【linux】rsyncでqnapにバックアップする

 表題ママ。

RAID1でミラーされたNASに、linuxファイルサーバの内容をrsyncでコピーしようという話。
外付けHDDに出すのは

https://roserogue.blogspot.com/2015/11/rsyncusb.html

で書いたのだけれども、バックアップ目的でやるなら、JBOD（単発のHDD）よりRAIDがいいに決まってる。
ということで、安価に手に入るTS-233（QNAP）にHDDを積んでミラーしたモノに対して、linuxサーバ側から書き込む方法を。
尚、QNAP側の設定は全てやっているモノとします。具体的にはnfs自体の許可と、アクセスユーザーの生成と設定、linuxファイルサーバからのアクセス許可（IPアドレスの登録）。

まず、

https://www.qnap.com/ja-jp/how-to/faq/article/how-to-backup-files-from-a-linux-os-to-nas-using-rsync

を読んで、その通りにしていく。と言いながらGUIで作り込んでいくのだけれども・・・。
1．と2．はGUI上でやってしまう（共有フォルダの設定から出来る）。この際に、nfsの許可とアクセス許可も出すこと。

次に、linux側からQNAPをマウントする。

mount -t nfs -o rw -O user=ACCESSUSERNAME,password=USERPASSWORD 192.168.0.55:/share/backupdir /media/backupqnap 

構文解説は、mount=マウントコマンド、-tはプロトコル、-oは権限、-Oはユーザー指定、192~部分はQNAPのIPアドレス、コロンで続けてマウントポイント、スペース空けてlinux側のマウントポイント

これで上手く繋がったら、あとはrsyncでマウントポイントにバックアップして上げれば良い。シェルスクリプトは

https://roserogue.blogspot.com/2015/11/rsyncusb.html

を参考にして下さい。

 シェルスクリプトを使いたいなら、まずはこの本を読んで下さい。
これ以上わかりやすい入門書は知りません。
立ち読みでもいいから、まず読んでみると、そのわかりやすさが実感出来るかなと。

リンク

でももう古本しかない・・・西村のぞみさんの本です。 

myqnapcloudのデバイス制御仕様がわかりにくすぎる。

表題の件。
セキュリティアドバイザーで、デバイス制御はカスタムかプライベートにしてね、と言われたので、
素直に変えてみたら、ユーザーから「myqnapにログインしないと繋がらないって言われるんだけど」と言われ、
myqnapcloud（ブラウザ）で、慌ててパブリックに変更したところ、今度は「デバイスの所有者に連絡してmyQNAPcloud Linkの状態を確認し、再度試してください。」。
散々設定を探し回った結果、本体に入って（この時点でローカル以外からのアクセスが出来ない）、
ネットワークと仮想スイッチ＞DDNS＞myqnapcloudとして登録されている奴の右側設定ボタン＞アクセス制御
から、プライベート（やカスタム）になっているのをパブリックにして、
同＞myqnapcloud link
のトグルスイッチをオンオフすると、無事元通りになった。
設定を二カ所でやらなきゃとかもう地獄。

Qufirewallのリージョン指定ルールが勝手に改変されていた

 Qufirewallの設定を何気なく見たところ、送信元が空欄で許可になっているルールが、ipv4、ipv6ともに存在した。表示上、送信元が空になる設定は出来ない（送信元が任意なら、Any表記になる）ので、間違いなく設定としておかしい。

何の設定が化けたのか探したところ、どうもリージョンを指定して許可・拒否する、一番最初の設定で指定した日本のみ許可設定の、日本の部分が化けているらしい。その修正方法。

まず、ipv4ルールで「＋ルールの追加」ボタンを押下し、 権限を許可、インターフェースをAll、送信元をリージョンにして、Japanを選択、プロトコルはAnyを選択で適用する。
ルールが作成されるが、上の方に作られるので、全て拒否ルール（一番下にあるはず）の直上に配置する。無ければ全て拒否ルールを作成する。

送信元が空欄のルールを削除（ゴミ箱ボタン）する。

次に、ipv6ルールをクリックし、同様の処理をする。

最後に「適用」ボタンを押して終了。

ipv4、ipv6両方の設定をしないと、しばらくお待ち下さい表記で待たされるだけ待たされ、そして終わらない。

なぜそんな化け方をしたのか、全くわからないし、SSHで接続して直で見ていないので、どう表記されていたのか定かではないが、やっぱりソフトウェア的な作り込みでは若干不安が残るなあ。でもNAS最速はqnapなので、なかなか悩ましい。

QUFIREWALLに読ませている「拒否されたIPアドレス（CIDR）」

以下は2022.1現在QNAPのQUFIREWALLに読ませている「拒否されたIPアドレス（IPアドレス拒否リスト）」。
基本的には、Qufirewallをすり抜けてきたIPアドレスのサブネットを調べて、IPサブネットで指定して拒否している。
海外が主だが、ごく稀に日本のIPレンジが入っている。
IPレンジは
https://testpage.jp/tool/ip_address_country.php
で調べた。

qufirewallでドメインを指定したからといって、他国からアクセスが来ないかと言われるとそういう話では全くないという・・・。

rules
[{"src_ip": "218.92.0.0/24", "expired_time": 0},
 {"src_ip": "114.251.56.0/24", "expired_time": 0},
 {"src_ip": "203.230.61.0/24", "expired_time": 0},
 {"src_ip": "212.47.226.0/24", "expired_time": 0},
 {"src_ip": "173.243.112.0/24", "expired_time": 0},
 {"src_ip": "112.197.171.0/16", "expired_time": 0},
 {"src_ip": "197.231.70.0/16", "expired_time": 0},
 {"src_ip": "193.153.186.0/16", "expired_time": 0},
 {"src_ip": "1.252.81.0/24", "expired_time": 0},
 {"src_ip": "118.194.132.0/24", "expired_time": 0},
 {"src_ip": "121.200.55.0/24", "expired_time": 0},
 {"src_ip": "125.17.228.0/24", "expired_time": 0},
 {"src_ip": "27.64.0.0/12", "expired_time": 0},
 {"src_ip": "123.16.0.0/12", "expired_time": 0},
 {"src_ip": "210.213.128.0/18", "expired_time": 0},
 {"src_ip": "77.82.0.0/16", "expired_time": 0},
 {"src_ip": "49.64.0.0/11", "expired_time": 0},
 {"src_ip": "72.68.0.0/15", "expired_time": 0},
 {"src_ip": "112.80.0.0/13", "expired_time": 0},
 {"src_ip": "88.214.24.0/22", "expired_time": 0},
 {"src_ip": "116.96.0.0/12", "expired_time": 0},
 {"src_ip": "37.49.224.0/21", "expired_time": 0},
 {"src_ip": "81.128.0.0/11", "expired_time": 0},
 {"src_ip": "190.220.0.0/17", "expired_time": 0},
 {"src_ip": "183.178.0.0/15", "expired_time": 0},
 {"src_ip": "203.166.160.0/19", "expired_time": 0},
 {"src_ip": "45.168.32.0/22", "expired_time": 0},
 {"src_ip": "186.151.0.0/16", "expired_time": 0},
 {"src_ip": "136.32.0.0/11", "expired_time": 0},
 {"src_ip": "122.252.224.0/19", "expired_time": 0},
 {"src_ip": "101.224.0.0/13", "expired_time": 0},
 {"src_ip": "101.251.64.0/18", "expired_time": 0},
 {"src_ip": "222.184.0.0/13", "expired_time": 0},
 {"src_ip": "92.63.192.0/20", "expired_time": 0},
 {"src_ip": "122.51.0.0/16", "expired_time": 0},
 {"src_ip": "185.236.201.0/24", "expired_time": 0},
 {"src_ip": "92.37.128.0/17", "expired_time": 0},
 {"src_ip": "37.120.192.0/18", "expired_time": 0},
 {"src_ip": "85.203.0.0/18", "expired_time": 0},
 {"src_ip": "45.134.20.0/22", "expired_time": 0},
 {"src_ip": "68.144.0.0/13", "expired_time": 0},
 {"src_ip": "45.179.180.0/22", "expired_time": 0},
 {"src_ip": "82.64.0.0/14", "expired_time": 0},
 {"src_ip": "59.148.0.0/15", "expired_time": 0},
 {"src_ip": "115.16.0.0/13", "expired_time": 0},
 {"src_ip": "175.136.0.0/13", "expired_time": 0},
 {"src_ip": "123.201.0.0/16", "expired_time": 0},
 {"src_ip": "89.64.0.0/12", "expired_time": 0},
 {"src_ip": "83.174.192.0/18", "expired_time": 0},
 {"src_ip": "115.66.0.0/16", "expired_time": 0},
 {"src_ip": "87.0.0.0/11", "expired_time": 0},
 {"src_ip": "115.165.192.0/18", "expired_time": 0},
 {"src_ip": "118.216.0.0/13", "expired_time": 0},
 {"src_ip": "211.252.0.0/15", "expired_time": 0},
 {"src_ip": "2.136.0.0/13", "expired_time": 0},
 {"src_ip": "113.60.0.0/16", "expired_time": 0},
 {"src_ip": "119.192.0.0/11", "expired_time": 0},
 {"src_ip": "223.96.0.0/12", "expired_time": 0},
 {"src_ip": "123.128.0.0/13", "expired_time": 0},
 {"src_ip": "37.24.0.0/16", "expired_time": 0},
 {"src_ip": "211.220.0.0/14", "expired_time": 0},
 {"src_ip": "103.125.200.0/23", "expired_time": 0},
 {"src_ip": "86.101.0.0/16", "expired_time": 0},
 {"src_ip": "92.128.0.0/10", "expired_time": 0},
 {"src_ip": "222.112.0.0/13", "expired_time": 0},
 {"src_ip": "94.230.144.0/20", "expired_time": 0},
 {"src_ip": "85.216.128.0/17", "expired_time": 0},
 {"src_ip": "103.251.200.0/22", "expired_time": 0},
 {"src_ip": "113.160.0.0/11", "expired_time": 0},
 {"src_ip": "117.192.0.0/10", "expired_time": 0},
 {"src_ip": "113.96.0.0/12", "expired_time": 0},
 {"src_ip": "87.128.0.0/11", "expired_time": 0},
 {"src_ip": "211.244.0.0/15", "expired_time": 0},
 {"src_ip": "114.80.0.0/12", "expired_time": 0},
 {"src_ip": "106.240.0.0/12", "expired_time": 0},
 {"src_ip": "61.165.0.0/16", "expired_time": 0},
 {"src_ip": "58.32.0.0/13", "expired_time": 0},
 {"src_ip": "101.78.128.0/17", "expired_time": 0},
 {"src_ip": "210.204.0.0/16", "expired_time": 0},
 {"src_ip": "84.118.0.0/15", "expired_time": 0},
 {"src_ip": "112.160.0.0/11", "expired_time": 0},
 {"src_ip": "31.10.128.0/17", "expired_time": 0},
 {"src_ip": "118.32.0.0/11", "expired_time": 0},
 {"src_ip": "183.88.0.0/15", "expired_time": 0},
 {"src_ip": "73.0.0.0/8", "expired_time": 0},
 {"src_ip": "110.142.0.0/16", "expired_time": 0}]
 

QNAPの初期設定IPアドレスは169.254.100.100ではない

 表題の通りで、QNAPの伝統的（？）だった初期ipアドレスは既に169.254.100.100から変わっている。

169.254から始まる「ランダムな」ipアドレスが振られる。また、接続していない一定時間事に変わるようである。なので、一旦繋がったとしても、特定する何らかの方法（qfinderproで特定するか、macアドレスを取得してdhcpで配布するなど）でipアドレスを把握する必要がある。これが意外に面倒くさい。２つのNIC中、片方が固定されていれば、管理画面から把握出来るが、そうで無い場合は上記の事前準備のようなモノが必要になる。

要はQfinderPROを使うか、dhcpで配布して推測しろということのようである。
インストールアプリ増やしたくないんだよなあ・・・あと、

https://roserogue.blogspot.com/2021/09/qnaplanqfinderprosshqufirewall.htmlでも書いたけど、firewallの設定で通らないとかあるので、その際は面倒なことこの上ない。

QNAPの空いてるLANコネクタからQfinderProで繋がらない／SSHで繋がらない→qufirewallの設定を見直そう ／qufirewallの設定ファイル場所

折角2ポートNICがあるので、片方（adapter1)をインターネット、片方(adapter2)をローカル接続用として使おうと思う人向けです。
Qfinder Proで繋がらない！マシンは見えてるのに！ダブルクリックしても接続失敗するし、何ならブラウザでも失敗する！
SSHで接続しようとしても繋がらない！おかしい！壊れてる！
となるかも知れません。
そんなときは、qufirewallの設定を見直しましょう。この間のランサムウェア騒動で、qufirewallを入れましょうというお達しが出てから
インストールした人が居るかも知れません。
ほら、よく設定を見て下さい。
adapter1宛ての設定しかないのではないでしょうか・・・？
それに気付けば解決は間近です。
一番下の「全てDENY」設定よりも上に、「adapter 2」宛ての、全てALLOW（許可）の設定を追加して下さい。
ポート？プロトコル？ANYで問題ありません。何故なら完全に内向きなのですから。
もし心配なら、固定ip運用にして、同じサブネットワークからしか接続出来ない設定にするのも良いかもしれませんが、それって・・・。
何でこれを書いているのかと言いますと、勿論同じ事で悩んだからだよ言わせんな恥ずかしい。
本当に壊れているのかと疑った。
アダプター1側からは、ブラウザUIがインターネット越しで開けていたので、アダプター2が破損しているのかと思ったのである。
まあ、コンピューターは設定したようにしか動かない、ということで。

Qufirewallの設定ファイルは「/etc/config/QuFirewall.conf」
SSH接続出来るのに、独自アプリの設定関係がどこにあるのか教えてくれないイケずなqnapさん。
「IP access protection」をGUI上で設定変更出来なかったので、直接ファイルを書き換えることにしたという話。
ファイルの場所は
「/etc/config/QuFirewall.conf」
で、設定は一番下の方にある。
指定したIPアドレスからの接続を拒否する書式は
{"enable": 1, "display_name": "All", "permission": "アラウかデナイか", "interface_warning": 0, "dports_list": [""], "src_ip": "IPアドレス", "expired_time": 0, "interface": "All", "protocol": "Any", "id": 一意の続き番号},
例は以下
{"enable": 1, "display_name": "All", "permission": "Deny", "interface_warning": 0, "dports_list": [""], "src_ip": "123.201.0.0/16", "expired_time": 0, "interface": "All", "protocol": "Any", "id": 47},
で、カンマスペースで区切って次設定。頭と尻は[]でくくってあるので注意。編集する際はコピーを取っておきましょう。