2017年12月16日(土) - 21:54 | カテゴリ:
Network
Linuxサーバ、FirewallアプライアンスでIPアドレスを国レベルで遮断を行いたい場合、
RIRが公開しているIPアドレスリストをスクリプトに食わす場合がある。
この元となるRIR公開ファイルが曲者で、IPアドレスがCIDRで記載されていない為、
自力でCIDR形式に修正するか、別途CIDR形式に直してある有志が公開したファイルを使うかになる。
今まで、筆者も修正済みファイルを利用していたのだが、
仮想サーバ台数が増えてきたり、ラズパイからも取得したかったり、IPv6網から取得したかったりと、
色々と要望が増えてきたが全てを満たすサイトが中々見つからなかった。
という事で、今回は国別IPv4/IPv6アドレスリストを自力で生成し、
IPv4/IPv6デュアルスタック運用している自鯖で公開してみた。
あと、ついでにリスト生成に使っているスクリプトも手前味噌だが公開してみた。
wiki:CountryCode IPList
IPアドレスリストのダウンロードURLやスクリプト仕様などは、上記のwikiを参照してください。
処理速度優先&本気で書くならば、C++辺りで記載するのが良いのだろうが、
今回は可読性維持したまま、サクッとスクリプト処理したかったので使い慣れているPerlを採用。
スクリプト内の変数初期化が重複していたり、処理が冗長な箇所もあるがキニスルナ
使う事の多そうな「テキスト・圧縮形式(3種)」を用意してみた。
ただ、転送容量が増えすぎたり負荷が上がる様なら公開ファイル形式を減らしたり、
別のレンタルサーバに移動するかも…
ただ、どの程度のサーバ負荷がかかるか未知数な所もあるので、
暫くの間は動作ログを確認しながら経過観察して考える事にする。
« 続きを隠す
2017年11月26日(日) - 21:33 | カテゴリ:
Network
以前の記事でも紹介した通り、自宅のテスト用に導入したTunnelBrokerを常用しているのだが、
その際に『折角だからIPv6 Certificationも点数MAXのLevel Sageにするか』と奮起して実現した筆者。
Level Sageにするには「Tシャツのサイズを入力する」というアメリカンジョークっぽい判定基準がある。
そこもちゃんと入力して、念願の1500点Level SageでIPv6でキャッキャと楽しんでいた所…
国際郵便で本当にTシャツが届いてしまった (´∀`;)
ちなみに、e-maのど飴はサイズ比較用
ネット上だと結構前に着弾報告があるのだが、まさか来るとは思わなかった…
『凄く… マニアックです…』
生地は普通のプリントTシャツだった。
寝間着として使うにもこの時期は寒すぎるので、ひとまず押し入れの奥に入れておこう。
お披露目だと、来夏のOSS辺りをターゲットに考えてみるか ヘ(゚∀゚ヘ)
« 続きを隠す
2017年09月30日(土) - 23:55 | カテゴリ:
Network
ずっとやろうと思って放置し続けていたのだが、
コミケ冊子、今年やる事の一覧などに「常時SSL化対応」と書いていた筆者。
GoogleがSSLサイトの検索結果を優先すると公表したり、
世間一般の検索エンジン自体も常時SSL化してきているので、
『流石にそろそろ実装するか~』と重い腰を上げてやってみた。
今まではオレオレ証明書だったが、ちゃんと証明書を切り替えた
ns-labの自鯖群は仮想含めて20台程動いており(2017年9月末現在)、
流石にこれ全台を切り替えるのはやりたくないので、
Internetに公開しているWebサーバのみ公的なSSL証明書に切り替えた。
全部を切り替えても良かったが、認証局のノウハウも貯めたいしオレオレは残す事に
そんでもって、結構悩んだのがワイルドカード証明書を購入するか、
Let’s Encryptでドメイン証明書で運用するかの2択。
ワイルドカード証明書を買っておくと、メールサーバとかもSSL対応出来るし美味しいのだが、
流石に年間1万払うのはしんどい事もあり、相当悩んだ結果Let’s Encryptにした。
ちなみに、Let’s Encryptも2018年にワイルドカード証明書の発行をスタートするらしいので、
発行スタートした際に改めて切り替えを検討する予定。
あと、Let’s Encryptを使う場合Certbotとかで証明書の自動更新をしておかないと、
証明書期限の関係で実運用が厳しいのだが、毎度お馴染みのperlでスクリプトを作成し、
証明書発行・ロードバランサへの転送・証明書適用の一連作業を全自動にしてみた。
………
ちゃんとしたSSL証明書を発行したなら、DNS CAAもやりたかったので、
ns-labのInternet向けDNSサーバにCAAレコードを追加。
CAAレコードにはLet’s Encryptとオレオレ認証局を追加した。
オレオレ認証局を追加するのは微妙な所もあるのだが、
実運用している場面もあるので問題なかろう。
………
ちなみに、SSL Reportを走らせて見たら『A+』の評価をゲット。
今回は本気で設計・脆弱性潰しを行いつつ、CAA対応とかオプションもやったので、
意図せずに高得点を取得出来たのかもしれない。
« 続きを隠す
