FreeBSDでBBルータを作ろう互助会 2Mbps
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNG「PPPoEの方法」
「NATにする方法」
「NICを2枚使う方法」
「ファイヤーウォール設定・セキュリティ対策」
その他なんでもいいからここで質問&アドバイスして輪を広げてこう。
悪質ブロードバンドルーター製品逝ってよし!
前スレ
FreeBSDでBBルータを作ろう互助会
http://pc.2ch.net/test/read.cgi/unix/1038060563/
最近のブロードバンドルータは安くて速いぞ。遅くてヘボいルーター作るなよ。
0461名無しさん@お腹いっぱい。
NGNGしかたないよ。実際そうなんだから。
先日上司にPalmが動かなくなったので診てくれといわれたので
調べたら電池の極性が間違ってたよ。
0462名無しさん@お腹いっぱい。
NGNGいや、Palmじゃなかったかも。あれなんだっけ?電子メモ帳のたぐい。
0463名無しさん@お腹いっぱい。
NGNG0464443
NGNG>>430
> いや、それはコメントアウトすべきではなくて・・・
うー、そうなんですか…。
${fwcmd} add pass tcp from any to ${oip} 25 setup
${fwcmd} add deny log tcp from any to any in via ${oif} setup
と並べてみたら、やはり通らなくなってしまいました。
また、中から外(C→A経由で外)も通りません。
うー、なんかヲレ、根本的にわかってない感…。
0465名無しさん@お腹いっぱい。
NGNGttp://www.dayomon.net/fw/
0466名無しさん@お腹いっぱい。
NGNG大量の三国人相手にlog付きはいかがなものかと・・
0467名無しさん@お腹いっぱい。
NGNG# ipfw list
00100 divert 8668 ip from any to any via fxp1
00200 allow tcp from any to me 7144
00300 allow tcp from any to me 7743
00310 allow tcp from any to me 18080
00400 allow tcp from any to any setup
00500 reset tcp from any to any 113 in recv fxp1
65534 allow ip from any to any
65535 deny ip from any to any
(続く)
0468名無しさん@お腹いっぱい。
NGNGdynamic yes
#log yes
log no
verbose no
deny_incoming no
log_denied yes
log_facility security
use_sockets yes
same_ports yes
unregistered_only yes
punch_fw 1000:100
# MSNm file transfer
redirect_port tcp 192.168.1.2:6891-6900 6891-6900
# PeerCast
redirect_port tcp 192.168.1.2:7144 7144
# Winny
redirect_port tcp 192.168.1.2:7743 7743
# http-alt
redirect_port tcp 192.168.1.2:18080 18080
# SSTP
redirect_port tcp 192.168.1.2:9801 9801
こういう設定で natd を再起動しても PeerCast や Winny は外部から接続できるのですが、
18080 の httpd(AN HTTPd) には繋がりません。
なぜ 18080 だと駄目なのでしょうか? また、 SSTP も繋がりませんでした。
0469430
NGNG結局5.1-Rのrc.firewall(SIMPLE)前提でいいのかな?要するに、
${fwcmd} add pass tcp from any to 172.16.xxx.yyy 25 setup
を266行目に足す必要がありそうってことです。他は触らない。
内→外のTCPは279&259行目でpassされるので、繋がらないのは
他に問題があるんでしょう、きっと。$natd_interfaceとか。
ipfwとnatdの設定がどうなってるか分からないし、想像で語るのも
疲れたので、443氏には素のrc.firewall+NAT box上で中継MTA
(あるいはdelegate等)の構成を勧めます。ギブ。
0470名無しさん@お腹いっぱい。
NGNG0471名無しさん@お腹いっぱい。
NGNG0472名無しさん@お腹いっぱい。
NGNG御意。ここ最近のipfw関連はつまらん。もっと、とんがれ
0473名無しさん@お腹いっぱい。
NGNGうちのところは、ISPはヘタレなんで、6to4で接続してまつ。とりあえず、これにて、踊るカメさんが
拝見できていまつ。
0474467,468
NGNG>>467-468 のあと試しに 7743 ポートで httpd を待ち受けさせたら繋がりました。
けれどポートの番号以外同じように設定しているのに 18080 や 8080 でだと駄目なのです。
自分のできうる限り八方手を尽くしたと思っています。それでも解決できません。
どなたかヒントだけでもいただけないでしょうか?
0475名無しさん@お腹いっぱい。
NGNGおいらも6to4.jp。
つーか、クライアントサイドなら6to4で充分だし
IPV4/V6デュアルスタックサービスはどこのISPも
割高で、費用対効果の説明を求められると予算が
通らないのよ。
広域イーサのインターネットアクセスでIPV6トンネリング
オプションが約2万/月って安くならんもんかな?>某ISP
0476名無しさん@お腹いっぱい。
NGNGマジつまんね。tcpdumpしてどこでパケット落とされてるか調べろよ。
0477名無しさん@お腹いっぱい。
NGNG馬鹿がサーバー立てないようにport 21,80を閉じているプロバイダーがあると聞いたことがあるな。
お前のところのプロバイダーもそういう制限かけてるんじゃないの?
馬鹿が公開プロ串作らないように制限かけてるとか。
0478467,468
NGNG申し訳ありません。
kill -HUP `cat /var/run/natd.pid `
で natd を再起動したのですが、何か駄目だったようで、
マシンごと再起動したら無事繋がるようになりました。
情けない結果で申し訳ないです……
0479名無しさん@お腹いっぱい。
NGNGnatdってたしかHUPシグナルではうまく再起動しないんじゃない?
0480名無しさん@お腹いっぱい。
NGNGそうそう。
natdではHUPをトラップしていないからHUP送ったら終了するはず。
まあ、パケットを処理中のときはSIGKILL送っても死んでくれんけど。
0481名無しさん@お腹いっぱい。
NGNG死ぬよ。
SIGKILL受け取ったユーザプログラムが死ななけりゃ、カーネルのバグ。
4.2BSDな頃はttyで刺さるとそういう状況になってたなあ。
0482名無しさん@お腹いっぱい。
NGNG>SIGKILL受け取ったユーザプログラムが死ななけりゃ、カーネルのバグ。
じゃぁゾンビプロセスが残るのもカーネルのバグだと?
もうnatdとは関係無い話だが・・・
0483名無しさん@お腹いっぱい。
NGNGどこが「じゃぁ」なんだよ。全然関係ない。
0484名無しさん@お腹いっぱい。
NGNGuninterruptable hard mountしたNFSが刺さると一生刺さったままだろ?
というのは関係ない話でございますので
何事もなかったように次の方どうぞ。
0485名無しさん@お腹いっぱい。
NGNG>>481は逝ってよし。
という結論でおけ?
0486名無しさん@お腹いっぱい。
NGNG残念ながらnatdはdiskio行わない。
0488名無しさん@お腹いっぱい。
NGNGでは何事もなかったように次の話題をどうぞ。
0489名無しさん@お腹いっぱい。
NGNG分かれてるだけなんじゃねーの?
0490名無しさん@お腹いっぱい。
NGNG憶測で戯言いうな、ソース見ろ。
kill `cat /car/run/natd.pid`で、すぐ死なないのはシグナルハンドラ中で10秒後に
死ぬように作られているから。SIGKILLはプログラムでトラップできないから即死する。
0491名無しさん@お腹いっぱい。
NGNGありがとう。ソース解説してくれるお前のようなのを釣っただけだよ。
0493名無しさん@お腹いっぱい。
NGNG本当かガセかは自分でソース見るまでわからない罠。
0494名無しさん@お腹いっぱい。
NGNG外部からTCPでいきなりsyn以外のパケットがきた場合、パケットを破棄するようにする為
jman ipfw を参考に tcpflags !syn と書いたのですがこの場合だと[syn+hoge]がきた場合[rst]等で返答してしまいます。
> 断片化されたパケットに関するマッチについての詳細は frag オプションを参照してください。
と記述があったのでfragをみると、
> パケットが断片 (フラグメント) 化されたデータグラムの一部で、
> かつデータグラムの先頭の断片でない場合にマッチします。
> frag を、 tcpflags や TCP/UDP ポート指定と共に使用することはできません。
とあったので以下のような記述を加えたのですがこれであっていますでしょうか?
ipfw add deny all from any to any frag
# 色んなサイトでよく上記を pass で通すようにしてる記述を見るんですが意図は何なのでしょうか?
0495名無しさん@お腹いっぱい。
NGNGそもそもフラグメントって何かわかってる?
まあIPv6が普及すればフラグメントは昔話になるわけだけれど。
0496名無しさん@お腹いっぱい。
NGNGダイナミックルール使わないのはどういう理由?
0497名無しさん@お腹いっぱい。
NGNGマニュアルには書いて歩けどうまく行かないのよね。mpd.confの中に
set iface enable tcpmssfix
って書いておけばいいと思ったんだが違うのだろうか。
0498名無しさん@お腹いっぱい。
NGNG0499名無しさん@お腹いっぱい。
NGNGdoc/trouble.sgmlの更新分に
For TCP connections it's possible enabling the TCP-MSS-Fix:
A<tt>set iface enable tcpmssfix</tt> (available since mpd-3.15).
って書いてある。
0500名無しさん@お腹いっぱい。
NGNG0501名無しさん@お腹いっぱい。
NGNG自作BBルータは市販品に比べて手間は100倍だからな。
0502名無しさん@お腹いっぱい。
NGNGDummynetとかAltqとか市販のルーターでサポートしていないような機能がほしい場合は
FreeBSDでルーター作ってもいいんでないかな。
そういえば、市販のルーターの処理力ってどれくらいあるんだろう。
0503名無しさん@お腹いっぱい。
NGNG0504名無しさん@お腹いっぱい。
NGNGリモートメンテもジサカーのが有利。
0505名無しさん@お腹いっぱい。
NGNGでもんなこと気にしませんよね
0506名無しさん@お腹いっぱい。
NGNG消費電力は大分下がるんじゃない。市販ブルータに比べてどうかは
知らんが。
0507名無しさん@お腹いっぱい。
NGNGえぇ、高機能と消費電力はトレードオフですから〜。
でも最近のGHzマシンは絶対いらないと思う。
0508名無しさん@お腹いっぱい。
NGNG今はminiITXのeden533で使ってるけど、nanoITXが出たら乗り換えようかとちょっと考えてる
0509名無しさん@お腹いっぱい。
NGNGどうも、高クロックで動かしているマシンはPPPの負荷を考えた上
での選択らしいが。
0510名無しさん@お腹いっぱい。
NGNGログ機能や本格的なフィルタ機能を搭載したルーターとなると5万から10万はする。
FreeBSDルーターは安いと思うよ。
きっちり運用できる腕があれば。
0511名無しさん@お腹いっぱい。
NGNG0512名無しさん@お腹いっぱい。
NGNG0513508
NGNGPPPoE で 500Kbytes/s ぐらい出してるときに、uptime が 0.3 ぐらいだった。
たしかに、光で100Mbps とかやってるとちょっとつらそうだ…
0514名無しさん@お腹いっぱい。
NGNG0515508
NGNGuptimeじゃなくてload ave.ですね
呆けてた
0516sage
NGNG暗号化ボード載せれば、ワイヤースピードは簡単にでるよ。
でも、暗号化ボードが高いけど。だいたい、5−10万ぐらい。
0517kuma555
NGNG今、FreeBSDでブロードバンドルータ作成を調べてるのですが、わからないことがあって困ってます。<br>
私はかなりの無知な初心者なのであほなこと言ってるかもしれませんがよろしくお願いします。<br>
<br><br>
やりたいこと:<br>
・FreeBSD(4.7)をADSLルータ(モデム+ルータ)と同じように動作させて置き換えたい。<br>
<br><br>
状況:<br>
・現在、家でインターネットにつなぐ時はプロバイダから借りているルータ(ADSLモデム+ルータ)にPCをつないでADSLで接続しています。<br>
・ADSLルータと電話線間は、家の電話線からスプリッタを通してスプリッタのモデムインターフェイスとADSLルータのLINEインターフェイス間をつないでおります。<br>
<br><br>
質問:<br>
・借りているルータ(モデム+ルータ)の代わりにFreeBSDをルータ(モデム+ルータ)として動作させたいのですが、<br>
電話線とPCは繋げるんですか?以前モデムを使用してインターネットに接続していたのでモデムボードはありますが。。。<br>
・プロバイダ⇔ADSLモデム⇔FreeBSDルータ⇔PCでないとできないのでしょうか?<br>
<br>
また、私がやってること考えていることはやろうとしていることに対してあってるのでしょうか?まちがってるのでしょうか?<br>
<br><br>
だれかわかる人教えてください。よろしくお願いします。<br>
0518名無しさん@お腹いっぱい。
NGNGとりあえず、HTMLタグはいりません。
実際やるならこんな感じで繋げるのが一般的かと
(=→LANケーブル -→電話線)
|スプリッタ|---|ADSLモデム|===|FreeBSD|===ハブとか...
そういやADSLモデムボードってないのかなぁ?
ISDNのTAボードってのは見たことあったが
0519名無しさん@お腹いっぱい。
NGNGできません。
ルータを置き換えることは可能です。いじょ。
0520nn
NGNGクリスマス商戦までに間に合わせるんじゃなかったの?
0521名無しさん@お腹いっぱい。
NGNG100Mbpsクラスだと処理できないヨカーン。
フィルタリング処理にこだわるとどんどんツラくなる…>CPU
0522名無しさん@お腹いっぱい。
NGNGPPPoEで接続できなくなっちゃったんだけれど、
誰か同じような症状の人いる?
0523名無しさん@お腹いっぱい。
NGNG0524名無しさん@お腹いっぱい。
NGNG0525名無しさん@お腹いっぱい。
NGNG0526名無しさん@お腹いっぱい。
NGNG0527名無しさん@お腹いっぱい。
NGNG>Changes since version 3.15:
> Implemented PPPoE server functionality
これの絡みで、設定の記述がかわったのかもな。
とにかく設定晒すことをすすめるよ。
0528名無しさん@お腹いっぱい。
NGNGipfwとipfilterを比べるものやipfilterとpfを比べるものは見つけたのですが、
ipfwとpfを比べているものやipfwとしてIPFW2を使って比較しているものが見当たらないもので。
0529名無しさん@お腹いっぱい。
NGNGとりあえず他にもいるということだけ。
522ではないですが、設定を晒してみる。
flets:
new -i ng1 flets PPPoE1
# ルーティング設定省略
set iface up-script /usr/local/etc/mpd/flets.sh
set iface down-script /usr/local/etc/mpd/flets.sh
set bundle authname foo # 隠すのに意味は無いけど
set bundle password bar # 一応隠しておく
load client_standard
client_standard:
set iface disable on-demand
set iface idle 0
set bundle disable multilink
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set link mtu 1454
set link mru 1454
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface
0530名無しさん@お腹いっぱい。
NGNGyggdrasilを参考にしているかBSD Magazineか。とか。
0531名無しさん@お腹いっぱい。
NGNGhttp://emotd.com/2003/12/25.html
Some netgraph string length constants have been changed.
ってことなんで、mpdを作り直す必要があるそうだ。
0532名無しさん@お腹いっぱい。
NGNG/usr/local/etc/mpd/mpd.linksに
set pppoe service "hoge"
set pppoe disable incoming
set pppoe enable originate
を追加
0534名無しさん@お腹いっぱい。
NGNGhttp://www.geocities.jp/hamdah3502213/osugi/osg.htm
mpd.confは
set link mtu 1448
set link mru 1448
ipnat.rulesは
mssclamp 1408
にしたほうが効率いいのかな?
0535名無しさん@お腹いっぱい。
NGNG0536名無しさん@お腹いっぱい。
NGNG0537名無しさん@お腹いっぱい。
NGNG広末陽一郎さん(42・農業)ですが。
0538名無しさん@お腹いっぱい。
NGNG0539名無しさん@お腹いっぱい。
NGNGあとは使えるNICが増えたくらいか。
0540名無しさん@お腹いっぱい。
NGNG0541名無しさん@お腹いっぱい。
NGNGもやってみたいと思っています。
自宅のネットワークにRIPやOSPFを使ってブイブイいわせてる方いますか?
0542名無しさん@お腹いっぱい。
NGNG0543名無しさん@お腹いっぱい。
NGNGほらあんた、掃除のジャマなんだからいつまでも寝っ転がってないで
鷄モモと生姜買って来てちょうだい!
0544名無しさん@お腹いっぱい。
NGNG何に使うの?
複数のセグメントが同居してない限りあまりやくにはたたんと思うが
0545名無しさん@お腹いっぱい。
NGNGそうなの?
pfって/usr/ports/security/pfのことだよね?
OpenBSD 3.4に入ったOS fingerprint機能のことかな?
0547名無しさん@お腹いっぱい。
NGNGRelease4ではカーネルコンフィグに、
>pseudo-device vlan 4
とか書いてカーネル再構築すればvlanインターフェースが4つ使えるように
なったのにRelease5ではこれやってもうまくいきません。
仕様が変わったようです・・・・・
0548名無しさん@お腹いっぱい。
NGNG> 仕様が変わったようです・・・・・
そうですか。
man vlanぐらいしてみたのか?
0549名無しさん@お腹いっぱい。
NGNGBSD本体のインスコすら巧くいかねぇ..
発売当時はDVDはみれるは、TVはうつるはで超ハイエンドだったのに
いまはゴミだな..ガクーリ
0550名無しさん@お腹いっぱい。
NGNGIRQとか手打ちしてもだめ?
0551名無しさん@お腹いっぱい。
NGNG# ifconfig vlan0 vlan 101 vlandev ed1
# ifconfig vlan0 inet 172.16.0.1 netmask 255.255.255.0
0552名無しさん@お腹いっぱい。
NGNG無料のお薦めのアンチウィルスソフトはありますか?
0553名無しさん@お腹いっぱい。
NGNG特に無料に限ったウィルス対策ソフトの紹介ではないが、次を紹介しておく。
Postfixで使えるウィルス対策ソフト: http://www.kobitosan.net/postfix/ML/arc.4/msg00850.html
Antivirusスレ: http://pc.2ch.net/test/read.cgi/unix/1046547211/
個人使用などの条件なしで無料のがほしかったらclamavというのが/usr/ports/security/clamav/に入ってる。
それをメールサービスに適応するには/usr/ports/security/amavisなどがある。
clamavはメジャーなものにはちゃんと対応するのでライセンスが気になるならこれを使ったがいいね。
0554名無しさん@お腹いっぱい。
NGNGさっそくの返答ありがとうございます。
このようなVirusソフトもあったのですね。
できれば、無償の方がありがたいです。
あの〜>>553さんの後半に書いてある内容ですが、
それってFreeBSDのportsで無償のアンチウィルスソフトがあるってことですか?
あと、いろいろ検索して今捜しているんですけど、
http://www.f-prot.com/download/home_user/download_fpbsd.html
↑これもそうでしょうか? 使っている方とかいらっしゃいますか?
0555名無しさん@お腹いっぱい。
NGNGPort: f-prot-4.3.3
Path: /usr/ports/security/f-prot
Info: F-Prot Antivirus for BSD Workstations
0556名無しさん@お腹いっぱい。
NGNGとりあえずMyDoomっぼいメールは除去できている。
警告メールをsenderに送らずにrecips,adminだけに設定を書き直す必要があるけど。
0557553
NGNGF-protは「Postfixで使えるウィルス対策ソフト」の中で紹介されていたはずだが。
もしかして読んでないのか?
「無料に限ったわけではない」というのは「無料のものもあるけど、有料のものも登場するよ」という意味で
使っていたんだが。
「無償のほうがありがたいです」などととぼけたことを言っているんだから読んでないんだろうけどな。
なんか教えがいが無いな。
clamavの話題もF-PROTの話題も「Postfixで使えるウィルス対策ソフト」で紹介されてるよ。
それを読んでなお疑問があったら聞きなさいな。
0558553
NGNGhttp://www.kobitosan.net/postfix/ML/arc.4/thrd9.html#00850
のページの「[postfix-jp:0xxxx] RAV Antivirusの代替品」という青文字をすべてクリックして読むべし。
ちなみに、xxxxのとこは数字が入る。
0559名無しさん@お腹いっぱい。
NGNGそんで、Matroxのi5299が4つ載った4ポート10/100のPCIのLANカード
を\9,800(新品)で保護してきますた。まだ、レジの奥に10枚ぐらいある
ようです。店の名前は、忘れましたが昌平童夢館のそばのOttoの系列
点で、NW機器とか、PCサーバとかを置いてあるサーバ系のジャンク屋
です。
これと、EdenのMini-ITXでDMZのOKな静音ファイアーウォールを作り
たいと思いまつ。
0560名無しさん@お腹いっぱい。
NGNGだけど、きちんと認識した。dmesgはこんな感じ。
pcib3: <DEC 21152 PCI-PCI bridge> at device 16.0 on pci0
pci2: <PCI bus> on pcib3
fxp0: <Intel 82559ER Embedded 10/100 Ethernet> port 0xa000-0xa03f mem 0xdf000000
-0xdf01ffff,0xdf083000-0xdf083fff irq 11 at device 4.0 on pci2
fxp0: Ethernet address 00:20:fc:1e:d3:b0
inphy0: <i82555 10/100 media interface> on miibus2
inphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
fxp1: <Intel 82559ER Embedded 10/100 Ethernet> port 0xa400-0xa43f mem 0xdf020000
-0xdf03ffff,0xdf081000-0xdf081fff irq 9 at device 5.0 on pci2
fxp1: Ethernet address 00:20:fc:1e:d3:b1
inphy1: <i82555 10/100 media interface> on miibus3
inphy1: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
fxp2: <Intel 82559ER Embedded 10/100 Ethernet> port 0xa800-0xa83f mem 0xdf040000
-0xdf05ffff,0xdf080000-0xdf080fff irq 5 at device 6.0 on pci2
fxp2: Ethernet address 00:20:fc:1e:d3:b2
inphy2: <i82555 10/100 media interface> on miibus4
inphy2: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
fxp3: <Intel 82559ER Embedded 10/100 Ethernet> port 0xac00-0xac3f mem 0xdf060000
-0xdf07ffff,0xdf082000-0xdf082fff irq 10 at device 7.0 on pci2
fxp3: Ethernet address 00:20:fc:1e:d3:b3
inphy3: <i82555 10/100 media interface> on miibus5
inphy3: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
きちんと、4ポート認識した。これ、PCIx6のマザーに指したら、24ポートの
最強ルータできるね。なんに使うかわからんが。
# 最近、ネタがないようなので、振ってみた
■ このスレッドは過去ログ倉庫に格納されています