アカウント名:
パスワード:
さくらの技術レベル、サポート力とレンタルサーバがどういう仕組みで運用されているか知りませんが、ルータのarpテーブル手管理はしててなんら不思議ではないですねぇ。
もしも、これしてないとルータがARPテーブル汚染してたら業者の責任問題ですやん。
さくら利用者さんのコメントもありましたが、さくら内部の他のホストからのssh攻撃多発とすると、さくらのレンタルサーバは踏まれまくりと考えた方がよさそうですな。やはりここは自衛の観点からも、arpデーモン停止、arpテーブル手管理のうえパケットフィルタかけまくりしかないと思われ。
でも、さくらがarpテーブルに登録すべき情報を教えてくれないとなんとも。
ルータのarpテーブル手管理はしててなんら不思議ではないですねぇ。
今後は、OSの初期設定時にMACも独自設定(連番など?)するような方法が増加するんでしょうか。
サーバが仮想マシンだったら、その辺も簡単でしょうね。(VMWareなら、.vmxファイル内の記述を変更すればok?)
さくらが一台一台のサーバをその都度設定すればいいのかもしれませんが、
また、ゲートウェイをVRRPみたいな仕組みで冗長構成とかにしてると切り替わったときに大変です。
後で気づいたんですが、VRRP自体は仕組み的に仮想MACアドレスを使うのでStaticにARPテーブルで指定する分には問題ありません。
さくらインターネットのレンタルサーバの場合は、1台専用サーバですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
スタティックにする? (スコア:1, 参考になる)
ルータ等のARPテーブルをスタティック(静的、手動設定)にするしか
無いかと思います。ただ、サーバの台数などを考えると難しいかも。
今後は、OSの初期設定時にMACも独自設定(連番など?)するような方法が
増加するんでしょうか。
そしてルータ側には、最初から静的なテーブルを読み込ませておくというのはどうでしょう。
サーバが仮想マシンだったら、その辺も簡単でしょうね。
(VMWareなら、.vmxファイル内の記述を変更すればok?)
Re:スタティックにする? (スコア:1)
さくらの技術レベル、サポート力とレンタルサーバがどういう仕組みで運用されているか知りませんが、ルータのarpテーブル手管理はしててなんら不思議ではないですねぇ。
もしも、これしてないとルータがARPテーブル汚染してたら業者の責任問題ですやん。
さくら利用者さんのコメントもありましたが、さくら内部の他のホストからのssh攻撃多発とすると、さくらのレンタルサーバは踏まれまくりと考えた方がよさそうですな。やはりここは自衛の観点からも、arpデーモン停止、arpテーブル手管理のうえパケットフィルタかけまくりしかないと思われ。
でも、さくらがarpテーブルに登録すべき情報を教えてくれないとなんとも。
Re:スタティックにする? (スコア:1)
それに、MACアドレスは偽装(ってか、設定により変更)可能ですしねえ。
Re:スタティックにする? (スコア:1)
むしろ、連番だとMACアドレスを予想できてまずいんじゃないかと。 Xenだと、/etc/xen以下のDomU設定ファイルで指定できますね。
でも、仮想マシンの中からifconfig eth0 hw ether AN:YM:AC:AD:DR:ES みたいに変更される危険もあります。
Re:スタティックにする? (スコア:1)
正直、サーバマシンが同一サブネット内に複数ないと困るような環境(レンタルサーバだし)じゃないのですから、悪くない手だと思いますけどね。
複数台のサーバとバランサーを置いてやるような環境なら、そこはstaticに書けばいいでしょう。
そこでも無駄に大きなサブネットにしないようにするなどの手は打てるはずです。
Re: (スコア:0)
ゲートウェイのARPエントリーをスタティックに設定しちゃうと、さくらが
機器を入れ替えたりした時点で通信不能になります。
そうなると、サーバ管理者は何も出来なくなります。
さくらが一台一台のサーバをその都度設定すればいいのかもしれませんが、
時間がかかります。
ダウンタイムがどうしても大きくなってしまう。
突発的な故障で交換したら、もうパニックですね。
また、ゲートウェイをVRRPみたいな仕組みで冗長構成とかにしてると
切り替わったときに大変です。
同じセグメントにあるサーバのMACアドレスを覚えておき、それがゲートウェイの
IPアドレスを名乗りだしたら無視するという仕組みでいいんじゃないでしょうか。
Re:スタティックにする? (スコア:1)
L3機器とL3構成にした負荷分散装置でMACアドレスの付け替えが違ったなんてこともあったなあ。
サーバを収容するL2SWでサーバ=サーバ間の通信を制限することもできます。例えば、アライドのマルチプルVLAN [allied-telesis.co.jp]とか。
が、この手のレンタルサーバサービスは、XenとかVMwareとかの仮想サーバで、サーバ間接続は仮想ネットワークでしょう。Linuxの仮想ブリッジにフィルタとか書けるんだっけ?
Re: (スコア:0)
> そんなのも含めて設計するのは大変なことに違いはありません。
> VRRPとかだと、OSが更新されると動作が変わるなんてことも無いと
> は言えないし。
失礼。間違えてました。
後で気づいたんですが、VRRP自体は仕組み的に仮想MACアドレスを使うので
StaticにARPテーブルで指定する分には問題ありません。
> が、この手のレンタルサーバサービスは、XenとかVMwareとかの仮想サーバで、
> サーバ間接続は仮想ネットワークでしょう。Linuxの仮想ブリッジにフィルタ
> とか書けるんだっけ?
さくらインターネットのレンタルサーバの場合は、1台専用サーバですね。
XenとかVMwareなどは使ってないと思います。
Re:スタティックにする? (スコア:1)
このあたりはVRRPの仕様にはない部分じゃないかと思うので、機器が変わる度、OSが変わる度に検証してみないと解らない。MACアドレスを静的に管理するのは結構難しい。 おお、本当だ。訂正。
しかし安いねえ。こんだけ安いんじゃ、多少問題があっても文句は言えんと思うな、個人的には。
文句を言うなら、レベルの高い(かつ、おそらく値段も高い)別の業者と契約すべきなんじゃないかな。