FreeBSDでBBルータを作ろう互助会 3Gbps
■ このスレッドは過去ログ倉庫に格納されています
0001名も無きfxp25
NGNG「PPPoEの方法」
「NATにする方法」
「NICを2枚使う方法」
「ファイヤーウォール設定・セキュリティ対策」
その他なんでもいいからここで質問&アドバイスして輪を広げてこう。
悪質ブロードバンドルーター製品逝ってよし!
最近のブロードバンドルータは安くて速いぞ。遅くてヘボいルーター作るなよ。
前スレ
FreeBSDでBBルータを作ろう互助会
http://pc.2ch.net/test/read.cgi/unix/1038060563/
FreeBSDでBBルータを作ろう互助会 2Mbps
http://pc5.2ch.net/test/read.cgi/unix/1060660932/
関連サイト
pf:http://www.openbsd.org/faq/pf/ja/index.html
0228名無しさん@お腹いっぱい。
2005/05/15(日) 00:03:35試して見ました。全く変わりません。kldstatで見るとちゃんとng_*.koは読み込まれてる
んですけど、それでも "Cannot send a netgraph message: fxp0〜" と言われます。
>>227
すみません、書き方が足りなかったです。
既にmpdで通信できているFreeBSD 4.10R鯖があって、これと並行試験をするために
今回別途5.4R鯖を立てて、4.10Rのときと全く同じ手順でmpdを導入しようとしてハマッ
ている最中なのです。4.10Rの時は上記の手順でmpdが動きました。
0229名無しさん@お腹いっぱい。
2005/05/15(日) 00:19:070230名無しさん@お腹いっぱい。
2005/05/15(日) 00:54:03>>229
生えてます。
という訳でこんなページを見つけたので、↓
ttp://lists.freebsd.org/pipermail/freebsd-questions/2003-June/008570.html
mpd起動前にあらかじめkldloadで "ng_ether.ko" を手動で読み込ませておいてからmpdを起動
させたら問題なく動くようになりました。4.xではこんなことは必要なかったような・・・
5.xでnetgraphの仕様が変わった事に対してmpdが追従できてない?とかなんでしょうか。
とりあえず根本的な解決法ではないかもしれませんが、しばらくこれで運用してみます。
0231名無しさん@お腹いっぱい。
2005/05/16(月) 12:33:55tcpmssdなんですが、
# tcpmssd -p **** -m 1454
の **** の数値って何にすればいいんでしょう。
/etc/servicesの中のnatdの8668にしくのがいいんですかね?
ぐぐってみると1234とか適当につけてる例も出てるし
0232231
2005/05/16(月) 12:37:02速度を上げたいので mpd + ipf に変えようかと思ったら
カーネルで bpf を外せとのこと。
LAN側はdhcpサーバ動かしたいし、時にはtcpdumpしたい
こともあるんで bpf は外したくないんだけどそれって
mpd + ipf では無理なんですかね。
0233名無しさん@お腹いっぱい。
2005/05/16(月) 13:44:300234名無しさん@お腹いっぱい。
2005/05/16(月) 14:43:46# tcpmssd -p 8668 -m 1492
tcpmssd: can't bind divert socket: Address already in use
となる。natdが既に動いているから8668にしてはダメってことか。
しかし -p 1234 とかやっても windows update に接続できないし
mss書き換えてくれない。どうしたもんだろー
0235名無しさん@お腹いっぱい。
2005/05/16(月) 15:58:40-p で指定したポートで tcpmssd を待ち受けさせて
ipfw の divert でそこに流し込むという使い方じゃなかったっけか
4.11 とか使えば tcpmssd はもう要らなかったと思うが
0236名無しさん@お腹いっぱい。
2005/05/16(月) 17:00:080237名無しさん@お腹いっぱい。
2005/05/18(水) 07:58:52# tcpmssd -p 8669 -m 1492
を実行して、
/etc/rc.firewallに
${fwcmd} add divert 8669 tcp from any to any out recv ${oif} xmit ${iif} tcpflags syn
を追加してみましたが、
mssの書き換えを実施してくれませんでした。
一応 /etc/servicesに、
tcpmssd 8669/divert
と追加もしてみましたが(これは関係ないか・・・)。
0238名無しさん@お腹いっぱい。
2005/05/18(水) 10:24:19mssの値ってISDNなら1000でADSLなら1454じゃないっけ?
というのはさておき、
firewallの設定はまず大域的にやってそれから高速化を目指して限定的にやる
というアプローチがいいと思います。
つまり、これくらいのルールでまずやってみて、それから限定していったほうが
よいかとおもいます。
${fwcmd} add divert 8669 tcp from any to any
これだと出て行く場合も入ってくる場合もtcpmssdに飛ばされますけれど。
tcpflags synとついているのでsynパケットだけtcpmssdに渡されて
正規化されて、他のパケットは渡されないからsynは通るけれど他が通ってない
ということだとおもう。
あと、recv ${oif} xmit ${iif}ってほんと?$oifから来て、${iif}に行くパケットを
正規化しても仕方が無いと思うんだけど、oifというのは内側のNICを指しているんだろうか?
0239名無しさん@お腹いっぱい。
2005/05/19(木) 21:33:18今度はWANからclientの80番に接続できずにいます。
WAN---FreeBSD---client
FreeBSD内側 192.168.10.1
client 192.168.10.2
WANからつないで見るとタイムアウトしているような感じです。
pfの設定はこうなってます。
# macros
ext_if = "sk0"
int0_if = "sk1"
tcp_services = "{ ssh }"
icmp_types = "{echoreq, unreach, squench, timex}"
priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"
local_nets = "192.168.0.0/16"
# options
set block-policy return
set loginterface $ext_if
# scrub
scrub in all
scrub out all max-mss 1414
0240220
2005/05/19(木) 21:34:43# nat/rdr
nat on $ext_if from $local_nets to any -> ($ext_if)
rdr on $int0_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
# filter rules
block all
pass quick on lo0 all
block drop in quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets
pass in quick on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services \
flags S/SA keep state
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out quick on $ext_if proto tcp all modulate state flags S/SA
pass out quick on $ext_if proto { udp, icmp } all keep state
pass quick on $int0_if all
0241220
2005/05/19(木) 21:37:41239 = 220です。
0242220
2005/05/20(金) 20:11:19# macros
ext_if = "sk0"
int0_if = "sk1"
local_nets = "192.168.10.0/24"
# options
set block-policy return
set loginterface $ext_if
# scrub
scrub in all
scrub out all max-mss 1414
# nat/rdr
nat on $ext_if from $local_nets to any -> ($ext_if)
rdr on $int0_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
rdr on $ext_if proto tcp from any to ($ext_if) port 80 -> 192.168.10.2 port 80
これでは届くようになりました。
後はフィルタリングをうまくすればいいようです。
0243220
2005/05/24(火) 01:22:59逆だと思っていました。これで解決します。
0244名無しさん@お腹いっぱい。
2005/05/24(火) 09:58:56自分のやったところだと逆にリダイレクト->フィルタリングだった。
総合して考えて、
quickフィルタリングルール->リダイレクト->普通のフィルタリングルール
quickの方が高速なんだけれど、quick無しのほうが処理時間が一定になるね。
0245220
2005/05/24(火) 20:14:14最終的にはこうなりました。
# macros
ext_if = "sk0"
int_if = "sk1"
tcp_services = "{ ssh, http }"
icmp_types = "{echoreq, unreach, squench, timex}"
priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"
# options
set block-policy return
set loginterface $ext_if
# scrub
scrub in all
scrub out all max-mss 1414
# nat/rdr
nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
rdr on $ext_if proto tcp from any to ($ext_if) port http -> 192.168.10.2 port http
# filter rules
block all
pass quick on lo0 all
block drop in quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets
pass in quick on $ext_if proto tcp from any to any port $tcp_services flags S/SA \ modulate state
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in quick on $int_if from $int_if:network to any keep state
pass out quick on $int_if from any to $int_if:network keep state
pass out quick on $ext_if proto tcp all modulate state
pass out quick on $ext_if proto { udp, icmp } all keep state
誰かの参考になればと思います
0246名無しさん@お腹いっぱい。
2005/05/27(金) 02:14:1610年早かったかorz....ガンガロ...
0247名無しさん@お腹いっぱい。
2005/05/30(月) 02:02:41int_if = "sis1"
ext_if = "sis0"
priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"
int_nets = "{ 内側ネットワークのIPアドレス群 }"
tcp_services = "{ ssh, domain }"
udp_services = "{ domain, ntp }"
icmp_types = "{echoreq, unreach, squench, timex}"
set block-policy return
set loginterface $ext_if
scrub in all
# filter rules
block log all
pass quick on lo all
block drop in quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets
pass in on $ext_if inet proto tcp from any to $ext_if \
port $tcp_services flags S/SA keep state
pass in on $ext_if inet proto udp from any to $ext_if \
port $udp_services
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in on $int_if from $int_nets to any keep state
pass out on $int_if from any to $int_nets keep state
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
上記だと内側ネットワークの端末からTCP通信が出来なかった(UDP,ICMPは可能)
下から二行目のmodulateをkeepに変えたら通信できるようになった。
PF: OpenBSD パケットフィルタに載っていたとおり書いたつもりだったんだけど・・・
何が原因なのか、現状の設定で問題ないか、教えてエロい人!
0248247
2005/05/30(月) 02:06:38flags S/SAも消してました・・・
0249名無しさん@お腹いっぱい。
2005/06/06(月) 18:44:260250中の人
2005/06/07(火) 12:29:16全然更新していませんが、いまだに参考にしてくれている人もいるみたいなので
新しいURLをはっておきます。
ttp://www.daily-labo.com/ygg14.html
0251名無しさん@お腹いっぱい。
2005/06/07(火) 12:35:49乙
0252名無しさん@お腹いっぱい。
2005/06/07(火) 14:45:06週末探してました。ありがとう。
0253名無しさん@お腹いっぱい。
2005/06/08(水) 00:03:19もれもmpd使うときは参考にしたよ。
でも、もれはipfilterの人嫌いだからpf使ったよ。
pfの場合はscrub max-mssでやるね。
ちなみにinだけ設定すれば十分。
0254名無しさん@お腹いっぱい。
2005/06/08(水) 00:18:16喧嘩売ってますか?
0255253
2005/06/09(木) 01:40:32表現が誤解を生んだね。すまん。
もれはTheo教なのでipfilterの作者を嫌いなんです。
ipfilterの利用者にはなんとも思ってません。
0256名無しさん@お腹いっぱい。
2005/06/09(木) 02:04:140257名無しさん@お腹いっぱい。
2005/06/13(月) 01:21:05ルーティングはどうしてますか?
ちなみに、もれはdefault routeをプロバイダにしてFlet's側として見つかったものを
whoisしてnetmaskを求め、一つ一つmpd.confに加えてる。
でも、書いてないものはルーティングされないし、そもそもいちいち設定するのが
面倒くさいので何とかしたいのだが。
0258名無しさん@お腹いっぱい。
2005/06/13(月) 01:40:57ttp://www.flets.com/square/routing.html
0260名無しさん@お腹いっぱい。
2005/06/15(水) 19:03:47/var/log/auth.log を見ると短時間に数百から数千の
不正アクセスを試みている形跡が山盛りあるのですが
こういうアクセスを遮断する、おおげさでない良い方法はありますか?
今は/var/log/auth.logを10分おきに調べて不正アクセス
が多いものを自動でipfw add denyするようにしています。
0261名無しさん@お腹いっぱい。
2005/06/15(水) 22:16:50ipfw add 1 dny from any to any
0262261
2005/06/15(水) 22:17:190263名無しさん@お腹いっぱい。
2005/06/15(水) 22:53:42攻撃がssh経由のログインなら、sshdを外へのインタフェースアドレスに
bind(2)しないように設定するとか?
sshd_config(5)のListenAddressの説明が参考になるかも。
外からログインしたい場合はこれじゃダメだけど。
自分は外へのインタフェースに対してはポート番号を22以外にしたりしてる。
0264260
2005/06/15(水) 23:39:27ありがとうございます。
> 自分は外へのインタフェースに対してはポート番号を22以外にしたりしてる。
やっぱそうするしかないですかね。
友人のサーバのDNS使ってDDNSでおうちADSLにアクセスできるように
してるので、外からも不特定多数がssh経由でloginしてくるため、
なるべくportは変更したくなかったんですが。
0265261
2005/06/15(水) 23:43:28ttp://www.nic.ad.jp/ja/dns/jp-addr-block.html
ttp://www.nic.ad.jp/ja/dns/ap-addr-block.html
このリストにあるIPアドレスからだけ要求を受け付けるとかはだめなのか?
yahooBBだとこのAPNIC直で取ってるから、だめだけど
0266名無しさん@お腹いっぱい。
2005/06/16(木) 00:54:26うちのauth.logにもかなりログインをがんばった形跡がありますね。
まあ、自分の場合は5段くらいで防御しているので全然気になりませんが。
1段目: sshdをjail内部で動作
2段目: jail内部のsshdとしてportable sshを使用
3段目: sshログイン可能なグループを制限
4段目: 認証として使えるのはPublic Key認証のみ
5段目: jail内部のssh_configの設定によりknown_hostsをhashして保存
利用者がアクセスする可能性があるIPアドレスのみをhosts.allowに記述するのが
最も基本的で効果があるアプローチだとは思いますが、いろんな出先から使うことが
多いので自分は上記のようにしてます。OpenSSHのMLを購読してますから
情報は速いですしね。
ちなみに、アクセスのトップ3はroot, admin, testですが、rootはログインできるグループ
に属していませんし、admin, testというユーザーは存在しません。
0267名無しさん@お腹いっぱい。
2005/06/16(木) 01:28:02ssh でのアクセスということなら、アクセスして来る人はそれなりの知識がある
人という前提を考慮してもよさそうな気がします。
Web コンテンツの編集ということなら、ふつーの人向けでありがちなのは FTP か
WebDAV でしょうし。
そう考えると、ポート番号を変えるというのは十分ありな気がします。
あなたにとって本当に不特定多数の人に対して、シェルを使える権限を与えると
いうのはいささか危険だと思います。
0268名無しさん@お腹いっぱい。
2005/06/16(木) 03:59:00往々にして忘れてしまいがちだと思う >port変更。本質的じゃないし。
まあpublic key認証限定なら.ssh/configに書いときゃいいけどさ。
0269名無しさん@お腹いっぱい。
2005/06/16(木) 09:14:43portを変えたらscript kiddleからの攻撃は防げるだろうけれど、
それで失われる利便性がその防御力に見合うかは疑問ですね。
sshdが動いてるportに繋ぐとsshdのシグニチャが出るわけで、
portscanすればsshdのポートを容易に発見できます。
逆に、利用者はおのおののホストごとにport番号を覚えないといけない状況になって、
煩雑さが増しますね。
また、sshの利用者がportの概念があるかは疑問です。
というのも、ほとんどのソフトウェアはsshを含めてそのようなportの変更無しに
利用できますから。
0270名無しさん@お腹いっぱい。
2005/06/16(木) 09:15:580271名無しさん@お腹いっぱい。
2005/06/16(木) 09:28:18やつらの辞書に日本人の名前はsatouとsuzukiくらいしかないらしく、
実際のログイン名を当てたのはrootやmysqlなどのdaemonの名前くらいしかない。
んで、sshd_configに最初に書く設定はPermitRootLogin noで、
daemon系はホームディレクトリも無く、お星様だから、やっても無駄なんだよ!!
0272名無しさん@お腹いっぱい。
2005/06/16(木) 19:36:36(swatch の threshold の仕様が変? で本体に patch 当てて使ってるけど)
0273名無しさん@お腹いっぱい。
2005/06/19(日) 18:02:31mpd で unnumberd ってどうすりゃいいのさ?
linkup スクリプト辺りで delete して別のインターフェースに
つけ変えればいいのかな?
# 16 IP でルータに IP ふると IP の数が足りないので,
# 適当な FreeBSD-box がルータを兼用する事になった.
0274名無しさん@お腹いっぱい。
2005/06/19(日) 18:56:11とりあえず標準のpppを使うことがお勧め。
0275名無しさん@お腹いっぱい。
2005/06/20(月) 15:22:57同意。
pppにNATをやらせれば、FreeBSDはNATつきルータにぶら下げてる感覚で使えるよ。
パフォーマンス的に厳しくなったらmpdを考えればよいかと。
# ルータを「兼用」ならunnumberedにする必然性はないのでは……
0276名無しさん@お腹いっぱい。
2005/06/21(火) 21:29:14もっと適切なスレなどありましたら誘導お願いします。
今、FreeBSD 5.4-RELEASE でルータを作ろうとしています。
手元にあった USB 接続の LAN アダプタ2本、
指すだけで認識して使えたのですが、
困ったことにどちらも aue ドライバで、
認識の順で aue0 aue1 が決まってしまいます。
そのために、LAN の外側内側が決めうち出来なくて困ってるんですが、
何とかインターフェース名を固定できないでしょうか?
ちなみに、LANアダプタは、IO-DATA 製 USB-ET/TX-S と、
PCI 製 UE-200TX です。
外側は、DHCP で IP 等取得します。
0277名無しさん@お腹いっぱい。
2005/06/21(火) 22:16:46> pppにNATをやらせれば
その手があったか...
なら, うちでやってるのと同じ mpd + pf でも OK だな.
0278名無しさん@お腹いっぱい。
2005/06/22(水) 01:27:13認識の順番は不確定なの?
boot時から刺していたら若い番号から順に認識が始まりそうな気がするけど。
USBだけとはノートパソコンにルーターをさせようとしているんだろうか?
高温を与え続けるとノートパソコンのバッテリーの寿命ってどんどん縮むから
ノートパソコンにルーターさせるのってあんまりお勧めできないけどね。
0279276
2005/06/23(木) 18:45:10少なくとも指す場所で変わることは確認しました。
ただ、構成を私以外がいじることがあるので、
指す場所に依存とかいうのは極力避けたいのです。
>ノートPC云々
お察しのとおりです。
ただ、バッテリー内蔵なので、UPS 不要な利点があるかと。
たいした回線帯域もないですし…
甘すぎるでしょうか?
0280名無しさん@お腹いっぱい。
2005/06/23(木) 18:51:550281名無しさん@お腹いっぱい。
2005/06/23(木) 18:59:46素直にUPS導入すべき
0282Zakarum Zealot
2005/06/23(木) 21:41:25http://pc.watch.impress.co.jp/docs/2005/0615/amd.htm
自作板Geodeスレで紹介されてたんだけど、これどうかな。
HDD ありなしが考えられるので、CD/CF/FDとMFS使ってACアダプタでいけたらなあと。
0283278
2005/06/23(木) 23:45:00>>280さんが言うようにメーカーが違えばシグニチャが違うと思うからその情報を
つかって振り分けるようなスクリプトを書くか、dhclientを実行してタイムアウトするまでに
IPアドレスがあたらなかったら逆のI/Fを試すようなスクリプトを書くかしか無いだろうね。
>ノートPC
自分はノートPCルーターをかつて使ってたけれど、熱にやられたのか気づいたときには
バッテリーが駄目になっててバッテリー駆動で1分と持たなくなってた。
自分の心の中には「バッテリーがあるから大丈夫」という過信があっただけに
その症状を見たときはかなりびっくりしたけど。
だから、回線帯域云々より前にUPSの代わりをノートPCのバッテリーにさせるのは
間違っている。通信速度とCPUのスペックの関係はよくわからんけどね。
0284名無しさん@お腹いっぱい。
2005/06/23(木) 23:46:140285名無しさん@お腹いっぱい。
2005/06/25(土) 17:42:42>>273
> 今度 Bフレッツ+OCN で, 固定 IP 運用することになったんだが,
> mpd で unnumberd ってどうすりゃいいのさ?
unnumbered だと
o OCN 側は, network-address を割り当てようとする.
o そのまま使うと FreeBSD は 割り当てられた IP を喋ろうとする.
ので...
PPPoE 側(通常 ng0)の if と switch 側の if に同じ address
(OCN は network-address + 1 を router として期待している)を
割り当てる.
この時 PPPoE 側は netmask 32bit, switch 側は契約した netmask
mpd で設定された default route を delete し, PPPoE の OCN 側
の address または PPPoE 用の if(ng0) に設定してやる.
上記の処理を linkup スクリプトに書けば OK だった.
# PPP 使ってもやるべき処理は似たようなものであろう.
ここで疑問.
unnumbered って, プロバイダに限らず network-address を割り当て
ようとするのであろうか?
0286名無しさん@お腹いっぱい。
2005/06/25(土) 17:45:40〇 OCN に限らず他のプロバイダも...
0287名無しさん@お腹いっぱい。
2005/06/25(土) 21:34:20InfoSphere IP8契約ですが、OCNと同じ挙動です。
0288名無しさん@お腹いっぱい。
2005/06/28(火) 20:01:07KDDIのイーサエコノミーとDSLエコノミーも同じだね。
0289276
2005/06/29(水) 22:20:12なるほど…バッテリーをUPS代わりに考えるのは危険なんですね…
それならデスクトップを一台、どこかから拾ってきてそれで組むことにします。
みなさまありがとうございました。
0290名無しさん@お腹いっぱい。
2005/07/03(日) 12:15:39便乗質問で申し訳ないのですが、
> PPPoE 側(通常 ng0)の if と switch 側の if に同じ address
> (OCN は network-address + 1 を router として期待している)を
> 割り当てる.
> この時 PPPoE 側は netmask 32bit, switch 側は契約した netmask
> mpd で設定された default route を delete し, PPPoE の OCN 側
> の address または PPPoE 用の if(ng0) に設定してやる.
というのは、もしプロバイダーからaaa.bbb.ccc.240/29というアドレスが割り振られていた場合、
mpd.confで
set ipcp ranges aaa.bbb.ccc.241/32 0.0.0.0/0
を指定して、swaitch側にはaaa.bbb.ccc.241/29を指定するという理解であっていますでしょうか?
0291名無しさん@お腹いっぱい。
2005/07/04(月) 07:51:49> set ipcp ranges aaa.bbb.ccc.241/32 0.0.0.0/0
>
> を指定して、swaitch側にはaaa.bbb.ccc.241/29を指定するという理解であっていますでしょうか?
その手があったか...
少なくとも, OCN では OK のようですね.
0292290
2005/07/04(月) 23:20:13ありがとうございます。
無事、KDDIイーサエコノミーでunnumbered接続をすることができました。
今までpppだったので、かなり速くなりました。
0293名無しさん@お腹いっぱい。
2005/07/05(火) 23:36:200294名無しさん@お腹いっぱい。
2005/07/13(水) 14:43:37> プロバイダーからaaa.bbb.ccc.240/29というアドレスが割り振られていた場合
OCNですが、set ipcp ranges を設定してないうちだと、aaa.bbb.ccc.240 が設定される。
そして、PPPoEを受けるfxp0 に向かって
ifconfig fxp0 inet aaa.bbb.ccc.241 netmask 0xffffffff
ifconfig fxp0 inet aaa.bbb.ccc.242 netmask 0xffffffff alias
ifconfig fxp0 inet aaa.bbb.ccc.243 netmask 0xffffffff alias
ifconfig fxp0 inet aaa.bbb.ccc.244 netmask 0xffffffff alias
ifconfig fxp0 inet aaa.bbb.ccc.245 netmask 0xffffffff alias
ifconfig fxp0 inet aaa.bbb.ccc.246 netmask 0xffffffff alias
ifconfig fxp0 inet aaa.bbb.ccc.247 netmask 0xffffffff alias
こっち側では /29 というネットワークとしては使わずIPを /32 * 8 で設定する。
使えるIPが2つ増えてかなりお得。あとはNATなりプロキシなりでなんとか汁。
0295名無しさん@お腹いっぱい。
2005/07/17(日) 12:20:54今はuserland-pppでしのぎ中。
0296名無しさん@お腹いっぱい。
2005/07/17(日) 13:20:36options NETGRAPH_ETHER か kldload ng_ether はやったかい?
0297名無しさん@お腹いっぱい。
2005/07/17(日) 15:03:47まさにそれだった(--;;;;;;
GENERICにすべて入っていると思い込んでたよ。
おかげで今は快適6-BETA1生活中。
そういえば、mpdの開発って終わってしまったのか近頃は全然更新されてないですね。
純粋に開発者が忙しいだけかも知れんけど。
0298名無しさん@お腹いっぱい。
2005/07/17(日) 15:56:47> 純粋に開発者が忙しいだけかも知れんけど。
やっぱり忙しいのかな。
新しくできた ng_tcpmss への対応も、1カ月以上音沙汰なしだし。
ttp://docs.freebsd.org/cgi/mid.cgi?200506100802.j5A82Yqp028321
0299名無しさん@お腹いっぱい。
2005/07/17(日) 18:05:44> GENERICにすべて入っていると思い込んでたよ。
PPPoE にひっぱられて load 去れてたみたいなんだが,
今年の 2月あたりから依存関係が切れてしまったようだ.
> 純粋に開発者が忙しいだけかも知れんけど。
ML のアーカイブ見ると,
Q ports は, なんでいつまで立っても 3.18_2 なんだ?
A 4 にはバグが残ってるからなのよん.
忙しくてバグフィックスができねぇ.
近いうちに何とかする.
ってな事が書いてあった.
0300名無しさん@お腹いっぱい。
2005/07/18(月) 01:55:10もれはpfにやらせてるからそれはあんまり要らないですね。
ipfwを使っている人には必需品でしょうけれど.....
0301名無しさん@お腹いっぱい。
2005/07/27(水) 21:08:320302名無しさん@お腹いっぱい。
2005/07/28(木) 03:07:52これだけはrc.comfに書いとけみたいな感じで。
0303名無しさん@お腹いっぱい。
2005/07/28(木) 03:53:30自分の環境に合わない設定をするやつが出てくるんじゃないかなあ。
まあそういう奴は今でも、Webによくあるインストール日記とかからコピペしてるのかも
しれないけど。
0304名無しさん@お腹いっぱい。
2005/07/29(金) 00:20:13テンプレはあってもいいんじゃないかな?
/etc/hosts.allowみたいに。
ttp://www.tac.tsukuba.ac.jp/~hiromi/index.php?Firewall%2Fipfw4c
なんかいいんじゃない?
0305名無しさん@お腹いっぱい。
2005/07/29(金) 00:45:59生成してexexしなおしてるよん。まぁ1分以内にクラックされたら
アウトだけど。
0306名無しさん@お腹いっぱい。
2005/07/29(金) 01:38:03それ、ステートレスな設定なのでお勧めしない。
0307304
2005/07/29(金) 01:56:27ステートレスって、以下の行があるからいいんじゃないの?
# 接続の確立した TCP パケットを許可
${fwcmd} add pass tcp from any to any established
どこがお勧めじゃなくて、どうすればよいのかご指南くださいませ。
0308名無しさん@お腹いっぱい。
2005/07/29(金) 02:28:55あまり覚えてないけれど、TCPはそれでいい気がする。
stateful inspectionを無駄に使うとメモリーを消費するし、上限に達したら
通信できなくなっちゃうからね。まあ、気にするほどは使わないからkeep stateでも
いいと思うけど。
逆に、statefulにやらないとUDPはがら空きになってしまうのでUDPはkeep stateして
書いたほうがいいと思う。
${fwcmd} add deny udp from any to me 123
${fwcmd} add pass udp from me to any 123 keep state
0309304
2005/07/29(金) 02:42:35サンクスです。
ここはルータスレでしたな。
0310名無しさん@お腹いっぱい。
2005/07/29(金) 09:55:07/etc/rc.firewallはだめ?
あれこそすばらしいテンプレだと思うのだけれど。
pfにも/etc/pf.confがあるしさ。
FreeBSDっていいドキュメントが自分のマシンの中に豊富に入ってるんだよね。
検索エンジンがこんな普及する前から使われていたOSだけにさ。
0311名無しさん@お腹いっぱい。
2005/07/30(土) 06:57:40気が付きませんでした。orz
rc.firewallの使い方もよく分からないです。
英語が苦手で中一程度の英語力しかないので。
日本語訳があれば良いのですが・・・
ネット上の日本語訳された4.x時代の古い情報を頼りに試行錯誤してるのが
現状です。
翻訳エンジンがOSにインストールされていれば良いんですけどね。
あるいはports。
なんて贅沢を言ってみる。
売り物ほど精度が高くなくていいんですけど。英和辞書レベルで。
これなら最新のドキュメントとかも読めるし、場合によってはソースの
コメントも訳して読めるし。コピペなんかして。
manの管理コストも多少削減されるのではないかと。
jman化されていないportsのmanが読めたりとか。
0312朝っぱらからよそへ誤爆しちまったい
2005/07/30(土) 07:11:39使えるものは色々あるじゃんか。
なに努力もしないでクレクレばっか言ってるんだ。
もう一台PC買ってwindowsとロボワードか何かを入れれば尚更ハッピーになれるだろ。
知恵もない、努力もしない奴は金でカバーしろ。
それも嫌なら諦めるしかないな。英語を勉強しなかった自分を恨め。
0313310
2005/07/30(土) 08:08:27stardictを使ってみれば?常駐時に単語をなぞるとその意味が出るよ。
で、portsの探し方はこうだったよね?
% cd /usr/ports
% make search key=stardict
あとは>>311氏が言うとおり、exciteなどテキストを貼り付けて翻訳をしてくれるサイトを
利用するというのがあるけれど、PCで初心者がやらないようなことをやろうとしているのに
英語が中一レベルというのは致命的だな。今からでも遅くないから勉強しなおしたほうが
いい。漏れが思うに、大抵は英語が読めないのではなくて英語を読まないんだと
思うから、まずはその心構えから変えていかんといかんよね。
>>312
騙ろうスレに爆撃されたようで(藁
0314名無しさん@お腹いっぱい。
2005/07/30(土) 08:23:250315310
2005/07/30(土) 11:07:56s/>>311氏/>>312氏/g
>>314
それならがんばって英語の勉強するか、怪しい機械翻訳に我慢してがんばってそれを
解読するか、諦めるかだな。
中学校の今頃はbe動詞の文章をやっと習った程度だろうから一般動詞が続出する
技術文書を読むのはかなりしんどいかも知れんけど、中学くらいに本気でやれば
英語はかなりものになるからがんばれ。
0316名無しさん@お腹いっぱい。
2005/07/30(土) 18:23:31具体的にipfwの命令、ってんじゃなくて。
0317310
2005/07/31(日) 09:36:570318名無しさん@お腹いっぱい。
2005/08/05(金) 03:54:27IPv6環境を手に入れたけどjailはIPv4しか使えないからしょぼーん。
0319名無しさん@お腹いっぱい。
2005/08/06(土) 14:41:160320名無しさん@お腹いっぱい。
2005/08/19(金) 20:20:10このあいだ急にHDDすっとんで再起不能になっちまったんで
(FreeBSD5.2R+ mpd3.15 + ipf + ipnat だった)
FreeBSD 5.3R#8 (ちと古くてスマソ) + mpd3.18(ports) + pf で0から再構築。
しんどかった_| ̄|○
予備の通信環境を整えてからやんないと、つまづいたとき復旧がめんどすぎた。
まぁ備えが足りない香具師なんで、自業自得なんだが。
mpdのmpd.linksの
set pppoe service "whatever"
set pppoe disable incoming
set pppoe enable originate
とか山ですた。つーか、なんで3.15と同じじゃだめなのか理解できず
めげそうになってたよ…先達者に感謝。
pfはぐぐったところをそのままぱくって終わり、(*-ω人)感謝
0321名無しさん@お腹いっぱい。
2005/08/19(金) 20:34:59> set pppoe service "whatever"
これはマルチセッション対応か何かだったような...
> set pppoe disable incoming
> set pppoe enable originate
こっちが変わった理由はよく覚えていない.
0322名無しさん@お腹いっぱい。
2005/08/19(金) 23:46:570323名無しさん@お腹いっぱい。
2005/08/20(土) 00:08:37いまさらあげれん
0324320
2005/08/20(土) 07:00:21言われると思ったから、ちと古いってコメントしておいたんだがw
つーか、回線が切れた状態であったverが5.3R#8だった訳で。
一応途中の段階で5.4Rにしようかと思って(接続が可能になった段階で)
ftp get 開始してたんだけど、回線(環境)復旧にエネルギーかけてたから
時間なかったというオチ。
またverあがると手間が増えるって罠もあるから、運用に様子みてから
上げるつもりではいるけど。
323ではないけど、なかなかOSのverって上げられないってのも事実だし
(穴とかについてはふさいでるつもりだけど)壊れる前の環境が5.2Rで不便
なかったってことがあるんであえて上げるかどうか微妙ではあるけど。
0325320
2005/08/20(土) 13:22:385.4Rを落としてみたので後日うぷでーとしてみまつ。
なんかキビキビしていいぐあいになってますよ(o^∇^o)ノ
同じ環境とは思えない感じ(いいすぎかもしれずw)だが
ADSLでこれならBフレならもっと実感できるヨカーン…光来てないから
どうにもなんだが…雷多発地域+中〜遠距離なところから先に
光化すべきだよな_| ̄|○つーかしてくれヨン様
0326名無しさん@お腹いっぱい。
2005/08/20(土) 16:56:20
■ このスレッドは過去ログ倉庫に格納されています