- 1 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/03/28(火) 11:42:41 ]
- nfsに関する話題を扱うスレ
- 452 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/22(火) 08:23:43 ]
- >>446は読んだんか?
パッケージ管理の整合性という本質的な問題が理解できてないように思うが?
- 453 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/23(水) 09:13:30 ]
- どんなに暗くても、明けない夜はない。
NFSサーバだってきっと落ちるさ。
- 454 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/23(水) 14:40:53 ]
- >>451
マスターサーバを更新したときに手動で実行するとか、
もしくはクライアントがマスターサーバに何らかの方法で問い合わせて、
更新フラグが立ってたら同期するとかね。
- 455 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/23(水) 17:53:21 ]
- /varも共有してしまえばOK。
- 456 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/23(水) 18:04:07 ]
- /var共有ということは、ほかにも/etcも共有するのですね、わかります
- 457 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/23(水) 18:17:14 ]
- 素直にディスクレスクライアントにしてしまえ。
- 458 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/23(水) 18:28:45 ]
- ディスクレスクライアントにしてるよ。
パッケージアップデートとか、
NFS鯖上で各クライアントディレクトリにchrootしてやってる。
クライアントPCが電源OFFでも、NFS鯖上だけでアップデートできるので管理すごく楽。
- 459 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/23(水) 18:43:02 ]
- >>458
クライアントごとにインスタンス作ってるの?
すごく無駄な気が...
- 460 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/07/23(水) 18:48:04 ]
- >>459
クライアントごとにあるのは / (/var /etc /sbin等)のみ。
/usrは共有してる。共有後にパッケージ管理もしてる。
あ、/sbinのバイナリは個別にハードリンク共有してる。
- 461 名前:名無しさん@お腹いっぱい。 [2008/08/07(木) 14:41:19 ]
- 賢い人はyumを使うような環境で/usrをmountしたりはしない
- 462 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 23:56:53 ]
- aufs+NFSで/ごとマウントしてマウント先で個別にyumしてもいいし、
逆にyumは一切しないで元ツリー側でのyumに任せる運用をしてもいいぞ。
- 463 名前:名無しさん@お腹いっぱい。 [2008/08/13(水) 08:19:45 ]
- CentOS5.2入れて、mount -t nfs したんだけど
flock()使ってるPerlのCGI動かすと1分くらい無反応になって終了しちゃう
ファイルロックかからなくていいから、flock使っても無視するmount方法ってないかな?
ちょっと前のLinuxだと、ふつーにmountしてflockつかっても問題ないんだけど
- 464 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 08:43:04 ]
- >>463
mount -o nolock
- 465 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 11:17:26 ]
- >>463
ちょっと前っていつ頃?
- 466 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 11:38:34 ]
- おれが夕焼けだったころ
- 467 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 13:00:34 ]
- a)flockが動かないのに、なぜ動かないのか調べない
b)ファイルロックかからなくていい
c)スクリプトの方を書き換えようとしない
d)デフォルトでNFSマウントされたディレクトリでflockしようとする
いずれも俺には理解できない発想の集合体だ。
a)システムが正常に動いてないんだから、まずどこが異常なのか調べてくれ。
statdとかlockdとか動いてないんじゃないのか。他のアプリケーションの動作にも
支障があるだろう。
b)競合すればデータが壊れる。同時実行しないという仮定でCGI運用したって
必ずいつかどこかで隙を突かれる。
c)なんのためのスクリプト言語なんだ
d)たとえhomeとかNFSマウントしてても、CGIを実行するホストが単一なら
/varのようなローカルマウントしてるディレクトリ上のファイルに対する
ロックで排他するのが筋。
- 468 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 14:12:26 ]
- cとdは連鯖なら普通だろ。
aはNFS鯖がFreeBSDとかじゃねーの?
- 469 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 14:23:57 ]
- >>468
> cとdは連鯖なら普通だろ。
動かない規定scriptがあるレンタルサーバが普通なのか?
> aはNFS鯖がFreeBSDとかじゃねーの?
( ゚д゚)ポカーン
- 470 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 14:30:07 ]
- >>469
おまいさんは客のスクリプトを勝手に書き換えるのか?
>( ゚д゚)ポカーン
このすれを>>1から読んでこい
- 471 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 14:43:34 ]
- 質問に回答して、解決すればそれでいいんだよ。
質問主からの結果報告がないようだけど。
>>464 の回答で解決でしょ。
- 472 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 16:08:43 ]
- 「苦しいんです。いっそ殺して楽にしてください」って患者に言われて、 言われるままに青酸カリを処方する医者は薮なんだぜ。
- 473 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 16:15:24 ]
- たとえになってない。
ハイ次。
- 474 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 16:19:56 ]
- >>472
Linuxの -o nolock オプション付でmountした場合、
rpc.lockd経由の異ホスト間のロックがかからなくなるだけで、
同一ホスト上だと、(たとえロック対象ファイルがNFS上でも)ちゃんとlockがかかるよ。
なので、-o nolock が質問者に対する適切な回答と思われる。
- 475 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 17:08:08 ]
- 「まず壊れているものを直す」これが問題解決の原則。
この場合、壊れているのはロック要求に応えないNFSサーバであり、
ロックの必要がないのに獲得しようとしているスクリプトだ。
-o nolockは逆に、壊れていないNFSクライアントを壊してしまう。
(ネットワークワイドでのlockを無効にし、アプリケーションにエラーも返さない)。
そのサイトで動作するアプリケーション全体に影響が及ぶことを考えれば、
他で対処できないときの次善の策と考えた方がよい。
- 476 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 17:29:56 ]
- 「まず質問者が質問していることに答える」これが問題解決の原則。
- 477 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 17:39:09 ]
- 自分のやり方を押しつけちゃいかんよ。
どっちも。
- 478 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 17:54:02 ]
- 「自分のやり方を押しつけちゃいかん」という考えも押しつけちゃいかんよ。
3人とも。
- 479 名前:名無しさん@お腹いっぱい。 [2008/08/13(水) 21:31:45 ]
- ありがとう -o nolock で無視できた
でもしっくりいかないなあ
statdやlockd走しらせてmountしたファイルシステムにflockかけただけで半ストール状態になっちゃうものなの?
サーバー側がおかしいのかな
- 480 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 23:43:29 ]
- 質問者はその問題に関する知識がない(これは質問者なんだから当たり前)。
だから、質問者が発した質問が適切に組み立てられるとは期待出来ない。
質問の裏にある、質問者が抱えている真の問題を見抜いて解決法を回答するのが、
知識のある回答者の側の責務。
>>479
サーバ側、もしくはサーバとの通信がおかしい。
たとえばdaemonは動いていてもどこかのレイヤでパケットがフィルタリングされている、等。
- 481 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/14(木) 07:01:31 ]
- >>480
質問者はその問題に関する知識がないからこそ、
直接の回答なしに質問以外のことに対する余分な指図と思われる返答があっても
それを受け入れない、または理解できない。
まずは質問に対する直接の回答をするべき。
一旦その回答を質問者が試した上でさらに質問や疑問点があれば
再度質問すればいいことだから。
- 482 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/14(木) 11:07:21 ]
- >>479
パケットフィルタのせい?
フィルタが原因で、そういう現象が結果として出てくるのかは知らないけど。
- 483 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/14(木) 11:16:29 ]
- エスパーすると、lockd/statdは、クライアント、サーバー、双方で起動必要。
そのどちらかを忘れてるとか。NFS鯖がFreeBSDの場合はlockはうまく動かないのが普通。
- 484 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/14(木) 11:54:33 ]
- 理解できるように説明してやればいいんじゃね
- 485 名前:名無しさん@お腹いっぱい。 [2008/08/14(木) 22:41:52 ]
- フィルタリングはiptablesくらいしかしてないので
サーバー、クライアント両方切ってmountしてみたけど、、、同じだった。
statd走らせたうえで-o nolockで問題ないようなので
これで様子みてみます。
きっとたぶん忘れた頃にぽっと原因がわかったりするとおもう
ありがとー
- 486 名前:名無しさん@お腹いっぱい。 [2008/08/14(木) 23:01:57 ]
- あ、あとexportfs -aしてもそのクライアントだけハングしちゃう
やっぱりちょっと気味悪いイ
- 487 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/15(金) 01:15:45 ]
- >>481
そんな劣悪な質問者だと直接の回答なのかどうかすら
判断できないんじゃねーの。
- 488 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/15(金) 12:22:31 ]
- >>479
斜めにしか過去レス読んでないのではずしてるかもしれんが、
NFSってパケットが普通にフラグメントして飛ぶので、
フィルタリングしてる機械がアホだと刺さるよ。
FreeBSDのpfでもscrub入れてないと刺さる。
- 489 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/15(金) 20:16:19 ]
- TCPでマウントしても?
- 490 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/18(月) 23:53:43 ]
- >>483
そういえば、FreeBSD+ZFSのNFSサーバでもlockできないのかな?
- 491 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/19(火) 09:00:54 ]
- >>490
ZFS、一体何の関係があるんだ?
- 492 名前:490 mailto:sage [2008/08/20(水) 20:56:11 ]
- >>491
ZFSはexportfsを使わないexportを行うから、lockも自前で行うのかなと思って。
- 493 名前:名無しさん@お腹いっぱい。 [2008/09/04(木) 02:17:41 ]
- 板違い覚悟で質問します。ご迷惑をおかけしますが、なにとぞご協力をお願いします。
物理ファイアウォール経由でNFSマウントをする構成なんですが、その物理FWがIPとポート番号をガチンコ指定なため、
NFSクライアント側の浮動するポート番号をなんとか固定しないといけないです。
すごくアホな話ですが、S側、D側のIPとポートを全制御できるパケットしか許可しないなんて言われてます。
環境:RHEL5 NFSv3
なんとか、NFSクライアントのポート番号を固定化する方法を教えてください。
せめてmount.nfs(サーバ側892ポートと通信するモジュール)のポート番号が特権ポートを使わないようにする
設定を教えてください。
- 494 名前:名無しさん@お腹いっぱい。 [2008/09/04(木) 02:23:09 ]
- ちなみに、サーバ側の/etc/exportsにinsecureオプションを付与したりもしました。
portmapの使用するポート番号の指定もしました。(/proc/sys/net/ipv4/ip_local_range)
mount.nfsは、NFSマウントをかけに行ったときにnetstatを打つと892と通信していたモジュールです。
111とか2049はお行儀よくエフェメナルポートを使用しているのに、こいつだけウェルノウンポートを使用します。
本当は固定できれば最高なんですが、1024:65535のポート全開放しないとどの道sshやらできないよ
なんて方向で切り込めば押し込めるかなと思ってます。若干デスマーチ気味な構築になってますが、
なかなかデカいプロジェクトなので、重ねてご教示お願いします。
- 495 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 03:36:48 ]
- ググレカス
- 496 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 03:50:36 ]
- ,.-─ ─-、─-、
, イ)ィ -─ ──- 、ミヽ
ノ /,.-‐'"´ `ヾj ii / Λ
,イ// ^ヽj(二フ'"´ ̄`ヾ、ノイ{
ノ/,/ミ三ニヲ´ ゙、ノi!
{V /ミ三二,イ , -─ Yソ
レ'/三二彡イ .:ィこラ ;:こラ j{
V;;;::. ;ヲヾ!V ー '′ i ー ' ソ
Vニミ( 入 、 r j ,′
ヾミ、`ゝ ` ー--‐'ゞニ<‐-イ
ヽ ヽ -''ニニ‐ /
| `、 ⌒ ,/
| > ---- r‐'´
ヽ_ |
ヽ _ _ 」
ググレカス [ gugurecus ]
(西暦一世紀前半〜没年不明)
よく読めカス!
www.redhat.com/docs/manuals/enterprise/RHEL-5-manual/Deployment_Guide-en-US/s2-sysconfig-nfs.html
- 497 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 04:19:49 ]
- ____
/ \ /\ キリッ
. / (ー) (ー)\
/ ⌒(__人__)⌒ \ <若干デスマーチ気味な構築になってますが、
| |r┬-| | なかなかデカいプロジェクトなので、重ねてご教示お願いします。
\ `ー'´ /
ノ \
/´ ヽ
| l \
ヽ -一''''''"~~``'ー--、 -一'''''''ー-、.
ヽ ____(⌒)(⌒)⌒) ) (⌒_(⌒)⌒)⌒))
____
/_ノ ヽ、_\
ミ ミ ミ o゚((●)) ((●))゚o ミ ミ ミ <だっておwww
/⌒)⌒)⌒. ::::::⌒(__人__)⌒:::\ /⌒)⌒)⌒)
| / / / |r┬-| | (⌒)/ / / //
| :::::::::::(⌒) | | | / ゝ :::::::::::/
| ノ | | | \ / ) /
ヽ / `ー'´ ヽ / /
| | l||l 从人 l||l l||l 从人 l||l
ヽ -一''''''"~~``'ー--、 -一'''''''ー-、
ヽ ____(⌒)(⌒)⌒) ) (⌒_(⌒)⌒)⌒))
- 498 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 04:21:59 ]
- 【お前の頭はくるくるパーだおwwwwwwwwwwwwwwwwwww】
∩ _rヘ / ヽ∩
. /_ノυ___ιヽ_ \
/ / /⌒ ⌒\ ヽ \
( く /( ●) (●)\ > ) お前の頭は
\ `/::::::⌒(__人__)⌒:::::\' /
ヽ| |r┬-| |/
\ `ー'´ /
(( (ヽ三/) (ヽ三/) ))
. (((i ) ___ ( i)))
/ / /_ノ ヽ_\ ヽ \
( く /( ●) (●)\ > ) くるくる
\ `/::::::⌒(__人__)⌒:::::\' /
ヽ|  ̄ |/
\ /
∩∩∩ . ∩∩∩
.∩_:||_:|_:| |_:||_:|_:∩
│ ___ つ ⊂ ___ │
ヽ ノ ___ ヽ ノ
/ / /_ノ ヽ、_\ ヽ \
( く o゚((●)) ((●))゚o > ) パーだおwwwwwwwwwwwwwwwwwww
\ `/::::::⌒(__人__)⌒:::::\' /
ヽ| |r┬-| |/
\ | | | /
| | |
`ー'´
- 499 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 04:27:03 ]
- ,, -──- 、._
.-"´ \.
:/ _ノ ヽ、_ ヽ.:
:/ o゚((●)) ((●))゚oヽ:
:| (__人__) |: プギャー!!!
:l ) ( l:
:` 、 `ー' /:
:, -‐ (_). /
:l_j_j_j と)丶─‐┬.''´
:ヽ :i |:
:/ :⊂ノ|:
- 500 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 04:47:54 ]
- ┐(´д`)┌ やしやし
- 501 名前:名無しさん@お腹いっぱい。 [2008/09/04(木) 09:23:04 ]
- >>496
早速のレスあざす。ただし、私の説明が良くなくて申し訳無いです。
/etc/sysconfig/nfsを編集してサーバ側のポートを固定することは成功しています。
説明が悪くすみません。マウントしにいく側のポートを固定したいと考えています
- 502 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 09:31:26 ]
- デカいプロジェクトやデスマーチプロジェクトのサポート役を2chに
求めるって時点でその会社は終わってるな。
- 503 名前:名無しさん@お腹いっぱい。 [2008/09/04(木) 10:23:52 ]
- >>502
だってメーカーサポートがないんだもーん
- 504 名前:名無しさん@お腹いっぱい。 [2008/09/04(木) 10:43:26 ]
- フェドラなんかのフォーラムでも質問をなげたのですが、
良い答えはない感じでした。皆ファイアウォールの構成を変えろといいます。
それが正しいと思いますが。
クライアント側のポート番号のみブラックボックス化しているように見えます。
portmapが制御しているのは間違いないと思っていますが。
それこそ新たにモジュールを自作して噛ませる必要があるのでしょうか。
- 505 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 10:45:55 ]
- 自力で調べられる人とか、構築経験のある人とかがいないから終わってるって
ことだと思うのだが……そりゃデスマーチ状態になるわな的な意味で。
- 506 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 11:10:47 ]
- Linux板行けよ。
- 507 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 11:13:57 ]
- >>504
> portmapが制御しているのは間違いないと思っていますが。
違います。
ポートの範囲を狭められたとしても、固定は無理です。
lockdやstatdにも言及してないし、あなたには無理な仕事なんじゃないでしょうか?
- 508 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 11:35:06 ]
- あ、確かにportmapではありませんでした。rpcbindですね。
- 509 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 12:02:05 ]
- NFSクライアントの送信元ポート番号は実装による。普通は固定しない。
1024以下の番号を利用する事が多い。(UNIXの世界では1024以下はrootというお決まりなので)
ファイヤーウォールの設定を SrcPort 1-1024 DstPort 111,2049 と
status lockmgr mountd が使うポートを開放してもらえばよろしい。
ネットワーク管理者からすると、暗号化もされてない通信路でファイヤーウォール越しに
NFSなんてふざけてる奴だ、こう言っておけば諦めるだろうという意図だろう。
どうしてもやりたいなら VPN してやれや。
- 510 名前:名無しさん@お腹いっぱい。 [2008/09/04(木) 12:06:15 ]
- 色々なご意見、ご回答ありがとうございます。
実力不足はいまさらながら痛感しています。
熟達した技術をお持ちの皆様に不快感を与えてしまい申し訳ない気持です。
今後は今以上の精進を持って学習いたしますので、なにとぞご協力お願いしたい所存です。
/etc/sysconfig/nfsの設定ファイルで、lockdやstatdのポートを固定するよう設定しています。
確かにログなどを確認してもそれらのポートが使用されていないので
設定が足りないのかもしれません。rpcinfoでは固定されていることは確認できます。
クライアント側は、使用ポートを固定できなくとも、狭める事ができれば
それでもクローズは可能です。なにとぞ御教示お願いします。
公式ドキュメントなどでportmapが制御しているものと判断しておりました。
それが違うとのこと、了解致しました。ありがとうございます。別のアプローチをトライしてみます。
- 511 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 12:09:26 ]
- >>510
このスレの人間は誰もやったことがないから答えられないんだよ。
実際のところはそんなとこw
- 512 名前:名無しさん@お腹いっぱい。 [2008/09/04(木) 12:12:27 ]
- >>509
貴重なアドバイスありがとうございます。FWの構成もNFSマウントもすべて客先による指示であるため、ベストエフォートである必要があります。
そのため、VPNの検討もしてみます。ありがとうございます
- 513 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 12:33:24 ]
- >物理ファイアウォール経由でNFSマウントをする構成なんですが、
どうでもいいけど、物理ファイアウォールといったら
ビルとかに設置してある防火壁のことなんじゃないだろうか。
iptables じゃなくてアプライアンス箱を使っているという意味は
わかるからいいけど。
- 514 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 12:37:07 ]
- Linuxカーネルのソース書き換えろ。> 範囲固定
- 515 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 12:48:42 ]
- 送信元のポート番号を固定したら、NAPTできないじゃん。
- 516 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 12:54:04 ]
- 2chなんかで質問してしまうなんて、よっぽど気が狂ってるんだろうな。
全て客先による指示なら、客に聞けばいいだろ。
できる事と、できない事の区別もつかないなら、仕事向いてないよ。
- 517 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 12:55:43 ]
- うるせーなクソカス
- 518 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 14:10:48 ]
- >FWの構成もNFSマウントもすべて客先による指示であるため、
・・・・・客の指示だったら物理的に保証がないとか誰もやったこと無いような事まで
「できますって言っちゃったらやる」って言うの?
さすが出来る技術者は違いますね〜(棒
- 519 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 15:35:06 ]
- 客が死ねと言ったらお前も死ぬんだな!
- 520 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 16:19:09 ]
- だまれボンクラニート
- 521 名前:名無しさん@お腹いっぱい。 [2008/09/04(木) 16:49:43 ]
- 皆様の痛烈なご指摘通り、客先指示には原則従う事が前提です。
そのため、今回のようなケースでも可能性を地獄の果てまで追いかける必要があります。
もし不可能と言うことであれば、不可能である根拠や証跡が必要になります。
現段階ではまだ不可能と断定可能な材料がないため、調査及び有識者各位にお問い合わせしている次第です。
当然皆様に対して不可能な根拠や証跡まで要求する気はございませんが、
それでも図々しいお問い合わせをしていると認識しております。
皆様に置かれましては、私の見苦しい発言の数々でご迷惑の事と存じますが、
今一度のお力添えをお願いしたい所存です。
- 522 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 16:51:38 ]
- >>521
>>514 が方法を回答してるじゃん。
- 523 名前:名無しさん@お腹いっぱい。 [2008/09/04(木) 17:06:08 ]
- >>514
>>522
ご回答が遅くなり申し訳ありません。
その手段はOS自体や他APへの影響範囲が評価不可能なため、先ほど客先より却下されました。
申し訳ありません。
- 524 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 17:24:14 ]
- 技術力がないから「出来ない」といっても客に信用してもらえないんだな。
「うちは技術がないのでそんなこと出来ません」と正直に言っちゃえば
客も流石に飲むしかないと思うがな。
- 525 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 17:32:06 ]
- できない仕事とるなよ。
- 526 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 18:04:16 ]
- 技術がないからできるとかできないとかで仕事選べないんじゃね
- 527 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 18:12:35 ]
- 既に取っちまったもんを、エンジニアだけでどうこう出来ないだろうて。
自分が同じ立場だったとして「出来ない」と突っぱねられるか?
- 528 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 18:14:13 ]
- 「2chで聞いたけどできないといわれました。」と答えればいい。
- 529 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 18:14:48 ]
- そんなこと言われてもできるようにはならん。
- 530 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 18:16:20 ]
- NFSプロキシ建てれば? プロキシ側でソースポート固定と。
- 531 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 18:25:23 ]
- 自分が同じ立場なら? なぜNFSが必要なのか、なぜソースポートまで固定した
厳格なファイアウォールが必要なのか、そういったところからヒアリングして、
できるだけ客の「やりたい事」に沿った解法を探るだろうな。
客はファイル共有やネットワークの保護がやりたいんであって、
客自身がNFSそのものがやりたい、ソースポート固定そのものがやりたい、ということは稀だ。
当たり前だが。
- 532 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 18:29:38 ]
- なんだ、>>512 で「VPN検討する」って言ってるじゃん。それでFAだろ。
ハイ次の質問どうぞ。
↓
- 533 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 18:44:00 ]
- >>531 客がキチガイだったってことは漏れ経験したw
- 534 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 18:50:20 ]
- 板違いだから。その話題は。
- 535 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 22:02:21 ]
- 現状 nfsd---|FW|---nfs client
解決 WiFi---nfsd---|FW|---nfs client---WiFi
これで桶w
- 536 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/04(木) 22:44:20 ]
- iptablesでそのサーバ宛のNFS関係パケットのソースポートを書き換える、とか?
- 537 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/05(金) 13:10:02 ]
- あんまりこねくり回すと、意味不明でメンテ不能になるぜ。
VPNして終了でいいじゃん。
- 538 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/05(金) 15:27:01 ]
- あっさりVPNで穴あける前に、なんでVPNなんてものが必要になるのか、
ファイアウォールの意味をもう一度考えようぜ。
- 539 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/05(金) 16:51:46 ]
- 単なる釣だろ。
- 540 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/05(金) 17:21:54 ]
- A「お前さん、一杯喰わされたな。ありゃ単なる釣りだぜ」
B「そうか、なら良かった」
A「なに?」
B「ファイアウォールにNFS通そうとする馬鹿な客と馬鹿なSEは、いないんだ」
♪ダンダンドゥヴィ、ドゥヴィダダン……
- 541 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/05(金) 18:40:32 ]
- VPNが最強なんだぜ?
- 542 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/05(金) 19:56:56 ]
- VPNは、先ほど客先より却下されました。
申し訳ありません。
引続き解決策の議論をお願いします。
- 543 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/05(金) 20:09:13 ]
- >>542
SSHで繋がせてもらう
で SSH over PPP でトンネリング。
nakagami.blog.so-net.ne.jp/2005-07-21
客には、「VPNなんて使ってませんよ。telnetみたいなのしか使ってませんよ」とか言う
- 544 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/05(金) 20:21:57 ]
- 客に却下されたからダメ、じゃなくて、
そうするよりマシな実現方法はないからこれでやらせろ、
それじゃなきゃやらない、ぐらいのアピールしろよ。
構築だけじゃなくて後の運用もどうせ請け負ってるんだろうから、
客の奴隷になるのは不幸になるだけだ。
そういう客の言いなりで作ると、けっきょく gdgd なものしかできなくて
後々まで泣くことになるぞ。
- 545 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/05(金) 21:49:11 ]
- 送信元ポートを固定するようなアプリケーションの設計は
あまりよくない、むしろバカな設計なのだよ。
議論(藁)なんてする必要すらない。
だいたいNFSは信用できるネットワーク内で使う事を前提とされているし
ましてやWANを経由する事も考えられていない。
スレ違いのプロトコルと言ってもいいな。
- 546 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/05(金) 23:14:27 ]
- >客に却下されたからダメ、じゃなくて、
>そうするよりマシな実現方法はないからこれでやらせろ、
>それじゃなきゃやらない、ぐらいのアピールしろよ。
そーだ、その通りだー。
ファイアウオールにNFSを通すなんて(客がどっから実例拾ってきて提示してるか知らないけど)
元々の仕様を超えた使い方に対してはもう議論(苦笑)の余地さえも残っていないと思うけどね。
どうせ却下されるだろうけど試しにw
つ【業務用のネットワークとは別にNFS専用のネットワークを用意する】
- 547 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/05(金) 23:34:14 ]
- >>531 客がキチガイだったってことは漏れ経験したw
- 548 名前:ななし mailto:sage [2008/09/06(土) 01:42:37 ]
- 少なからずFireWall-1やNetScreenを使っているならNFSでも簡単かつセキュアに
通せるわけだが、その辺りのファイアウォールは使っていないって事?
だったら、そこそこでかいプロジェクトとは思えないんだけど。
ファイアウォールの管理者に地味に嫌がらせされてるだけ??
- 549 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/06(土) 04:21:28 ]
- 関係会社の作ってるFireWallアプライアンスは
NFSとか通す設定できなかったなぁ。
まあ専業メーカーの製品には太刀打ちできませんな。
>>545の言う通り、NFSは信用できるネットワーク内で使うことが前提。
NFSのパケットを偽装可能って話は聞いたことあるし、
パケットキャプチャすることでNFSサーバの中身を
レプリケーションできてしまうプログラムなんてのも有ったらしい。
その辺の脆弱性を指摘して、
VPNなりSSHトンネルで保護する必要があるんです! とか
主張してみるのはどうかね?
- 550 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/06(土) 06:12:27 ]
- SecureRPC使えば暗号化/認証できる。
もし必要ならケルベロスも使える。
- 551 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/06(土) 12:43:11 ]
- 中間にL3以上の処理の入る環境でNFS使うのはどうもなあ。
TCPなら若干ましだが、パケット落ちるとろくなことがないし。
- 552 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/06(土) 16:53:12 ]
- アホな客と無能な業者が馴れあってる分には
どちらも外の世界に出てこないのでありがたい。
これからも唯一無二のシステム構築に挑戦し続けてほしい。永遠に。
|
 |
