FreeBSDでBBルータを作ろう互助会 3Gbps
■ このスレッドは過去ログ倉庫に格納されています
0001名も無きfxp25
NGNG「PPPoEの方法」
「NATにする方法」
「NICを2枚使う方法」
「ファイヤーウォール設定・セキュリティ対策」
その他なんでもいいからここで質問&アドバイスして輪を広げてこう。
悪質ブロードバンドルーター製品逝ってよし!
最近のブロードバンドルータは安くて速いぞ。遅くてヘボいルーター作るなよ。
前スレ
FreeBSDでBBルータを作ろう互助会
http://pc.2ch.net/test/read.cgi/unix/1038060563/
FreeBSDでBBルータを作ろう互助会 2Mbps
http://pc5.2ch.net/test/read.cgi/unix/1060660932/
関連サイト
pf:http://www.openbsd.org/faq/pf/ja/index.html
0449448
2005/11/12(土) 00:44:12気がする。
0450名無しさん@お腹いっぱい。
2005/11/12(土) 12:15:09前に来るように仕掛けてあげれば桶。
0451名無しさん@お腹いっぱい。
2005/11/13(日) 01:38:000452名無しさん@お腹いっぱい。
2005/11/14(月) 23:08:28出来るけど何か?
0453名無しさん@お腹いっぱい。
2005/11/15(火) 00:28:47へ?natdにdivertしてNATするんじゃなかったっけ?
6.0Rのipfwのマニュアル見てもNATの話は載ってなかったのだが.....
んで、カーネル->ユーザーランド->カーネルのコピーが起きるのでそのオーバーヘッドが
ある文だけpfやipfには勝てないと思う。
0454名無しさん@お腹いっぱい。
2005/11/15(火) 07:32:18NAME
ng_nat -- NAT netgraph node type
...
SEE ALSO
libalias(3), ng_ipfw(4), natd(8), ngctl(8)
HISTORY
The ng_nat node type was implemented in FreeBSD 6.0.
0455名無しさん@お腹いっぱい。
2005/11/20(日) 12:19:46pfSenseはどう?
http://www.pfsense.com/
0456名無しさん@お腹いっぱい。
2005/11/23(水) 23:25:10セレロン400MHzとかはやめたほうがいいかな...?
0457名無しさん@お腹いっぱい。
2005/11/23(水) 23:46:27ADSLレベルなら十分じゃない?
0458456
2005/11/24(木) 15:54:52ファイルサーバ兼ルータにしたいと思っております
回線は光です
ファイルサーバに関しても
CPUの速度が影響しているのか
思うようにスピードがでないので
もう少しましなスペックにすることにしたいと思う
0459名無しさん@お腹いっぱい。
2005/11/24(木) 23:52:14topしてみて、通常時でCPUやメモリーをどれくらい使ってる?
もし、CPU使用率が高かったらもっと速いCPUにすると性能が向上しそうだし、
activeなメモリーが物理メモリーのほとんどを占めていたらメモリーを買い足すと
よさそうだけど。
あとはvmstatで見て、割り込み頻度が高すぎるようだったらdevice pollingを試すとかかね。
ま、こういうチューニングネタはtuning(7)のマニュアルでも見て。
0460名無しさん@お腹いっぱい。
2005/11/25(金) 01:31:410461名無しさん@お腹いっぱい。
2005/11/25(金) 10:22:39mpd + ipfilter + ipnat 使用で,www.flets での速度測定で 80Mbps 近い値が出た.
後はプロバイダ次第だろう.
0462名無しさん@お腹いっぱい。
2005/11/27(日) 22:42:19kernel: no matching session
なるエラーを吐いてセッションが切れた。こんなエラーは始めてで、
この状態に陥ったらmpdを終了、再起動させてもだめ。OSの再起動が必要だった。
0463名無しさん@お腹いっぱい。
2005/11/29(火) 04:49:170464名無しさん@お腹いっぱい。
2005/12/03(土) 11:29:000465名無しさん@お腹いっぱい。
2005/12/09(金) 18:46:420466名無しさん@お腹いっぱい。
2005/12/14(水) 21:20:57この辺は見てみた?
ttp://mimori.org/~h/tdiary/20030904.html
0467名無しさん@お腹いっぱい。
2005/12/21(水) 13:36:15Bフレッツ引いたついでに、新たにPenM PC調達してR6.0入れて
さあ、PFでフィルタリングしてみるかと思たんですが、
>>1にあるOpenBSDのPF日本語FAQが行方不明なんですが、
どこかに保存されてないでしょうか?
0468名無しさん@お腹いっぱい。
2005/12/21(水) 18:05:180469名無しさん@お腹いっぱい。
2005/12/22(木) 16:14:10それだとリンク追うのが面倒なのでこことか>http://openbsd.bug.it/faq/pf/ja/
0470名無しさん@お腹いっぱい。
2005/12/24(土) 01:17:290471名無しさん@お腹いっぱい。
2005/12/24(土) 19:17:56つtp://www.pfsense.com/
0472名無しさん@お腹いっぱい。
2005/12/26(月) 15:15:00これは m0n0wall を pf ベースに作り替えたもの という理解で良いのだろうか
0473名無しさん@お腹いっぱい。
2005/12/28(水) 01:22:11mpd で pppoe でぶら下がってるんですが、インターネット側からの
ping に応答しません。なんでかな〜と思って色々見てると、シスログに;
Dec 27 18:11:17 sv mpd: [hogebdl] exec: /sbin/ifconfig ng0 [自分] [相手] netmask 0xffffffff -link0
Dec 27 18:11:17 sv mpd: [hogebdl] exec: /sbin/route add [自分] -iface lo0
Dec 27 18:11:17 sv mpd: [hogebdl] exec: /sbin/route add 0.0.0.0 [相手]
とか、ここで exec してる結果として、netstat -rn で;
Internet:
Destination Gateway Flags Refs Use Netif Expire
[自分] lo0 UHS 0 0 lo0
なぁんてなってるのが関係あるとおもうんですが、
LAN側からpppoe で割り当てられたアドレスに ping すっと返事するのに、
WAN側からだと何にも返事しません。
なんででしょう?出来れば ping に返事をさせたいんですが。。。
0474名無しさん@お腹いっぱい。
2005/12/29(木) 18:16:03プロバイダがICMPを落としているんじゃねーの?しらないけど。
0475名無しさん@お腹いっぱい。
2005/12/30(金) 02:21:55|
+- <= WAN側
とかやってたら、死なす。
0476名無しさん@お腹いっぱい。
2005/12/30(金) 15:55:27いやー tcpdump すっと届いてるから。。。
なんでかなぁ。。。
0477名無しさん@お腹いっぱい。
2005/12/30(金) 22:57:30> [自分] lo0 UHS 0 0 lo0
これがあるのは正しい。
0478名無しさん@お腹いっぱい。
2006/01/02(月) 12:03:19|exec: /sbin/ifconfig ng0 [自分] [相手] netmask 0xffffffff -link0
↑ちゃんとコピペできてる?
|exec: /sbin/route add [自分] -iface lo0
|exec: /sbin/route add 0.0.0.0 [相手]
[相手]って何?
0479名無しさん@お腹いっぱい。
2006/01/04(水) 18:28:22netstat -rnの結果にdefault routeの結果は入ってる?
入ってるならmpd動かしてるマシンがpfとかのフィルタでパケット捨ててるんじゃないの?
0480473
2006/01/06(金) 00:24:08NetBSD 3.0 i386
ipf: IP Filter: v4.1.8 (396)
Kernel: IP Filter: v4.1.8
Running: yes
Log Flags: 0 = none set
Default: pass all, Logging: available
Active list: 0
Feature mask: 0x10a
なマシンから取ってきたフィルタを;
FreeBSD 6.0-STABLE amd64
6.0-STABLE amd64
ipf: IP Filter: v4.1.8 (528)
Kernel: IP Filter: v4.1.8
Running: yes
Log Flags: 0 = none set
Default: pass all, Logging: available
Active list: 0
Feature mask: 0x10f
で使ってたんですが、
pass in quick on <ISPに繋がってるNIC> proto icmp from any to <自分>
pass out on <ISPに繋がってるNIC> all
だとダメで、
pass in quick on <ISPに繋がってるNIC> proto icmp from any to <自分> keep state
だとOKになりますた。。。
0481名無しさん@お腹いっぱい。
2006/01/06(金) 12:14:07ipfwでpfの<TABLE>みたいな外部ファイルのIPアドレスのみ記載した
ファイルを読み込んでくれ方法ってありますか?
0482名無しさん@お腹いっぱい。
2006/01/06(金) 18:33:41無理っぽい
0483名無しさん@お腹いっぱい。
2006/01/06(金) 20:40:30ipfwはプリプロセッサを指定できるから、結構色々できるよ。
例えばm4でマクロを書けば
READ_TABLE_FROM_FILE(1, /etc/iplist)
とするとそのファイルからIPアドレスを読んで
table 1 add 192.168.0.1
table 1 add 192.168.0.2
...
と展開されるようにとかできるよ。ほかにも
SET_RULENO(5000)
OPEN_TCP_SERVICE(myserver,ssh)
OPEN_TCP_SERVICE(myserver,www)
を
add 5000 count log tcp from any to myserver ssh
add 5001 allow tcp from any to myserver ssh setup keep-state
add 5010 count log tcp from any to myserver www
add 5011 allow tcp from any to myserver www setup keep-state
に展開するようにとかも。
0484名無しさん@お腹いっぱい。
2006/01/11(水) 12:32:47ようやくBフレッツが開通したので、
今までADSLで利用していた、以下のFreeBSDルータを早速試しました
[ CPU ] EDEN C3 533
[ RAM ] 512M (PC-100)
[LAN] Intel PRO/100 S Server Adapter
[ OS ] FreeBSD 6.0 RELEASE
pf + mpd です
flet'sスクウェアの速度計測で、45Mちょい出ますた
今までADSLで800kしか出ていなかったので感動です
はじめ、無線LAN経由で計測していて、
5〜8Mしか出なくて焦ったのは秘密です
CPUを1G前後のにすればもっとあがるかな?
以上報告ですた
0485名無しさん@お腹いっぱい。
2006/01/14(土) 19:12:59The generic netgraph(4) cookie has been changed. If you upgrade
kernel passing this point, you also need to upgrade userland
and netgraph(4) utilities like ports/net/mpd or ports/net/mpd4.
0486名無しさん@お腹いっぱい。
2006/01/15(日) 01:38:56こういう計算をして考えればいいんじゃない?
たとえば、100Mbpsの転送速度を100MHzの計算機で出そうとすれば次のように
計算され、1clockで1bit処理しないといけない。
100M(bit/s) * 100M(clock/s) = 1bit/1clock
実際は1packetなんかの単位で処理されるから1400bytes単位くらいで考えてよいはずで、
1つのpacketを処理するのに1400clock程度は使えるのだけど、自分の調べだと
firewall無しでも1packet処理するのに1万clock以上かかるんだよね。
だから、packet処理以外の処理も考慮に入れて、1GHz程度あったほうが
性能が出ると思うよ。
0488名無しさん@お腹いっぱい。
2006/01/15(日) 14:43:11よいだろうね。これがあまりにも高いようだとCPUの処理能力が足りていないということに
なるだろうから。
0489名無しさん@お腹いっぱい。
2006/01/18(水) 22:17:37> >>484
> 実際は1packetなんかの単位で処理されるから1400bytes単位くらいで考えてよいはずで、
> 1つのpacketを処理するのに1400clock程度は使えるのだけど
1400 * 8 clock は使えるんでねぇの?
実際には preamble とか MAC address とか FCS とか interframe gap
とかあるからもう少し使えるし...
MMXペンタ233 + interl pro/100 で同一セグメント上ならば 80M(bit/s)
程度のスループットが出ていた記憶がある.
4-current か 4.0-release の頃の話だが...
0490名無しさん@お腹いっぱい。
2006/02/08(水) 23:10:32外部から来るping元のIPアドレスを知りたいんだけど
pflogをダンプしても載ってないです。
どうすれば取れますか?
0491名無しさん@お腹いっぱい。
2006/02/08(水) 23:24:08options DEV_PFLOG
0492名無しさん@お腹いっぱい。
2006/02/10(金) 02:53:15block drop in log on ng0 from any to (ng0)
みたいなログに記録するルールは書いてる?
0493名無しさん@お腹いっぱい。
2006/02/10(金) 18:22:40検証してみたら他に向いてるOSが有る悪寒。
リナックスと比べてどうよ?
0494名無しさん@お腹いっぱい。
2006/02/10(金) 18:49:34じゃぁそのOS使っておけば?
漏れは5.3Rでルータにしてるんだけど、ネットげーとかで「あんたんとこ光?」とか
言われるくらいの反応。ADSLなんだがorz
このスレで他のOSの話題振るならちゃんと名前書くように。
0495名無しさん@お腹いっぱい。
2006/02/10(金) 18:56:24んじゃ検証してみてよ。
0496名無しさん@お腹いっぱい。
2006/02/11(土) 10:27:130497名無しさん@お腹いっぱい。
2006/02/11(土) 21:10:590498名無しさん@お腹いっぱい。
2006/02/11(土) 23:04:391Gbpsは無理?
アプライアンス鯖って何?
企業ではルータとしては稼働させてないの?
0499名無しさん@お腹いっぱい。
2006/02/11(土) 23:19:39っていうか1Gbpsとかに使うとして、200MHzとかのPentium初代系とかでやる気か?
ハードの処理能力とOSのポテンシャルくらいは区別して考えろよ
0500名無しさん@お腹いっぱい。
2006/02/12(日) 00:14:04使ってるハードしだいだろ?
少なくとも Linux に BGP を喋らそうとは思わんが、
結構そこらで BGP 喋ってる *BSD は知ってるし。。。
そもそも 1G 越すと、ルーティングしようと思ったら、
ソフトで地道にやってるとまずワイヤースピードは
出ない。
「どこまでハードにオフローディングするか?」
の世界なんだが。。。
ついでに言うと、Linux で snort あたりの IDS 走ら
せると、あからさまに *BSD より処理効率が落ちる。
0501名無しさん@お腹いっぱい。
2006/02/12(日) 05:20:48つ SEIL
0502名無しさん@お腹いっぱい。
2006/02/12(日) 06:53:58つ Juniper
0503名無しさん@お腹いっぱい。
2006/02/12(日) 12:30:46>ソフトで地道にやってるとまずワイヤースピードは
>出ない。
良くこんな発言を見るが、大手の企業を除いて、普通企業の出口程度でそんな
煩雑なルーティング発生するもんなの?
大抵の所はstaticでも大丈夫な程度のルーティングテーブルの大きさしか無いと
思うが。
動的ルーティングするにしても、プロバイダ宛てにstatic、内部向けにRIPでdefault
gateway流してこっち来いと喋るだけでおk。
0504名無しさん@お腹いっぱい。
2006/02/12(日) 13:14:42Nokia
0505名無しさん@お腹いっぱい。
2006/02/13(月) 15:27:130506名無しさん@お腹いっぱい。
2006/02/13(月) 16:23:040507名無しさん@お腹いっぱい。
2006/02/13(月) 18:35:54NOKIAは BSD/OS じゃなかったけ?
0508名無しさん@お腹いっぱい。
2006/02/13(月) 19:54:13FreeBSDだよ。営業から聞いたこともあるし、パンフレットにも載っていた。
0509名無しさん@お腹いっぱい。
2006/02/13(月) 20:04:28507 じゃないんだが...
それ, 最近の話?
3, 4 年前に実際に使ったことがあるんだが,
どぉ見ても BSD/OS だったぞなかみは...
それとも BSDI はすでにないから乗り換えたのか?
0510名無しさん@お腹いっぱい。
2006/02/13(月) 20:08:030511名無しさん@お腹いっぱい。
2006/02/13(月) 20:23:05少なくともIP380はFreeBSD。先週さわったから間違いない。
0512名無しさん@お腹いっぱい。
2006/02/14(火) 11:17:19SEILはNetBSDだな
0513名無しさん@お腹いっぱい。
2006/02/14(火) 22:20:280514名無しさん@お腹いっぱい。
2006/02/14(火) 22:57:42SEILはパソコンじゃないぞ
0515名無しさん@お腹いっぱい。
2006/02/14(火) 23:58:37まあ、どっちにしろ>>505がろくに調べもせずに印象批評しているのはわかったけど。
0516名無しさん@お腹いっぱい。
2006/02/16(木) 18:56:100517名無しさん@お腹いっぱい。
2006/02/16(木) 20:18:43なぜかMacOSXからアクセスするとブラウザでの通信が
とても遅くなってしまいます。
windowsだと、問題ないのですが
何が原因なんでしょうか?
0518名無しさん@お腹いっぱい。
2006/02/16(木) 20:42:10MacOS と Windows はルータの内側?
ブラウザでの通信ってのは, 上記, マシンから FreeBSD ルータの外側にある
WEB サーバに接続してコンテンツを取ってくるって意味?
FreeBSD の外側のキャリアはどこ?
接続形式は何?
0519名無しさん@お腹いっぱい。
2006/02/16(木) 20:51:02FreeBSDでルータをやっています。
windowsとMacは内側です。
windowsから、外側、たとえばyahoo.co.jpにアクセスすると
問題なく接続できます。
Macから、接続するとyahoo.co.jpを開くのにすごく時間がかかります。
pingは問題なくMacからでもyahooに対して通るので通信は出来てるようなんですが。
mpdではなく、FreeBSDデフォルトのpppを使うと
問題なく接続できます。
接続形式は、mpdのPPPoEです。
0520名無しさん@お腹いっぱい。
2006/02/16(木) 20:55:40Macのブラウザは?
safariだと読み込み?時の待ち時間が長いので遅く感じるんだとか
と言う書き込みを見たような気がする。
Firefoxでも試してみたら?
0521名無しさん@お腹いっぱい。
2006/02/16(木) 21:05:08狐でも試したのですが、症状は変わらず・・・。
ん〜。原因が分からず・・。
0522名無しさん@お腹いっぱい。
2006/02/16(木) 21:28:48OSX側のMTUが1500だったのが問題でした。
MTUを1454にすれば、解決。
でも、なんか嫌なので、もう少し対策を考えてみまふ。
IPFilterにしようかなぁ。
0523名無しさん@お腹いっぱい。
2006/02/17(金) 00:57:53mpdならset iface mtu 1454とかで設定できない?
tcpmssdを使うのは遅いのでお勧めしないけれど、
これがだめでipfwを使うならtcpmssdしかないね。
ちなみに、うちではpf (Packet Filter) で、こんな風にやってるけど。
scrub out on $ext_if all max-mss 1408
0524名無しさん@お腹いっぱい。
2006/02/17(金) 01:08:20mpdはまだ無理だからpfかipnatで解決しろ
0525名無しさん@お腹いっぱい。
2006/02/17(金) 01:54:27そうか?
3.18のiface.cを見た感じだとtcp mssfixに対応しているように見えるが?
これは張子の虎なの?
使うにはset iface enable tcpmssfixせんとだめだけどね。
0526名無しさん@お腹いっぱい。
2006/02/17(金) 02:25:120527名無しさん@お腹いっぱい。
2006/02/17(金) 02:35:25理解してない奴は黙ってなよ。
0528名無しさん@お腹いっぱい。
2006/02/17(金) 02:38:300529名無しさん@お腹いっぱい。
2006/02/17(金) 02:53:400530名無しさん@お腹いっぱい。
2006/02/17(金) 14:25:52IPSOはFreeBSDベースでおけ。
0531名無しさん@お腹いっぱい。
2006/02/17(金) 17:12:21pf に汁
ext="ng0"
scrub on $ext all max-mss 1414
の指定で解決するはず
0532名無しさん@お腹いっぱい。
2006/02/18(土) 01:19:08pfの性能については環境によって違うからそんなのを聞くのはナンセンスだという話が
多いのだけど、だれかベンチマークとかしてないんかいね?
0533名無しさん@お腹いっぱい。
2006/02/18(土) 03:01:180534名無しさん@お腹いっぱい。
2006/02/18(土) 10:25:11ベンチマークにこだわるより、速くて消費電力の低いCPUに変えたほうがいいんじゃないの?
今どきだと、わかりやすい記述の pf がいいと思う。
>533
Layer2 (MACアドレス) でフィルタリングしたいときは ipfw 使ってます。
0535名無しさん@お腹いっぱい。
2006/02/18(土) 11:28:30ipfwはアドレス変換やステートチェックのタイミングを明示的に
記述できるから、こっちの方がわかりやすいと思うが。
0536名無しさん@お腹いっぱい。
2006/02/19(日) 15:28:14もれも今www.flets.comが表示されないので気づいた。
ちょっち直してやろうと思ってソースコードを見た感じだとbpfでフックをかけて、
パケットが通るごとにmpdを呼び出し、mpdでtcpmssd風の処理をしてから
書き戻すということをしているので、kernelとuserland間のコピーがある分
遅くなりそうな気がする。
つまり、mpdのtcpmssfix機能なんか使わずにkernel内だけでちゃっちゃと使える
pfとかipfとかを使ったほうが良いはず。
0537名無しさん@お腹いっぱい。
2006/02/19(日) 18:47:57ng_tcpmss と言うのが有るんで、そっちに進んだ方が筋が良いんだけど。開発者が……
0538名無しさん@お腹いっぱい。
2006/02/19(日) 20:44:360539名無しさん@お腹いっぱい。
2006/02/19(日) 22:44:47FreeBSDを導入すればいいよ。
FreeBSDならsynを打たれまくったら自動でsyncookiesに移行するから
無問題あるね。
0540名無しさん@お腹いっぱい。
2006/02/19(日) 22:58:58キミtcpmssfixの動作理解して無いでしょ。
0542名無しさん@お腹いっぱい。
2006/02/20(月) 03:48:19というかng_tcpmssがmpdでいずれ使う為にcommitされたみたいなもんだったり
0543名無しさん@お腹いっぱい。
2006/02/20(月) 07:53:49お前が全然理解していない事はわかったから、もう引っ込んでろ。
0544539
2006/02/20(月) 08:43:00正直すまんかった。
tcpmssfixの動作原理はsyn packetのヘッダにあるTCP max segmentフィールドを
書き換え、今後の通信の最大値を教えるということなのね。
mpdの実装もそれを心得ていて、フックされるのはsynだけだからTCPで接続を
張りまくるようなことをしない限りはあまりuserlandとkernelの間を行ったりきたりする
こともなく、性能劣化には結びつかないだろうと。 (ngfunc.c:NgFuncConfigBPF)
しかし、依然として複数のコネクションを張るブラウザがあることや
P2P系のソフトを考えるとsynパケットの処理の速さが
性能の違いに結びつくことは有り得ると思う。
0545名無しさん@お腹いっぱい。
2006/02/20(月) 08:55:42もうMAINには入っているようで。
http://cvs.sourceforge.net/viewcvs.py/mpd/mpd/src/iface.c?r1=1.33&r2=1.34
最新のportsのmpd4はこの後のベータ版を使っているみたいだからこれが
使えるようですね。人柱になる気はないですが。
0546名無しさん@お腹いっぱい。
2006/02/21(火) 00:02:32ハカーが喜びそうな実装だな。
0547名無しさん@お腹いっぱい。
2006/02/21(火) 00:07:44傷口広げるだけだから引っ込んでろって。
TCPコネクションを確立するために3way handshakeを行うから、
kernelとuser landの遷移を大きく上回る遅延が必然的に発生する。
syn floodingの性能を気にする奴以外は問題なし。
0548544
2006/02/21(火) 00:42:04誰もそんなこと言ってない。
>>547
最初からそう書けばいいじゃん?
なに人を罵倒して楽しんでんの?
要はtcpmssがユーザーランドで行われるよりも大きなレイテンシがネットワークの
行き来の所でかかるから気にするなってことね。
また、tcpmssdつかってても外向きのsynのみdivertに流し込むようにしてたら
そんなに性能は落ちないと。
でも、ブラウザはその後の通信が大きいけれど、P2Pの場合は手当たりしだい
接続しまくって、ほとんどの返答がport unreachableとかだからある意味syn flood的な
挙動を示すと思うのだけど。たとえば、数十人要る同居人みんながフリーソフトの収集癖が
あってP2Pソフト動かしまくってるとか。
■ このスレッドは過去ログ倉庫に格納されています