月: 2006年12月

Cisco PIX/ASA で NAT 変換を行わない設定

ソフトウェアバージョン 7.0 より NAT が不要の場合は nat, static 等のコマンドを全く書く必要がなくなりました。6.x 台では NAT を使わない時でも NAT 関連のコマンドを設定しなければならず、例えば、 

(inside -> outside 用)
nat (inside) 0 10.0.0.0 255.0.0.0
(outside -> inside 用)
static (inside,outside) 10.0.0.0 10.0.0.0 netmask 255.0.0.0

のようなコマンドを設定しておかなければなりませんでした。何でこんな設定を入れなければならないのー、と思っていましたが、これが 7.0 より全く不要になります。

もし、昔の挙動との互換性のために、通信を通すには NAT ルールが必須としたいのであれば、 

nat-control

と入力します。すると NAT を使わないときも 6.x 台と同様のルールが必要になります。互換性以外にこれを設定する理由はないでしょうね。

2007.9.13 追記
「互換性以外にこれを設定する理由はないでしょうね」と書きましたが、site-to-site VPN の設定で余計なトラフィックを遮断する時は nat-control を入力して済ませた方が楽かも知れません。この記事のコメントを書いていて気づきました。

読書感想「ウェブ人間論」

正直ボリューム不足のように思います。「そうだねー」と思うことはあっても、ウェブ進化論の時のような「そうだったのかー」という感動はなかったです。

梅田氏は世の中全体からみるとネットはこの位の位置にいて…、というような大局的なコメントが多く、Web 進化論の時の google に関しての記述から比べるとと冷めた感じを受けます。それは別に言っていることが変わったわけでなく、話の対象を google 個として設定するか、ネットの世界に設定するか世の中全体として設定するかの違いなのですが、バランスの取れた発言が逆につまらなく感じてしまいます。

私はどちらかというと平野氏の提起する、全体を変えて行くための個人の行動、のような問題を詰めて論じていった方が面白いように思うのです。梅田氏の「匿名でできることは限られている」だとか「個がサバイブ」という話はその通りだと思うのですが、そこまでで話が終わってしまうとつまらないと思います。多分現時点ではネット社会の動く原理が思ったよりも単純なのでバランスの取れた眼で見ると意外とインパクトのある言葉が出て来ないということかも知れません。

いろいろな話題を扱っているのも広く浅くという印象。著者サイドからすると議論のネタの提供ということなのかも知れませんが、このような議論はちょうど自分と同じレベルで物事を見てくれる相手がいないとなかなか発展しないですね。ネット上にいられる時間の限られる会社勤めの身としては Web 上での議論にあまり積極的になれないのが正直なところです。

グランプリサーキット 30 の使用

先日購入したミニッツグランプリサーキット 30 が届きました。送料 \1,790也。ダンボールの大きさは約 65cm(W) × 65cm(D) × 50cm(H) で、2人がけのソファに載せてみるとこんな感じです。

ちなみにお店の人の話では「グランプリサーキット 50」になるとこの大きさの箱が2つ届くそうです…

さて届いて最初の週末が来たのでさっそく組み立てました。開梱するとまず大量の「ジョイント」が袋詰めされているのが目に入ります。

更にそれと仕切りを取り除くと大量の「コースマット」&「フェンス」が出てきます。コースマットは表と裏で表面処理の違いによりグリップが異なります。私は粗い面(=高グリップ)を使いました。

初回の組み立てはコースマットとフェンスをジョイントで留めながら組み立てていかなければなりません。

役に立っているのか邪魔しているのかわからないような3歳の息子と組み立てて1時間強かかりました。

走らせてみると、ヘタレなのですぐにはスムーズな周回をこなすというわけに行かないのですが、やはり安定したサーフェイスのコースを走るのは練習になります。ただストイックに1人でひたすら練習&チューニングを続けていてもなかなか辛いので、一緒に走る相手が欲しいところです。しばらくすれば息子が遊んでくれるのでしょうか。

さて走り終わった後の片付けですが、さすがに1度組んでしまうとジョイントをはずす気にはならないので、4マット単位程度でコースを分割し箱に詰めることになります。ですので2回目以降は短時間で組み立てができるでしょう。しかし、隙間が増える分、箱に入りきらないマットがでてしまいます。できるだけ次回組み立て易くできるだけ多くのマットを入れるには試行錯誤が必要なようです。

コースのサイズはメーカーホームページ等に情報があるので誰でも考えると思いますが、ダンボール箱の大きさとそれをどこに置いておくのかも考えてから購入する必要があります。それさえクリアできれば満足度は高いのではないでしょうか。「欲しい!」と思った人はスペースを確保してぜひ購入してみてください。

FC2 ブログパーマネントリンクを考慮したリストア用ツール

FC2 ブログバックアップファイルにパーマネントリンクを保持するためのダミー記事を挿入するスクリプトプログラムを perl で書きました。これは記事番号が歯抜けになっている時に使用するためのものです。簡単なものですが、誰もやっていないようなので公開します

使い方は以下の通りです。

用意するもの:
プログラムファイル (backup.pl という名前でダウンロードしましょう)、sitemaps.xml とバックアップファイル (仮に "fc2blog_all.txt" とします)

実行方法:
これら3つのファイルを同じディレクトリに置いて、コマンドラインでそのディレクトリに移動し、 

perl backup.pl fc2blog_all.txt > newbackup.txt

と実行するとダミー記事の入った newbackup.txt が生成されます。

  • バックアップファイル中のエントリは番号の昇順に並んでいると想定しています。(全記事をバックアップすれば昇順に並ぶようです。)
  • 記事の時刻をキーに sitemaps.xml 中の記事番号とバックアップファイル中のエントリをマッチングさせているため、同時刻に複数エントリがあるとうまく動きません。時刻は秒も含むので普通に書いていればまず大丈夫だとは思います。
  • ダミー記事は以下の内容になります。気に入らない人は自分でプログラムを直しましょう。
    • タイトルは「DUMMY (n)」、ここで n は抜けていた記事番号。
    • 作成時刻は 2000年 1月 1日 0時 0分 0秒
  • sitemaps.xml については、こちらの説明をご覧ください。このブログならば https://hetarena.com/sitemaps.xml の内容を保存します。当然各自のブログ URL に置き換えてバックアップファイルと同じタイミングで取得したものを使用しなければなりません。

なお、テストは行いましたが、プログラムの不測の動作により問題が生じても責任は負えません。悪しからず。perl は万年初級です。

「perl って何?」という人は… どうしましょう?

参考エントリ

2006.12.27 追記:

  1. 世の中にはタグを取り除いてただのテキストファイルとして XML ファイルを保存してしまうブラウザが存在するようです。これについては簡単な取得用 perl スクリプトを書きました。プログラム中の sitemaps.xml の URL をご自分のものに変えて以下のように実行してください。proxy が必要な環境では "$ua->proxy"… の行を有効にしてプロキシサーバ名とポート番号をご自分の環境に合わせてください。 
    perl httpget.pl > sitemaps.xml

    実は使っているライブラリが perl の標準なのかよくわかっていないのですが、Linux 上の perl v5.8.8 や Windows 上の ActivePerl 5.8.7 では特にモジュールの追加なく動きました。

  2. sitemaps.xml には下書きのエントリが含まれないため、バックアップ中に下書きデータが含まれる場合は不整合が起こります。手で sitemaps.xml に項目を追加するなりして対処してください。
  3. "-------------------------------" のような内容が記事に含まれても問題ないようプログラムを修正しました。直したのは以下の部分のみです。 
    -$/ = "--------\n";
+$/ = "\n--------\n";

2006.12.28 追記:

プログラムを修正しました。修正点は以下の通りです。

  1. 下書き記事が含まれていてもエラーとならないようにしました。ただし、sitemaps.xml に下書き記事の情報は含まれないため、直前の公開記事の番号の続きが使われます。従って下書き記事の直前の記事が削除されているときはその下書き記事の番号が変化します。
  2. ダミー記事のステータスを「下書き」に変更しました。怪しいダミー記事が見えても仕方ないですものね。

テストはしていますが、元のバックアップファイルも必ず保管しておきましょう。

また昨日の “-----—” の扱いの件ですが、「問題ないように」とは「このプログラムでエラーとならないように」という意味です。特に変換処理をしているわけではないので、FC2 のインポートツールの動作ではそのままリストアできないと思われます。

おっと、この記事のリストアができないではないか…

「Adobe Photoshop Elements 5.0 plus Adobe Premiere Elements 3.0」を購入

さて、体験版を試していた Adobe Premiere Elements ですが、正式版の購入に踏み切ることにしました。まだ体験版の利用期間はしばらく残っているのですが、書き出した DVD を再生してみると体験版では右上に思いっきりアドビのロゴが入るので、とっとと正規ライセンスを買ってしまおうということになりました。

結局、パッケージは “Adobe Photoshop Elements 5.0 plus Adobe Premiere Elements 3.0” のアップグレード版を購入しました。ポイントを考慮したとしても量販店で買うより amazon の方が安かったので amazon で購入しました。価格は \13,180 (税込) でした。kakaku.com で見ても現在最安値ですね。

Premiere Elements 単体のアップグレード版を購入することも検討したのですが、Premiere Elements 3.0 と連携できる Photoshop Elements のバージョンは 5.0 のみなので、結局 Photoshop Elements もアップグレードすることにしました。今年1月に Photoshop Elements 4.0 にアップグレードしたばかりなので年2回もアップグレードすることになってしまいました。今後しばらくは今回購入のバージョンを使い続けたいのですがどうなるでしょうか…

ちなみに IEEE 1394 インターフェイスは I・O DATA 1394-PCI3/DV8 を購入しました。1394-PCI3 との差額を考えるとケーブル&ソフトがついていてこの程度の差ならばお得だと思います。デジタルビデオ編集ソフトのライセンスがあれば安価な「乗り換え版」の購入ができるようになるメーカーは多いので、ケーブルだけでなくソフトウェアにも価値を見い出す人は多いのではないでしょうか? こちらも amazon で売っているので合わせて紹介しておきます。

届いた箱を開けてみるとインストールメディアは Photoshop Elements と Premiere Elements で別々になっています。Premiere Elements の方は DVD-ROM になっていて一瞬「アレ?」と思いましたが、よく考えれば Premiere Elements を使う場合は DVD ドライブ装備が当たり前ということですね。体験版は 700MB 強のセットアップファイルでしたが、正式版のインストール用 DVD-ROM は 3GB 弱です。種々のテンプレート等様々なファイルがつくのでしょう。その分ハードディスクの空きも必要です。より大きなハードディスクを買いたくなってきました…

利用する PC のスペックは以前書いた通り Pentium 4 3GHz、メモリ 1G バイトです。HDV 編集用としてはぎりぎりのスペックです。実際プレビューでコマ落ちしたりエンコードに時間がかかったりで快適とまでは行きませんが、テープで撮影したものの不要部分をカットして DVD に落とす程度の作業ならばストレスがたまる程ではありません。(エンコード実行中は放ったらかし)

しかし影像も凝り始めると際限がなさそうですね。その場合はより速い PC が欲しくなってくるのかも。

PIX/ASA の policy-map

備忘録を兼ねる Cisco PIX/ASA の設定情報です。

ICMP の扱い

以前は ping を通すために双方向に ICMP を許可する ACL を設定しなければなりませんでしたが、PIX 7.x 台より ICMP のステートを見るようになっています。すなわち片方向に ICMP 許可 ACL を設定すれば許された方向に ping をかけることができるようになります。

デフォルトでは ICMP の検査は有効でないので、policy-map で “inspect icmp” と設定する必要があります。初期設定を元にした場合は以下のように設定します。 

FW(config)# policy-map global_policy
FW(config-pmap)# class inspection_default
FW(config-pmap-c)# inspect icmp

修正された policy-map の全体は次のセクションを参考にしてください。

UDP の扱い

多くのファイアーウォールと同様、UDP は擬似コネクションとして扱いステートフルインスペクションの対象となります。デフォルトではタイムアウトにより戻りパケットのポートを閉じる動作ですが、定義済みプロトコルについてはアプリケーション層の内容に基づきより厳しい検査を実施することができます。

例えば SNMP を検査するためには SNMP を識別する class-map を作って使用している policy-map に含める必要があります。具体的には次のような設定となります。先の ICMP と同様初期に自動で出来る policy-map では SNMP の検査は有効でありません。この辺りの設定は以前は fixup コマンドを用いましたが 7.0 よりこのような設定にガラリと変わっています。 

class-map snmp
match port udp range snmp snmptrap
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
class snmp
inspect snmp
!
service-policy global_policy global

IP の access-list 

access-list ACLNAME extended permit ip ...

と書くことができます。これだと一見アクセス制御をするのに IP 層までしか検査しないように見えます。しかし、実際はコネクション (ICMP/UDP 等の擬似コネクションを含む) の状態を検査するので、それぞれのプロトコルに応じた検査がなされます。

結局 ACL はコネクションの最初のパケットの通過可否を判断するためにのみ使われ、コネクションが確立された後は保持しているコネクションの状態と通過するパケットの整合性を基に通過可否が判断されるのです。ですので、ルータと同じように access-list を IP で書けば IP 層のチェックのみで通信を通過させることができるわけではないので注意が必要です。

そうそう 7.x からは inbound にも outbound にも ACL を適用できるようになっています。

グランプリサーキット30購入

とうとうミニッツグランプリサーキット30を購入してしまいました。洛西モデル東京店で取り寄せてもらい、1週間ほどで入荷しました。2割引でした。

とそこまでは良いのですが、「あそこにあるのがそうです」と指差されたダンボールを見た瞬間、

「でかっ…」

この大きさだからどの店も取り寄せになってしまうのですね。即断で電車で持ち帰るのを諦め、配送してもらうことにしました。送料が余分にかかってしまいますが仕方ありません。着払いでまだ届いていないのですがいくらになるのだろう…

車で取りに行ける人は良いですが、そうでない人は素直に通販を利用するのが良いと思います。なにはともあれ届くのが楽しみです

サボテンの花

気づいたらサボテンの花が咲いていたので写真に撮っておきました。いつもより少し大きめのイメージにして載せておきます。

サボテン

昨日(6日)撮ったのに今日(7日)はもうしぼんでいます。気づいてよかった。

HDR-HC3 と Premiere Elements 3.0

Sony のハイビジョンハンディカム HDR-HC3 を購入しました。 (正確には妻が買ってきました。)  最近出た HDR-SR1HDR-UX1 も候補だったのですが、結局以下の理由で HDR-HC3 を選びました。

  1. HDR-HC3 が一番小さくて軽い
  2. HDR-HC3 が一番安い (某量販店で税込 \88,700 + ポイント15% で購入)

新しいビデオカメラを買ったとなると PC でムービー編集したくなります。そこで Adobe Premiere Elements 3.0 の体験版を試すことにしました。これならば HDV (ハイビジョン形式) での読み込み、書き出しができます。カメラ、ソフト共に使いこむのはまだまだこれからなのですが、とりあえず今日は HDV で取り込むための設定を記しておきます。

Premiere 側
プロジェクトをつくる前にプロジェクトのプリセットを選択しなければなりません。 スタートアップスクリーンの「設定」で “Adobe HDV”, “HDV 1080i 30 (Sony 60i)” を選択します。この後新規プロジェクトを作成します。

HDR-HC3 側
メニュー設定で以下のようにします。

[ビデオ HDV/DV] → [HDV]
[i.LINK DV変換] → [切]

[i.LINK DV変換] のメニューは奥まったところにあるので探すのにマニュアルが必要でした。とりあえずデフォルトで切になっているようです。

ところで HDR-HC3 購入以前は、やはり Sony の DCR-PC7 を使っていました。よく見るとこれにも DV 端子がついているではないですか! 今月は保育園の発表会も控えていてしばらく PC へのキャプチャー作業が続きそうです。