横断歩道での一時停止は善意ではなく義務 (Powered by WordPress)
症状としては,例えばゲストマシンからSo-netのお仕着せルーターのIPv6アドレスをtraceroute6すると,ホストのvirbr0まで届くのですが,その先に行きません.ホストがブリッジ機能を果たしてくれません.
たぶん,引っかかっているのは,解ってしまえばなんでもないようなことだと思うのですが,この二日間悩んでいます.
IPv6に関しては,なかなか解らなかったんですが,ip6tablesの設定がようやく,IPv4用のiptablesと対応させてできるようになりました.意図して設定すると,その通りの挙動になることが確認できました.
これまでは,so-netのルーターで,必要なサービスだけを通るようにして,サーバー(このBLOGのホスト)側では,全部OKにしていました.
今回,so-netのルーターでは,宛先IPアドレスがサーバーと一致すれば全部通すようにしました.フィルタリングはサーバーのほうでしています.IPv4と同じ運用です.
so-netのルーターは,20しかフィルタの設定ができないし,複数の設定の保存とか,融通も利きませんから,こういう形に持ってこようと考えてはいました.
これは,Slackware 14.2のupgradeに直接関する問題ではなくて,IPv6化したあとの5か月越しの懸案でした.わが家のsendmailへ,IPv6ではsubmission port (587)へ接続できないのです.
lsof -i | grep sendmail
sendmail 29512 root 4u IPv6 1301137 0t0 TCP *:smtp (LISTEN)
sendmail 29512 root 5u IPv6 1301138 0t0 TCP *:smtps (LISTEN)
sendmail 29512 root 6u IPv4 1301139 0t0 TCP *:submission (LISTEN)
てな具合です.そこで,ネット検索結果を参考に,sendmail.mcに,
DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea, Family=inet6')dnl
と加えて,なんやかんやしてsendmailをリスタートすると,
opendaemonsocket: daemon MSA: cannot listen: Address already in use
てな,エラーが出続けます.
想像するに,既に,IPv4オンリーでMSAが立ち上がったあとで,IPv6オプションを明示したMSAをもう一度立ち上げようとしている(あるいはその逆の順番)ことは解ります.だから,勝手に立ち上がるMSAを止めたい.
いつもながら,解ってしまえば簡単なことなんです.次のようなFEATURE文を一行書くだけです.
FEATURE(`no_default_msa')dnl
無事動くようになりましたとさ.
sendmail 29792 root 4u IPv6 1212952 0t0 TCP *:smtp (LISTEN)
sendmail 29792 root 5u IPv6 1212953 0t0 TCP *:smtps (LISTEN)
sendmail 29792 root 6u IPv6 1212954 0t0 TCP *:submission (LISTEN)
めでたしめでたし.
先日,サーバーに高負荷がかかっていることに気がつきました.調べてみると,連続的にこのWordPressにログインしようとしています.クラックした,ユーザーとパスワードの組み合わせを連続して試みる辞書攻撃です.
IPv4のIPアドレスをブロックしたら,IPv6で攻撃を続けてきます.はじめてIPv6をブロックしました.
今月,1,000回以上,ログインをかけてきた回数とIPアドレスは次の通りです.
195から始まるもの以外はすべてウクライナの同一人物(またはグループ)と思われます.
昔は辞書には1,000以上のユーザー/パスワードの組み合わせがある,といわれてましたが,今は一桁多いようです.
2002::/16は,6to4というIPv6 <-> IPv4をリレーするためのアドレスだそうです.
5b c8 c 84は,91.200.12.132です.
いろいろ,手間のかかることをしてきやがります^^;;
IPv6化は,完了していませんでした.
実は,IMAPのIPv6化を追求していたときに既に気がついていました.sendmailが,プロバイダーのメールサーバーにメールを送るときは,IPv6のアドレスで送るのですが,受け取るときは,いつもIPv4なのです.たまたまなのかと思っていましたが,LAN内のテストでも,IPv6で接続できないことが解りました.
で,まずは,何も考えずにネット検索です. “sendmail IPv6″で検索すると,sendmail.mcに,
DAEMON_OPTIONS(`Name=IPv4, Family=inet, Port=smtp')dnl DAEMON_OPTIONS(`Name=IPv6, Family=inet6, Port=smtp')dnl
の2行を追加して,sendmail.cfを作成せよ,という回答が多数を占めます.で,何も考えずにやってみますが,
daemon IPv4: problem creating SMTP socket
というエラーが出てしまいます.
さらに何も考えずに検索で見つかったことを片っ端から試しましたが,上記のエラーが出ます.
そこで,自分の頭で考えてみることにしました.そもそも,STARTTLSに対応させるために,私のsendmail.mcには,
DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl
というDAEMON_OPTIONSがあります.これが前述の追記したDAEMON_OPTIONSとコンフリクトするのでしょう.ということで,両者を合体させた,
DAEMON_OPTIONS(`Port=smtp, Name=MTA, Family=inet6')dnl DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s, Family=inet6')dnl
というのに書き換えてみて,makeしたら,うまく動くようになりました(つまりDAEMON_OPTIONSはこの2行のみにした).
IPv4の記述(inet)はありませんが,なくても動くだろうという読みは当たりました(つまりデフォルトでサポートされているというか,IPv6に内包されている).
しかし,IPv6を使おうって意識の高い人たちが,STARTTLSを使ってない(使っていれば上記問題に遭遇するはず)ってのは理解不能です.
これも,解ってしまえばこれだけの話なんです.これだけのことで半日つぶしましたとさ.めでたしめでたし^^;