FreeBSDでBBルータを作ろう互助会 2Mbps

[0001 名無しさん＠お腹いっぱい。 NG NG]

高い金出して最近のへぼなブロードバンドルータ買うより全然いいと思うぞ。
「PPPoEの方法」
「NATにする方法」
「NICを2枚使う方法」
「ファイヤーウォール設定・セキュリティ対策」
その他なんでもいいからここで質問＆アドバイスして輪を広げてこう。
悪質ブロードバンドルーター製品逝ってよし！

前スレ
　FreeBSDでBBルータを作ろう互助会
　http://pc.2ch.net/test/read.cgi/unix/1038060563/

最近のブロードバンドルータは安くて速いぞ。遅くてヘボいルーター作るなよ。

[0951 名無しさん＠お腹いっぱい。 NG NG]

今FreeBSD環境がないので /etc/defaults/rc.conf を参照したところ
pf_enable="NO"# Set to YES to enable packet filter (pf)
pf_rules="/etc/pf.conf"# rules definition file for pf
pf_program="/sbin/pfctl"# where the pfctl program lives
pf_flags=""# additional flags for pfctl
pflog_enable="NO"# Set to YES to enable packet filter logging
pflog_logfile="/var/log/pflog"# where pflogd should store the logfile
pflog_program="/sbin/pflogd"# where the pflogd program lives
pflog_flags=""# additional flags for pflogd

[0952 名無しさん＠お腹いっぱい。 NG NG]

947 名前：ここ壊れてます[] 投稿日：

[0953 名無しさん＠お腹いっぱい。 NG NG]

> pflog_enable="NO"# Set to YES to enable packet filter logging
いかがなものか

[0954 名無しさん＠お腹いっぱい。 NG NG]

ipfilter+ipnat から pf に乗り換えたいけど、設定書くのが面倒で放置しっぱなし。
同じような理由の人も多いはず。
どっかにpf.confのテンプレ置いてあるサイトない？

[0955 名無しさん＠お腹いっぱい。 NG NG]

>>954
大量にあるから、ちったぁぐぐれ、バカ。

[0956 名無しさん＠お腹いっぱい。 NG NG]

ipfilter記法互換でもあるし

[0957 NG NG]

あの〜、5.3Rにしてから、
upnp,linuxigdが調子悪いんだけど・・・・うちだけ、

NTTのVoIPアダプタのipnatが中途半端にしか張れないの。
Port5060だけで、5090,5091がだめなの・・なんでだろう

[0958 名無しさん＠お腹いっぱい。 NG NG]

>>923 これは?
ttp://cvs.sourceforge.net/viewcvs.py/mpd/mpd/src/log.c?r1=1.5&r2=1.6&sortby=date&diff_format=u

[0959 958 NG NG]

ねえったら

[0960 名無しさん＠お腹いっぱい。 NG NG]

>>954
OpenBSDのサイトにあるFAQでもわかんないの？あんなに丁寧なのに。

[0961 954 NG NG]

わかんないんじゃなくて、書くのが億劫なの。
それにしてもpfの文法って綺麗だねぇ。

[0962 名無しさん＠お腹いっぱい。 NG NG]

>>961
新しく作られたソフトだけにipfwやipfilterの嫌なところは十分見ただろうしね。
だから、それらよりもシンプルで使いやすいルールになってて当然だね。

そういえば、pfのNATルールはどこで適応されるんだろうね。

[0963 名無しさん＠お腹いっぱい。 NG NG]

5.3Rp2でamd64マシンでIPSEC使えない

[0964 名無しさん＠お腹いっぱい。 NG NG]

>>961
お前がバカなのはよくわかったから、消えろ

[0965 名無しさん＠お腹いっぱい。 NG NG]

よし俺がカレーに961GET

[0966 名無しさん＠お腹いっぱい。 NG NG]

>>962
nat(translation)ルールとfilterルールの評価順を気にしてる？

[0967 名無しさん＠お腹いっぱい。 NG NG]

PF: OpenBSD パケットフィルター
http://www.openbsd.org/faq/pf/ja/index.html

このドキュメントで十分ですよ。

[0968 名無しさん＠お腹いっぱい。 NG NG]

>>962
ttp://www.openbsd.org/faq/pf/ja/nat.html
ここにある通りだと思うけど。
>>961
だから ttp://www.openbsd.org/faq/pf/ja/index.html にテンプレも含まれてるだろうが。
足りない部分はipf.confからコピペすればいいだろ？
それも億劫？じゃあ息するのも億劫だろ？

[0969 962 NG NG]

>>966
うん。気にしてる。
ipfwだとdivertするところでNATがされていることがわかってたけれど、
pfだとNATルールをfilterの間にかけないからどうなるのか気になる。

[0970 962 NG NG]

と思ったら>>968の投稿があった。
ちょっと読んでみます。

[0971 961 NG NG]

>>968
　 　　　　　 _, ,_ ∩　　　ﾔﾀﾞﾔﾀﾞ
　　　　　（#`Д´）ﾉ
　　　　⊂l⌒i　 /　　　　ｼﾞﾀｼﾞﾀ
　　　　　（＿） )　 ☆
　　　　　((（＿）☆ 　ﾄﾞﾝﾄﾞﾝ

ipfwからipfへの乗り換えの時もそうだったけど、
テストランする度に回線が切れたりとかで、その間なにかと不便だったりするじゃん。
# つーか息するのも億劫。氏ぬか…。

[0972 名無しさん＠お腹いっぱい。 NG NG]

>>971
コメント外せよ

[0973 名無しさん＠お腹いっぱい。 NG NG]

FreeBSD-5.3Rを使っています。
GENERICに追記
opsions NETGRAPH
opsions IPFILTER
opsions IPFILTER_LOG
opsions IPFILTER_DEFFAULT_BLOCK
opsions TCP_DROP_SYNFIN
(opsions PFIL_HOOKSを有効にするとGENERIC unkown opsions PFIL_HOOKSと言われちゃいました）
rc.confに追記
ipfilter_enable="YES"
ipfilter_rules="/etc/ipf.rules"
ipfilter_flags""
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"
ipmon_enable="YES"
ipmon_flags="-D /var/log/ipf.log"
ipf.rulesは
pass in all
pass out all
ipnat.rulesは
map rl0 aaa.bbb.ccc.0/24 -> 0/32
rdr rl0 0.0.0.0/0 port 80 aaa.bbb.ccc.ddd ports 80
上記のように設定してみましたが、外部NATしていないみたいです。
どのあたりを修正すればいいでしょうか？
ご教授お願いいたします。

[0974 名無しさん＠お腹いっぱい。 NG NG]

rl0はどこにつながっているのさ。
ifconfig貼りなされ。

[0975 名無しさん＠お腹いっぱい。 NG NG]

>>974
すいません。
WAN側　rl0
LAN側　fxl0=aaa.bbb.ccc.xxx
rl0を利用してPPPoE接続しています。

[0976 名無しさん＠お腹いっぱい。 NG NG]

>>973
PFIL_HOOKSについては、
>20040922:
> PFIL_HOOKS are a fixed part of the network stack now and do not
> need to be specified in the kernel configuration file anymore.
> Remove 'options PFIL_HOOKS' from your kernel config file.
ということだ

[0977 名無しさん＠お腹いっぱい。 NG NG]

>>976
ありがとうございます。
するとIPfilterを有効にする時は、モジュールで読み込みさせてもいいわけですね。
肝心の記述が・・・

[0978 名無しさん＠お腹いっぱい。 NG NG]

>>973map ng0 aaa.bbb.ccc.0/24 -> 0/32rdr ng0 0.0.0.0/0 port 80 aaa.bbb.ccc.ddd ports 80

[0979 名無しさん＠お腹いっぱい。 NG NG]

>>978
userland-pppだったらng0でなくてtun0になるんじゃない?
どちらと質問している椰子が書いていないのがよくないが。

つまり、
PPPoEしているわけだからWANのIPアドレスはtun0かng0についてるわけで、
そういうのがついているのをNATの時は指定しないといけないということだ。
これはipfilterに限らずipfwでもpfでも同じことだけどね。

[0980 名無しさん＠お腹いっぱい。 NG NG]

>>979
ありがとうございます。
WANのIPアドレスはtun0に出ております。
rl0をtun0に換えてみてもwebは見ることが出来ませんでした。

[0981 973 NG NG]

defaultrouterって指定しなきゃいけないって事ないですよね？

[0982 名無しさん＠お腹いっぱい。 NG NG]

教えてください。PRO/100 + とPRO/100 Sが一枚ずつ在ります。
一枚だけ指すとどちらもfxp0として認識しますが、二枚目を指しても二枚目は認識しません。
デバイスの追加等必要なのでしょうか？
/dev/net には fxp0というディレクトリは在るのですが fxp1は無いです。
OSは5.3です。

[0983 名無しさん＠お腹いっぱい。 NG NG]

>>982
fxp1は、どのバージョンにも存在しないと思います。

[0984 名無しさん＠お腹いっぱい。 NG NG]

>981
まさかBGP+でフルルートもってるのか？
覚えておこう。
フルルートを持っていないホストは、必ずdefaultrouteを設定すべし。

例外が無いわけではないが、973の環境ではWAN側にdefaultrouteが必要。
というかtun0で接続したときにroute add defaultしてない？

[0985 名無しさん＠お腹いっぱい。 NG NG]

はあ? BGP言ってみたかっただけちゃうんかアホ。

[0986 名無しさん＠お腹いっぱい。 NG NG]

久しぶりに見たらクソ書き込みが増えたなぁ。

[0987 名無しさん＠お腹いっぱい。 NG NG]

>>986
おめぇみてぇのをクソ書き込みって言うんだよ
犬板に帰れ

[0988 名無しさん＠お腹いっぱい。 NG NG]

>>982
cat /var/run/dmesg.boot |egrep '(fxp|inphy|pci)' した結果を貼ってみ。
ifconfig -aの結果も忘れないように。

/dev/net/というのがdevfsになってから生まれたのね。


>>983
2枚挿せば2枚目をfxp1として認識する。
いい加減なこというな。

[0989 名無しさん＠お腹いっぱい。 NG NG]

>>980
NATを提供してるホストから外のWebページは見えてるわけ?
そこが駄目だったらいくらNATの設定をこねくり回しても何も変わらんと思うが。

NATを提供しているホストがOkだったら、
NAT配下のホストがNAT提供ホストと通信できるかを調べるべきだよね。

その上で
gateway_enable="YES"をしているか
firewallで接続を拒否していることはないか
を調べるよね。

なんか、NATをするとかそいうこと以前の問題が解決されていない気がする。

[0990 980 NG NG]

>>989
ありがとうどざいます。
NATを提供しているホストから外部への接続されています。（cvsup等を使ってportsを更新出来ています）
また、単なるゲートウェイとして、接続したクライアントからwebは見えます。

[0991 名無しさん＠お腹いっぱい。 NG NG]

>>988
認識はするのと存在するのは別ものでしょ？
両方にケーブルを差し込んで/stand/sysinstallで設定（接続）
ifconfig -aで見てみたら良いのでは？

[0992 名無しさん＠お腹いっぱい。 NG NG]

>>990
tcpdump -ni tun0してみたまえ。

[0993 名無しさん＠お腹いっぱい。 NG NG]

>>991
普通、「認識する」は「attachに成功する」だなあ。
あげ足取るの楽しいか?
それに、mediaの検出とinterfaceのattachは無関係だし。
(attach失敗すりゃ当然mediaの検出はしないけどな)

[0994 982 NG NG]

>>988
長いのでちょっと端折ります。
# cat /var/run/dmesg.boot |egrep '(fxp|inphy|pci)'
（出てきた行 pcib0:pci0:isab0:atapci0:ata0:ata1: uhci0: pci0:
fxp0: <Intel 82550 Pro/100 Ethernet> port 0xff00-0xff3f mem 0xfff40000-0xfff5ffff,0xfff7f000-0xfff7ffff irq 10 at device 19.0 on pci0
miibus0: <MII bus> on fxp0
inphy0: <i82555 10/100 media interface> on miibus0
inphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
fxp0: Ethernet address: AA:AA:AA:AA:AA:AA
# ifconfig -a
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet 192.168.1.41 netmask 0xffffff00 broadcast 192.168.101.255
inet6 fe80::202:b3ff:fe8d:5572%fxp0 prefixlen 64 scopeid 0x1
inet6 2001:*:*:*:*:*:*:* prefixlen 64 autoconf
ether AA:AA:AA:AA:AA:AA
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: 〜略〜 lo0: 〜略〜 tun0: 〜略〜

fdxp0しか出てきません。。。ちゃんと認識できなくて代わりに inphy0 で認識してしまったのかと思いましたが、
チップは２枚とも82550か82559（刻印が読み取りにくい）で、一枚刺しの時もinphy0は存在しました。
/stand/sysinstall -> config -> Networking -> Interfaces でも、fxpはfxp0しか出てきませんでした。
普通は２枚目のPRO/100刺せばfxp1として認識するものなんでしょうか。
長々すんません。。。とりあえず、今一旦BIOSクリアしたらbootしなくなったのでそっちの対応してきます。。。

[0995 名無しさん＠お腹いっぱい。 NG NG]

>>994
両方ともfxp0で認識されると思うよ。
アドレスを割り振ったら
fxp0: flags=8843〜〜
　　　〜〜
　　　inet 192.168.1.41 netmask〜
inet xxx.xxx.xxx.xxx netmask〜
こんな形で表示されるんじゃ〜ない？
　頭の悪い私は同じdeviceのは使わないようにしてるけど、

ついでに、頭の悪い私は新しいスレッドはよう立ち上げません。
どなたか、お願いいたします。

[0996 名無しさん＠お腹いっぱい。 NG NG]

fxp1認識しました。。。
結局最後まで原因はわからず。
BIOSクリア→立ち上がらなくなる→NIC２枚とも抜く→一枚刺す→Boot成功→二枚目刺す→boot成功、fxp1認識

といった感じでした。
アドバイスをくれた皆さん、ありがとうデス。
お礼に次スレたてようと思ったらホスト規制中でした orz

[0997 名無しさん＠お腹いっぱい。 NG NG]

ＩＳＰ変えてたててみました。。。


FreeBSDでBBルータを作ろう互助会 3Gbps
http://pc5.2ch.net/test/read.cgi/unix/1102740133/

[0998 名無しさん＠お腹いっぱい。 NG NG]

その次は 4Tbps になるのか。

[0999 名無しさん＠お腹いっぱい。 NG NG]

>>996
FreeBSDのPCIバスナンバー割り当てが腐っている。
今はたまたまPCIBIOSがうまく割り当てているのだろう。

[1000 名無しさん＠お腹いっぱい。 NG NG]

1000