メッセージ欄
2007年7月の日記
▼ [spam] 国別DNSBL with rbldnsd
以前、特定の国からのメールをすべて拒否で、Postfix のみに利用できる方法を解説したが、他のソフト (Apache + mod_access_rbl や CGIプログラムなど) から利用可能にするには、DNSBLとして利用できる形態が望ましい。(DNSBLについては、Apache 1.3 + mod_access_rbl を参照。)
DNSBLの運用にBINDを利用することも可能ではあるが、ある程度規模があるDNSBLを運用する場合には設定ファイルの再読み込みに時間がかかるなどの問題があるため、ここでは rbldnsd を利用する方法を解説する。
導入するべきソフト
- dns/rbldnsd
方針
rbldnsdは 127.0.0.1:10053 で待ち受けする。BINDは特定のゾーン (rbldnsd.local) のクエリのみ rbldnsd を参照する。
+------+ +---------+
query -->| *.53 | --> | L:10053 |
| BIND | | rbldnsd |
+------+ +---------+
設定方法
- 設定ファイルの作成・修正
# mkdir /usr/local/etc/rbldnsd # cd /usr/local/etc/rbldnsd # vi rbldnsd.rbl # vi /etc/namedb/named.conf # vi /etc/rc.conf # /usr/local/etc/rc.d/rbldnsd.sh start
rbldnsd.rbl の記載内容は以下の通り (実際のデータの一部):$DATASET ip4set:ad ad :127.0.0.1:Andorra 194.158.64.0-194.158.95.255 85.94.160.0-85.94.191.255 91.187.64.0-91.187.95.255 $DATASET ip4set:ae ae :127.0.0.1:United Arab Emirates 194.170.0.0-194.170.255.255 195.229.0.0-195.229.255.255 213.132.32.0-213.132.63.255
named.confの追加内容は以下の通り:zone "rbldnsd.local" { type forward; forward first; forwarders { 127.0.0.1 port 10053; }; };rc.confの追加内容は以下の通り:rbldnsd_enable="YES" rbldnsd_flags="-u bind:bind -r /usr/local/etc/rbldnsd -b 127.0.0.1/10053 -c 0 rbldnsd.net:combined:rbldnsd.rbl"
- 194.158.64.0 は Andorra に割り当てられたアドレスなので、"ad.rbldnsd.local" にはレコードが存在し、"jp.rbldnsd.local" には存在しないことを確認する。
% host 0.64.158.194.ad.rbldnsd.local 0.64.158.194.ad.rbldnsd.local has address 127.0.0.1 % host -t txt 0.64.158.194.ad.rbldnsd.local 0.64.158.194.ad.rbldnsd.local descriptive text "Andorra" % host 0.64.158.194.jp.rbldnsd.local Host 0.64.158.194.jp.rbldnsd.local not found: 3(NXDOMAIN)
- 外部からの利用を許したくない場合、ゾーン設定に
allow-queryを追加すればよい。(以下の例は127.0.0.1, 192.168.1.0/24 のみを許可する場合。)allow-query { 127.0.0.1; 192.168.1.0/24; }; - 必要に応じて Apache や Postfix などの設定を行う。
とりあえず、試験的に countrycode.dnsacl.net を立ち上げてみた。たとえば、kr.dnsacl.net は韓国のアドレスをブロックするDNSBLになっている。("acl" は access control list; ホワイトリストにも利用できるため。)
▼ [Apache] 画像への直接リンクを防ぐ (補足)
画像への直接リンクを防ぐ (2007/07/23) の補足。
RFC 2616 で Referer: は以下の通り定義されており、絶対URIの他、相対URIを含めることも許されている。
Referer = "Referer" ":" ( absoluteURI | relativeURI )RFC 2616: Hypertext Transfer Protocol (HTTP/1.1), 14.36 Referer
したがって、
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://www\.example\.jp/ [NC]
RewriteCond %{REQUEST_URI} !^/tmp/eroero\.gif$
RewriteRule \.(jpg|png|gif)$ http://www.example.jp/tmp/eroero.gif [R,NC]
は、下記の通りとするべきである。
RewriteCond %{HTTP_REFERER} ^http://
RewriteCond %{HTTP_REFERER} !^http://www\.example\.jp/ [NC]
RewriteCond %{REQUEST_URI} !^/tmp/eroero\.gif$
RewriteRule \.(jpg|png|gif)$ http://www.example.jp/tmp/eroero.gif [R,NC]
なお、(アンチウイルスソフトによっては) Referer: に blocked by XXXX とかいう訳のわからん文字列を突っ込んできます
との指摘があったが、今回の修正で救われる。とはいえ、これはRFCに違反するそのベンダと利用者の責任であるため、積極的に救う必要は無いだろう。
▼ [未分類] 外国人参政権
でも、在日3世の僕には選挙権が無い。両親も自分も名古屋育ち。日常生活は日本語。日本人とほとんど同じ生活をしている。在日は今では4世までいて、ずっと日本人と一緒に暮らしてきた。戦後の日本復旧を一緒に支えてきたという面もあると思うし、そろそろ信頼して参政権を与えて欲しい。 "今でも遠い参政権", 金原 大志, 2007/07/27 朝日新聞朝刊 "私もひとこと 07参院選"
そもそも参政権というものは、国民のみが持つ重要な権利である。参政権を望むのであれば、帰化して日本国籍を取得すれば良いのだ。韓国人として "日本" という運命共同体の外から国政へ関わりたいというのは、我侭でしかない。自国民と外国人は対等ではないのは当然のことで、これは "差別" ではなく "区別" である。
なお、帰化申請全体の数%程度は不許可となるが、帰化の判断は各国がそれぞれ自由に決定するものなのでこれは諦めてもらうしかないだろう。もっとも、今回のようなケースで不許可になることはまず無いと思うが。
▼ [Perl] バックトレース付きで死ぬ方法
Javaのようにバックトレース付きで死ぬ方法。
# confess.pl
use Carp qw[confess];
require "confess2.pl";
foo();
sub foo { bar() }
# confess2.pl
sub bar { baz() }
sub baz { zot() }
sub zot { confess "moe" }
1;
実行結果:
% perl confess.pl
moe at confess2.pl line 3
main::zot() called at confess2.pl line 2
main::baz() called at confess2.pl line 1
main::bar() called at confess.pl line 4
main::foo() called at confess.pl line 3
平田 泰行
HIRATA Yasuyuki
http://yasu.asuka.net/
<yasu@REMOVE-THIS-PART.asuka.net>
Mixi: 905
Twitter: hirata_yasuyuki
RSSDB time : 1.9 ms
Apache : prefork
Runtime : mod_perl
RDBMS : pseudo DB