FreeBSDでBBルータを作ろう互助会 2Mbps
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNG「PPPoEの方法」
「NATにする方法」
「NICを2枚使う方法」
「ファイヤーウォール設定・セキュリティ対策」
その他なんでもいいからここで質問&アドバイスして輪を広げてこう。
悪質ブロードバンドルーター製品逝ってよし!
前スレ
FreeBSDでBBルータを作ろう互助会
http://pc.2ch.net/test/read.cgi/unix/1038060563/
最近のブロードバンドルータは安くて速いぞ。遅くてヘボいルーター作るなよ。
0426名無しさん@お腹いっぱい。
NGNGhttp://pc3.2ch.net/test/read.cgi/hard/1068131711/
0427名無しさん@お腹いっぱい。
NGNG+-------------+ +--------------+
| ipfw | |SMTP | A: 221.xxx.xxx.xxx(Global固定)
| FreeBSD Box | | サーバ | B: 172.16.xxx.xxx
A + + B---C + | C: 172.16.xxx.yyy
+-------------+ +--------------+
上の図のように、FreeBSD BoxでNATして、SMTPサーバを外部に公開しています。
しかし、FreeBSD Boxのipfwの設定が詰められません。
サンプル(/etc/rc.firewall)のOPENだと、外部の他のホストからから25/tcpが見えますが、SIMPLEだと見えません。
${fwcmd} add pass tcp from any to any 25
${fwcmd} add pass tcp from any 25 to any
を試しても、外部からSMTPサーバの25/tcpが叩けません。
${fwcmd} add divert natd all from any to any via ${natd_interface} は入っていますが、他に何が必要なのでしょうか…。
私が何を勘違いしてるのか、どうかお教えください。
0428名無しさん@お腹いっぱい。
NGNG0429名無しさん@お腹いっぱい。
NGNGadd divertのすぐ上のコメントを読めば分かると思うけど、
/etc/rc.firewallを編集してdivertルールをRFC1918チェックより
上の方に持ってくるか、
# ipfw l | sed 's/^/add /' > /etc/ipfw.rules
# echo 'firewall_type="/etc/ipfw.rules"' >> /etc/rc.conf
# /etc/rc.d/ipfw restart
みたいな感じにするとか。
0430名無しさん@お腹いっぱい。
NGNG5.1-Rのrc.firewallのことを言っているなら、NATはあの位置が
正解だと思うのだけど。
上に持って行ったら、まともなパケットまでdenyされますよね。
>>427
基本的なことですまないけど、確認です。
(1) Aでstatic NAT(redirection)はできていますよね。
(1') 外から見えてるのはNAT box上のMTAじゃないですよね。
(2) A〜B間のIP forwardingはできていますよね。
0431名無しさん@お腹いっぱい。
NGNGこのスレ見たのがきっかけで FreeBSD をインストールしますた。
いい。ほんとにいい。
Linux みたいな、Windowsっぽさ(←うまく説明できん)がないのが
凄く気に入った。
特に Ports(←読みはポーツで良い?) の完成度が凄い。
もう rpm なんて、怖くて使えないかも。
最近の赤帽などにあきれてたんで、縁を切る良い機会になるかも。
いま、NIC 3枚挿し(ADSL用 + DMZ用 + LAN用)に挑戦してるけど、
概ね良好っぽい。
しかし、なんでこのOSは利用者が少ないんだろう?
きっと、マスコット人形が悪いんだ。(なんていったら、叩かれる??)
0432名無しさん@お腹いっぱい。
NGNGえー、デーモン人形かわいいやん。
0433名無しさん@お腹いっぱい。
NGNGFreeBSDに好意を持ってくれる人がいるのはうれしいけれど、
ここのテーマとずれているのでスレッド誘導。
FreeBSDを語ろう・モア
http://pc.2ch.net/test/read.cgi/unix/1039789225/
訴訟があったからとかマーケティングがうまい人がいなかったからとか
GPLブームに乗らなかったからとかいろいろ理由はありそうね。
0434名無しさん@お腹いっぱい。
NGNG0435名無しさん@お腹いっぱい。
NGNGはやく、100Mbps になるといいね☆
0436名無しさん@お腹いっぱい。
NGNGおまえはFreeBSD使わない方がいいとか
BBルータ買えとか
言われた訳だが
0437名無しさん@お腹いっぱい。
NGNG結局どうしたの?
0438名無しさん@お腹いっぱい。
NGNG自分で何も調べずに、こういう質問してちゃ、言われて当然だな。
0439名無しさん@お腹いっぱい。
NGNG0440名無しさん@お腹いっぱい。
NGNGBBルータを買う予算が出なかったもんで
ま、日記はうざがられるのでこの辺で
0441名無しさん@お腹いっぱい。
NGNG話題にする権利があるのはこのスレだけだぞ!
0442名無しさん@お腹いっぱい。
NGNGuser pppでBふれっつに繋いでぴったり100Mbpsが出てるという人が
知り合いにいたけれどありえるのかな...
もちろん、NAT使わずに測定したみたいだけど。
>>440
結果オーライ。
0443名無しさん@お腹いっぱい。
NGNG>>429さん、RFC1918はすべてコメントアウトしてみましたが、状況が変わりませんでした。
>>430さん、1,1',2はできています。
firewall_type="OPEN"
では、問題なくSMTP箱の25/tcpを叩けています。
SIMPLEの状態で、外からSMTP(を5回)叩いたときのipfw showをdiffしたところ、
-02400 0 0 deny log logamount 100 tcp from any to any in recv fxp0 setup
+02400 5 300 deny log logamount 100 tcp from any to any in recv fxp0 setup
ってのが出ました。
これって
# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from any to any in via ${oif} setup
これ?と思ってコメントアウトしたところ、外からNAT内のSMTPが見えるようになりました。
# って中身のコメントのまんまじゃん。コメントくらい嫁>ヲレ
telnet 25した後、反応があるまでちょうど80秒かかりました。
smtpdが名前でも引きに行ってタイムアウトしてるのでしょうね。
>>428,>>429,>>430さん、ありがとうございました。
0445名無しさん@お腹いっぱい。
NGNGありえない
100MB/s の間違いじゃ?
>>436
全部このスレで聞こうとするのは間違ってるだろ
自分で調べて判らないことを聞きに来るなら歓迎
0446名無しさん@お腹いっぱい。
NGNG0447430
NGNGいや、それはコメントアウトすべきではなくて・・・
きちんとNAT&forwardingできているなら、divert行より後ろ、
その行より前に、Cのポート25へのアクセスをpassする行が
必要なんです。
5.1のrc.firewallならAのポート25を許可する行があるので、
それをCに書き換えるか、別途1行追加すればok。なお、
${fwcmd} add pass tcp from any 25 to any
は意味不明だし、不要です。
0448名無しさん@お腹いっぱい。
NGNGようわからんがすてーとふるな防火壁で無い場合、外(25)→内をあけとかないと
ちとまずい場合が有松のぅ
あと113も無いとだめなシトもいまつ
0449名無しさん@お腹いっぱい。
NGNG800Mbps とゆーことでつか?
0451名無しさん@お腹いっぱい。
NGNG自宅の鯖とクライアントのPC間でも
10.45MB/s=83Mbpsぐらいダターヨ(httpでファイルダウンロード)
0452名無しさん@お腹いっぱい。
NGNGppp使うしかないのかな〜
0453名無しさん@お腹いっぱい。
NGNGFreeBSDスレなので、ipfwのスペックは前提にしていいかなと。
最初期のリリースでもフラグは検査できた(と思う)し、現行のは
ダイナミックルールすら使えるわけですから。
ザルと知りつつ、事情があって使うのは否定しませんけどね。
0454名無しさん@お腹いっぱい。
NGNGそんなことは無い。
mpd ipfwで検索してみ。
0455名無しさん@お腹いっぱい。
NGNGよく読んで自分が勘違いしてたことに気が付きました
_| ̄|○
mpd使います(汗
0456名無しさん@お腹いっぱい。
NGNGここで質問させてください。
今回、はじめてFreeBSDでルーターを作成中なのですが、
うまくいかず困っております。
とりあえず、外には接続しないでローカルでホスト1台ルーター1台で
テストしているのですが、お互いからPingも打てない状態です。
設定はルーターのrc.confが
--------略----------------
gateway_enable="yes"
ifconfig_de0="192.168.0.1 netmask 255.255.255.0"
--------略----------------
ホストのrc.confが
--------略----------------
ifconfig_fxp0="192.168.0.2 netmask 255.255.255.0"
defaultrouter="192.168.0.1"
--------略----------------
です。
この状態でお互いにPingを打ってもしばらくたってからHost is down
と表示されます。
ヒントでもよいので提示していただければうれしいです。
環境はFreeBSD4.8です。
宜しくお願いします。
0457名無しさん@お腹いっぱい。
NGNG恐らく次の三つのどれか
・ケーブルが抜けている。ケーブルが間違っている(クロスとストレート)。
・HUBが腐っている。
・NICが死んでいる。正しく装着されていない。
調べるところ:
・NICのリンクLEDは点灯しているか?
・両方でifconfig実行してNIC, mediaが正しく認識されてるか。
0458名無しさん@お腹いっぱい。
NGNG実はhubを介さないで直接ストレートケーブルで繋いでいるとかだったりして。
0459456
NGNG>458
早速のレスありがとうございます。
457さんがご指摘された辺りを調べなおしたところ、
自作のクロスケーブルが駄目になってたようでした。
いまでは快調に動作しています。
ありがとうございました。
0460名無しさん@お腹いっぱい。
NGNG「コンセントが抜けていませんか?」「電源は入っていますか?」とかあって
バカにするな!と思ったもんだが、こうして見るとそうバカにも出来んな…
0461名無しさん@お腹いっぱい。
NGNGしかたないよ。実際そうなんだから。
先日上司にPalmが動かなくなったので診てくれといわれたので
調べたら電池の極性が間違ってたよ。
0462名無しさん@お腹いっぱい。
NGNGいや、Palmじゃなかったかも。あれなんだっけ?電子メモ帳のたぐい。
0463名無しさん@お腹いっぱい。
NGNG0464443
NGNG>>430
> いや、それはコメントアウトすべきではなくて・・・
うー、そうなんですか…。
${fwcmd} add pass tcp from any to ${oip} 25 setup
${fwcmd} add deny log tcp from any to any in via ${oif} setup
と並べてみたら、やはり通らなくなってしまいました。
また、中から外(C→A経由で外)も通りません。
うー、なんかヲレ、根本的にわかってない感…。
0465名無しさん@お腹いっぱい。
NGNGttp://www.dayomon.net/fw/
0466名無しさん@お腹いっぱい。
NGNG大量の三国人相手にlog付きはいかがなものかと・・
0467名無しさん@お腹いっぱい。
NGNG# ipfw list
00100 divert 8668 ip from any to any via fxp1
00200 allow tcp from any to me 7144
00300 allow tcp from any to me 7743
00310 allow tcp from any to me 18080
00400 allow tcp from any to any setup
00500 reset tcp from any to any 113 in recv fxp1
65534 allow ip from any to any
65535 deny ip from any to any
(続く)
0468名無しさん@お腹いっぱい。
NGNGdynamic yes
#log yes
log no
verbose no
deny_incoming no
log_denied yes
log_facility security
use_sockets yes
same_ports yes
unregistered_only yes
punch_fw 1000:100
# MSNm file transfer
redirect_port tcp 192.168.1.2:6891-6900 6891-6900
# PeerCast
redirect_port tcp 192.168.1.2:7144 7144
# Winny
redirect_port tcp 192.168.1.2:7743 7743
# http-alt
redirect_port tcp 192.168.1.2:18080 18080
# SSTP
redirect_port tcp 192.168.1.2:9801 9801
こういう設定で natd を再起動しても PeerCast や Winny は外部から接続できるのですが、
18080 の httpd(AN HTTPd) には繋がりません。
なぜ 18080 だと駄目なのでしょうか? また、 SSTP も繋がりませんでした。
0469430
NGNG結局5.1-Rのrc.firewall(SIMPLE)前提でいいのかな?要するに、
${fwcmd} add pass tcp from any to 172.16.xxx.yyy 25 setup
を266行目に足す必要がありそうってことです。他は触らない。
内→外のTCPは279&259行目でpassされるので、繋がらないのは
他に問題があるんでしょう、きっと。$natd_interfaceとか。
ipfwとnatdの設定がどうなってるか分からないし、想像で語るのも
疲れたので、443氏には素のrc.firewall+NAT box上で中継MTA
(あるいはdelegate等)の構成を勧めます。ギブ。
0470名無しさん@お腹いっぱい。
NGNG0471名無しさん@お腹いっぱい。
NGNG0472名無しさん@お腹いっぱい。
NGNG御意。ここ最近のipfw関連はつまらん。もっと、とんがれ
0473名無しさん@お腹いっぱい。
NGNGうちのところは、ISPはヘタレなんで、6to4で接続してまつ。とりあえず、これにて、踊るカメさんが
拝見できていまつ。
0474467,468
NGNG>>467-468 のあと試しに 7743 ポートで httpd を待ち受けさせたら繋がりました。
けれどポートの番号以外同じように設定しているのに 18080 や 8080 でだと駄目なのです。
自分のできうる限り八方手を尽くしたと思っています。それでも解決できません。
どなたかヒントだけでもいただけないでしょうか?
0475名無しさん@お腹いっぱい。
NGNGおいらも6to4.jp。
つーか、クライアントサイドなら6to4で充分だし
IPV4/V6デュアルスタックサービスはどこのISPも
割高で、費用対効果の説明を求められると予算が
通らないのよ。
広域イーサのインターネットアクセスでIPV6トンネリング
オプションが約2万/月って安くならんもんかな?>某ISP
0476名無しさん@お腹いっぱい。
NGNGマジつまんね。tcpdumpしてどこでパケット落とされてるか調べろよ。
0477名無しさん@お腹いっぱい。
NGNG馬鹿がサーバー立てないようにport 21,80を閉じているプロバイダーがあると聞いたことがあるな。
お前のところのプロバイダーもそういう制限かけてるんじゃないの?
馬鹿が公開プロ串作らないように制限かけてるとか。
0478467,468
NGNG申し訳ありません。
kill -HUP `cat /var/run/natd.pid `
で natd を再起動したのですが、何か駄目だったようで、
マシンごと再起動したら無事繋がるようになりました。
情けない結果で申し訳ないです……
0479名無しさん@お腹いっぱい。
NGNGnatdってたしかHUPシグナルではうまく再起動しないんじゃない?
0480名無しさん@お腹いっぱい。
NGNGそうそう。
natdではHUPをトラップしていないからHUP送ったら終了するはず。
まあ、パケットを処理中のときはSIGKILL送っても死んでくれんけど。
0481名無しさん@お腹いっぱい。
NGNG死ぬよ。
SIGKILL受け取ったユーザプログラムが死ななけりゃ、カーネルのバグ。
4.2BSDな頃はttyで刺さるとそういう状況になってたなあ。
0482名無しさん@お腹いっぱい。
NGNG>SIGKILL受け取ったユーザプログラムが死ななけりゃ、カーネルのバグ。
じゃぁゾンビプロセスが残るのもカーネルのバグだと?
もうnatdとは関係無い話だが・・・
0483名無しさん@お腹いっぱい。
NGNGどこが「じゃぁ」なんだよ。全然関係ない。
0484名無しさん@お腹いっぱい。
NGNGuninterruptable hard mountしたNFSが刺さると一生刺さったままだろ?
というのは関係ない話でございますので
何事もなかったように次の方どうぞ。
0485名無しさん@お腹いっぱい。
NGNG>>481は逝ってよし。
という結論でおけ?
0486名無しさん@お腹いっぱい。
NGNG残念ながらnatdはdiskio行わない。
0488名無しさん@お腹いっぱい。
NGNGでは何事もなかったように次の話題をどうぞ。
0489名無しさん@お腹いっぱい。
NGNG分かれてるだけなんじゃねーの?
0490名無しさん@お腹いっぱい。
NGNG憶測で戯言いうな、ソース見ろ。
kill `cat /car/run/natd.pid`で、すぐ死なないのはシグナルハンドラ中で10秒後に
死ぬように作られているから。SIGKILLはプログラムでトラップできないから即死する。
0491名無しさん@お腹いっぱい。
NGNGありがとう。ソース解説してくれるお前のようなのを釣っただけだよ。
0493名無しさん@お腹いっぱい。
NGNG本当かガセかは自分でソース見るまでわからない罠。
0494名無しさん@お腹いっぱい。
NGNG外部からTCPでいきなりsyn以外のパケットがきた場合、パケットを破棄するようにする為
jman ipfw を参考に tcpflags !syn と書いたのですがこの場合だと[syn+hoge]がきた場合[rst]等で返答してしまいます。
> 断片化されたパケットに関するマッチについての詳細は frag オプションを参照してください。
と記述があったのでfragをみると、
> パケットが断片 (フラグメント) 化されたデータグラムの一部で、
> かつデータグラムの先頭の断片でない場合にマッチします。
> frag を、 tcpflags や TCP/UDP ポート指定と共に使用することはできません。
とあったので以下のような記述を加えたのですがこれであっていますでしょうか?
ipfw add deny all from any to any frag
# 色んなサイトでよく上記を pass で通すようにしてる記述を見るんですが意図は何なのでしょうか?
0495名無しさん@お腹いっぱい。
NGNGそもそもフラグメントって何かわかってる?
まあIPv6が普及すればフラグメントは昔話になるわけだけれど。
0496名無しさん@お腹いっぱい。
NGNGダイナミックルール使わないのはどういう理由?
0497名無しさん@お腹いっぱい。
NGNGマニュアルには書いて歩けどうまく行かないのよね。mpd.confの中に
set iface enable tcpmssfix
って書いておけばいいと思ったんだが違うのだろうか。
0498名無しさん@お腹いっぱい。
NGNG0499名無しさん@お腹いっぱい。
NGNGdoc/trouble.sgmlの更新分に
For TCP connections it's possible enabling the TCP-MSS-Fix:
A<tt>set iface enable tcpmssfix</tt> (available since mpd-3.15).
って書いてある。
0500名無しさん@お腹いっぱい。
NGNG0501名無しさん@お腹いっぱい。
NGNG自作BBルータは市販品に比べて手間は100倍だからな。
0502名無しさん@お腹いっぱい。
NGNGDummynetとかAltqとか市販のルーターでサポートしていないような機能がほしい場合は
FreeBSDでルーター作ってもいいんでないかな。
そういえば、市販のルーターの処理力ってどれくらいあるんだろう。
0503名無しさん@お腹いっぱい。
NGNG0504名無しさん@お腹いっぱい。
NGNGリモートメンテもジサカーのが有利。
0505名無しさん@お腹いっぱい。
NGNGでもんなこと気にしませんよね
0506名無しさん@お腹いっぱい。
NGNG消費電力は大分下がるんじゃない。市販ブルータに比べてどうかは
知らんが。
0507名無しさん@お腹いっぱい。
NGNGえぇ、高機能と消費電力はトレードオフですから〜。
でも最近のGHzマシンは絶対いらないと思う。
0508名無しさん@お腹いっぱい。
NGNG今はminiITXのeden533で使ってるけど、nanoITXが出たら乗り換えようかとちょっと考えてる
0509名無しさん@お腹いっぱい。
NGNGどうも、高クロックで動かしているマシンはPPPの負荷を考えた上
での選択らしいが。
0510名無しさん@お腹いっぱい。
NGNGログ機能や本格的なフィルタ機能を搭載したルーターとなると5万から10万はする。
FreeBSDルーターは安いと思うよ。
きっちり運用できる腕があれば。
0511名無しさん@お腹いっぱい。
NGNG0512名無しさん@お腹いっぱい。
NGNG0513508
NGNGPPPoE で 500Kbytes/s ぐらい出してるときに、uptime が 0.3 ぐらいだった。
たしかに、光で100Mbps とかやってるとちょっとつらそうだ…
0514名無しさん@お腹いっぱい。
NGNG0515508
NGNGuptimeじゃなくてload ave.ですね
呆けてた
0516sage
NGNG暗号化ボード載せれば、ワイヤースピードは簡単にでるよ。
でも、暗号化ボードが高いけど。だいたい、5−10万ぐらい。
0517kuma555
NGNG今、FreeBSDでブロードバンドルータ作成を調べてるのですが、わからないことがあって困ってます。<br>
私はかなりの無知な初心者なのであほなこと言ってるかもしれませんがよろしくお願いします。<br>
<br><br>
やりたいこと:<br>
・FreeBSD(4.7)をADSLルータ(モデム+ルータ)と同じように動作させて置き換えたい。<br>
<br><br>
状況:<br>
・現在、家でインターネットにつなぐ時はプロバイダから借りているルータ(ADSLモデム+ルータ)にPCをつないでADSLで接続しています。<br>
・ADSLルータと電話線間は、家の電話線からスプリッタを通してスプリッタのモデムインターフェイスとADSLルータのLINEインターフェイス間をつないでおります。<br>
<br><br>
質問:<br>
・借りているルータ(モデム+ルータ)の代わりにFreeBSDをルータ(モデム+ルータ)として動作させたいのですが、<br>
電話線とPCは繋げるんですか?以前モデムを使用してインターネットに接続していたのでモデムボードはありますが。。。<br>
・プロバイダ⇔ADSLモデム⇔FreeBSDルータ⇔PCでないとできないのでしょうか?<br>
<br>
また、私がやってること考えていることはやろうとしていることに対してあってるのでしょうか?まちがってるのでしょうか?<br>
<br><br>
だれかわかる人教えてください。よろしくお願いします。<br>
0518名無しさん@お腹いっぱい。
NGNGとりあえず、HTMLタグはいりません。
実際やるならこんな感じで繋げるのが一般的かと
(=→LANケーブル -→電話線)
|スプリッタ|---|ADSLモデム|===|FreeBSD|===ハブとか...
そういやADSLモデムボードってないのかなぁ?
ISDNのTAボードってのは見たことあったが
0519名無しさん@お腹いっぱい。
NGNGできません。
ルータを置き換えることは可能です。いじょ。
0520nn
NGNGクリスマス商戦までに間に合わせるんじゃなかったの?
0521名無しさん@お腹いっぱい。
NGNG100Mbpsクラスだと処理できないヨカーン。
フィルタリング処理にこだわるとどんどんツラくなる…>CPU
0522名無しさん@お腹いっぱい。
NGNGPPPoEで接続できなくなっちゃったんだけれど、
誰か同じような症状の人いる?
0523名無しさん@お腹いっぱい。
NGNG0524名無しさん@お腹いっぱい。
NGNG0525名無しさん@お腹いっぱい。
NGNG0526名無しさん@お腹いっぱい。
NGNG
■ このスレッドは過去ログ倉庫に格納されています