Make sure that the document extension is .php and that your server supports PHP documents.
"; if ($tmp_uri == "all") { // OK // $paginate_current_page = "all"; } else { $tmp_uri2 = $tmp_uri; $pattern = '/\d+/'; $replacement = ''; $tmp_uri3 = preg_replace($pattern, $replacement, $tmp_uri2); if ($tmp_uri3 == "") { //print "Checking3...
"; #---- Maybe Ok ---- if ( is_numeric($tmp_uri2) ) { $paginate_current_page = $tmp_uri2; } } } } } } $paginate_num_pages = 3; $paginate_num_sections = 21; //$paginate_current_page = @$_GET['page']; // Pin page selector to a valid number (or 'all') if($paginate_current_page=='') $paginate_current_page = '1'; if($paginate_current_page != 'all') { if($paginate_current_page == 'first') $paginate_current_page = 1; elseif($paginate_current_page == 'last') $paginate_current_page = 3; elseif($paginate_current_page < 1) $paginate_current_page = 1; elseif($paginate_current_page > 3) $paginate_current_page = 3; $paginate_sections = array( 0 , 10, 20, 21); $paginate_top_section = $paginate_sections[$paginate_current_page-1]+1; $paginate_bottom_section = $paginate_sections[$paginate_current_page]; } else { $paginate_top_section = 1; $paginate_bottom_section = 21; } /* if(isset($_SERVER['QUERY_STRING'])) { $paginate_self = '&' . $_SERVER['QUERY_STRING'] . '&'; $paginate_self = preg_replace("/&page=[^&]*&/", "&", $paginate_self); $paginate_self = substr($paginate_self, 1, strlen($paginate_self) - 1); if($paginate_self == '&') $paginate_self = ''; else $paginate_self = htmlentities($paginate_self); } else { $paginate_self = ''; } */ //if ( strlen($_SERVER{'REQUEST_URI'}) >= $uri_maxlength ) //{ /* It is possible to apply a /attack. A server resource is spent by making long String process inside. Although it can say that it is not great processing load, it is steadily from a small thing. However, restriction by HTTP GET is received in this case. For example http://some.url.com/archives/cat2/index.php/////////////////////////////////////////////////////////////////////////////////page/3 Umm.... It is also in such cases.... http://some.url.com/archives////////////////////////cat2/index.php/////////////////////////////////////////////////////////////////////////////////page/3 http://some.url.com///////////////////////////////////////archives////////////////////////cat2/index.php/////////////////////////////////////////////////////////////////////////////////page/3 */ //It is not secure to acquire from the above-mentioned reason to URI. //Since the URI serves as a base when it links URL again after attaching ///purposely, it unites and is also unsavory. $paginate_self = 'http://debz-di.kabocha.to/archives/cat2/routerl3//' . $paginate_page_selector; //} ?>
2003年01月29日
死に腐ったルータ
Slammer関連でちと調べていたのだけれど、このルータ,Link***のルータ(最新ファーム1.43JP R01 beta)なのだけれども、TCPでコネクション張った先から、UDPで返せる。
NATとしては有り得ないと思うのだけど、テストしたらそうなった。
テストしてみたの図
192.168.0.200(SRCPort1281)→NAT → 222.222.222.1:80(SRCPORT:1281)
このコネクションが張られている際に192.168.0.200のPort1281 UDPがOpen状態(NATが通す)になってしまう。
192.168.0.200:1281←NAT← 222.222.222.1
通常はNATのところでとまってしまうので
192.168.0.200:1281×NAT← 222.222.222.1と、なるはずなんだが...
そしてさらに調べていたら怖いことが....
コネクションが終わっても2分間ほどNATが通す...
こういう腐ったルータも一般的に売られているので、世の中なにが起こってもヘンじゃない...
投稿者 debizoh : 00:02 | コメント (0)
2003年02月02日
UDP
うーむ...全体的に、このルータやっぱホゲくさ...
TCP80でForwardingしているとUDP80もopenになっている..?
なんかよーわからん。
TCP Outgoing & UDP incoming Test Scriptでも作って、ついでにやるかあ。
投稿者 debizoh : 00:00 | コメント (0)
2003年08月05日
ルーター入れ替え
SmoothWallを使っていたけれど、細かい設定が出来ない(直接iptableやればいいんだけどさ..)ので、別候補を考えていたところ、astaro security Linuxというのがあったんで変えてみた。
astaro
結構いい感じだけど、Proxyを使わないとうまくいかないサイトがある(WebやPOP)のが良くわからん。なんでやろ。
ちなみに、ホームユーザは無償でつかえまふ。ただ、ウィルスプロテクション、サイトプロテクションは有料版じゃなきゃ使えません。
SmoothWallのGPL版ももう少し設定が細かくできりゃええんだが..。
UnnumberdやUPnPにはどちらも対応してまへん。
投稿者 debizoh : 00:00 | コメント (0)
2003年08月14日
Astaro Sercurity Linux 4.010 リリース
4.010がリリースされました。
BUGFIX (please refer to the known issue list on http://docs.astaro.org))
ID414 o 4.000 Port 25 always open, even if no incoming domains are defined
ID476 o 4.000 A huge amount of mails in the queue won't be deleted
ID507 o 4.000 TLS-Cert for SMTP Proxy not recreated on special action
ID523 o 4.009 POP3 Proxy does not log to syslog / logfiles
ID524 o 4.008 Some of the timezones are not working properly
ID544 o 4.008 Internal Server Error may appear after restarting WebAdmin
といったところ。ローカルタイムの表示がJSTで出なかった(GMTになってしまう)というのが直ったので非常に良い。Smoothwallでは全然治る様子なかったしなあ。
証明書の設定いじってたらWebAdminが起動しなくなってあせった。
ローカルMachine達がUPnP Discoveryなパケットを吐きまくっているのでUPnPを停止させよう。フィルタログが見づらい...。(Windows Server2003もUPnP パケット吐きまくっている様子)
投稿者 debizoh : 00:00 | コメント (0)
2003年12月03日
Astaro Security Linux 4.017 released.
題の通りですが、4.017がリリースされました。環境によっては見事にはまります。up2dateでupdateできますが、labo等でなければ、まだ適用しない方が良い、という正式通達も出ています。
カーネルがアップデートされたと共に、デバイスのドライバ関連でいろいろと不具合が出ている模様。模様つーか、実際ダメなんですけど。
とりあえず、intelNICで構成されていれば問題ないかもしれませんが、National SemiconのDP83820ではうまく動かなくなることは確認済み。
しかしながら、4.017はKenelのセキュリティホールを修正するようなので、これが適用できてないってことは、セキュリティホールが残ったままってことなのやもしれづ...。
iptableをきちんと勉強して、自前で作ろうかと思ったりする今日この頃。
投稿者 debizoh : 00:00 | コメント (0)
2004年01月11日
Astaro Security LinuxのMSSサイズ
Astaro Security Linuxにおいて、PPPoEのMSSサイズは固定値1452となっている。このため、NTTのフレッツ等のMSSサイズと違うため、うまく見れないページが発生する。(HTTP ProxyやPOP3 Proxyを使えばなんとか動かなくは無い)
この問題を修正するにはDSL.SHを手動で修正する必要がある。 DSL.SHでは、1452が直値で入っている。これを1412に変更する。
きちんとしているのなら、これが動的に変えられるようになっているべきだが、管理画面等でも現在は修正できない。
投稿者 debizoh : 00:00 | コメント (0)
2004年05月19日
Astaro Security Linux 4.022
アップデートきた。
ID1036 Exim vulnerabilities (OpenSSL and stack overflow)
ID833 License key replication in HA mode
ID713 LogAllow rules may drop packets in FIX_CONNTRACK chain
メジャーバージョンアップ(ver5)も出てるんで、どうするか悩めるなあ。
投稿者 debizoh : 00:00 | コメント (0)
2004年05月21日
Astaro Security Linux v5を入れた。
メジャーバージョンアップしてみた。
v4ではできなかったpppoeのmssサイズ指定ができるようになっているし、GigaBitでのジャンボフレームに対応もされている。
フィルタリングの画面ではグループ単位で色分けされるようにもなった。
その他、かなり細かく機能が追加されている。
なかなかヨサゲ。。。
日本だとフォーバルクリエーティブ が、日本総代理店になったようだ。~
英語でがんばれば10 IP のHomeUseなら無料。ウィルスプロテクションは59ユーロ(凡そ$70)で入れる。
$70で10IP(10 User)。 SMTP / Pop Proxyを入れれば美味しいかも。
投稿者 debizoh : 00:00 | コメント (0)
Astaro Security Linux v5.009
BUGFIX
ID1037 Licensed Users (IPs) shows ASLs' interface IPs
ID1080 Possible to upload two signing CAs
ID1117 Downloading files from WebAdmin may not work
ID1129 Can't add static mappings to DHCP config
投稿者 debizoh : 00:01 | コメント (0)
2004年05月27日
Astrao Security Linux Licence Count Bug
Astaroのライセンス管理、おそらくバグあり。
セカンダリDNSもカウントされてるし、astaro201.timenet.deなんていうのもカウントされてる。
投稿者 debizoh : 00:00 | コメント (0)
Astrao Security Linux Licence Count Bug
updateくるらしいけど。。そんなのテストすりゃわかるだろ、と言いたいわけで。なんつーか本中華。
ISA2004本気で考えちゃうなあ。
投稿者 debizoh : 00:01 | コメント (0)
2006年10月04日
PLC(Power Line Communication)
読売オンライン:通信環境 埋まらぬ格差にも記述があるが、電力線をつかったネットワークで期待されていたPLCだが、外部へのノイズなどの問題から宅内設備でのみ限定という方向のようだ。
読売の記事においては、今まで光ラインが引けなかった環境においてという部分で記事としているが、電気の配線などはどこにでもあり、それほど高速なインフラを要求せず、尚且つ、ケーブルを這わせるのを嫌がる会社などにおいては導入のメリットはあるだろうと考えられる。
但し、本当にセキュアなのか?といった部分での検証なども必要であろうけれど・・・。
参考りんく:
PLC-J 高速電力線通信推進協議会
・・・どうでもいいことですが、LANのカテゴリってそういや作ってなかったが、どうしようかなあ・・・
投稿者 debizoh : 06:38 | コメント (2) | トラックバック
2006年11月07日
ProCurve Switch 1800
HPからWebスマートスイッチが出たんだねえ。
coneco.netによると、最安で43,150。NetgearのGS724TAか、ProCurve Switch 1800-24Gのどちらか・・・っていうところだけど、SNMPとか微妙に機能が少なさげなのでGS724TAの方を購入してみた。
HPの方が保証が長いわけで、そういう意味ではHPもいいんだけどなあ。
GS716TとGS724TAの値段の差があまりなくて、24Portにするか悩めたけども・・・
投稿者 debizoh : 09:32 | コメント (0) | トラックバック
2006年12月02日
802.1X
今後のこともあるので、802.1X、EAP辺りをやらねばならない。
どうでもいい話だが、NETGEARのGS724TAはMAC ADDRESS制御に対応してた。GS716や、HP Procurve 1800は対応してない模様。
Procuve 1800系列では802.1Xには対応していないので、ローコスト&ローエンドの管理型スイッチとしては、ProCurve Switch 2510-24を使うことになる。2600系列でもいいけど、たぶん、そこまで管理しないだろうしなあ。ということで、個人的に2510-24を注文してみる。合わせてLDAP,RADIUSをほんとにまじめにやらねばな・・・。
Huawei-3com(H3C)のQuidway S3100辺りも悪くはなさそうだけども、販売店に商品として挙がってなくて、代理店に頼むのめんどうくさい・・・。
投稿者 debizoh : 08:48 | コメント (0) | トラックバック
NETGEAR GS724Tv2(GS724TA) v1.0.3_30
ファームが上がってますな。GS716も上がってるっぽいけど、まだ試しておらず。
GS724Tv2 firmware version 1.0.3_ 30 release notes
Modification:
1. Rearranged the DSCP setting page to make it more user-friendly.
2. The SNMP host entries allow duplicate IP address but different community string.
3. Add check to prevent incompatible configuration restoration.
4. Support new private MIB groups (ssQoSGroup, ssStormCtrlGroup, and ssTrustMACGroup)
5. Not forwarding LACP or 802.1x packets to other ports.
Bugs fixed:
1. SNMP GET-NEXT on any OID between BRIDGE-MIB and Netgear’s private MIB does not return the correct value.
2. Fastlink is not disabled a port that received BPDU packet.
3. The GUI page for 802.1Q VLAN cannot be displayed when changing VLAN type from port-based to 802.1Q based.
4. Spanning Tree (STP) may be in the wrong state after setting “switch priority” or “port path cost” when STP is disabled.
5. Trunk port status maybe in the wrong STP state if both STP and Trunk features are enabled during boot up.
6. Reply packet is sent to wrong port if it comes from a trunked port.
7. ARP packets are not properly tagged according to the VLAN.
8. Traffic on the trunk ports is not balanced.
9. It does not work with Safari browser.
10. Restoring configuration file fails with Netscape browser.
11. IP Gateway doesn’t work.
12. QoS is not working properly when packet size is greater than 512 bytes.
投稿者 debizoh : 09:07 | コメント (0) | トラックバック
2006年12月07日
NETGEAR GS716 TRUSTED MAC
NETGEAR GS716にも新しいファームウェアがきていて、適用させてみたところ
GS724と同様、TRUSTED MACの機能が追加されていた。
(リリースノートに載ってなかったような気もするけど)
投稿者 debizoh : 08:37 | コメント (0) | トラックバック
2006年12月13日
PLC(電力線ネットワーク)を試す
パナソニックより、PLC(電力線ネットワーク)機器BL-PA100KTが発売になりました。
商品をゲットできたので、レポってみます。
小難しい話はおいておき、
家庭内の電力配線・ブレーカーに依存して、やってみなきゃわからないバクチ商品。
というのが正直な感想です。
うまく繋がるところでは、FTP実測で30Mbit(LAN内)程でしたが、そもそも全くPLC間のリンクが確立できず繋がらないというコンセントもありました。
無線LANでもそうですが、親機・子機を設置しておきたい場所間で本当にうまく動くかどうかは、買ってやってみないとわからない。
というわけで、万人にお勧めできる機械ではないですが、チャレンジ精神を持ち、買ったお金が無駄になる可能性があっても、それは知識として得るための勉強料として納得できる人ならば良いかもしれませんね。
医療機器との関連や、その他機器との問題なども言われておりますが、コンシューマ向けに出すことによって、更なる実証、更には、ブレーカー・電力配線の最適化など、技術としてもっともっと新しい方面に開けていけることを期待します。
パナソニックの家なら、どこで繋いでも絶対OKとかだったらそれはそれで笑えるけど。
投稿者 debizoh : 17:01 | コメント (0) | トラックバック
2006年12月17日
sFlow RFC3176
sFlowについて調べる。
ntopでの構築事例は調べるといくつか載っているが、端末単位でやっている事例が多く、コレクタを使った集中管理とは異なる。
現構成では、中央集中管理が必要という構成ではないけれども、SNMP+MRTGでパケット量だけで管理するのではなくて、今後の流れからしてポート単位での監視の重要性が出てきそうだというところで。今すぐの仕事でもないですけどね。
やり方などは、RFC3176を読んで......(手抜き)
sFlow.orgで、
sFlow Collectorsの一覧が出ています。
フリーで実装するのはいろいろ敷居が高そうなところがあります。
InMon:sFlowTrendとかもありますが。
ManageEngine NetFlow Analyzerのデモなんかを見たりしちゃうと、ちょっと、ちょっとちょっと(by theたっち)というところです。
ツール的にはNetFlowの方が今のところ優勢のようで、
Free NetFlow Toolsが、ツール類がまとまっていて参考になります。
上述のManageEngine NetFlow Analyzerも、NetFlow用のツールです。(Javaなのがイヤン、ですが)
InMon:sFlow Toolkitで、sflowtoolを使えば、netflowのデータにすることができるようなので、変換して対応するのがよいのかもしれませんなあ。
Interdomain Routing Security Workshop Registrationの、IRS10辺りで実は述べられていたようで、やはりフリーでやるならば、そういう方向でやるしかなかんべなーという感じです。
コレクタで取得してDBに落とせば、マネジャの方はまあ、なんとでもなるかなというところもありますから(データがなきゃ話にならん)そういう方向でやってみようかと思います。
sFlow対応機器が手元を離れてしまっているので、テスト用&機器保守用2次機として30万払って買うか悩めるところです...(汗
それともntopか何かを使ってlinux端末上からsFlowのデータを吐き出させてやるかですが、まずそういう状態にすること自体に手間がかかるとも言う・・・。Packet Captureが動いてしまっている状態自体が危険とも言えますしねえ。ちゃんと管理していれば良いわけですけど。
投稿者 debizoh : 06:14 | コメント (0) | トラックバック
ProCurve Switch 2510-24が届いた
ProCurve Switch 2510-24が届きました・・・って、1週間以上放置してたんですけどね・・・。
ProCurve Switch 2824の時は1ケ月近く納期かかったんですけど、あっさり今回は到着。
試すのはもうちょっと後になりそうですが。
まあ、英語ドキュメントを読めばその通りでしょうから、レポは無しの方向で。
シリアルコンソールポートが:RJ-45シリアル・コンソールポートと、RS232じゃないんで、あぁ、また荷物が増えるなぁ・・・と、ちょっと憂鬱になったりはします。
投稿者 debizoh : 06:53 | コメント (0) | トラックバック
2007年01月01日
インターネットVPNのセキュリティ
某社RTX1000の拠点間設定を確認、セキュアにするよう作業を行っているわけですが、なんというか、とにかく”ザル”なんですよね。
共有Keyパスワードでいけてしまうわけで、対置でLAN<>LAN接続させる、してある、というのは危険なのです。
流行るちょっと前の2001年辺りに某社システム構築の際に友人と二人でVPNを導入しましたが、その際は”元NWとは独立”させました。
出版社受託~運送のシステムですが、まだ今のところ大きな改善はなくうまく稼動しています。(ADSL1.5Mだったので、極度な遅さがありましたが、ADSL8Mが開通&システム改善によってかなりマシになって、今に至っています。まだADSL8Mのままだったりして・・・)
VPNの文献も情報もあまりなく、システム自体の元の出来が悪く改善に手間取った,
回線が遅いためにいかに転送を軽くさせるかを試す等と、イロイロ大変だったけども、あれはあれで面白かったなあと(今になって振り返れば)思うところです。
そういうわけでして、今は簡単にルータ側で設定できますし設定例もゴロゴロ載っています。また、各SI等もVPNお手軽パックみたいなことをやっていてお手軽です。
そういう”人がふつーのよーにやっていること”に全く興味が持てないため、頼まれればやりますが、敢えてそれで仕事を取りたいとも思わないわけですけれども。
まあ、ともかく「本当のポイント」である”セキュアかどうか”が抜け落ちてる気がします。
確かにカプセル化されるから、データとしてのセキュアさは確保されているわけですが、それだけじゃ安全ではありません。なんのためにVPNをやっているのか、そのVPN構成自体はセキュアなのか、もう1歩踏み込んで考えて欲しいなぁと思うところです。
どこまでやれば安全なのか、というのを論じるとキリが無くなってしまうところはありますけどね。
投稿者 debizoh : 12:15 | コメント (0) | トラックバック
2007年01月04日
WindowsServerで802.3ad
WindowsServerでリンクアグリゲーションの設定。書き忘れ。
以前他の案件で触ったこともあったが、某業者つーか、元請(?)がL2の設定をまともにしないで、サーバ側だけリンクアグリゲーションに設定したまま本稼動・・・ということがあった。
孫請だと、いろいろ気にしなきゃいかんことが多くて面倒くさい。
さて、NETGEAR GS724TAだと、静的リンクアグリゲーション(SLA Mode)じゃないとうまくないらしい。
動的リンクアグリゲーションだとLinuxBoxからはパケットが通じたが、Windows側から通じなかったです。(原因追ってないですけど。。)
投稿者 debizoh : 06:27 | コメント (0) | トラックバック
