このBlogのアクセスが前日比700%超えとかになってて、ちょっと焦った。なんかやばいことを書いてしまったっけ…と思いつつ、調べてみると、Google先生に「Vyatta」について聞いた人がこのBlogに案内されているみたいだった。うーむ、なるほど、Vyattaですか。

Vyattaはご存知のとおり、ソフトウェアルーターと呼ばれているソフトウェア。Linux(Debianだったか)ベースなので、その辺で手に入れられるx86マシンをルーターに変えられる便利なもので、開発してるVyattaによれば、Ciscoの製品とも十分闘えるスペックをたたき出せるらしい(ま、私が関わっている環境では、そんなハイエンドな使い方はしないので、ふぅーんという感じ)

で、Vyattaが配布しているドキュメント(PDFなんだけど、ダウンロードするためにはメアドなどを登録しなきゃならず、、、面倒。しかも、ドキュメントもバージョンがこっそりあがったりして、新しいのを落とす度にいちいち登録しなきゃいけないのは…私だけ?)を眺めて、コンフィグを徒然なるままに書いてみての雑感を少々書き留めておこう(ネットワーク機器初心者の私の雑感なんて役に立たないに1票だけども)

前述のように、たいしたことをやんないでOKなネットワークを前提としているので、、、BGPがどーなんだ、OSPFはどーなんだという(…私がどこかで聞きかじったような…)キーワードを気にしてらっしゃるネットワークエンジニア諸兄にはまったくアレな内容でございます。すいません。はは(汗)

今回のコンフィグでは、とりあえずスタティックルーティングができればOKで、あとはファイヤーウォールでこっち側のNWに対する攻撃の防衛をやってみますかという感じ。というわけで、staticルーティングはドキュメントを見ながらがんばってくださいまし…という印象。ま、staticルーティングなんて、その辺のLinuxのディストリビューションでも実現できそうなことなんで、わざわざVyatta使うようなことでもないじゃんというのは確かにそうかも。

ただ、CUIで設定を行う場合、とりあえず設定を叩き込んで、commitするまでは、現状の設定との差分を表示してくれるので、割と設定しやすいような気がするし、ありえない設定(タイプミスとかのレベル)をしようとするとちゃんと叱ってくれるので、設定して再起動したら設定が間違ってて、あー(涙)みたいなこと(httpd.confでよくやるんですね、私は。近頃になって、syntax checkの技を覚えましたが)は少ないんじゃないかと思われ。

んで、今回の要件では、前述のとおり、Vyattaのファイヤーウォールでその下にぶら下がっているサーバ群に対するSSH Brute Forceとか防いじゃおうと思っていて、そういう意味ではファイヤーウォールの設定がキモかなぁと思っている。…でも、Linuxベースということは、ファイヤーウォールはiptablesそのものという印象。もし、Linuxのiptablesの設定をやったことがあれば、Vyattaのファイヤーウォールは造作なく設定できそうな気がする。ただ、「IN」とか「LOCAL」って概念はVyattaならではなのかなぁ、、、と思ったけれど、そこまでiptablesを極めてないので、誤解かも知れず。。。うーむ。あー。

一応、Vyatta Core 6.0を使ってドキュメントを眺め回しながら設定を書いてみたけれど、SSHへのアクセス頻度を制限することができたっぽい雰囲気。ま、割と簡単なんだろうなー。えーと、そういえば、Vyattaのドキュメントが英語なのは、生ぬるく笑ってわかったふりをするしかない世界かもしれず。

なんか雑な雑感だけど、とりあえず、雰囲気だけメモということで(笑)

そういえば、この前書いたエントリーで、Vyatta Core5では、e1000eが入ってなくてアレだなぁみたいなことを書いたけれど、Vyatta Core6を入れてみたら、普通にe1000eなドライバが入ってて、あー、何を心配してたんだかという感じ。とはいえ、HPの「NC110T」は、普通に認識されて使えてる感じなので、、、ま、いっか…と。