 今日は雨のなか昼飯買いにいくのが嫌なので、シーフードヌードル持ってきた。もう雨止んでるけど。 *P3
  • 12:18 今日はタイムラインでペプシしそは話題になっていないだろうとログ検索してみたところ、まだまだ健在だった。 *P3
  • 12:46 2009年6月23日の歩行: 5405歩、4.25km、43分、5.82km/h、消費 201.4kcal、脂肪燃焼 28.8g、2.9エクササイズ。 *P3
  • 12:48 佐藤錦きた。 [Flickr] http://tinyurl.com/lsqlv7
  • 12:48 ペプシしそ、この味はアリ。 [Flickr] http://tinyurl.com/lujxn9
  • 12:58 UQ WiMAX の CM をみてまたルービックキューブやりたくなっているんだけれど、やはり昼休みには今無理。 *P3
  • 13:03 LA FONERA 2.0 が日本発売か。 *P3
  • 13:14 ルータモデム再起動で本社との Visual SourceSafe 通信が遅いという苦情が解決。 *P3
  • 13:15 @zakwa 私の担当プロジェクトのメンバ以外は皆東京ビッグサイトにいますよ。3人は CML でお留守番。 *P3
  • 13:25 一昨日から喉が痛い。とりあえずのど飴買ってきた。 *P3
  • 16:52 @zakwa 自分はいつも Twitter 上にいますよー。 *P3
  • 17:06 今日も佐藤錦食べた。 *P3
  • 19:35 @naofumiyoshida ようこそ。 [mb]
[ 6月24日全て ]

2010年12月3日 (金)

今日のさえずり: 東北新幹線(E2系)ってトンネルに入ると膨らむんだ

2010年12月03日

  • 06:42 2度寝ダークサイドをなんとか回避。雨凄いなこりゃ。
  • 07:39 本日有給休暇。2時間以内にこの雨いっちゃってください。
  • 07:54 うわ、警報きた。
  • 07:54 空襲?
  • 08:09 さっきのサイレン、川が警戒水位に達したからか。
  • 08:57 なんか出発までに妙に時間が余ってる。
  • 09:49 そろそろシャットダウンして出発する。
  • 09:59 うわっ。生温っ。
  • 10:25 また雨きた。 (@ 東京駅 (Tokyo Sta.) w/ 25 others) http://4sq.com/8xVmpL
  • 10:52 これに乗る(と思ったら回送だった)。 http://movapic.com/...

image:/nDiki/Flickr/5245782122.jpg

[ 12月3日全て ]

2010年12月9日 (木)

今日のさえずり: 品川駅と田町駅の間に新駅を作るという話はどうなった?

rimage:ASIN:B00439HQUG

2010年12月09日

[ 12月9日全て ]

About Me

Naney Naney (なにい)です。株式会社ミクシィで SNS 事業の部長をしています。

nDiki1999年1月に始めたコンピュータ日誌を前身とする NaneyWeb 日記(兼パーソナルナレッジベース)です。ちょっとしたノートは nNote にあります。

※内容は個人的見解であり所属組織とは関係ありません。

月別インデックス
Process Time: 0.085052s / load averages: 0.31, 0.55, 0.71
nDiki by WATANABE Yoshimasa (Naney)
Powered by DiKicker