FreeBSDでBBルータを作ろう互助会 3Gbps
■ このスレッドは過去ログ倉庫に格納されています
0001名も無きfxp25
NGNG「PPPoEの方法」
「NATにする方法」
「NICを2枚使う方法」
「ファイヤーウォール設定・セキュリティ対策」
その他なんでもいいからここで質問&アドバイスして輪を広げてこう。
悪質ブロードバンドルーター製品逝ってよし!
最近のブロードバンドルータは安くて速いぞ。遅くてヘボいルーター作るなよ。
前スレ
FreeBSDでBBルータを作ろう互助会
http://pc.2ch.net/test/read.cgi/unix/1038060563/
FreeBSDでBBルータを作ろう互助会 2Mbps
http://pc5.2ch.net/test/read.cgi/unix/1060660932/
関連サイト
pf:http://www.openbsd.org/faq/pf/ja/index.html
0112名無しさん@お腹いっぱい。
05/02/25 05:52:41ツマンネ
0113名無しさん@お腹いっぱい。
05/02/25 21:23:130114名無しさん@お腹いっぱい。
05/02/26 00:18:26pfにチャレンジして成功したから機嫌がいい、ってだけじゃないんでしょ?
0115名無しさん@お腹いっぱい。
05/02/27 01:07:50/var/log/pflog が pcap 形式だから tcpdump や ethereal に
食わせていろいろできる。
0116名無しさん@お腹いっぱい。
05/02/27 23:15:190117名無しさん@お腹いっぱい。
05/02/28 00:02:440118110
05/02/28 09:20:01個人的に一番良いと思ったのは↓
ttp://www.openbsd.org/faq/pf/ja/queueing.html
IPFW2では、ACK を最優先で返すとか、ここまで細かく制御できなかったから。
あと、前述の scrub でIFを通過するパケット全部を簡単にMSS調整できるのも良かった。
最後発だけあって、定義ファイルの書き方が洗練されてる感じがした。
でも、PFのログ周りは、syslogに出力しようとしたらまだまだ貧弱。
ttp://www.openbsd.org/faq/pf/ja/logging.html#syslog
0119名無しさん@お腹いっぱい。
05/03/02 17:33:07すると mpd に PPPoE を喋らせつつ、
PF でパケットフィルタリング/MSS 調整すれば
unnumbered 環境で mpd を使おうとしたときにあった各種問題が解決、
という理解で良いのかな?
0120名無しさん@お腹いっぱい。
05/03/02 20:41:03むしろ pcap だから(・∀・)イイ!!んでない
0121110
05/03/02 23:13:17Yes
うちのunnumbered環境では何の問題もなし
>120
そういう人もいるだろうね。
でも自分は IPFW2 のようにリアルタイムに syslog に出力されるほうが好み。
(結局、リアルタイムにファイルに書くperlスクリプトを自分で書いてしまった)
0122名無しさん@お腹いっぱい。
05/03/03 01:38:51常時
> リアルタイムにファイルに
書く必要はないのでは?
つか, 必要なのは log 解析時点で`
`何残ってる''
なんで...
syslog って, システム*混みまくる*と, messages こぼすけど
その辺は?
0123名無しさん@お腹いっぱい。
05/03/04 12:37:17cronとか使って定期的に入れ替えるという実装がいいということ?
出力先の変更をやってくれるようなソフトが要りそうだけど...
syslogdだったらそういうのはsyslogdが面倒を見てくれるけれど、
pflogの場合はそこんところどうしてるの?
0124名無しさん@お腹いっぱい。
05/03/10 20:14:320125名無しさん@お腹いっぱい。
05/03/12 18:55:19セクションってなに? session のことか?
だったら, mpd -b -c <port#> で起動して, <port#> で telent かければ
以下のように制御できる.
[flets:PPPoE1] bundle
Defined bundles:
Bundle Links
------ -----
ocn PPPoE0[Opened/UP]
flets PPPoE1[Opened/UP]
[flets:PPPoE1] bundle ocn
[ocn:PPPoE0] close
[ocn] IFACE: Close event
...
[PPPoE0] LCP: phase shift ESTABLISH --> DEAD
<< なぜか改行しないとプロンプトが出ない.
<< このままでもコマンドは受け付けるが...
[ocn:PPPoE0] open
[ocn] IFACE: Open event
...
[ocn] IFACE: Up event
0126名無しさん@お腹いっぱい。
05/03/13 00:43:070127名無しさん@お腹いっぱい。
05/03/13 01:20:490128名無しさん@お腹いっぱい。
05/03/13 20:55:490129名無しさん@お腹いっぱい。
05/03/13 23:07:50それとも誤爆か?
ああ、釣りか。じゃやられたよ、わっはっは。
0130名無しさん@お腹いっぱい。
05/03/14 01:27:24その2スレができている時点で単発質問スレじゃないだろ。
なぜ>>128はスレとまったく関係ない質問を行うのですか?
0131名無しさん@お腹いっぱい。
05/03/14 01:31:100132名無しさん@お腹いっぱい。
05/03/14 10:35:42糞スレ建てんなヴォケ
0133名無しさん@お腹いっぱい。
05/03/14 17:04:25ルータがらみの話をしたくなったときに、もしあっちの質問スレでやらなきゃならないとしたら嫌になっちゃう。
0134名無しさん@お腹いっぱい。
05/03/14 18:03:550135名無しさん@お腹いっぱい。
05/03/14 22:21:460136名無しさん@お腹いっぱい。
05/03/14 22:43:06「単発質問スレではない」
以上。
0137名無しさん@お腹いっぱい。
05/03/14 23:37:500138名無しさん@お腹いっぱい。
05/03/14 23:41:190139名無しさん@お腹いっぱい。
05/03/14 23:51:470140名無しさん@お腹いっぱい。
05/03/18 10:01:080141名無しさん@お腹いっぱい。
05/03/18 10:31:13スレ立ったころはそうだったそうだった。
natdとpppからipnatとmpdへの過渡期だったし。
IPFilterもバージョンアップ中だったし。
0142名無しさん@お腹いっぱい。
05/03/18 12:59:000143名無しさん@お腹いっぱい。
05/03/18 14:52:160144名無しさん@お腹いっぱい。
05/03/18 18:21:10手間かけずに作るならFreeBSDより楽かな?
偏見なしの意見がほしい
0145名無しさん@お腹いっぱい。
05/03/18 18:42:59m0n0wall http://m0n0.ch/wall/ というのがあるので使ってみるがよろし。
0146名無しさん@お腹いっぱい。
05/03/19 02:56:47単にユーザーのレベルが低いだけ。
0147名無しさん@お腹いっぱい。
05/03/19 02:58:41インスコ一発が目的ならFreeBSDなんて使う必要ないんじゃないかな。
WindowsとかLinuxのほうがよっぽど便利だよ。
0148名無しさん@お腹いっぱい。
2005/03/21(月) 19:12:00いや、インスコ一発でやりたいなら市販のBBルーターだろ。
わざわざPCにやらせて問題をややこしくしたり潜在的なセキュリティーホールを
作ったりすることは無い。PCルーターに比べて電気代も安くつくだけでなく、
設定もOSインストールやルーターソフトのインストールおよび設定に比べて
簡単だからね。
0149名無しさん@お腹いっぱい。
2005/03/21(月) 19:48:50要約すると「何でも全部いりサーバーが作れる」みたいな。
0150148
2005/03/21(月) 20:44:26これのこと?
http://x68k.net/diary/?200307a&to=200307091#200307091
もれはFreeBSDルーターを否定するつもりは無いよ。
市販のルーターでは初心者に使いやすくするために
様々な機能をどうやって実現しているかというのがブラックボックス化されていて
想定外のトラブルが起きたときに修復することはマズできないのに対して、
FreeBSDルーターだとソースコードを読めて根気さえあれば自分で解決できるから。
また、帯域制限など市販の安いルーターでは実現されていない機能をサポートするにも
FreeBSDルーターがよいと考えている。
しかしながら、そういったいい部分を使うにはそれなりの知識と技術が必要なわけで
それを身につけるつもりが無いなら市販のBBルーターを使うのが最良だと思う。
技術や知識無しにそういった部分を使えるようにするというのは可能だろうけれど、
それで変な設定をしてしまうリスクが増えてかえって利用者を不幸にするんじゃないの?
0151名無しさん@お腹いっぱい。
2005/03/21(月) 20:54:35使ってそういう市販の安いルータなみに簡単なインタフェースで
なおかつ高機能なものを作るようなプロジェクトってsourceforgeにあったり
しないのかね。特にsf.jpにいるような人はそういうの好きそうな気がするけど。
0152名無しさん@お腹いっぱい。
2005/03/21(月) 21:38:38そういうのがお前の望みか?
出て行け。
0153名無しさん@お腹いっぱい。
2005/03/23(水) 01:28:59floppy-1
monowall
0154名無しさん@お腹いっぱい。
2005/03/26(土) 11:18:150155名無しさん@お腹いっぱい。
2005/03/30(水) 02:07:29natd+ipfwで rc.firewall の SIMPLE の雛型使ってる人。
out側のここ
onet="192.0.2.0"
omask="255.255.255.240"
oip="192.0.2.1"
なんて書いてます?
0156名無しさん@お腹いっぱい。
2005/03/30(水) 02:37:40湖面と会うとしちゃえば?
0157名無しさん@お腹いっぱい。
2005/03/30(水) 03:10:30けど、/etc/rc.d/を見ると、dhclientより先にipfwが起動されるようなので、うまく順番を変えてやる必要があるようだ。
0158名無しさん@お腹いっぱい。
2005/03/30(水) 06:41:37以前dhclinet起動時にkickするスクリプト中でipfwの設定をしている人を見たことがある。
0159名無しさん@お腹いっぱい。
UNIX時間(+0900)35/04/02(土) 09:35:50使えている人います?
久しぶりにOSを上げて、4.11-Rにし、mpdもports経由でアップデート
したけど、mpdのPPPoEはOKだけど、PPTPは使えなくなった。
カーネルのnetgraph周辺がアップデートされたのが影響しているみたい
だけど、だれか解決できた人いませんか?。 または、ポインターだけでも
教えてくれると助かります。
0160名無しさん@お腹いっぱい。
2005/04/04(月) 15:02:56できないの?
0161名無しさん@お腹いっぱい。
2005/04/04(月) 15:08:54http://pc.2ch.net/test/read.cgi/unix/1038060563/
この最初のスレのdatちょうだい
0162名無しさん@お腹いっぱい。
2005/04/04(月) 15:26:47http://makimo.to/2ch/
検索ぐらいしましょう。
0163名無しさん@お腹いっぱい。
2005/04/04(月) 16:44:170164名無しさん@お腹いっぱい。
2005/04/04(月) 16:58:40素材は他にもあるんだから自分でしましょう
0165名無しさん@お腹いっぱい。
2005/04/04(月) 17:10:38できるっしょ。
0166名無しさん@お腹いっぱい。
2005/04/09(土) 21:31:35FreeBSD鯖にNICが3枚刺さってて、うち1枚は外と繋がってます。
で、あとの2枚が中(イントラ側)となってるんですが、2枚のIFに同じネットワークのIPを割り当てては
ダメなんでしょうか?ググって調べても、必ずといって良いほど違うネットワークになるようにIP
が振られているので。
右側---192.168.0.0/24----(192.168.0.253)[鯖](192.168.0.254)----192.168.0.0/24---左側
としてはダメ?
0167名無しさん@お腹いっぱい。
2005/04/09(土) 21:53:59ifconfig_fxp0="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig_fxp1="inet 192.168.0.2 netmask 255.255.255.0"
ifconfig_fxp2="inet 192.168.0.3 netmask 255.255.255.0"
は当然できる。
ifconfig_fxp0="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig_fxp1="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig_fxp2="inet 192.168.0.1 netmask 255.255.255.0"
はできない。
0168名無しさん@お腹いっぱい。
2005/04/09(土) 22:15:54そーゆー構成にしたい場合は鯖をブリッジにする
0169166
2005/04/09(土) 22:26:33その場合
右側---192.168.0.0/24----(192.168.0.1)[FreeBSD鯖](192.168.0.2)----192.168.0.0/24---左側
右側にぶら下がっているマシンから左側にぶら下がっているマシンへパケットを飛ばしたい場合、
鯖に何も設定しなくても良きに計らってくれるんでしょうか?(右側も左側も同一ネットワークだから
設定不要?)
>>168
えと、ブリッジ、とはちょっと目的が違うので。
単に
外---[鯖]---[HUB]====[PC数台]
で済む所を、HUBのポートが足りなかったのでHUBを買いなおす代わりに鯖にNICをもう1枚追
加しただけなんで・・・なのでネットワークを分けるとかそういう意図は全然ないんです。
0170名無しさん@お腹いっぱい。
2005/04/09(土) 23:44:53> 鯖に何も設定しなくても良きに計らってくれるんでしょうか?
良きに計らってはくれませんので、ブリッジの設定が必要です。
そうでないと左右のネットワーク間でARPパケットが到達できません。
つーか、試せるならとりあえずいろいろ試してみればいいかと。
これ以上はスレ違いな気がしないでもないが。
0172名無しさん@お腹いっぱい。
2005/04/10(日) 11:48:29うちはWAN側にem0、LAN側にre0,re1,re2があって、re0,re1,re2はブリッジ設定だ。
--- sysctl.conf
net.link.ether.bridge.config=re0,re1,re2
net.link.ether.bridge.ipf=1
net.link.ether.bridge.enable=1
--- start_if.re0
ifconfig re0 up
--- start_if.re1
ifconfig re1 inet 192.168.12.1 netmask 0xffffff00
--- start_if.re2
ifconfig re2 up
ってな感じ。
さらにここにath0を足して無線アクポにしようとした。一応機能するんだが、不安定でイライラしたので外してある。
0173166
2005/04/11(月) 23:01:37な、なるほどぉぉぉッッッッ!!
そういう設定にすればいいのかぁぁぁァッ!!!
re0, re1, re2 は同一ネットワークだからIPもre1のみに振れば良いと言うわけですね。
早速試して見ます。アドバイスありがとうございます。
0174名無しさん@お腹いっぱい。
2005/04/12(火) 17:37:24マッチ条件に
port 5000-9999 のうち、port 8888を除いた全て
という指定は出来ないのでしょうか?
ipfw add 100 deny tcp from any to me {5000-9999 and not 8888}
だとエラーになってしまうんですが・・・
# {5000-8887 or 8889-9999} という記述は無しで
0175名無しさん@お腹いっぱい。
2005/04/12(火) 23:10:54ifconfigの出力かなんかからシェルで
・アドレス
・ネットワークアドレスを
・ネットマスク
を取得してipfwの設定に渡したいんですけどね。
ifconfigの出力にはアドレス、ネットマスクはあるけど
ネットワークアドレスはないですね。
ブロードキャストアドレスはあるけど・・・
ネットマスクの値をゲットするのにどうやってます?
0176名無しさん@お腹いっぱい。
2005/04/12(火) 23:19:39pf使ってるから、そのあたりの面倒なことで苦労しなくて済んでる。
0177名無しさん@お腹いっぱい。
2005/04/12(火) 23:26:14ファーストマッチなんだから
port 8888の処理
port 5000-9999の処理
とかじゃだめ?
0178名無しさん@お腹いっぱい。
2005/04/13(水) 08:04:12ifconfigの出力をPerlなどで切り出す。
アドレスとネットマスクのandを計算すればネットワークアドレスも得られるし
そんなに難しいか?
0179名無しさん@お腹いっぱい。
2005/04/13(水) 23:07:01perlを使えばそりゃ簡単。
シェルだけでできないかっつー質問
0180名無しさん@お腹いっぱい。
2005/04/13(水) 23:42:50アホ?
そんぐらいシェルでも余裕だけど。アホ?
0181178
2005/04/14(木) 00:48:28そんなことどこにも書いてないぞ、という突っ込みはおいておいて。
Perlを使えない理由は?
まあ、awkとsedを駆使すればPerlは要らないけど、Perlの方が書きやすい。
0182名無しさん@お腹いっぱい。
2005/04/15(金) 09:11:16└ ftp server
firefoxのbookmarks synchronizerがftpのPASVと非PASVを選択できないせいで
clientからftp serverに接続しようとするとFreeBSDのWAN側のアドレスを返されてしまうので
当然のごとく接続できません
pfでうまくリダイレクトできないものかと考えてみたもののいい方法が思いつかない。
何かいい方法ないでしょうか
0183名無しさん@お腹いっぱい。
2005/04/15(金) 14:06:22よくわからないが、FreeBSD boxにftp proxyを置くのはどうか。
/usr/ports/ftp/ftpproxyとか。
0184名無しさん@お腹いっぱい。
2005/04/15(金) 21:10:07ftpserverはclientと同じLAN内です。FreeBSDにぶらさがってます
ftp-proxy(8)試してみました。inetd.confとpf.confにそれぞれ
ftp stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy
rdr on fxp0 inet proto tcp from 192.168.0.0/16 to (ng0) port = ftp -> 127.0.0.1
としましたが、rdrはされているものの(pf -ssで確認
$ ftp XXXXXXXXX
Connected to XXXXXXXXX
421 Service not available, remote server has closed connection
正直ftp-proxyのことよくわかってません。
あとはftpserver側でPASVに使うポートを制限しておいてから最初からng0に接続しにいって
connection portもdata portも両方FreeBSD boxのinetdでncしてみたり。
これだとログインはできるもののPASV接続に使うポートを全てinetd.confに書かないといけない…
0185名無しさん@お腹いっぱい。
2005/04/16(土) 02:20:40以前、Daemon Newsでそういうネタを見たことがあるけれど、
次のような構造にしてWANからFTPができるようにしてたね。
WAN-NAT1-(LAN)-NAT2-ftpserver
ftpserverにはWAN側のIPアドレスがつけてあって、
外からの接続はNAT1でprivate IPアドレスへの変換、NAT2でglobal IPアドレスへの
変換を行う。
ここで、ftpserverにはglobalなIPアドレスがついているのでPASVの時には
それについているglobalなIPアドレスを返し、WAN側に居るクライアントと通信ができる。
0186名無しさん@お腹いっぱい。
2005/04/20(水) 22:40:38mpd -b を実行するとコンソールにこんなメッセージが出て
ppp が動いてくれませぬ・・・
module_register: module netgraph already exists!
linker_file_sysinit "netgraph.ko" failed to register! 17
カーネルには
options NETGRAPH
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
を加えて再構築してます
0187名無しさん@お腹いっぱい。
2005/04/20(水) 22:48:130188名無しさん@お腹いっぱい。
2005/04/20(水) 23:34:090189名無しさん@お腹いっぱい。
2005/04/21(木) 00:07:29懐かしい話題だから。
0190名無しさん@お腹いっぱい。
2005/04/21(木) 00:52:32ppp+ipfw+natd から ppp+ipf+ipnat にして、さらに mpd なるものを知って
mpd+ipf+ipnat にしてみたところ
module_register: module netgraph already exists!
linker_file_sysinit "netgraph.ko" failed to register! 17
こんなエラーが出て接続出来ません。
ちなみに FreeBSD4.8-stable でカーネルコンフィグファイルに
options NETGRAPH
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
options NETGRAPH_ETHER
を加えて再構築しました。
どうすれば解決出来ますでしょうか?
533 名前:名無しさん@お腹いっぱい。[sage] 投稿日:03/06/01(日) 10:34
>>525>>528
そのエラーメッセージは、カーネルにNETGRAPHが組み込まれているのに
さらに動的モジュール版のNETGRAPHをロードしようとして、同じ物が既にあるから
ロードに失敗したということを示している。
従ってこれはウザい警告なだけであって、その後の動作には影響ない。
pppを使う場合もNETGRAPHを使うけど、この場合はコンフィグにそれらを追加しても
しなくてもよい。ただし、それら4つのうち例えばNETGRAPHだけなどのように
中途半端な追加をするとやはり同じメッセージが出る。たぶん足りない他の3つを
ロードする際にNETGRAPHもロードしようとしてしまうからだと思う。
まあいずれにしてもその後の動作に影響はないけどね。
0191名無しさん@お腹いっぱい。
2005/04/21(木) 22:44:230192名無しさん@お腹いっぱい。
2005/04/21(木) 23:43:100193名無しさん@お腹いっぱい。
2005/04/22(金) 10:41:19options NETGRAPH_BPF
options NETGRAPH_ETHER
options NETGRAPH_IFACE
options NETGRAPH_PPP
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
options NETGRAPH_VJC
してみれ。
0194名無しさん@お腹いっぱい。
2005/04/22(金) 10:50:24options MSGBUF_SIZE=65536
を追加するとレスポンスが上がりました
0195名無しさん@お腹いっぱい。
2005/04/22(金) 14:18:38man altqしてみたらサポートしてるDeviceにngが無い・・・
もしかしなくてもmpdでaltqって使えない・・・?
0196名無しさん@お腹いっぱい。
2005/04/22(金) 14:44:09/etc/rc.confにpfの設定しても、pf起動時にng0がなくて怒られるし。
0197名無しさん@お腹いっぱい。
2005/04/23(土) 00:17:57とかにmpdの起動スクリプトを書いている。
0198名無しさん@お腹いっぱい。
2005/04/23(土) 14:57:29set iface up-script /usr/local/libexec/mpd.linkup
って書いてその中で起動してる。pfじゃなくてipf使ってるけど。
0199名無しさん@お腹いっぱい。
2005/04/24(日) 01:25:080200名無しさん@お腹いっぱい。
2005/04/24(日) 04:06:54日本時間で表示されるのはどうやるのでしょうか?
0201名無しさん@お腹いっぱい。
2005/04/24(日) 04:49:39BBルータ作ってないユーザですが、RELENG_5 の tcpdump.c で
if (tflag > 0)
thiszone = gmt2local(0);
というそれっぽい行があったので、 "tflag tcpdump" でぐぐったところ
http://www.tcpdump.org/lists/workers/2004/06/msg00034.html
これが引っかかったよ。
net/tcpdump のほうはビルドできないね orz
pf2xml
http://www.monkey.org/~jose/software/pf2xml/
というのもあった(awk スクリプト)
http://www.freebsd.org/send-pr.html
なぜか貼っておきますw
0202200
2005/04/24(日) 05:12:58もう本家 3.9 alpha で反映されてますた。
http://www.freebsd.org/cgi/query-pr.cgi?pr=bin/71619
本家で直ってるし、こういう場合 FreeBSD send-pr しないほうがいいのか。
スマソ
0203201
2005/04/24(日) 05:14:180205195
2005/04/24(日) 17:02:190206名無しさん@お腹いっぱい。
2005/04/28(木) 03:43:44ipfwのルールで次の書いてやっても通りませぬぅ・・・
${fwcmd} add pass udp from ${inet}:${imask} to any 500
${fwcmd} add pass udp from any 500 to ${inet}:${imask}
${fwcmd} add pass udp from ${inet}:${imask} to any 10000
${fwcmd} add pass udp from any 10000 to ${inet}:${imask}
このIPsecのisakmpはudpのport 500、実通信はudpの port 10000 という仕様なのは
確認してるのだが。
isakmpはdst,srcともにportは500なんだけど、ひよっとして1023より小さい
port番号のパケットは通さないとかあったりします?
0207名無しさん@お腹いっぱい。
2005/04/28(木) 04:02:510208名無しさん@お腹いっぱい。
2005/04/28(木) 08:33:4803700 0 0 allow udp from any 500 to 192.168.1.0/24
03800 0 0 allow udp from 192.168.1.0/24 to any 10000
03900 0 0 allow udp from any 10000 to 192.168.1.0/24
LAN(192.168.1.0/24)からWANへ抜けていかないのでisakmp(port 500)の
パケットが返りも来ない状態です。WAN側、LAN側を同時にtcpdumpして
確認もしてます。
0209名無しさん@お腹いっぱい。
2005/04/28(木) 13:19:09${fwcmd} add pass udp from any 500 to any
${fwcmd} add pass udp from any to any 10000
${fwcmd} add pass udp from any 10000 to any
これで抜けない?。
0210208
2005/04/28(木) 22:22:49しかしinside側のプライベートセグメントはNAT変換されるから
指定しても無意味ってことでしょうか。。
0211名無しさん@お腹いっぱい。
2005/04/30(土) 12:09:00気持ち悪ければ NAT 通る前にあらかじめ対象外のパケットを落としちゃえば?
もっとも既に他のルールで落ちちゃってるかもしれないけど。
■ このスレッドは過去ログ倉庫に格納されています