【2008年12月中旬 | 日記の目次へ】
(20081219更新)
雨だったので、保育園への送りは車。月曜よりはスムーズに進んだので、中央林間8:10発の各停には余裕で間に合う。あとは順当な接続で、大和からの相鉄線始発急行、そして二俣川からは各停と乗り継いで出社。
今日は水曜なので、18:30には会社を追い出される。星川18:38発の電車に乗りたいので18:30より少し前に出たいところだったのだが、色々用件があって微妙に18:30を回ってしまう。ということで乗ったのは18:46発の快速。二俣川を挟んだ乗り継ぎパターンとしては「快速〜各停」と「各停〜急行」の2通りがあるのだが、どちらであっても優等側の列車では座れないので、相鉄線内では有意な差は付かない。ただこの列車だと大和からの小田急線が10分違ってくるので、前者、つまり快速を選ぶという判断に。
快速では当然座れないが、各停ではボックス席を独占。微妙に遅れていたので大和ではやや急ぎ目に(走らない程度に)移動してみたが、目前で予定の列車(19:07発)が出発していく。でもそこで時計を見てみると、なんと早発(5秒くらい)。まぁ本当に5秒だと結局乗れてないわけだが、人の波というものがあるので、乗れていた可能性は結構高いはず。仕方なく次を待つが、10分も間が空く時間帯。3分くらい前に入線して時間調整をしていたし、幸いにも座れたのは助かったが、昨日に続いて帰宅時の接続に運が無い。
ちなみにこの列車も3秒くらい早発だった模様。加速開始時点での話なので、ドア閉めはさらに数秒前。この時間は早発地帯(?)なのかな…。
帰宅後しばらく(21:00頃まで)は子供の相手をした後、外向きサーバのjail化実験の続き。
昨日も色々試してみたが、inパケットは普通に処理できるものの、outパケットが一旦はLAN(vr0)の口から出ようとしてしまうのは止められないらしい。まぁdefaultrouterがLAN側を向いているので当然なのだが、ルーティングとしてはhost自身だろうがjailからだろうが、とにかく「defaultrouterのあるIF」に向けてしまうようだ。
昨日の試行では、ipfwを使ってjailからのoutパケットの中継先をVPN側のルータ(tun0の先)に変えるようにしてみたところ。動きを見ていると確かに一旦そちらに中継しようとはしてくれるのだが、パケットは相変わらずvr0から送り出してしまうので、そこからVPN側のルータ(Global IP)に行くためにまずLANのルータ(B-Flets)を通ろうとして、そこでブロック(ソースがLAN内のアドレスではないので)されてしまう。ダメダメ。その辺はルータの設定でしのげるかも知れないが、たとえここのルータ越えが出来たとしても、さらに上位のルータも通れる保証も(同じ理由から)ないので、この方法は断念。
ということで、IPFilterを使ってみることにする。ルールの書き方に慣れないので最初の検討ではipfwを優先してしまったのだが、そこは少し勉強。まぁ最初はザルルールでいいのでざっくりallとかanyとかで誤魔化し、試してみる。ipfwの設定が残っていたので、カーネルを作り直して再起動したときに色々怒られてしまったが、そこは何とかクリア。
一応host自身の通信(vr0経由)が正常に行えることを確認し、続いてはjail内からの通信も試してみる。こちら発の通信は問題ないようだし、外からの通信(実際には別のVPNを使って無駄に往復しているだけだが(笑))も試してみたところ、問題ないようだ。非常にあっけなく解決してしまい、ここ数日の努力が完全に無駄だったかも…。
とりあえず設定の肝心な部分は、次のような感じ。
pass out quick on vr0 to tun0:<VPNルータ> from <jail IP> to !<LAN network>/24
肝心なのは"to tun0:<VPNルータ>"の部分で、ipfwだとここにはアドレスは指定できるものの、IF(tun0)を指定できないのが問題だったようだ。
【2008年12月中旬 | 日記の目次へ】
Tosy <tosy@wig.nu>