にゃんかこうぱっとした物が見あたらにゃいので泥臭い物を作ってみる。
まずにゃんとにゃくtransparentにパケットを拾うように、iptables系に
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A POSTROUTING -o eth1 -s 172.17.0.0/16 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
とかを。あ、HTTPSとかどうするんだろうね。
あとはapache2にproxyさせて、mod_securityでlogにとる。mod_securityはにゃんぞDLってmakeするとして、
a2enmod proxy proxy_connect proxy_ftp proxy_http rewrite security unique_id
/etc/apache2/ports.conf
Listen 8080
.conf類
<IfModule mod_security2.c>
SecRuleEngine DetectionOnly
SecRequestBodyAccess On
SecResponseBodyAccess Off
SecAuditEngine on
SecAuditLogType Serial
SecAuditLog /var/log/apache2/modsec_audit.log
SecAuditLogParts "ABCIFHKZ"
--略--
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteLog /var/log/apache2/rewrite.log
#RewriteLogLevel 9
RewriteRule (.*) http://%{HTTP_HOST}$1 [P]
</IfModule>
<IfModule mod_proxy.c>
ProxyRequests On
ProxyVia Block
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
</IfModule>
とりあえず動く状態ってことで、だいたいこんにゃもんじゃろか?? それぞれ細かいところは変えるとして。
あとにゃにかやった作業を忘れてる気がするんだが、まぁにゃんとかにゃるんではにゃーか
vmware serverの1.xを使ってるんだが、Virtual Networkがこれあくまで単一NICのブリッジにゃので、当然他のvm宛のパケットも山ほど届く。
普通にvmの1つでtcpdumpしててかにゃり混乱した(笑)
これで3回目にゃので記念。
IPv6と格闘することしばし。よく考えりゃ外部から内部へそう簡単にデフォルト許可されてるわけがにゃい、とおもってCTUのファイアウォール詳細設定でIPv6全許可したら簡単に通った。こういう標準設定はどこかに書いて置いて欲しい。
で、じゃあ標準の簡単設定はどういうルールにゃんだ、と思って調べたらTELの結果「WAN→LAN」のIPv4全許可でOKです、とか言われた。・・・絶対嘘だ(笑)
サポートが苦労するのでこの手の資料は予めUPしておくと良いと思うにゃ
必要に迫られててきとーに買ったMX850だが、比較的それにゃりに動いてるようにゃ。
印刷は普通というか、インクカートリッジにICチップが付いて、より一層環境に悪い企業を目指すCanonらしいことににゃってる。
scanは他機種と同じように、ボタンを押すとPC側のソフトが起動してSCANされるというがっかり仕様。まぁWin鯖が常時動いてるようにゃ環境にゃら問題にゃい。
あとたまに致命的エラーぽいものが発生して電源入れ直してくれとか言われるんだが、大丈夫にゃんかねこれ