Article delegate-ja/641 of [1-661] on the server localhost:119
  upper oldest olders older1 this newer1 newers latest
search
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
[Reference:<_A639@delegate-ja.ML_>]
Newsgroups: mail-lists.delegate-ja

[DeleGate-Ja] Re: [DeleGate-Ja] Re: [DeleGate-Ja] Re: 見に行かせたくない 5000 サイト
10 Oct 2014 02:20:22 GMT Satoshi Nihon-yanagi <pt44abth4-umdes63pglbr.ml@delegate.org>


やなぎ です。

 |うーん、達人の秘技・プロトコールを開示していただけませんかね?
 |(正直、なんとなくスタップな疑念も残るのですが)
 |追試してみたいです。

えっと、DeleGateの起動設定値で良いんですかね?
hostsと不許可ipリストは大人の事情で勘弁してください。

とりあえず載せちゃマズい生情報(ホスト名やIP等)を偽内容に書き換えたら
こんな感じですかね。

--ここから
-P10.0.0.1:8080
ADMIN="admin@hogehoge.local
SERVER=http
PERMIT="*:*,!10.0.0.0/8,!172.16.0.0/12,!192.168.0.0/16:.localnet"
REMITTABLE=+,https
LOGFILE="http/[date+%Y%m%d]"
ERRORLOG="error/http/[date+%Y%m%d]"
PROTOLOG="protocol/http/[date+%Y%m%d]"
CMAP="thru-CONNECT:HTTPCONF:https:www.hogehoge.domain1"
CMAP="thru-CONNECT:HTTPCONF:http:www.hogehoge.domain1"
CMAP="thru-CONNECT:HTTPCONF:http:www.hogehoge.domain2"
CMAP="thru-CONNECT:HTTPCONF:https:www.hogehoge.domain3"
CMAP="thru-CONNECT:HTTPCONF:https:www.hogehoge.domain4"
CMAP="thru-CONNECT:HTTPCONF:http:*.windowsupdate.com"
CMAP="thru-CONNECT:HTTPCONF:http:*.microsoft.com"
CACHE=no
REACHABLE='!unreachable.ip4.list.-,!*.hogehoge.domain5,!*.hogehoge.domain6,!*.hogehoge.domain7,!256.257.258.[0-255]'
MOUNT="/-/builtin/mssgs/403-forbidden.dhtml
file:c:\delegate\mssgs\403-forbidden-edited.dhtml"
RES_NS="a.b.c.d,END."
RESOLV=cache,file,dns
--ここまで

PERMITの後ろの方はlocalnetだけじゃないのですが、まぁゴニョゴニョで。

基本的にプライベートIPはproxy経由のアクセスを禁止にしてます。
人数が多くなると負荷が大きいので。

今回は10.0.0.254を永久欠番扱いにし、/etc/hosts の不許可FQDN用に
割り当ててます。
それと一部だけ正規表現やワイルドカード込みのFQDNがあったので、それらは
別途REACHABLEの箇所で禁止しています。
(昨日のwww.*.hogehoge.localはここら辺の話です)
不許可IPの中にも正規表現が書いてあったのですが、こちらはワイルドカード
ではなく範囲指定で。

また、不許可FQDNは全てテストしてるわけではなく(万が一繋がったら即汚染
させられるのもあるらしいので・・・)hosts の最後に

>10.0.0.254 www.hogehoge.local

などと置いて、実際に www.hogehoge.local へwwwブラウザからアクセスさせて
forbidden画面が表示されることで確認としています。

DeleGateの挙動的には、先のエラーの事も踏まえると「一番最後に書いたのが
認識されてれば途中も認識されているのかな?」程度で理解してます。

不許可IPはさすがに存在しないグローバルIPとか不明なので外部の自分の所の
ホームページのIPを臨時で埋め込み、同様のテストを行いました。

RESOLVは今こんなんなってますが、テストのときにはOS側のhosts参照させるために
RESOLV=sysとかにしてみたんですが、sysでも何故かDNSを先に参照してしまってた
ような。
今回の条件だけで言えばDeleGate側専用のhostsを参照してくれた方が都合がよいです。

あとRESOLVにsysが入ってないのは、sysだとWindows特有の「マシン名」を解決する処理
が入ってしまい、レスポンスが極端に悪くなってたからだったような。
前のDeleGateのML時代に聞いた記憶があります。

なんかパラメータが足りない箇所がありそうですが、こ、こんな感じでいいですか?
--
Satoshi Nihon-yanagi

  admin search upper oldest olders older1 this newer1 newers latest
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
@_@V