投稿

6月, 2020の投稿を表示しています

R7800 OpenWrt(hnyman ビルド)のファイアーウォールの初期設定

イメージ
OpenWrt は fw3 を使っている。fw3 では iptable を直接いじるのではなく、設定ファイル(/etc/config/firewall 等)から一連の iptable を生成して、それを netfilter に渡す。netfilter に渡される iptable 自体はかなり複雑でユーザーが直接いじれるものではなくなっている。従って、fw3 に渡す設定ファイルの方を扱うことを考えればよく、UCI や LuCI で CUI/GUI を通じて操作するのも、設定ファイルの方である。 デフォルト設定 config defaults option syn_flood '1' option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' グローバルに適用されるデフォルト設定(👉 Defaults)。通信のルーター自身への出入は許可し、通過は拒絶する。syn_flood プロテクションを on。lan ゾーン config zone option name 'lan' list network 'lan' option input 'ACCEPT' option output 'ACCEPT' option forward 'ACCEPT' lan のゾーン設定(👉 Zones)。lan 側インターフェース(lan)をこのゾーン(lan)に割り当て、全ての通信を許可。wan ゾーン config zone option name 'wan' list network 'wan' list network 'wan6' option input 'REJECT' option output 'ACCEPT' option forward 'REJECT' option masq '1' option m…

SyntaxHighlighter から Prism へ移行

プログラムのサンプルコードの表示用のツールを SyntaxHighlighter から Prism へ移行した。このサイト(www.scaredeer.com)は Blogger で運用しており、Blogger の記事・ページとして生成されるファイル以外に、自分で任意のファイルを置けず、当然、Prism 用のファイル(prism.css と prism.js)も設置できない。仕方ないので、DNS の設定でサブドメイン www2 の A レコードを追加して、別サーバー(nginx で運用)を用意し、そこに設置した Prism 用のファイルをこの Blogger から指し示すようにして運用している(👉 Blogger と独自ドメインの設定)。Blogger のテーマの HTML のカスタム箇所 <head> ... <link href='https://www2.scaredeer.com/prism/prism.css' rel='stylesheet'/> </head> <body> ... <script src='https://www2.scaredeer.com/prism/prism.js'></script> </body>

Favicon Generator

イメージ
Favicon Generator (realfavicongenerator.net) を使って SVG 画像から各種 favicon とそれ用の head 内記述用タグを自動生成できる。 今回は、Blogger サイト用の favicon を生成して、Blogger の外部サイト(www2.scaredeer.com)を用意してそこに各種の favicon データを置いてみた(👉 Blogger と独自ドメインの設定)。Blogger の favicon ガジェットを使うと、自動で 16x16 に圧縮された物凄く汚ないアイコン画像しか使えないからである。以下、Blogger のテーマの HTML を修正するわけだが、その場合の注意点:各タグが閉じられていないので、タグの最後の > の直前に / を入れて /> の形式にしておく必要がある。head 内記述用タグの挿入する位置は CSS 定義よりも前にした方が良い(自分はテーマ HTML の viewport 定義と title の間にした)。そうしないと、meta theme-color が反映されなかった。cf. This value is used by the user agent to draw the background color of a shortcut when the manifest is available before the stylesheet has loaded.生成される manifest のファイル名が web.manifest となっているが、これは json ファイルなので、manifest.json にファイル名を変更して Web サーバー側で .json ファイルとして適切に MIME が認識されるようにした。これに伴って、head 内記述用タグの manifest のリンク先も修正した。ついでに manifest の中のエントリーとして description の情報も補っておいた。head 内記述用タグmanifest.json { "name": "ししおどし", "short_name": "鹿威し", "description&q…

Aterm BL902HW のファイアーウォールの初期設定

イメージ
au ひかりマンション(VDSL タイプ)用の HGW である Aterm BL902HW について、初期状態でのファイアーウォールの設定について調べてみた。WAN 側インターフェース種別方向プロトコル送信元送信元ポート宛先宛先ポート優先度廃棄outUDPanyanyany137-1391廃棄outTCPanyanyany137-1392廃棄outUDPanyanyany4453廃棄outTCPanyanyany4454廃棄outTCPanyanyany20495廃棄outUDPanyanyany20496廃棄outTCPanyanyany12437廃棄outTCPanyanyany123458廃棄outTCPanyanyany273749廃棄outTCPanyanyany3178510廃棄outUDPanyanyany3178911廃棄outUDPanyanyany3179112廃棄inTCPanyanyany124313廃棄inTCPanyanyany1234514廃棄inTCPanyanyany2737415廃棄inTCPanyanyany3178516廃棄inUDPanyanyany3178917廃棄inUDPanyanyany3179118一見複雑なようだが、全て廃棄するルールで、送信元ポートは全て any であり、重複してエントリーされているものがあるので、宛先ポート毎にまとめて考えれば、かなり単純だと思う。独自に宛先ポート毎の表にしてみた:WAN 側インターフェース宛先ポート方向プロトコル備考137-139outTCP/UDPNetBIOS over TCP/IP (Windows)445outTCP/UDPDirect Hosting of SMB (Windows)2049outTCP/UDPNFS (UNIX)1243in/outTCPトロイの木馬12345in/outTCPトロイの木馬(NetBus)27374in/outTCPトロイの木馬(SubSeven)31785in/outTCPトロイの木馬(Hack'a'Tack)31789in/outUDPトロイの木馬(Hack'a'Tack)31791in/outUDPトロイの木馬(Hack'a'Tack)こうしてみると、ネットワークドライブ用のプ…

Blogger と独自ドメインの設定

イメージ
SEO の観点からすると、サブドメインを無闇に乱立させずむしろ一箇所に集約させた方が良いようなので、一箇所に統合することにした。従来blog.scaredeer.com(@blogger):ブログwww.scaredeer.com(@nginx サーバー):コンテンツはほぼトップページのみ統合後www.scaredeer.com(@blogger):ブログ+ページサブドメインなしの scaredeer.com は www.scaredeer.com にリダイレクトあれ、またプロトコル面でも、http を https にリダイレクトすることで、厳密に https://www.scaredeer.com へと集約した。Blogger での設定 カスタムドメイン:www.scaredeer.comカスタムドメインにリダイレクトする ✅HTTPS の使用 ✅HTTPS リダイレクト ✅DNS(ムームー DNS で)の設定Blogger でのサードパーティドメインの設定の過程において、DNS 側の一定の設定を行うことが求められる。自分は DNS そのものはあまり詳しくなく、ムームー DNS での設定しか実際に操作する機会がないので、下の設定で本当に良いのかはあまり自信がないが、大体こんなものだろうと思う:サブドメイン種別内容備考A216.239.32.21scaredeer.com 自体の IP アドレス(1/4)A216.239.34.21scaredeer.com 自体の IP アドレス(2/4)A216.239.36.21scaredeer.com 自体の IP アドレス(3/4)A216.239.38.21scaredeer.com 自体の IP アドレス(4/4)TXTgoogle-site-verification=●●●Google にドメインオーナーであることを示すwwwCNAMEghs.google.comwww.scaredeer.com → ghs.google.com●●●CNAMEgv-●●●.dv.googlehosted.com●●●.scaredeer.com → gv-●●●.dv.googlehosted.com●●●.sakura.ne.jpA●●●.●●●.●●●.●●●メールサーバーの IP アドレス
(この設定が適切なのか、必要なのか…

SEO for my.domain

3,000万ユーザーを集客した結果わかった、SEOに関する30の教訓固執するのはコンバージョンであり、ランキングではないSEOからのトラフィックを上昇させる最も簡単な方法は、他国への展開であるキーワードは、とても、とても、とても、とても重要だAMPページはより多くのSEOトラフィックを発生させるSEOはペイド広告ほどコンバージョンしないリマーケティングはSEOからのROIを発生させる、最善の方法の1つである過去のコンテンツのアップデートを怠らないタイトルタグの最適化を怠らないURLに日付は含めないポップアップの使用を恐れないブランドクエリはランキングに影響する有料リンクにお金を費やさないゲスト投稿は、リンクの構築ではなく、ブランド構築のために行う内部リンクを忘れるべからずGoogleが唯一の検索エンジンではないスピードは正義質は量を凌駕するコンテンツマーケティング以上にツールは効果的SEOに依存しすぎない人々はデータにリンクすることを好むインフォグラフィックの存在を忘れてはならないGoogleは重複コンテンツにペナルティを与えない車輪の再発明はしない一般的なドメイン名は使用しないブラックハットSEOから学ぶものもあるが、ダークサイドに足を踏み入れてはならない短いURLは長いURLよりも上位に表示されるリストのパワー足元をすくわれるな最高のSEOのアドバイスはカンファレンスで得られる学ぶ姿勢を止めない1. 固執するのはコンバージョンであり、ランキングではない至極もっともな正論だが、そもそもサイトの存在が知られてもいないレベルの段階の my.domain においては考えても仕方がない。ただし、crazyegg というツールは面白そうだ。2. SEOからのトラフィックを上昇させる最も簡単な方法は、他国への展開である外国人向けの業務は元々想定していたので、そのことと併せても英語サイトの展開は積極的にしても良さそうである。3. キーワードは、とても、とても、とても、とても重要だUbersuggest で競合サイトに対抗するためのキーワードを探る。4. AMPページはより多くのSEOトラフィックを発生させる重いページを運用するわけではないので、現状で特に気にする必要はない。6. リマーケティングはSEOからのROIを発生させる、最善の方法の1つである商品販売による広告利益…

Netgear R7800 の OpenWrt 化

イメージ
最新の OpenWrt R7800 用ファームウェア(hnyman ビルド)のインストールNetGear R7800 は一部のハードウェアチップ用ドライバーが非公開のためサポートされていないもの(ハードウェア NAT 機能)もあるが、全体としては Linux カーネルの更新に追従し続けているため、発売当時の OpenWrt ベースのままである純正 OEM ファームウェアよりもはるかに良くなっている(👉 Some notes on the current support in OpenWrt)このルーターは 2016 年末頃から OpenWrt コミュニティによってサポートされ続けており、既に十分に安定化しているので、迷わず OpenWrt 化することを決意した。特に、R7800 についてはコミュニティの中心的人物である hnyman 氏がコミュニティビルドを用意しており、絶大な支持を集めているので、その通称 hnyman ビルドの stable 版を用いた。OEM 版からの GUI のファームウェア更新機能を利用してファームウェアを乗せ換えるので、使ったのは *-factory.img である(*-sysupgrade.bin は OpenWrt 化済の場合に OpenWrt の GUI からアップデートする場合に使うもの)。もちろん、TFTP から *-factory.img を書き込むことも可能(反対に純正 OEM 版に戻す場合も TFTP から R7800-V1.0.2.68.img を書き戻せばよい)。 ちなみに、コミュニティで hnyman 氏らが慎重に検証していたが、OpenWrt 化に先立って予め、何らかの失敗に備えるために純正版の mtd をバックアップしておくような作業をする必要はない。OEM 版ファームウェアを書き戻す際に、付随する設定値を格納するパーティションも初期化されて復活するようになっているようである。そういう意味でやはり Netgear はカスタムファームウェアに対しては非常に寛容で好感の持てるメーカーであり、チップのドライバーの公開・非公開次第では OpenWrt フレンドリーな製品となりやすいブランドだと思う。Wi-Fi 設定の初期化👉 OpenWrt での Wi-Fi 設定(OpenWrt 一般)SSH の認証用公開鍵の登録?…

ゲートウェイルーターの置き換え

イメージ
従来の状況1 年 4 ヶ月前の記事『実家ネットワークの再構築』の続編にあたる。実家のネットワーク構成において、回線会社から貸与されているホームゲートウェイ(192.168.0.1)直下のネットワーク(192.168.0.0/24)を DMZ と命名し、そこに接続した別のルーター(192.168.0.254)を GateKeeper と命名して、さらのこの GateKeeper(192.168.1.1)の配下のネットワーク(192.168.1.0/24)を実際の家庭内 LAN として構成するデザインで運用している。 これまで、GateKeeper として単なる Wi-Fi ブリッジ兼用ルーター用途程度の性能しかない廉価な NEC Aterm WG1200HP を Floor A に配置してきた。このほど、OpenWrt 化用に最適な高性能機種としてかなり以前から候補にしていた Netgear R7800 がとうとう中古で入手できたので、これを OpenWrt 化した上で、この WG1200HP をリプレースし、さらに、Floor B 用の Wi-Fi アクセスポイントとして使っていた OpenWrt 化済 Buffalo WZR-HP-AG300H(IEEE 802.11ac 非対応)に担わせていた OpenVPN サーバーと DHCP サーバーの役割も新しい GateKeeper(OpenWrt 化 R7800)に担わせ、この WZR-HP-AG300H は退役、代わりに Floor B 用の純粋な (IEEE 802.11ac 対応の)Wi-Fi アクセスポイントとして WG1200HP に置換したいと思う。予定のネットワーク構成図 現状のスピードテスト

アドレス帳データの iOS (iCloud) から Android (Google コンタクト) への移行

最近、楽天モバイルに乗り換え、スマートフォンの環境を徐々に iOS から Android に再び移行しつつある。逆の方向の移行の場合も似たようなものだが、アドレス帳については、基本的に、vCard 形式のデータでエクスポート&インポートができるので、特に難しくはない。今回は、Mac 上で、連絡先アプリ(iCloud)から vCard をエクスポートし、Web で Google アカウントの Google コンタクトを開いて、インポート作業を行った。Web の Google コンタクトでインポートする際に、vCard の拡張子を .vcf にしていないと、読み込めるファイルとして認識されなかった。個別のアドレスデータは特に問題なくエクスポート&インポートできるが、グルーピング・タグ付けは、それぞれのアドレス帳アプリが行っていることなので、そこは改めてやり直す必要がある。Google コンタクトインポート直後は、インポートの「月日」の名前を付けられたタグにまとめられている。そこから自分でタグを仕分けする。少なくとも Web の Google コンタクトでは、デフォルトでは「名姓」の順番で表記されるので、設定で「姓名」に変更する必要があった。Web の Google コンタクトを変更すれば、そのまま同じ Google アカウントに紐付いた Android のアドレス帳に反映されている。