Archive for the ‘ネットワーク’ Category

例の韓国のIPアドレスの件

私よりも頭良くて経験豊富な奴が書くと思うんだけど、とりあえずFacebookに書いたので、修正転載しておく。

ネトウヨが韓国の悪口を言うのは、パン屋がパンを売るようなものだと思うのだが、腐ったパンを売るのは悪いパン屋だ。

例の韓国の件で、「よそのグローバルアドレスつけるなんてwww」とか言ってるガキが多いので、解説しておく。まぁ、彼の農協がそういった事情であるかどうかは別だが、「未開の韓国人」的なイメージと共に語ってる恥知らずがいるので、黙らせておきたい。

「ローカルIPアドレス」とゆー概念が一般的になったのは、RFC1918によるものだ。

プライベート網のアドレス割当

これ以前は、そういったものはなかったので、IPを使う時のアドレスはちょっと苦労したものだった。何せ今ほどネットワークについてわかりやすい解説書はなかったし、「わかってる人」も今の目で見ると、「ちっともわかってない人」程度の知識でなかったりした。

LAN上のプロトコルとしてTCP/IPが一般に普及したのは、1980年代の半ば頃からだ。その当時は「イソターインターネット」なんてものは、一般には存在していなかったので、LAN間が接続されるなんてことは想像もしなかった。だから、IPスタック設定の説明書に「IPアドレスは…」とか書かれていても、なんつーかピンと来なかったものだ。しょうがないから、適当な数字を使う。

そんな時代のネットワーク機器ってのもいい加減なもので、デフォルトのIPアドレス設定が、なんか適当なアドレスだったりするのはザラだった。今だと192.168.0.1がルータのLAN側のデフォルトアドレスだったりるうので、「よそのグローバルアドレス」なんてつけるアホはおらんけど、その当時はそのアドレスがよそのグローバルアドレスだったとゆーベンダーも少なからずあったのだ。そこで「適当な数字を使う」のガイドラインが出来る。買って来たネットワーク機器についてたデフォルトのアドレスを使うのだ。頭いいww

そういったいい加減さでも誰も困らなかったのが、インターネット以前だ。でも、その当時からnfsとかtelnetとかは便利に使っていた。てか、それは

LANのコマンド

とか思っていた。そんな時代であっても先進的なところは、それなりの規模のLANを構築していた。特にメインフレームがあったところだと、端末の配線が結構大変だったり、分配装置がいい値段だったりしたので、LANはかなり重宝されたものだ。メインフレームやUNIXのあったところは、Netwareとかはお呼びではなかった。

そういったものがインターネットにつながるようになったのは、1990年代の後半以後だ。その頃から「そのうちIPv4のアドレス足りなくなるぞ」な話はあったし、それ以前(1990年代前半まで)はclass Aやclass Bを大判振舞いしていたのが、90年代後半になってくれるのはclass C単位とかCIDRでもっとちっちゃい単位とかもらうようになった。

その頃NATとゆー技術が開発された。初期はアドレスだけのマッピングだったので、グローバルアドレスがいっぱい必要だったけど、masquaradeなんつー「LANのアドレスとポートをグローバルなアドレスにマッピングする」とゆー技術が出来たので、IPアドレスの問題はいろいろ楽になった。お陰で、RFC1918に従ったアドレスだろうが、そうでないアドレスだろうが、うまい具合にインターネットに出て行けるようになった。

ネットワークのおもりやったことがある奴ならわかると思うが、IPアドレスのつけかえは面倒臭い上にリスクがある。クライアントだったら今時はDHCPだったりするから問題ないのだけど、サーバのアドレスを変えるのは当該サーバだけではなくて、そのサーバを参照しているところのアドレスまでつけかえなきゃいけなかったりするので、相当に面倒臭い。そこで、RFC1918が一般的になる以前に構築されたLANは、いまだに「適当なアドレス」が振られたままだったりする。私も比較的最近そんなLANに遭遇して、「そーいやーそんな時代もあったよな」とか思い出したものだ。

ローカルにグローバルのアドレスを使っていて困ることと言えば、

正式にそのグローバルアドレスを持っているところには接続できない

とゆーことぐらいだ。使ってるアドレスの規模にもよるだろうけど、仮にそれがclass Aだとしても、接続出来ないところはインターネットの1/256に過ぎない。本当はもうちょっと確率高いけど、大雑把にそんなものでしかない(あくまでもアドレスの確率)。そこが重要なところであれば、アドレスつけかえするコストを払う価値はあるけど、どうでもいいところだったら別に困ったりしないから、放置してあっても不思議ではない。件の事件、中国のアドレスらしいけど、普通の韓国人は中国には用はないので、アドレスかぶっていても何も困ってなかっただろう。困ってなかったら、少なからず工数のかかる作業に金払う奴はいない。組織内のヲタはgdgd言うかも知れないが、そんなのクビにしちゃえばいいだけだ。コストバランス考えろよと。

まぁそんなわけで、韓国の農協が中国国内に割り当てられたグローバルアドレスを使っていたなんてことは、歴史的には不思議でも何でもないし、それが「今」であっても殊更に問題が起きるわけでもない。また、それを誤認したとしても、あらゆる可能性を考えない限り、「勝手なグローバルをローカルに振っていた」と断定するのは難しい。まぁ、「中国からだ!」とか言っちゃったのも、相当アレではあるけど、素直に「間違いでした」って発表したのは、少なくとも一連の「猫事件」の捜査当局よりは知性がある行動だwww

PS.

仙石氏から、「最初に出たのはRFC1597だよ」と指摘を受けた。

閉じたインターネットの為のアドレス割り振り

「歴史」と言う意味では、現行RFCではなくて、先に出た方を挙げるべきなので、↑の文章は

s/RFC1918/RFC1597/g

s/1996年/1994年/g

と読み替えて下さい。となると19年も前なので、ますます知らん奴が増えて来るなぁw

VPNは便利

家からのネットは実質ノートからしか出来ない。

お陰でプログラムやらデザインやら修正したくても出来ないので、かなりもにょもにょする。今いろいろ問題のある部分は、ネットが繋がったら直すので、しばらくお待ち下さい。

さて、常用のネット環境がノートからfonとゆーショボいものになっているのだけど、それでもメールとかは処理しなきゃいけない。近頃はどこのプロバイダでも、クライアントからSMTPは外に張れないようになっているので、「どこかのプロバイダ」を使っているfonは、いろいろ対処不能になってしまう。

と同時に、fonのようなセキュリティ的に微妙なものを使って、普通のSMTPやらimapやら使うのは、いろいろ抵抗がある。そこだけの話であれば、今時はセキュアなSMTPとかimapとかあるのだけど、そういったものを一々設定するのもなんか面倒臭い。そこで、そういったものは全部まとめてVPNの中に入れてしまうことを思いつく。てか、実は元々VPNの設定はしていたのだけど、SMTPやimapの通信もそっちを使うようにした。

これで何が嬉しいと言って、極めて当たり前の話なのだけど、実質的にLANの内側に入れたことが一番嬉しい。何度も言うように、いままでいくつかの通信はVPNでやっていたのだけど、メール関係を入れてしまうとメールサーバをLAN上のものとして扱えるので、アクセス制限が楽になる。外から直接叩くことを許容しようとすると、pop before SMTPとか使わなきゃいけなかったのが、そういった工夫がいらなくなる。もちろんプロバイダがOBP25の対応をしていようがいまいが、全く考える必要がなくなる。

あと、LAN上のサーバにsshかけるのも楽になる。外から直接sshをかけようとすると、ファイヤウォールに穴を開けなきゃいけなくなって、セキュリティ云々以前に設定が面倒くさいのだけど、そういったことを忘れることが出来る。もちろんアクセス制限も「LANからのみ」にしてしまえばいい。sshの口を外に開ける必要がなくなるので、セキュリティの点でもいい。

とか書いて行くと、結局のところ

当たり前

なことばかりなんだけど、その「当たり前」のことが、たったOpenVPNの設定だけで出来るようになるというのは、嬉しいことだ。壁に穴開けたり妙な工夫するくらいだったら、VPNが使えるようにしてしまった方が、いろいろ手間も少ないし安全になる。ノマドとか在宅勤務とか志向している会社とかだとVPNは、まず最初に手をつけるべき環境整備だと思う。

まー、当然OpenVPNと言えども盲信して良い程には安全ではないので、安全確保の工夫がいらなくなるわけじゃないけどね。

「DNSの浸透ゆーなー」とゆー話

訳あってDNSサーバの引っ越しをしてます。

訳あってとゆーか、今まで事務所のネットとサーバ室のネットが別々で、それぞれにサーバがいて、DNSサーバは元々事務所にあったのを、サーバ室の方に移そうとゆーこと。事務所からはサーバをなくして、サーバはサーバ室に集約してしまおうとゆー魂胆。

今までサーバ室にはいろんなサーバがいたのだけど、DNSサーバでオフシャルなものはなかったので、オフィシャルになるような設定をして、いろんなドメインのネームサーバをサーバ室の方のDNSサーバにするとゆーことに。

サーバの引っ越しの具体的な作業については、JPRSの文書に出ている

JPRS トピックス&コラム JPRS トピックス&コラム

普通の引っ越しなら、この通りにやるだけで「浸透」なんて言葉とは無縁に作業出来る。理屈のわかってる人は何もこの通りにやる必要はないのだけど、よくわかってない人は、この文書の通りにやれば、まぁ間違いはない。

つーことで、今まで何度かやって来たことを思い出しつつ、この文書をチェックリストにしつつやるのだけど、

「DNSが浸透しない」

のだ。いや、もちろん「DNSの浸透」とかそーゆーことはあるわけもないのだけど、そう言いたくなるようなハマり方をする。しょうがないので、

DNSの設定チェック

で調べると、いろいろ「はぁ?」なことになっている。

しばらく、digやら何やら見て悩んだあげく、

グルーレコード

ということに思い至る。

グルーレコードで付加する情報とは

詳しい説明は↑のページを見るなりいろいろぐぐってもらえばわかるのだけど、要するに

上位のDNSがこちらのDNSを知らない状態

になっている。権威とか無視するDNSサーバ(Googleとか無視してるようにしか見えんのだが)を使ってdigすると正しくresolvしたりするので、ますますわけがわからないことになる。

この問題が起きるのは、自分のNSが自分のゾーンファイルに書かれている場合だ。「自分」ところの権威ある情報を得るのに誰を信用して良いか上位のDNSがわかってないものだから、「権威サーバ」がどこにあるかわからなくなってしまって、NSの情報が伝わらないとゆー、卵鶏問題が起きているわけだ。

と気がついてしまえば、「上位のDNS」に「NSのIPアドレスはここだよ」と教えてやれば、諸々の問題が解決する。また、そうやった後であれば、古いIPアドレスのDNSサーバを止めても問題ない(見に来ないから)。とゆーか、止めないと何かの転みで古い方のSOAとか参照されて「シーケンスが一致してねーよ」とかの問題が起きてしまうので、他のドメイン(あれば)について「浸透」したと思ったら、とっとと止めてしまった方がいい。

NSが自分のゾーンファイルに書かれていないドメインの場合は、この問題は起きないので、この問題で悩むのはなかなかレアケースだ。知らない人は知らないかも知れない。知ってても、DNSサーバ自体を引っ越すなんてそうそうないことなので、私のように忘れてることもあるだろう。

まー、こんなことがあったりするので、「浸透」なんてことを言ってしまったりするのだろうなぁ。

  • 私について

    ただのプログラマです、ハッカーではありません。

    秋葉で暮し秋葉で仕事してますが、秋葉系は嫌いです。物事を冷静に分析することは好きですが、ニヒリストは嫌いです。

    秋葉でちっこい会社をやってます。 こーゆーことがお仕事です。

    詳しいことは、自己紹介のページでも見て下さい。また、mixiの方でもいろいろわかるかも知れません。twitterは@ogochanですが、たいしたこと言ってません。近頃はShorplug内の別館で日記書いたりもしてます。だいたいここのコピーだったりしますが、ログインするとコメントがつけられます。

    日経ITProに連載(生越昌己のオープンソースGTD)を書いています。「ちゃんと書いた文章」が読みたい人は、そっちを読む方がいいと思います。

  • このページについて

    ここは私の雑文の置き場です。WordPressを使っていますが、いわゆるblogのつもりで書いているわけではありません。「覗き見のできるチラ裏」くらいの意味しかありません。

    もしかしたら有用なことがあるかも知れません。あるいはむかつくことも書いてあるかもしれません。それらはみな「そんなものだ」と思っておくに留めましょう。

    コメントを書くのは構いませんが、「反論」の類はよそでやって下さい。同意する気のない人達と議論する気は全くありませんので、議論したければよそで勝手にやって下さい。

    と言っても、「読むな」「広めるな」というわけでもありません。リンク、ブクマの類は御自由に。

  • カテゴリ

  • 過去の記事

  • メタ情報