FreeBSDでBBルータを作ろう互助会 2Mbps
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNG「PPPoEの方法」
「NATにする方法」
「NICを2枚使う方法」
「ファイヤーウォール設定・セキュリティ対策」
その他なんでもいいからここで質問&アドバイスして輪を広げてこう。
悪質ブロードバンドルーター製品逝ってよし!
前スレ
FreeBSDでBBルータを作ろう互助会
http://pc.2ch.net/test/read.cgi/unix/1038060563/
最近のブロードバンドルータは安くて速いぞ。遅くてヘボいルーター作るなよ。
0567名無しさん@お腹いっぱい。
NGNG場所のこととか電気代のこととか考えると一緒ってのもありかと
うちはデーモンをjailに放り込んでルータと外向けの鯖で1台
4.6だとjailで運用はちとやりにくいけど
今はだいぶやりやすくなったようで
4.9にしたいなぁ
0568名無しさん@お腹いっぱい。
NGNG0569名無しさん@お腹いっぱい。
NGNGやはり4ポートのNICに、直接各PCのNICをケーブルで繋いだほうが、
パフォーマンスは上がる?
0570名無しさん@お腹いっぱい。
NGNG微々たる(ry
0571名無しさん@お腹いっぱい。
NGNGもれは別構成にしてる。
互いが別マシンという構成がいいなら当然そうなりそうだけど...
ちなみに、実装上の問題でsyslogdとPostfixは同一のchroot空間、IPアドレスだけど
別のjail空間を使ってる。
こんなふうにしてるもんで。
jail /jaildir/mail mailhost 10.0.0.1 syslogd -s
jail /jaildir/mail mailhost 10.0.0.1 postfix start
互いに相手を停止できないからちょっと安全かと思ってみたり。
まあ、jailしててもDoSには無力だけどね。
0572名無しさん@お腹いっぱい。
NGNGきちんと設定しとけば、一緒でも別でもセキュリティレベルは一緒。
分けてたってルータがやられれば、そこから鯖にも入られるんだからね。
分けるかどうかは別の要因で決めればいい。
0573名無しさん@お腹いっぱい。
NGNGPC-PCの通信が多いなら、真ん中にルータがあるより、スイッチで繋がってる方が速い。
0574名無しさん@お腹いっぱい。
NGNGpostfix空間がやられたときに、syslogd空間だけやられずに残ってることに、どのくらい意味があるのかだな。
あるなら、いいけど。
0575566
NGNGもちろん信用度が
jail>>>ルータ機能>サーバ
って条件下での話でしょ
攻撃できる条件を下げる意味とか、被害が広がらないって意味もあるし
メインの空間が残ってれば復旧が楽って話もあるな
無いよりは有った方が良いじゃね?
0576名無しさん@お腹いっぱい。
NGNG0577571
NGNGjailの中でpostfixとsyslogdを起動するスクリプトを書くのがまんどくさかったので
あんなふうにしてるだけ。
rc使うと余計なものまであがってしまうしね。
そういう手抜きだけど、少しは意味があるようにも思う。
psしてもsyslogdの存在が見えないからscript kittyの教科書通りの攻略法が
使えなくなるという利点はあるだろうね。
本体に飛ばしてるので/var/log/消しても足跡は残るし。
syslogd止められないのでログは出るし。
0578名無しさん@お腹いっぱい。
NGNGリピータハブと組み合わせたもので・・・ウッ,.
0579名無しさん@お腹いっぱい。
NGNG0580名無しさん@お腹いっぱい。
NGNG0581名無しさん@お腹いっぱい
NGNGThis version of AntiVir is licensed for private and non-commercial use.
AntiVir has detected the following in a mail sent through your server:
Worm/NetSky.Q wormWorm/NetSky.Q worm (x2)
The mail was not delivered.AntiVir for UNIX
Copyright (C) 1994-2002 by H+BEDV Datentechnik GmbH. All rights reserved.
For more information see http://www.antivir.de/ or http://www.hbedv.com/
0582名無しさん@お腹いっぱい。
NGNGCで書き直した版が使いたい。
0583名無しさん@お腹いっぱい。
NGNG0584名無しさん@お腹減った。
NGNG書き直した版って何ですか?
0585名無しさん@お腹いっぱい。
NGNGttp://sourceforge.net/project/shownotes.php?release_id=139920
0586名無しさん@お腹いっぱい。
NGNG0587名無しさん@お腹いっぱい。
NGNG0588名無しさん@お腹減った。
NGNGlinux-igdの対応待ち->Microsoftの対応待ち では?
http://linux-igd.sourceforge.net/
お手伝いするなら、こちらの方へ♪
0589名無しさん@お腹減った。
NGNGNeBSDのpkgsrcを作ってみたら、Makefileのパッチが大変。
0590名無しさん@お腹いっぱい。
NGNG他にこのような症状になった方おられますか?どうすれば直るのでしょうか?
0591名無しさん@お腹いっぱい。
NGNG4.9R-p7
mpd.confとmpd.linksを貼ってみたら?
0592名無しさん@お腹いっぱい。
NGNGどうりでChangeLogに見当たらないわけだ。
0593初期不良
NGNGCeleron667MHz 512MB のマシンに換えて、FreeBSD5.2.1R をいれて
ルータにしてみますた。
最初今まで通り、ipfw+natd+mpd でやったら 30Mbps 前後しか出ない...
top で見てると natd の負荷がトラフィックとともにぐんぐん上がっていく...
ためしに ipfilter+ipnat+mpd にしたら 80Mbps 前後、ほぼ直結と
同じ速度が出た...
natd はもうお役ごめんか...
ipfw から ipfilter に移行するのは面倒なんだけど、
ipfw も同時利用できるんだよね?だったら ipfw で詰めた設定を
そのまま使うだけでいいかな?それとも ipfilter でやった方が
軽くなる?
0594名無しさん@お腹いっぱい。
NGNGipfwとipfの開発者が顔をつき合わせたときも、そんな結論になったような。
0596名無しさん@お腹いっぱい。
NGNG今日から光ユーザーに成長したんで、それまでのCATV向け設定を変更してPPPoE
出来るようにしている最中です。
とりあえずpppのnatを使った設定で問題なく動くところまできています。
で、次にppp+ipfw2+natdで動かそうとして詰まっています。
pppのnatを無効にした上で
>ipfw -f flush
>ipfw 10000 divert natd all from any to any via tun0
と直接加えると一切外(DNSとかGWとか)と繋がらなくなってしまいます。
とりあえず一番簡単にnatdを動かすならこれでいいと思ったんですが、何か
勘違いしていますでしょうか?
FreeBSD5.2.1
0597名無しさん@お腹いっぱい。
NGNG0598名無しさん@お腹いっぱい。
NGNG0601596
NGNG○dummynet使う際にどうせipfw2使うから、一緒にnatdにしようかと。
0602名無しさん@お腹いっぱい。
NGNGFreeBSD 5.2.1 + mpd 3.18 を試しているんですが一向に接続できません。
[PPPoE] ppp node is "mpd504-PPPoE"
[PPPoE] using interface ng0
[PPPoE] IPCP: peer address cannot be zero
[PPPoE] IFACE: Open event
[PPPoE] IPCP: Open event
[PPPoE] IPCP: state change Initial --> Starting
[PPPoE] IPCP: LayerStart
[PPPoE:PPPoE] [PPPoE] bundle: OPEN event in state CLOSED
[PPPoE] opening link "PPPoE"...
[PPPoE] link: OPEN event
[PPPoE] LCP: Open event
[PPPoE] LCP: state change Initial --> Starting
[PPPoE] LCP: LayerStart
[PPPoE] device: OPEN event in state DOWN
[PPPoE] PPPoE originate option is not enabled
[PPPoE] device is now in state OPENING
[PPPoE] device: DOWN event in state OPENING
[PPPoE] device is now in state DOWN
[PPPoE] link: DOWN event
[PPPoE] LCP: Down event
これが延々と繰り返されます。
カーネルオプションにもnetgraph関連の例の4つを加えてコンパイルしてあります。
何方かアドヴァイスいただけませんでしょうか?
0603602
NGNG---
default:
load PPPoE
PPPoE:
new -i ng0 PPPoE PPPoE
set iface addrs 1.1.1.1 2.2.2.2
set iface route default
set iface disable on-demand
set iface idle 0
set iface mtu 1454
set bundle disable multilink
set bundle authname foo@foo.xxx.ne.jp
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set link mtu 1454
set link mru 1454
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface
---
PPPoE:
set link type pppoe
set pppoe iface fxp1
set pppoe service "whatever"
0604初期不良
NGNG>set iface addrs 1.1.1.1 2.2.2.2
の行が無い以外全く同じ設定で tepco 光 point に繋がってます。
set iface up-script /usr/local/etc/mpd/mpd.linkup
の行もあるけど内容は ipf, ipnat のリフレッシュだけ。
#!/bin/sh
/sbin/ipf -y
/sbin/ipnat -CF -f /etc/ipnat.rules
たぶん同じところからのこぴぺだな...
そんなことより漏れは mpd のログが出なくて困ってます。
/usr/local/etc/rc.d/mpd.sh のコマンドラインに
-s "daemon" をつけて
syslog.conf に daemon.* /var/log/mpd/log
たら一瞬出たんだけど、mpd.sh restart させたら
また出なくなっちゃった...
0605名無しさん@お腹いっぱい。
NGNGnatdは動いているか?
10000を通るパケットはすべてnatdが待ち受けているportに転送されるから
そこで待ち受けてくれるプログラム(natdなど)が居ないとそこでパケットが
先に進めなくなってるぞ。
natdが動いているなら>>599を疑ったりgateway_enable="YES"になってるか確認したり
というのがあるが。
まあ、有益な助言がほしいならipfw -a listとps -ax|grep natdをさらせ。
...そういえばALTqってまだFreeBSDのcvs treeに入ってないんだっけ?
0606名無しさん@お腹いっぱい。
NGNGあんまり本質的な部分ではないけど、/etc/serviceに
natd 8668/divert # Network Address Translation
なんて定義が書いてあるわけで、わざわざ10000とかにするよりはnatdとか8868とか
書いておいたほうが判りやすいような。そうでないとnatdのほうの設定も変えなきゃ
ならないし。
0607初期不良
NGNG10000 はポート番号じゃなくて ipfw のフィルタ番号だろ?
ってよく見たら add が抜けてるね。
>ipfw 10000 divert natd all from any to any via tun0
単なる書き間違い?
0608596
NGNG605氏の言うとおり、natdをage忘れてますた・・・ ○| ̄|_ オレッテ,ダメスギ
逝ってきます
0609名無しさん@お腹いっぱい。
NGNG0610606
NGNG0611名無しさん@お腹いっぱい。
NGNG0612名無しさん@お腹いっぱい。
NGNG一万円のrooterで
・IPv6トンネル対応
・SNMP対応
・IP unnumbered対応
のものがあるなら紹介してくれ。いやまぢで。
0613名無しさん@お腹いっぱい。
NGNGHDDは無い方が良いんじゃねーの?
信頼度はメモリの方が上だろ
0614名無しさん@お腹いっぱい。
NGNGdtcpsも使いたいし。
0615名無しさん@お腹いっぱい。
NGNGipnat.rulesに次の1行を書いています
rdr ng0 0/0 port 9999 -> 192.168.0.1 port 9999 tcp
この状態で 'ipnat -l' で見ると
RDR 192.168.0.1 9999 <- -> 192.168.0.1 9999 [221.yyy.yyy.yyy 4290]
RDR 192.168.0.1 9999 <- -> 210.xxx.xxx.103 9999 [220.zzz.zzz.zzz 1853]
このような結果を返す事があります。この時の状態は
[Client](192.168.0.1)--(192.168.0.254)[鯖](210.xxx.xxx.103)--(aaa.bbb.ccc.ddd)[ISP]
となっています。
1行目の、変換前後のアドレスがどっちもクライアントを指しているのが気になるんですが
ipnatってこれで正常な挙動なんでしょうか?
0616名無しさん@お腹いっぱい。
NGNGFreeBSDのnetgraph経由でmpd使ってることぐらいは推測
出来るけどさ。
0617615
NGNGあぁ、すみません。質問の基本でした。FreeBSD4.8+mpd3.18, ipnatやipfilterは4.8付属のままです。
というかひたすら延々と試行錯誤してるけど、もう挫けそう・・・素直にmpd+ipfw+natdにしようかな・・・
質問ばっかで申し訳ないんですが、誰かとどめを刺してください。
ipfilter+ipnat+ipfw(&dummynet)で帯域制限って、inとoutを別々に制限出来ない?
(というか、片方しか制限出来ない?)
ipnatよりipfwが先に処理されるならin側の制限が出来ず、ipfwよりipnatが先に処理されるなら
out側の処理が出来ない気がするんですが。
0618名無しさん@お腹いっぱい。
NGNG手元のログでは ppp node is "....." の次の行に
exec: /sbin/ifconfig fxp0 up
というのが入ってる。 PPPoEを乗せるインターフェースはfxp1で合ってる?
あと、mpd.linksに
set pppoe disable incoming
set pppoe enable originate
を追加してみるとどうよ。
0619名無しさん@お腹いっぱい。
NGNG0620619
NGNG2003.08 -175
2003.09 -251
2003.10 -378
2003.11 -500
2003.12 -520
2004.01 -546
2004.02 -562
2004.03 -578
2004.04 -579
2004.05 -620(5/16時点)
ネタ振りがあった2件がほとんどだね。
0621名無しさん@お腹いっぱい。
NGNG[hoge] ppp node is "mpd758-hoge"
[hoge] exec: /sbin/ifconfig fxp0 up
[hoge] using interface ng0
[hoge] IPCP: peer address cannot be zero
[hoge] IFACE: Open event
[hoge] IPCP: Open event
[hoge] IPCP: state change Initial --> Starting
[hoge] IPCP: LayerStart
[hoge:PPPoE] [hoge] bundle: OPEN event in state CLOSED
[hoge] opening link "PPPoE"...
[PPPoE] link: OPEN event
[PPPoE] LCP: Open event
[PPPoE] LCP: state change Initial --> Starting
[PPPoE] LCP: LayerStart
[PPPoE] device: OPEN event in state DOWN
[PPPoE] device is now in state OPENING
session in wrong state ←ここでエラー
[PPPoE] rec'd ACNAME "hoge_foo1"
[PPPoE] PPPoE connection successful
[PPPoE] device: UP event in state OPENING
以下略…
接続自体には成功してng0にIPアドレスが割り振られているんですがmpdを動かしているPCからhttp、ftpは通らない
dnsは引けないと全く外部に出れない状況です
netstat -r ではng0がdefaultになっているものの、なぜか表示されるのに30秒くらい時間がかかります
一応ipfilterはipf -Dで切ってあり、環境はFreeBSD5.2.1+mpd3.18です
mpd.confとmpd.linksを晒します
0622名無しさん@お腹いっぱい。
NGNGload hoge
hoge:
new -i ng0 hoge PPPoE
set iface addrs 1.1.1.1 2.2.2.2
set iface route default
set iface disable on-demand
set iface idle 0
set iface mtu 1454
set bundle disable multilink
set bundle authname hoge@foo.jp
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set link mtu 1454
set link mru 1454
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface
#mpd.links
PPPoE:
set link type pppoe
set pppoe iface fxp0
set pppoe service "whatever"
set pppoe disable incoming
set pppoe enable originate
アドバイスきぼんぬ…
0623621
NGNGppp接続には成功してる模様?
しかしまだ外部に出れない…相変わらずnetstat -rは表示されるのに一分近くかかります
くだ質行った方がいいのかな…
0624名無しさん@お腹いっぱい。
NGNG0625621
NGNGresolv.confにnameserver直接指定してやったら解決…
DNSは自動割り当てされるはずだから大丈夫だと思ってましたorz
今までDNSのことなんか気にしたことなかったですし(´・ω・`)
自動的にDNSアドレスを受けとって設定してくれるようなオプションはないんでしょうか?
0626名無しさん@お腹いっぱい。
NGNG0627名無しさん@お腹いっぱい。
NGNG接続先IPアドレスに応じてrouteを変えるのはそれこそrouteコマンドですぐできるのですが、
接続元IPアドレスに応じてrouteを変えたいときって、どうすればいいのでしょう?
0628名無しさん@お腹いっぱい。
NGNG0629名無しさん@お腹いっぱい。
NGNGマルチホームといえば、基本は BGP。アドホックには ipf/pf/ipfw でソース
ルーティングだと思うのだけれど、v6 とかでもうちょっと格好良い解決法を
使ってる人とかいません?
0630名無しさん@お腹いっぱい。
NGNGポリシールーティングってやつ?
0631名無しさん@お腹いっぱい。
NGNGpfでtraffic load balancingとか?
0632名無しさん
NGNGIP電話対応ルータにする為にはUPnPに対応させる必要があるっつー事で、FreeBSDで
作る場合の常套手段が
ipfilter + ipnat + upnpd
であることは分かったんだけど、UPnPって誤解を覚悟で言うなれば
「接続機器の要求に応えて、自動的に壁に穴をあけてリダイレクトの設定を行う」
為の規格だと思ってるんだが。だったらupnpd入れなくても自分で手で設定するのじゃ
駄目?それとも、IP電話用アダプタがどのポートを使うかがランダムだったりして、
手では設定不可能とか?
0633名無しさん@お腹いっぱい。
NGNGくれなかったとおもったんだけど、どう?
0634633
NGNGあと、upnp使うのは、SIPプロトコルが自分のグローバルアドレスを
知るためだと思ったよ。だから絶対必要。
他に方法あればいいけどね。
0635名無しさん@お腹いっぱい。
NGNGlinuxigdをインスコ
ぷららフォンのVoIPならx68k.net/diary/とかが詳しい。
0636名無しさん@お腹いっぱい。
NGNGDNSを自動で割り振るのにはnamedが必要?みたいだけど
市販ルータも内部ではnamedが動いてるのかな?
http://buffalo.melcoinc.co.jp/download/driver/lan/linux_whr.html#WLA-T1
それ関係のパッケージが見あたらないけど…
0637名無しさん@お腹いっぱい。
NGNG0638名無しさん@お腹いっぱい。
NGNG↑のソフトウェアだけであの機能が実現できてるのかなと
0639名無しさん@お腹いっぱい。
NGNG実際に何を使っているかは知らないけど、
bind は GPL じゃないからソース公開義務はないよ。
0640名無しさん@お腹いっぱい。
NGNG根拠もなくGPLだと思いこんでました
スレ汚し失礼しましたorz
0641名無しさん@お腹いっぱい。
NGNG0642名無しさん@お腹いっぱい。
NGNGかなり脳みそがGPLに侵されてますな。
ApacheとかEclipseとかはそれを基にした商用ソフトウェアをスポンサーが
作りたいのでソースコード公開の義務がもっとゆるいライセンスが使われてるよ。
むしろ、ソフトウェアを売って金をもうけている会社と無縁のプロジェクトでないと
GPLは使わないでしょう。つうか、使えないでしょう。
>>641
違うぞ。
BINDはBerkeley Internet Name Domainの略だ。
確かにBSDのBとBINDのBは同じBerkeleyをあらわすけどね。
そういえば、BINDのライセンスって改定BSDLと同じレベルの制限なんだっけ?
0643名無しさん@お腹いっぱい。
NGNG>>641の言いたいことはそのことと思われ(Bの略が一緒)
なんの話のつながりもないが・・・
0644名無しさん@お腹いっぱい。
NGNG>DNSを自動で割り振るのにはnamedが必要
に誰も突っ込まないのか。
スタブリゾルバの話し?
それともDHCPでDNSサーバーのアドレスを割り振るってことか?
0645590
NGNGmpd 3.18にアップグレードした頃から30分くらいごとにプチプチ切れるようになってしまいました。
他にこのような症状になった方おられますか?どうすれば直るのでしょうか?
mpd.conf
default:
load ASAHI-NET
ASAHI-NET:
new -i ng0 ASAHI-NET PPPoE0
set iface addrs 1.1.1.1 2.2.2.2
set iface route default
set iface disable on-demand
set iface up-script /usr/local/etc/mpd/mpd.linkup
set iface idle 0
set iface mtu 1454
set bundle disable multilink
set bundle authname hoge@hoge
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set link mtu 1454
set link mru 1454
set link keep-alive 10 60
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface
0646590 続き
NGNGPPPoE0:
set link type pppoe
set pppoe iface fxp0
set pppoe service "ASAHI-NET"
set pppoe disable incoming
set pppoe enable originate
こんな感じの設定ファイルです。5.2.1Rでmpd+ipf+ipnat使ってます。
一応繋がるのですが切れなくする対処法みたいなのないでしょうか。
0647名無しさん@お腹いっぱい。
NGNGうちはそんな症状は無い。
0648名無しさん@お腹いっぱい。
NGNGchange history に以下の記述があるが、なにか関係あるのかな?
ちなみに、俺はまったく意味がわからん。
識者のかたよろしく。
Changes since version 3.16:
BugFix: keep-alives were b0rked, and every other function wich relys on valid link-stats.
ちなみに、俺が3.18にバージョンアップしてはまったのは、
(どのバージョンからアップしたかは、忘れてしまった。)
up-scriptとdown-scriptから呼び出された時の、引数の数の変化。
それぞれ、4→5 、2→3
0649590
NGNG恐らく光ファイバーの断線が原因だと思われます…
mpdばっかり疑ってました。すいません。
NTT呼んで直して貰うの金かかるんかなぁ…
0650名無しさん@お腹いっぱい。
NGNG光ファイバーの曲げの部分で断線しているならば、無償で直してくれるかもよ。
# NIC が死んでいるってことはない?
0651名無しさん@お腹いっぱい。
NGNGメインマシンがまだ4系列だから5はまだ使ったことがなくて不安なんだけど。
0652名無しさん@お腹いっぱい。
NGNG4系列にしといたほうが無難だろうよ。
0653名無しさん@お腹いっぱい。
NGNGでも5系列のほうが設定がしやすいしpfも使えるから個人的には5.2.1Rを使いつつ5.3R待ち。
0654名無しさん@お腹いっぱい。
NGNGOCNの光IP8で実験してます、4.10R+元からついてるPPPでPPPoEしてます
割り振られるIPアドレスを仮に xxx.yyy.zzz.0 から xxx.yyy.zzz.7 まで
としてます。
fxp0 と rl0 を実装していて fxp0 をPPPに使用して接続すると
tun0 には xxx.yyy.zzz.0 のネットワークアドレスが割り当てられるので
rl0 を xxx.yyy.zzz.1 に設定してそれからHUBを経由して
xxx.yyy.zzz.2 から xxx.yyy.zzz.6 の5台のマシンをmailやwwwサーバーとして
使用できる状態は確認できました。
しかし、PPPしているマシンから外部へ接続するときに xxx.yyy.zzz.0 を
つけて出てしまうので、ttp://w3.itoh.net/pppoe2.html を見つけて
PPPするマシンの tun0 が xxx.yyy.zzz.1 になるようにすると、
rl0 が xxx.yyy.zzz.2 で ハブ以下のマシンの数がひとつ減ってしまいます
そこで、こんな場合になにかよい方法はありませんか?
望みは PPPするマシンが市販のルーターのように xxx.yyy.zzz.1 で
中にも外にもひとつに見える、配下に xxx.yyy.zzz.2 から xxx.yyy.zzz.6
の5台のマシンをmailやwwwサーバーとして使用できるです。
ちなみに以前使った事のあるK-OPTIの場合は xxx.yyy.zzz.1 をtun0に振ってくるので
はじめから、ひとつアドレスが損した気分です。
どちらの場合も6台使いたいのですが?ネットワークアドレスで外部に出ることに
問題の無いCクラスの中間のアドレスなら7台使えそうかなとも思っているのですが?
よろしくお願いします。
0655名無しさん@お腹いっぱい。
NGNG/29 だったら 5台しかノードは繋げないと思え
設定方法は ttp://www.ish.org/PPPoE/PPPoE.html でも見ろ
0656名無しさん@お腹いっぱい。
NGNG0657名無しさん@お腹いっぱい。
NGNGpf+altq
0659A
NGNG単なる置き換えではなく、statefulなものを目指しましたが…
コメントお願いします。
pass in all
pass out all
は動きました。
0660A
NGNGpass out quick on lo0 all
block in on rl0 all head 100
block in log quick from any to any with ipopts group 100
block in log quick from any to any with short group 100
block in quick from 10.0.0.0/8 to any group 100
block in quick from 192.168.0.0/16 to any group 100
block in quick from 172.16.0.0/12 to any group 100
block in quick from 127.0.0.0/8 to any group 100
block in quick from any to 127.0.0.0/8 group 100
pass in quick proto esp from 99.88.77.0/24 to any group 100
pass in quick proto udp from 99.88.77.0/24 port = isakmp to any port = isakmp group 100
pass in quick proto tcp from 99.88.77.0/24 to any port = ssh flags S keep state group 100
pass in quick proto udp from any to 11.22.33.44 port = domain keep state group 100
pass in quick proto tcp from any to 11.22.33.44 port = smtp flags S keep state group 100
pass in quick proto udp from any port = ntp to any keep state group 100
pass in quick proto tcp from any to 11.22.33.44 port = 443 flags S keep state keep frags group 100
pass in quick proto tcp from any to 11.22.33.44 port = 80 flags S keep state keep frags group 100
block in quick proto tcp from any to any port 135 >< 140 group 100
block in quick proto tcp from any to any port = 445 group 100
pass in quick proto icmp all icmp-type 0 group 100
pass in quick proto icmp all icmp-type 3 group 100
0661名無しさん@お腹いっぱい。
NGNGblock out quick from 10.0.0.0/8 to any group 200
block out quick from 192.168.0.0/16 to any group 200
block out quick from 172.16.0.0/12 to any group 200
pass out quick proto tcp from any to any flags S keep state keep frags group 200
pass out quick proto esp from any to 99.88.77.0/24 group 200
pass out quick proto udp from any port = isakmp to 99.88.77.0/24 port = isakmp group 200
pass out quick proto tcp from any to 99.88.77.0/24 port = ssh flags S keep state group 200
pass out quick from any any port = domain keep state group 200
pass out quick proto tcp from any to any port = smtp flags S keep state group 200
pass out quick proto udp from any to any port = ntp keep state group 200
pass out quick proto tcp from any to any port = 443 flags S keep state keep frags group 200
pass out quick proto tcp from any to any port = 80 flags S keep state keep frags group 200
pass out quick proto icmp all icmp-type 8 keep state group 200
pass out quick proto icmp all icmp-type 3 group 200
pass out proto udp from any to any port 33434 >< 33690 keep state group 200
pass in on dc0 all head 300
pass out on dc0 all head 400
block in quick from 127.0.0.0/8 to any group 300
block in quick from any to 127.0.0.0/8 group 300
0662名無しさん@お腹いっぱい。
NGNGポリシーの説明もなしに、660-661を読んでくれってのは無しだなあ。
0663名無しさん@お腹いっぱい。
NGNG「どうしたい」は、普通にfirewall。”普通に”がまたあれですが。
どうなるは、mail server,httpd,proxy等が糞詰まり、かな。
多分、DNSが引けてないような。
DNSの構成は、
11.22.33.44(rl0)で、bindが
192.168.0.254(dc0)でdnscashe
192.168.0,253(dc0)で、tinydns
が動いていて、
resolv.confは、192.168.0.254ということになってます。
0664名無しさん@お腹いっぱい。
NGNG0665名無しさん@お腹いっぱい。
NGNG「普通に」もわからんし「糞詰まり」もわからん。
> 多分、DNSが引けてないような。
多分って言われてもな。
そのくらいちゃんと切り分けしてくれよ。
0666名無しさん@お腹いっぱい。
NGNG
■ このスレッドは過去ログ倉庫に格納されています