2023年12月15日

入職8周年!Ubuntu22.04+Apache構成のWebサーバーにSiteGuard Server Editionを入れてみた

この記事はさくらインターネット Advent Calendar 2023 14日目の記事です。

2023/12/15に入職8周年を迎えました。このように長い期間にわたって1つの会社にいるのははじめてなので、ありがたい限りです。

先日、CentOS7で運用していたWebサーバーをUbuntu22.04に移行しました。
単純なWebサーバーで、プログラムが動いているわけでもないので、移行自体はすんなりできました。

せっかくなので、SiteGuard Server Editionを入れてみようと思ったので入れてみました。

SiteGuard Server Editionのパッケージはrpmとtar.gzが用意されているので、tar.gzのほうを使いました。
解凍してmake installするだけです。

ここから対話式でセットアップするわけですが、WebUIを使うのにJavaが必要だったり、Apache側でmod_proxyとmod_proxy_httpを有効化する必要があります。

JREとJDKのインストールは以下の記事を参考にしました。(他社様サイトになります)
Ubuntu 20.04にAptを使用してJavaをインストールする方法

モジュールの有効化は以下の記事を参考にしました。(個人サイトになります)
Apacheでmod_proxyモジュールを有効にする

これらができれば対話式セットアップを言われるがままに入力していくだけでセットアップできます。
posted by maroon at 18:18| Comment(0) | IT_設定関連メモ | このブログの読者になる | 更新情報をチェックする

2015年12月27日

pdns-recursor on CentOS6.7

この記事はDNS Advent Calendar 2015 - Qiitaの25日目の記事です。

自宅のDNSキャッシュサーバをローカル化しようとして
1台目:unbound
2台目:pdns-recursor
でたててみました。

unboundについては当ブログで何回か触れているので省略。
CentOS6.7にpdns-recursorをインストールした際の手順です。

■インストール
# rpm -ivh http://ftp.jaist.ac.jp/pub/Linux/Fedora/epel/6/x86_64/epel-release-6-8.noarch.rpm
# yum -y install pdns-recursor

■設定
# cp /etc/pdns-recursor/recursor.conf /etc/pdns-recursor/recursor.conf.orig
# vi /etc/pdns-recursor/recursor.conf
---
#local-address=127.0.0.1 ←これだと他のスタブリゾルバからの問い合わせに応答しない
local-address=0.0.0.0 ←これを追記することで他のスタブリゾルバからの問い合わせに応答するようになる
allow-from=127.0.0.0/8, 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 ←これを追記して問い合わせを許可するIPレンジを指定
---
/etc/init.d/pdns-recursor start
chkconfig pdns-recursor on

これだけしか設定してないのにdnsperfするとunboundの6倍くらい性能出るんですけど。。
ぼくのunboundチューニングがイマイチなんだろうか…。

posted by maroon at 16:51| Comment(0) | IT_設定関連メモ | このブログの読者になる | 更新情報をチェックする

2015年12月22日

[さくらのクラウド]VPCルータとFortigateによるサイト間VPN

この記事はさくらインターネット Advent Calendar 2015 - Qiitaの22日目の記事です。

さくらのクラウドのVPCルータを使ってサイト間VPNを張ってみました。
サイト間VPNの設定についてはこちらに書いてありますが
このページの「動作確認済みアプライアンス」に含まれていない
Fortigateとサイト間VPNをしてみたいと思います。

ネットワーク構成の概略図です。
20151217.png


■VPCルータ側の設定

設定するVPCルータを選択します。
WS000002.JPG

[サイト間VPN]をクリックします。
WS000003.JPG

[追加]をクリックします。
WS000004.JPG

[対向IPアドレス]:FortigateのグローバルIPを入力
[対向ID]:FortigateのグローバルIPを入力
[Pre Shared Key]:任意の文字列を入力(Fortigate側にも同じ文字列を設定すること)
[対向Prefix]:FortigateのLAN側IPセグメントを入力(ここでは192.168.0.0/24)
[ローカルPrefix]:VPCルータ配下のIPセグメントを入力(ここでは10.0.0.0/24)
処理済〜WS000005.jpg

ちなみにPrefixはIPレンジを入力したあとEnterを押すと
IPレンジがポップアップで出てくるのでこれをクリックします。
クリックしないと値として登録されません。
ただのテキストボックスじゃないので要注意。。

設定できたら[反映]をクリックします。
処理済〜WS000006.jpg

■Fortigate側の設定
Web-UIにログインし、VPN→IPsec→自動鍵(IKE)を選択。
[フェイズ1を作成]をクリックします。
WS000009.JPG

[名前]:任意の文字列を入力
[リモートゲートウェイ]:今回は固定IPなので「スタティックIPアドレス」を選択
[IPアドレス]:VPCルータのグローバルIPアドレスを入力
[ローカルインタフェース]:FortigateのWAN側インタフェースを指定。今回はWAN1を選択。
[モード]:両方とも固定IPなのでメインを選択
[認証方法]:「事前共有鍵」を選択。英語で言うと「Pre Shared Key」。
[事前共有鍵]:VPCルータ設定のときに入力した「Pre Shared Key」と同じ文字列を入力
処理済〜WS000012.jpg

ここまでできたら[OK]をクリックします。

フェイズ1ができたので次はフェイズ2を作成します。
[フェイズ2を作成]をクリックします。
WS000013.JPG

[暗号化][認証]:3DESを削除してAES128・SHA1のみにします。
[DHグループ]:2か5のどちらかとされていますが5にします。
[送信元アドレス]:FortigateのLAN側IPセグメントを指定(ここでは192.168.0.0/24)
[宛先アドレス]:VPCルータ配下のIPセグメントを指定(ここでは10.0.0.0/24)
WS001405.JPG

ここまでできたら[OK]をクリックします。

以上でサイト間VPNの設定は完了です。

また、VPCルータでは先日「クローズド接続」ができるようになりましたので
その解説をしておきます。

今までは、サイト間のLANアドレス同士の通信はVPNトンネルを通り
さくらのクラウドからインターネットへの通信は
VPCルータでIPマスカレードされて出て行くという感じでした。
20151217-2.png

クローズド接続対応によって、下記のように
さくらのクラウドからインターネットへの通信も
VPNトンネルを通って、リモートサイトのネットワーク機器で
IPマスカレードされて出て行くということができるようになりました。
20151217-3.PNG

VPCルータにもファイアウォール機能がついていますが
詳細なログをとりたいとか、UTM的な機能を使いたいとか
いうときに有効な機能です。

設定はVPCルータのサイト間VPNで[対向Prefix]を0.0.0.0/0にします。
こうすると全ての通信がVPNトンネルを経由するようになります。
処理済〜WS000007.jpg
posted by maroon at 22:15| Comment(0) | IT_設定関連メモ | このブログの読者になる | 更新情報をチェックする