HANZUBON.jp

すでにだいぶ経ってますが、ここにメモってなかったので駄文。

引っ越してフレッツ光ネクストに切り替えたんでフレッツ光ネクスト上で提供されているIPv6接続サービスが利用できるようになりました。接続形態にはIPv4 と同じような PPPoE を使った接続と IPoE 接続 (とか書くとなんのこっちゃだけどネイティブ方式と呼ばれてた要は Etherでそのままつながってます方式)があるわけですが、余計なもの(PPPoEのトンネル)がはさまらない分 IPoE の方がレイテンシなどで有利なわけで、当然こっちを選択して接続しました。ISPにはIIJmioのFiberAccess/NFを選択。

なお、IPoEでの接続に関しては「ひかり電話を契約しているかどうか」によってネットワーク側の挙動が少し変わってきます。ここの説明が非常に詳しくてわかりやすいので興味がある方は見てみましょう。

さて、hanzubon.jp NOCにはひかり電話は導入されていません。ということで、ここの説明にあるように RAで取得した64bit長のprefixを使ってネットワークを構成することになります、RAを受け取ってごにょごにょして再広告するようなことをしてもいいんですが面倒だし特にメリットもないように思うのでRAをそのまま中でも受け取って動くようにIPv6ブリッジを作ってみることにしました(ひかり電話契約がある場合は、上記の記事で説明があるようにIPv6ルータを用意した方が楽しいように思います)。

仙石さんの昔の記事が大変参考になります。というか、ここに解説されてる通りに設定すれば(おおむね) OK です(わら ただし、ここの記事の最後に記述がありますが、現在ではすでにip6tablesにもphysdevモジュールが実装されてますので、ここでやっているようなebtablesでマークしてもげもげするような方法ではなくphysdevモジュールを使う方法をとってみることにします。

以下、ONU側につながっているインタフェースを eth0、内側のその他のサーバ類等々ぶら下がっているセグメント側のインタフェースをeth1とします。

まずは単純にbridgeを作成します。bridgeの操作にはbridge-utilsが必要なのでインストールしといてください。あとは、ebtablesとip6tables(はiptablesパッケージに入ってます)も使いますので入ってなければ入れておきましょう。

apt-get install bridge-utils ebtables iptables

/etc/network/interfaces には以下のように記述して br0 という名前で bridge インタフェースを作成します。

auto br0
iface br0 inet manual
      bridge_ports eth0 eth1

これだけです。さて、上記で bridge はできますが このままだとあらゆるパケットが通ってしまう状態になってしまうんでIPv6なパケットのみが通過するようにebtablesでフィルタしておきます。コマンドとしてはこう(注: bridgeインタフェースがひとつしかない前提でインタフェースの指定してないので 複数あるような場合は適宜 -i br0 とか指定してくださいな)

ebtables -t broute -P BROUTING DROP
ebtables -t broute -I BROUTING -p IPv6 -j ACCEPT

以下雑ですがこんな感じのスクリプトにして /etc/if-up.d/ipv6bridge とかいう名前にでもして放り込んでおくと、br0インタフェースがupした時に上記のフィルタが実行されると思います。

#!/bin/sh

[ "$IFACE" != "br0" ] && exit 0

ebtables -t broute -P BROUTING DROP
ebtables -t broute -I BROUTING -p IPv6 -j ACCEPT

exit 0

これで、IPv6 bridge の作成はおしまいです。ifup br0 とでもすれば br0 が有効になって内側のセグメントにもRAが流れ始めて(各マシンで RA を受け取って autoconfig するようにしてあれば) IPv6 で通信できるようになるはずです。

ただ、この状況だと各マシンにはIPv6のグローバルアドレスがそのままふられますしなんのフィルタもないので、うちから外へのパケットが通るのと同じく外から内へのパケットも自由自在に通りますので(わら 内側のセグメントのマシンにもアクセスし放題になります。

ということで、ふつーなんらかのフィルタをしたくなるだろうと思います。例えばこんな感じにします。

ip6tables -N v6-in
ip6tables -N v6-out

ip6tables -A FORWARD -i br0 -m physdev --physdev-in eth0 -j v6-in
ip6tables -A FORWARD -i br0 -m physdev --physdev-in eth1 -j v6-out

ip6tables -A v6-in -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A v6-in -j DROP

ip6tables -A v6-out -j ACCEPT

最初の2行で v6-in と v6-out というchainを新たに作成しています(あとで、フィルタを消すようなときに楽だからなだけ)。

キモはその次の2行です。bridge に対して physdev モジュールを使って実際にパケットが入ってくるインタフェースを識別した上でそれぞれのルールセットのchainにjumpさせます(仙石さんの記事ではこの部分の処理を ebtables でつけた mark で行なっています)。

あとは、v6-inとv6-outに適宜必要なルールをてきとーに追加してやれば動作します(上記の例だと外向きのパケットは全部素通し、内向きは特定のstateのパケット以外は全部DROPします)。

ip6tables-save なりで save しておいて読み込ませるなり、スクリプトにするなり 適当に準備してどこかで設定するようにしましょう(オレはipv6filterとかいう名前のスクリプトにして/etc/network/if-up.dに放り込んであります)

というあたりで、特になにか目新しいことがあるわけじゃないですがこんな感じでIPv6 bridgeが作れます。

市販のいわゆるブロードバンドルータにもIPv6ブリッジ機能があるものがありますが安いもの(家電量販店とかで売っているようなもの)だと、IPv6パケットのフィルタリングができるようなものは現状皆無のようなので、ちょっと遊ぶだけならいいんですが実用的にはちょっと厳しいんじゃないかと思われます(というあたりも、IPv6 の一般家庭への普及の阻害要因の一つなんじゃないかなぁと思ったりします)。

日本時間の2012/2/15(水) 8:00〜の予定で hanzubon.jp 大森NOCの移転が行われます。

これに伴い以下の時間帯ネットワークが止まる/サーバ類の移設が発生するので、各種サービスが止まります。

もちろん JP debian mirror も止まっちゃうのでよろしく(わら

停止予定: 2012/2/14(火) 20:00〜2012/2/15(水)20:00 (いずれも日本標準時)

JP Debian push mirror primary server on hanzubon.jp will be stopped at 2012/2/14 20:00 JST to 2012/2/15 20:00 JST because HANZUBON.JP network and servers will be moved to another place.

主にミラーの動作チェックのために 簡単なログを irc のとあるチャネルに流してたんだけど いろいろ都合が悪くなったので twitter の @debianmirrorjp へ流すように変更してみた(つもり)

最近は Western Digital の 3TB (3TiB) HDD WD30EZRX がものすごい安価(1万切って 9700 〜 9900 円くらい 下手すると特売で9000円きることも)で売っていて、手頃だしバイト単価も安くていいので これに手を出すわけです。

でも、この HDD って 4kセクタな上に単体で2TBをこえてるので いろいろあるわけですよ。

とりあえずメモ的に2点。

hanzubon.jp の mirror 用ストレージは areca の arc-1680 という SATA/SAS RAIDカードにぶら下がって構成されています。(その他のarecaのカード含めてのようですが)、最新の firmware (version 1.49)に更新してないと 3TiB な HDD を正常に認識しません。

接続されているのは、認識するんですが容量が0.0GBと表示されて まったく使えません(わら

1.49 まで上げてあるつもりで、つないだんですが 最初そんな状態になって ちょっと焦りました。

逆にいうと、1.49 にあげたところ 正常に認識され いまのところ特に問題もなく利用できています。

もう一点、いままでめんどくさいので避けてきた 4k セクタの話。

とりあえず、Linux的には周辺のブツ(fdisk とか parted)とかが すでにそのあたりを意識してくれるようになってるんで、深く考えずに Go しても大丈夫なんですね いまどきは(わら

2TB 以下の HDD であれば、DOS mbr でいけるんで fdisk でパーティションきれば 勝手に適当にアラインメントとってくれるようです。fdisk の表示上も物理セクタ/論理セクタのサイズをちゃんと認識してくれて表示してくれるようになっています、いつのまにか。

2TBを超える場合は GPT でということになりますが、こっちも parted でやってやればさくっといけます。あらかじめ mklabel gpt してある前提で


parted --align=min --script /dev/sdX mkpart primary ext2 0 100%


みたいなことをすれば、parted が「ぉい alignment できてねぇぞ その指定だと一番近い alignmentできてる開始位置はここだ」と教えてくれるので、その指示にしたがって先頭を指定するのがいいようです。

(追記)
こんなことしなくても –align=opt してパーティションきるのが正解?
おしえてエラい人(わら

以上、雑記的メモでした。

「debian mirror のストレージの構成 HDD 一本あたりの容量あげて本数減らしたいなー だれか HDD おごってくれないかなー(わら」と tweet したら、ありがたいことにほんとにnakanotにおごっていただけたので ゆうべから 構成変更作業をしてました。

データ自体は debian-cd 以下を除いて復旧/更新済です。

HANZUBON.jp 今晩停止します 予定では20時前後から

停止中 各種mirrorの更新が止まります

mirrorに使ってるRAIDの構成変更をするので 時間かかる予定

主要mirrorは明日の昼間くらいまでにがんばる、その他は週末中には復旧するかなぁ という感じです

追記(2010/10/30 0:55):
とりあえず、主要部分は復旧したので表からアクセスできるようにしました。debian/debian-backportsは現在最新の状況にsync中(debian-volatileはdone)。その他は、まだ復旧中です。

追記(2010/10/30 10:20):
寝てる間に復旧しとりました。

とりあえず、現状やっつけで見づらいわけだけど

Debian mirror

Debian backports mirror

Debian volatile mirror

の push mirror の各サーバでの mirror にかかった時間とかミラーが
行われた時刻を集計してみることにした。

集計の更新頻度は現状30分おき。

なお、ここに出てこない国内のmirrorサーバは「push mirrorではない」
ので、ftp-master等でのtreeの更新が実際にそのmirrorサーバに伝搬する
のは、一般的に push mirror より大幅に遅れます。

ftp.jp.debian.org や cdn.debian.net は、これらの push mirror サーバをたばねた CDN に使われてるホスト名です。まとめると、現状 Debian の apt line として利用する場合は、

• 通常は ftp.jp.debian.org を使えばいい具合にしてくれる
• httpでの利用のみであれば cdn.debian.netを使うといい
• どーーーしても個別のミラーホストを指定したい人は、これらの push mirror サーバを指定する(ただし hanzubon.jp 以外を推奨)
• それ以外を指定しても、あまりいいことはない

となります(以上誤解をうみそうなので追記)

ちなみに、2010/10/11からdebian-volatileの更新がないっす。
なぜだろか…

追記1:
Ar-に「jsonでひっぱれるようなデータ用意シレ」と言われたので、

debian|debian-backports|debian-volatile

で取れるようにしました。

なんか どーも push signal こねぇな と思ってたら、ルータで塞いでいました…orz

ということで、signal くるのを確認したので復活したはず。

どーも すいません(わら

昨日は、たんきよで毎年恒例の忘年会でした。

久しぶりの参加のひともちらほら、新しく参加の人も何人か。
うかいさんのおくさんに初めて会いましたが、なかなか面白い人でした。

その後、nnnの知ってる店に だいすけ、まくつ、nnn、ならき、オレという感じで移動して二次会?で終電前に解散。

これが終わると、なんだかようやく年末が近づいてきた気がします。

keitairc 2.0b12をリリースしました。

なんもなければ、このまま2.0になる予定。

2.0出すのにどんだけかかってんだとかいうツッコミはしないように(わら

b11からiPhone/iPod touch UIを大幅に修正してそれなりに使えるようになってる
ので、iPhoneユーザで古いもの使ってるような人は新しいのにしたほうがいいです。

今回はなんとなくdebianパッケージも置きました。

ダウンロードはこのあたりから。