星期四, 12月 29, 2011

unbound 在多個 IP address 的環境下需要另外設定確保 DNS reply 是正確的

unbound 當 DNS resolver 算是還不錯的選擇,不需要設太多複雜的功能。不過這兩天又踩到雷,記錄下來以免之後又爆炸...

遇到的問題是,在 unbounad server 上同一個網路卡上設兩個 IP (這邊舉例為 10.1.1.1 與 10.2.1.1 好了),然後 interface 的部份設 0.0.0.0,不能保證發給 10.2.1.1 的 DNS 查詢會使用 10.2.1.1 的 IP 回答。

unbound.conf.sample 內有提到:

# enable this feature to copy the source address of queries to reply.
# Socket options are not supported on all platforms. experimental.
# interface-automatic: no

實驗性質?XD 還是得開啊...

星期三, 12月 28, 2011

FreeBSD awk 不夠亂...

FreeBSDawk 產生出來每次都是一樣的數字,結果中招...

可以執行下面這段 code測試:

repeat 10 awk 'BEGIN{srand(); print rand();}'
目前沒想到好方法解決,用 openssl rand 產生亂數似乎是個方法...

Cisco ASA 的 site-to-site VPN 的 acl 必須對稱

Cisco ASA 的 site-to-site VPN 必須設定對稱的 access-list (acl),不然就會出現「[Technical] - “Flow is denied by configured rule” message with ASA packet-tracer and traffic being dropped at the VPN phase.」這篇提到的問題。

拜這個問題所賜,ASA 上的 packet-tracercapture 這兩個指令用的比較熟了 \_/

星期一, 12月 26, 2011

FreeBSD 的 /etc/rc.conf...

之前我都是把 ports 安裝軟體的啟動設定 (也就是 XXX_enable="YES"XXX_flags="..." 這些設定) 用 pkg-install 與 pkg-deinstall 去 /etc/rc.conf.local 處理裡面的設定 (就是 ports-mgmt/portconf 對於 /etc/make.conf 的方法)。

星期天下午無意間看 /etc/rc.subr 時看到 /etc/rc.conf.d/"{$_name}" 的設計,看起來之後可以放到 /etc/rc.conf.d/ 下面,直接用 pkg-plist 處理掉就好,整個架構會再簡化一些...

7.4-RELEASE 與 8.2-RELEASE 的 /etc/rc.subr 都有包括這段 code,不確定其他的版本如何...