From owner-freebsd-users-jp@freebsd.org Tue Jul 19 12:38:55 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 48EEAB9DBFD for ; Tue, 19 Jul 2016 12:38:55 +0000 (UTC) (envelope-from mojimoji528@yahoo.co.jp) Received: from nh605-vm13.bullet.mail.ssk.yahoo.co.jp (nh605-vm13.bullet.mail.ssk.yahoo.co.jp [182.22.90.86]) by mx1.freebsd.org (Postfix) with SMTP id D18201D82 for ; Tue, 19 Jul 2016 12:38:54 +0000 (UTC) (envelope-from mojimoji528@yahoo.co.jp) Received: from [182.22.66.106] by nh605.bullet.mail.ssk.yahoo.co.jp with NNFMP; 19 Jul 2016 12:36:39 -0000 Received: from [182.22.91.133] by t604.bullet.mail.ssk.yahoo.co.jp with NNFMP; 19 Jul 2016 12:36:39 -0000 Received: from [127.0.0.1] by omp606.mail.ssk.yahoo.co.jp with NNFMP; 19 Jul 2016 12:36:39 -0000 X-Yahoo-Newman-Property: ymail-3 X-Yahoo-Newman-Id: 301350.71770.bm@omp606.mail.ssk.yahoo.co.jp Received: (qmail 65290 invoked by alias); 19 Jul 2016 12:36:39 -0000 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.co.jp; s=yj20110701; t=1468931799; bh=Mz2twC07FbOkuejFM8v+WOZuZz0JQLrKzj5DEPwkSgg=; h=Received:X-YMail-JAS:X-Apparently-From:X-YMail-OSG:Date:From:To:Subject:In-Reply-To:References:Message-Id:MIME-Version:Content-Type:Content-Transfer-Encoding:X-Mailer; b=IHpxlr6ZGOip4Vr0viMlRJy2tn29xYoRpSY/qtPUcCritrhUMfc5MTJkOdDIdQNH399y2BwdmUtB4/mv24dzXq/h5EB076DQSFlB2tixIxMcvJDCeHpQhfZlWfU5hh85lv+0bkel9Z6+ByFl3z/2I8QG/Nl0ixZi7nT3Nw6fTdA= DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=yj20110701; d=yahoo.co.jp; h=Received:X-YMail-JAS:X-Apparently-From:X-YMail-OSG:Date:From:To:Subject:In-Reply-To:References:Message-Id:MIME-Version:Content-Type:Content-Transfer-Encoding:X-Mailer; b=ckXQIaSVItkdkMaw0HrUjcc5GQQxe8XdPu5qL2ksQ9tGDPOeyOhOq++Y0C+Amcg+jOOi0n3bW+M/tnTs1yBkhbm4nmEz6Bde2/ohTDDK1byPUilkP1Xn7oHSpS3GJ8zy0W+ojc2+jyPsb3XU/DV6FptTF1cmJeWHAlj+1H1XOc8= ; Received: from unknown (HELO ?192.168.10.100?) (27.96.59.130 with login) by smtp525.mail.kks.yahoo.co.jp with SMTP; 19 Jul 2016 12:36:38 -0000 X-YMail-JAS: AylYdigVM1mfA49zDuG7JPKfld6RpWa0lK2HCXMfPDNF9dbCuFkW..x7u2RIcgZ1gQks_yV5VOmdDEoFKUaDEV0IMubtXsyQw1UHXbRPWUEWXYk2.JvMTBT9fktVzbq91g-- X-Apparently-From: X-YMail-OSG: 38e77pIVM1npq6Wo5b9fylMVr8h9WfiBohrZmG.dbcvChOK A2JP3ESHE72yi5nQfCn5BoSAfA6ngJ9usD2.8M5wHHlpN8S_gRewBM8JGId0 dQFCWcp64mzD2vnnYTXZFmhpSU6ZjxNzZMuyDkdU5r.g4xngkJwv8avnTM6N BdqN4EgaJZuJ020cPIw6bMKZDS25sjXYci5WTHDhvNSnXDmcqAfRrKyPoymj o3FX04S2e75iVE0QZ.c690AMstcf0dDmKBR.2mFzG4S3mdlJKuBtCh21n2ux ZOlRjb9KsL8LUZdDwiBQsRae6QGFQsZdJXO..xyXQfuiqK8NZGKOHaDOwFr2 QT75RR6fGxdVYmOYF8asrThkj.ve_SyeqTcfmLIZ.J4pHkaRXcNYF5AHmrNB kdPMcD0wJSBklsmgHV50MxiubmxviNiu77CMCeHKP_lRECnoXMEq8WU1YKtY 7QKkFkN.TtfZJC._YY1.NKbI_Xzdoce9i6H8cxb3vpr.ZDIYMvxzDWdzbiN2 2_AJm.Jr_Ut2lhvJNaz8ATKifaA-- Date: Tue, 19 Jul 2016 21:36:38 +0900 From: =?ISO-2022-JP?B?GyRCJGIkOCRiJDgbKEI=?= To: freebsd-users-jp@freebsd.org In-Reply-To: <20160719132733.0CC1.60E52F2C@yahoo.co.jp> References: <20160710190915.8f6f2e783968776faf70d8e4@dec.sakura.ne.jp> <20160719132733.0CC1.60E52F2C@yahoo.co.jp> Message-Id: <20160719213637.0CC8.60E52F2C@yahoo.co.jp> MIME-Version: 1.0 Content-Type: text/plain; charset="ISO-2022-JP" Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver. 2.72.01 [ja] Subject: [FreeBSD-users-jp 95887] Re: =?iso-2022-jp?b?bmV0IGJvb3QgJiBkaXNrbGVzcyAmIGlwZncgPSA=?= =?iso-2022-jp?b?GyRCJVUlaiE8JTohKRsoQg==?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 19 Jul 2016 12:38:55 -0000 もじもじです。 mfs で /tmp /var をマウントしてやってみましたが、ダメで した。 もしかしたら、別の根本的な問題なのかもしれません。 なんせ、ipfw disable の状態で /var /tmp を mfs で起動。 その後、/etc/rc.d/ipfw start でスタート。 type は open。 これで、刺さります。 ログが無いのでさっぱり何が起こってるかわかりません。 もちろん、コンソールも刺さります(^^; 電源断で再起動しか手が無くなります。 まだまだ、解析には時間がかかりそうです。 また、何か分かったらご報告しますが、もしかしたら、このサー バを捨てて、新しく立ち上げるかもです。 気持ち悪いけど、生産性考えると・・・(^^; それにしても、厄介だなぁ。。。。 Tue, 19 Jul 2016 13:27:35 +0900 に、 もじもじ さんは書きました: > もじもじです。 > > 皆様、考察ありがとうございます。 > お返事遅くなり申し訳ございませんでした。 > > 下記内容についてですが、/var /tmp どちらも nfs マウント > です。これが問題になりますか。 > やっぱり、ipfw と mount の利権争い何でしょうかね・・・ > > サービスマシンでしたが、とりあえず、サービスを停止する > 事でしのいでいます。 > > ちょっと、mfs にて試してみます。 > > また、ご報告致します。 > > Sun, 10 Jul 2016 19:09:15 +0900 に、 > Tomoaki AOKI さんは書きました: > > > もじもじ様・川崎様 > > > > 青木@名古屋です。 未だ誰からもツッコミが入りませんので...。 > > > > On Tue, 05 Jul 2016 09:42:17 +0900 (JST) > > moto kawasaki wrote: > > > > > > > > 川崎です。こんにちは。 > > > > > > on Mon, 4 Jul 2016 23:08:41 +0900, "IIJIMA Hiromitsu" wrote: > > > > > > delmonta> いいじま@二度目の大学生です。 > > > delmonta> > > > delmonta> > ただ、 > > > delmonta> > ・ネットブート > > > delmonta> > ・ディスクレス > > > delmonta> > です。 > > > delmonta> > DHCP サーバから、pxeboot のエントリ貰って、そこからカー > > > delmonta> > ネルをロードしています。 > > > delmonta> > その後、ipfw + "open" で固まります・・・・ > > > delmonta> > タイミング的に、NFS のマウント後に ipfw で close->open > > > delmonta> > の隙間に、ログが書き込めなくてガッチリホールド、とかあり > > > delmonta> > 得るんでしょうか? > > > delmonta> > ctl+alt+del すら効かなくなります・・・・ > > > delmonta> > > > delmonta> 素人考えですが、ipfwがNFSのパケットを遮断してしまって、起動前にこなす > > > delmonta> ひとになっているwrite()システムコールをインターバルなしで永久に繰り > > > delmonta> 返そうとしている、とか? > > > delmonta> 仮想マシンをその場所に設置して、CPU負荷を見てみたいところです。 > > > > > > きっとこれですよね。 > > > > > > /boot/loader.conf に net.inet.ip.fw.default_to_accept=0 と書く(*)か、 > > > または、 https://www.freebsd.org/doc/handbook/firewalls-ipfw.html > > > にあるような options を入れて再コンパイルしてますか?(特に > > > IPFIREWALL_DEFAULT_TO_ACCEPT) > > > > > > /etc/rc.conf に firewall_type="OPEN" と書くと、nat 回りの設定があれば > > > それはやるけど他のルールは一切入れないようなので、ipfw の default の全 > > > パケット拒否が有効になっているような気がします。 > > > > > > (*) man ipfw の LOADER TUNABLES 参照 > > > > stable/10とstable/11だと、/etc/rc.firewallの189〓192行めで > > 全通にするルールが設定されていますよ。 具体的な設定部分は > > > >  ${fwcmd} add 65000 pass all from any to any > > > > になっています。 > > > > それよりも気になるのが、PXEブート等のネットワークブートは未経験のため > > 仕組みを理解していませんが、ローカルの起動と同様なら > >  ローダの読み込み > >  →少なくとも/bootだけは存在する起動用パーティション読み込み > >  →/boot/loader.confの設定(又はデフォルト)に従ってtunable設定 > >  →同様にカーネルとモジュールを読み込み > >  →同様に/をリマウント > >  →リマウントされた/(以下同じ)の/sbin/initを起動 > >  →initからrcを実行し、そこからrc.conf等の処理を起動 > >  →rc.conf等の指定に従って/etc/rc.firewall等の処理を起動 > > という流れになります。 ネットワークブートの場合に/のリマウントが > > 無いのであれば、最低限起動に必要なディレクトリはPXEで読み込まれる > > パーティションに揃っていないとアウトという気がします。 > > > > また、/etc/rc.d/でipfwからREQUIREされるものを目視で辿っていっても > > mountcritremoteにたどり着きません。 NFS関連はこのmountcritremoteで > > 処理されるため、ipfw関連の処理でNFSシェアへのアクセスが必要になった > > 瞬間にアウトになりそうです。(見落としていたら申し訳ありません) > > > > そこでもうひとつ気になるのが、/tmpや/varがどうなっているかです。 > > ネットワークブートの場合、起動用イメージは(セキュリティや管理上) > > readonlyの運用が基本と推測しますが、下記はどうなっていますか? > > > >  ・/tmpはmfsになっているか(下記のいずれか) > >    ・rc.confでtmpmfs="YES"になっている > >    ・上記未設定のままでfstabやZFSデータセットで/tmpが設定されて > >     いない > > > >  ・/varはmfsになっているか(下記のいずれか) > >    ・rc.confでvarmfs="YES"になっている > >    ・上記未設定のままでfstabやZFSデータセットで/varが設定されて > >     いない > > > > もし/tmpや/varがNFSシェアに設定されているとipfw絡みのログ等を書き込もう > > とした時点でマウントが完了していないとアウトですが、/tmpや/varの中身が > > 再起動時に消失して問題なければ、tmpmfsやvarmfsの使用を考慮する価値が > > あるかと。 設定については/etc/defaults/rc.confを参照して下さい。 > > > >  ※/var/db等、ipfwの起動時点で不要かつ消失しては困る(他サービスの > >   起動時に参照したい)個別のディレクトリについてはfstabでNFSマウント > >   する、/var/logは極力syslogサーバを立ててそちらに飛ばしつつ、飛ばせ > >   ないものは何らかの手段でNFSシェアに一方通行で同期するようにせざるを > >   得ませんが...。 > > > > > > > > -- > > > moto kawasaki > > > > > > _______________________________________________ > > > freebsd-users-jp@freebsd.org mailing list > > > https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp > > > To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" > > > > > > > > > -- > > 青木 知明 [Tomoaki AOKI] > > junchoon@dec.sakura.ne.jp > > _______________________________________________ > > freebsd-users-jp@freebsd.org mailing list > > https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp > > To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" > > -- > もじもじ > > _______________________________________________ > freebsd-users-jp@freebsd.org mailing list > https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp > To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" -- もじもじ