206RC.org

Winny問題

日本全体がWinnyによる情報漏洩で大騒ぎです。正確にはWinnyを経由して感染するウイルス「Antinny」がWinnyを媒介して情報をばらまいているわけですが。

会社で定期購読しているコンピュータ雑誌もWinny（Antinny）の特集してましたが、もっとも効果的なのはWinnyを使わない、使わせないことだと思います。

インターネットを通じて無料で色んなものが手に入ることは確かに魅力的かもしれませんが、昔から「タダほど高いものは無い」と言われてますよね？Antinnyに感染して大切なデータが漏洩したらもう取り返せないです（実際には取り返せる可能性があるそうですが、ノウハウとかなりの時間と労力が必要だそうで）。

信用を得るのには時間が掛かりますが、信用を失うのは一瞬・・・自分もそうならないように気をつけたいと思います。

HTTP Proxy経由でsshを使う

昨日に引き続き、Squidを使った実験です。

HTTP Proxy 経由でSSH
↑を参考にしてチャレンジです。

結果を言うとsshサーバのポート番号を 443 または 563 で利用すれば簡単に使えます。しかし、通常sshは22番ポートを使いますので、別のポート番号で接続待機するように変更する必要があります。sshサーバのポート番号を変更したくないときにはSquid側の設定を変更する必要があります。

そうしないと
FATAL: failed to begin relaying via HTTP.
というエラーが出て接続できません。

最初は原因がわからずに散々悩んで、squidを最新版に入れ替えたり、Delegateをインストールしようとしたりと色々やりました。調べていくうちに原因がわかりました（意外と簡単なことでした）。

squid.conf の
http_access deny CONNECT !SSL_ports
というアクセス制御で弾かれていたのです。

SSL_ports と safe_ports に 22 を追加すればOKです。

Squid HTTP Proxy

うちの会社、サーバー用としてATM専用線を引いています（グローバルセグメント）。それとは別に社内ネットワークからインターネットを利用するためにフレッツADSLを引いています（ローカルセグメント）。

この２つのネットワークをIPルータで接続していて
・インターネットにアクセス→ADSL
・サーバーにアクセス→IPルータ
となるように静的ルーティングを構成しています。

これは専用線経由でインターネットを利用するときに発生する
・アクセススピードが遅い
・帯域を消費してしまう
という問題を解決するためにやっています。

で、問題なのはグローバルセグメントに設置のサーバーでパッチをダウンロードする場合の話です。専用線は遅いのは明白なので、ローカルセグメントのADSLを経由してダウンロードできないか？と考えたわけです。

ローカルセグメントに置いてあるサーバにSquidをインストール、HTTP Proxy経由でADSL側からインターネットにいけるかどうか実験してみました。

1. Squidを公開サーバとしてグローバルセグメントから使えるようIPルータにNATで設定します。
2. WebブラウザでProxyとしてIPルータのグローバルIPアドレスを設定します。

1台目に使ったSMC7004はうまく動きませんでしたが、2台目に使ったCR-110はうまく動きました。ただし、CR-110の内部スループットが7Mbps程度と低く、高速なルーターへ置き換えないと駄目ですねぇ(^^;