基盤系インフラSE 4年目 技術備忘録 派遣社員(特定派遣)

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  1. --/--/--(--) --:--:--|
  2. スポンサー広告|
  3. トラックバック(-)|
  4. コメント(-)

「リバースプロキシ」って単語が出てきたら「Webサーバさんの身代わりなんだな~」と、お考えください。

リバースプロキシを昔検証で作ったときのメモ

sample1_20151101125600914.png

sample2_20151101125821c65.png


1  www.aoyama.com の名前解決をさせるためにDNSサーバに問い合わせる。
2  DNSは名前解決したIPアドレスを返す。
3  PC2はWEBページにアクセスしようとするが、名前解決で得られたIPアドレスはプロキシサーバのものであり、プロキシサーバに接続する。
4  プロキシサーバはWEBサーバに接続しに行く。プロキシサーバはWEBサーバのキャッシュを持ち、リクエストが来た場合、WEBサーバに接続しに行くことなく結果をホストに返すことができる。



リバースプロキシとは、特定のサーバの代理として、そのサーバへの要求を中継するプロキシサーバ。代行されているサーバにアクセスしようとしたユーザは全てリバースプロキシを経由することになるため、サーバが直接アクセスを受けることはなくなる。

中継時にパケットの内容やURLをスキャンするような機能を組み込めば、セキュリティが強化される。

また、特にアクセスの多いコンテンツをキャッシュに保存することで高速化したり、パスワード認証によってアクセス制限をするなどの機能を持っていることも多い。

社内LANなどの内部ネットワークとインターネットとの接点に置かれ、外部からWebサーバなどネットワーク内部へのアクセスを中継することもあるが、その様子が通常のプロキシ(フォワードプロキシ)の「内部から外部へのアクセスを中継する」動作と反対であることが「リバース」の由来であると言われている。

スポンサーサイト
  1. 2015/11/01(日) 13:05:32|
  2. Linux/Unix|
  3. トラックバック(-)|
  4. コメント:0

Solaris 11.2

■目的
・ゲストOS(Solaris)からネットワークに接続可能
・ホストOSから、TeraTermでSSH接続可能

■環境
・ゲストOS : Solaris 11.2
・ホストOS : Windows 7 / VMware Player

■仮想マシンの設定
ネットワークアダプタ1:NAT
ネットワークアダプタ2:ホストオンリー

↑これは基本

■手順メモ
繋がればなんでもいい、強引に設定
DHCPでNAT用にnet0、Staticでホスト間接続用にnet1とする。

--NAT用:192.168.137.**
--NATデフォゲ:192.168.137.254 (VMNET8)
--ホストオンリー用:192.168.11.105
--ホストOS:192.168.11.2

root@solaris:~# svcadm enable network/physical:default
root@solaris:~#
root@solaris:~# ipadm show-addr
ADDROBJ TYPE STATE ADDR
lo0/v4 static ok 127.0.0.1/8
net0/v4 dhcp ok 192.168.137.138/24
net1/v4 dhcp ok 192.168.30.132/24
lo0/v6 static ok ::1/128
net0/v6 addrconf ok fe80::20c:29ff:fe05:4e0/10
net1/v6 addrconf ok fe80::20c:29ff:fe05:4ea/10
root@solaris:~#
root@solaris:~#
root@solaris:~#
root@solaris:~#
root@solaris:~# ipadm delete-ip net1
root@solaris:~#
root@solaris:~#
root@solaris:~# ipadm show-addr
ADDROBJ TYPE STATE ADDR
lo0/v4 static ok 127.0.0.1/8
net0/v4 dhcp ok 192.168.137.138/24
lo0/v6 static ok ::1/128
net0/v6 addrconf ok fe80::20c:29ff:fe05:4e0/10
root@solaris:~#
root@solaris:~#
root@solaris:~#
root@solaris:~#
root@solaris:~# ipadm create-ip net1
root@solaris:~#
root@solaris:~# ipadm create-addr -T static -a 192.168.11.105/24 net1/v4
root@solaris:~#
root@solaris:~#
root@solaris:~# ipadm show-addr
ADDROBJ TYPE STATE ADDR
lo0/v4 static ok 127.0.0.1/8
net0/v4 dhcp ok 192.168.137.138/24
net1/v4 static ok 192.168.11.105/24
lo0/v6 static ok ::1/128
net0/v6 addrconf ok fe80::20c:29ff:fe05:4e0/10
root@solaris:~#
root@solaris:~# route -p add default 192.168.137.254
add net default: gateway 192.168.137.254
add persistent net default: gateway 192.168.137.254
root@solaris:~#
root@solaris:~# ping 192.168.137.254
no answer from 192.168.137.254
root@solaris:~# ping 8.8.8.8
8.8.8.8 is alive
root@solaris:~#
root@solaris:~#



■sshd_config変更

root@solaris:~# cat /etc/ssh/sshd_config
#
# Copyright (c) 2001, 2013, Oracle and/or its affiliates. All rights reserved.
#
# Configuration file for sshd(1m) (see also sshd_config(4))
#

#KbdInteractiveAuthentication no
#
# The sshd shipped in this release of Solaris supports SSH protocol 2 only so
# there is no need to set the Protocol option.
#

# Listen port (the IANA registered port number for ssh is 22)
Port 22

# The default listen address is all interfaces, this may need to be changed
# if you wish to restrict the interfaces sshd listens on for a multi homed host.
# Multiple ListenAddress entries are allowed.

# IPv4 only
#ListenAddress 0.0.0.0
# IPv4 & IPv6
ListenAddress 0.0.0.0

# If port forwarding is enabled (default), specify if the server can bind to
# INADDR_ANY.
# This allows the local port forwarding to work when connections are received
# from any remote host.
GatewayPorts yes

# X11 tunneling options
X11Forwarding yes
X11DisplayOffset 10
X11UseLocalhost yes

# The maximum number of concurrent unauthenticated connections to sshd.
# start:rate:full see sshd(1) for more information.
#MaxStartups 10:30:100

# Banner to be printed before authentication starts.
Banner /etc/issue

# Should sshd print the /etc/motd file and check for mail.
# On Solaris it is assumed that the login shell will do these (eg /etc/profile).
PrintMotd no

# KeepAlive specifies whether keep alive messages are sent to the client.
# See sshd(1) for detailed description of what this means.
# Note that the client may also be sending keep alive messages to the server.
KeepAlive yes

# Syslog facility and level
SyslogFacility auth
LogLevel info

#
# Authentication configuration
#

# Host private key files
# Must be on a local disk and readable only by the root user (root:sys 600).
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

# sshd regenerates the key every KeyRegenerationInterval seconds.
# The key is never stored anywhere except the memory of sshd.
# The default is 1 hour (3600 seconds).
KeyRegenerationInterval 3600

# Ensure secure permissions on users .ssh directory.
StrictModes yes

# Length of time in seconds before a client that hasn't completed
# authentication is disconnected.
# Default is 600 seconds. 0 means no time limit.
LoginGraceTime 120

# Maximum number of retries for authentication
# Default is 6. Default (if unset) for MaxAuthTriesLog is MaxAuthTries / 2
MaxAuthTries 6
MaxAuthTriesLog 3

# Are logins to accounts with empty passwords allowed.
# If PermitEmptyPasswords is no, pass PAM_DISALLOW_NULL_AUTHTOK
# to pam_authenticate(3PAM).
PermitEmptyPasswords no

# To disable tunneled clear text passwords, change PasswordAuthentication to no.
PasswordAuthentication yes

# Are root logins permitted using sshd.
# Note that sshd uses pam_authenticate(3PAM) so the root (or any other) user
# maybe denied access by a PAM module regardless of this setting.
# Valid options are yes, without-password, no.
PermitRootLogin yes

# sftp subsystem
Subsystem sftp internal-sftp

# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication.
#IgnoreUserKnownHosts yes
root@solaris:~#

■sshdデーモン再起動とか

# svcs -l svc:/network/ssh:default
fmri svc:/network/ssh:default
name SSH server
enabled true
state online
next_state none
state_time 2015年10月08日 09時17分48秒
logfile /var/svc/log/network-ssh:default.log
restarter svc:/system/svc/restarter:default
contract_id 207
manifest /etc/svc/profile/generic.xml
manifest /lib/svc/manifest/network/ssh.xml
dependency require_all/none svc:/system/filesystem/local (online)
dependency optional_all/none svc:/system/filesystem/autofs (online)
dependency require_all/none svc:/network/loopback (online)
dependency require_all/none svc:/network/physical:default (online)
dependency require_all/none svc:/system/cryptosvc (online)
dependency require_all/none svc:/system/utmp (online)
dependency optional_all/error svc:/network/ipfilter:default (disabled)
dependency require_all/restart file://localhost/etc/ssh/sshd_config (online)

# svcadm restart svc:/network/ssh:default
# svcadm restart ssh


■ホストOSからping打ってみる

C:\Users\user>ping 192.168.11.105

192.168.11.105 に ping を送信しています 32 バイトのデータ:
192.168.11.105 からの応答: バイト数 =32 時間 <1ms TTL=255
192.168.11.105 からの応答: バイト数 =32 時間 <1ms TTL=255
192.168.11.105 からの応答: バイト数 =32 時間 <1ms TTL=255
192.168.11.105 からの応答: バイト数 =32 時間 <1ms TTL=255

192.168.11.105 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 0ms、最大 = 0ms、平均 = 0ms


■TeraTerm接続

ba.png

■メモ
Automatic のまま、強引にstaticでnet1を再作成した。
デフォルトでiptableは起動していないので、Linuxのようにoffにしたり、SELinuxを気にする必要はなかった。
sshdデーモンもデフォルトは起動。sshdコンフィグは適当にyesに変更してみた。

■所感
UNIXなんてレアなので、Solarisなんかできてもあまり需要がない。
今回はホストから繋がることがゴールなので、これで終了。Linuxに戻る。

  1. 2015/10/08(木) 00:38:18|
  2. Linux/Unix|
  3. トラックバック(-)|
  4. コメント:0

定番メモ。

<準備するもの>
VMware Player
CentOS-6.5-x86_64-bin-DVD1.iso

<目的>
ゲストOSからネットワークにでれる
ネットワークからゲストOSは×
ホストOSからゲストOSにいける(ssh)

<手順>
①ホストオンリーの追加
※VMware Player から CentOSをインスコする際に、
 [ハードウェアのカスタマイズ]からネットワークアダプタを追加しておく→ホストオンリー
※ネットワークアダプターが2つでき、NATとホストオンリーになっていることを確認
※自動検出:DHCPになっていることを確認

インスコが終わったらログインし、
ホストオンリーのIPを振る。(eth1)
eth0はNATの用途のためノータッチ

②固定IPの設定

設定ファイルは
/etc/sysconfig/network-scripts/ifcfg-eth1
ここで、vi使って編集

IPADDR=192.168.XX.YY XXはホストOSのセグメント、YYはかぶらなかったら何でもいい
他、ONBOOTとかしたったらyesに変更
DHCPはstaticに変更

終わったら:wqで終了(:はShift+;キー)
# service network restart してもいい

③ホスト側のネットワークの設定
 [ネットワーク]右クリック - [プロパティ] - [ネットワーク接続と管理] - [VMnet1]を編集
 192.168.XX.ZZ XXはホストOSのセグメント、ZZはかぶらなかったら何でもいい

④疎通確認
ホストOSからコマンドプロントでpingを飛ばす。飛べばOK
飛ばない場合、ゲストOSでiptablesの設定をオフにする
# service iptables stop
# chkconfig iptables off

⑤TeraTermからSSH接続する
TeraTerm起動して、SSHで192.168.XX.YYに接続

⑥ping 8.8.8.8
 届くこと確認したらネットワーク出れてる。


以上


引用メモ
guiでロックかからないようにする

1.
yum install gconf-editor

2.
アプリケーション - システムツール - 設定エディタ を起動

3.
/desktop/gnome/lockdown/disable_lock_screen
のチェックボックスをtrueにする
  1. 2015/10/06(火) 22:15:52|
  2. Linux/Unix|
  3. トラックバック(-)|
  4. コメント:0
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。