FreeBSDでBBルータを作ろう互助会 3Gbps
■ このスレッドは過去ログ倉庫に格納されています
0001名も無きfxp25
NGNG「PPPoEの方法」
「NATにする方法」
「NICを2枚使う方法」
「ファイヤーウォール設定・セキュリティ対策」
その他なんでもいいからここで質問&アドバイスして輪を広げてこう。
悪質ブロードバンドルーター製品逝ってよし!
最近のブロードバンドルータは安くて速いぞ。遅くてヘボいルーター作るなよ。
前スレ
FreeBSDでBBルータを作ろう互助会
http://pc.2ch.net/test/read.cgi/unix/1038060563/
FreeBSDでBBルータを作ろう互助会 2Mbps
http://pc5.2ch.net/test/read.cgi/unix/1060660932/
関連サイト
pf:http://www.openbsd.org/faq/pf/ja/index.html
0654653
2006/04/05(水) 12:40:34プロトコルはL2TPでお願いします
0655名無しさん@お腹いっぱい。
2006/04/05(水) 19:12:540656名無しさん@お腹いっぱい。
2006/04/05(水) 23:50:56L2TPはmpdを使う方法とsl2tpsを使う方法の2つの方法があるっぽいね。
もれはmpdでPPTPしたことはあるけど、L2TPはないからようわからん。
でも、マニュアルどおりに設定すれば使えるんじゃないの?
0657名無しさん@お腹いっぱい。
2006/04/11(火) 01:25:42ipfwを全通しにするとipv6のIPアドレスが取得可能です。
add 10 allow ipv6 any to any
add 100 allow tcp from any to any 20200 out via tun0
add 200 allow tcp from 43.244.255.119 20200 to any in via tun0
add 300 allow tcp from 43.244.255.120 20200 to any in via tun0
add 400 allow all from 43.244.255.36 41 to any 41 in via tun0
add 410 allow all from any 41 to 43.244.255.36 41 out via tun0
add 500 allow all from 43.244.255.37 41 to any 41 in via tun0
add 510 allow all from any 41 to 43.244.255.37 41 out via tun0
KDDIの6to4ルータがお亡くなりして国内でISPに関係なく使えるのってここくらいしか思いつかぬ・・・。
0658名無しさん@お腹いっぱい。
2006/04/11(火) 01:39:40nantoka.comはどう?
...IPv6の使い方が思いつかぬ。
0659名無しさん@お腹いっぱい。
2006/04/13(木) 22:29:55最近、パケットがものすごい勢いで落ちる時間帯があって(90%とか落ちる)
調べていたのですが、
DHCPの以下の情報って、未来の時間じゃなくてよいんでしょうか?
% less /var/db/dhclient.leases
lease {
(省略)
renew 4 2006/4/13 06:22:14;
rebind 4 2006/4/13 08:38:39;
expire 4 2006/4/13 09:23:39;
}
0660名無しさん@お腹いっぱい。
2006/04/14(金) 00:08:380661659
2006/04/14(金) 00:49:59最近通信が重くなるときがあるなと思って、
1分毎に30回pingを1hop先のdefault gateway に対してかけた結果。
時間帯によっては90%とかlossするってことです。
0662名無しさん@お腹いっぱい。
2006/04/14(金) 01:53:560663名無しさん@お腹いっぱい。
2006/04/14(金) 17:27:439時間戻したら未来の時間になったりしない?
0664名無しさん@お腹いっぱい。
2006/04/16(日) 20:44:08ルーター兼Web鯖にしようと思うのですが
この場合、その他のLANで繋がれたPCとWeb鯖に膨大なアクセスがあればWebに片寄った割り振られ方をされてしまうのでしょうか?
0665名無しさん@お腹いっぱい。
2006/04/16(日) 20:56:180666名無しさん@お腹いっぱい。
2006/04/16(日) 21:07:420667664
2006/04/17(月) 00:14:110668名無しさん@お腹いっぱい。
2006/04/17(月) 01:32:37まあ、自己解決したらしいからいいけど、何の役にも立たないレスだな。
0669名無しさん@お腹いっぱい。
2006/04/17(月) 02:56:310670名無しさん@お腹いっぱい。
2006/04/17(月) 04:50:45どうもご親切にありがとうございました。
0671名無しさん@お腹いっぱい。
2006/04/17(月) 17:55:000672名無しさん@お腹いっぱい。
2006/04/17(月) 19:32:56POrTsからmpdを入れようとしたんですが、外部とコネクション貼れてないので落とせません
PPPoEの方は使ったことないんで使い方がわかりません
調べようにもルーターが完成してないのでぐぐれません…
今は携帯です。
という状況なんでsysinstallで導入したいんですがNET以下にmpdがありません…
どこにあるのでしょうか?
セフレ
0673名無しさん@お腹いっぱい。
2006/04/17(月) 20:29:48んで、その上でmpdをインストールすればよいよ。
pppの設定方法はman pppでもすると載っているかもしれない。
0674名無しさん@お腹いっぱい。
2006/04/17(月) 20:38:260675名無しさん@お腹いっぱい。
2006/04/17(月) 20:44:58と、思えば問題なし
0676名無しさん@お腹いっぱい。
2006/04/17(月) 20:53:43〜ゲスニダとかつくあれ?
0677名無しさん@お腹いっぱい。
2006/04/18(火) 00:06:220678名無しさん@お腹いっぱい。
2006/04/19(水) 06:50:380679名無しさん@お腹いっぱい。
2006/04/21(金) 10:49:07ifconfigで見ると、ng0デバイスが出来ててちゃんと認証出来てIPアドレスも引けてるのに
なぜかそのマシンからのpingすらできない・・・
IPアドレスに対するpingすらできてないから、根本的に外部への通信が出来てないみたい・・。
もちろん、まだファイヤーウォール系も入れてなくて、mpd入れる前はpppで接続できてたんで、ちゃんとmpd以外は外部に繋がる設定になってるはずなんですけど・・・
0680名無しさん@お腹いっぱい。
2006/04/21(金) 16:28:59pingすら出来ないって、Destination host unreachable なのか
Request timed out なのか
接続した状態の ifconfig -a 貼るなり
mpd.conf の設定部貼るなりまずはせんと
0681名無しさん@お腹いっぱい。
2006/04/21(金) 21:26:59>接続した状態の ifconfig -a 貼るなり
それは、本当に繋がっているかと言う意図ででしょうか?
どの範囲が怪しいかまったく検討がつかなくなってしまったので、情報が小出しになってしまうかも知れませんが
現状は、
環境
・モデム側:nve0、内側のHUB側xl0
・素のFreeBSD6.0Rをインストール
・p7のパッチを当てた。
・portsからnet/mpd4を入れた
現状
・ifconfigによるとIPアドレスは引けている。紛れも無く、ISPから配られるグローバルIPアドレスである。
また、nve0、xl0、lo0、ng0がアクティブになっている。
・mpd4を-bオプションを付けずに実行すると、まったくエラーも無くリンクアップしている様子が見れる。
・inetdはOFFにしている。
・pingの結果はRequest timed outである。またnetstatも同様にタイムアウトする。
ppp -ddialを実行すると、同じようにtun0にIPアドレスが引け、
まったく問題なくpingは出来る。
mpd.confの内容は
ttp://www.seichan.org/wiki/index.php?FreeBSD-mpd
のサイトを参考にしたので、デバイス名・アカウント情報以外は全く同じです。
ただし、ふれっつすくえあは繋がないので、それに関する設定は記述していません。
よろしくお願いします。
0682名無しさん@お腹いっぱい。
2006/04/21(金) 22:01:04kernel の設定は?
GENERIC ならば,必要なカーネルモジュールがロードされているかを確認.
カスタマイズカーネルならば,きちんと kernel config に書かれているかを確認.
どちらにしろ,kldstat の結果もあった方が良いかもね.
0683名無しさん@お腹いっぱい。
2006/04/21(金) 23:40:220684名無しさん@お腹いっぱい。
2006/04/21(金) 23:57:02この資料はmpd3を使うものだよね?
それなら、認証のところでこけるはずだけど。
mpd3とmpd4はログイン名の設定ががbundleからauthに変更されてるけど、
そこらへんはちゃんとやってるの?
とりあえず、IPアドレスを全部*で消していいからifconfigの結果を張ってみ。
あと、mpdのログの最後の5行くらいもIPアドレス、アカウント名なんかは
(IPアドレス)、(アカウント名)とか書いて隠してよいのでだしてみ。
mpdのログはもしかすると、syslog.confで
!mpd
*.* /var/log/mpd.log
とか書いてsyslogdを再起動しないといけないかもしれないけど。
余談だけど、syslogdを再起動するときは単独でやるよりもOSごとやったほうが面倒が無くていいね。
0685名無しさん@お腹いっぱい。
2006/04/22(土) 14:34:400686名無しさん@お腹いっぱい。
2006/04/26(水) 11:33:40昔、3COM3枚挿しでやってた時はなんてことなかったのだが
ルーター専門で使うのにタワーはオーバースペックだと思って、キューブ型に変えたら
PCIスロットが1つしかなくて、3COMのを1枚挿して、WANをnve0、LANをxl0って感じにしたら
大量のデータの転送を行ったら、突然グローバルIPアドレスが消え、再起動するまで再取得出来ないって症状が出た。
ちなみに、FreeBSD6.0にmpd4とpfを入れた構成だけどね。
nForce2だからかな・・・。3とか4だと直ってるのかな
>>681
俺と同じ構成だね。
IPアドレスが取れてると言う事は、多分authには変えてるだろうけど
rc.confのデフォルトルートを設定してない?
それpppだと大丈夫だけど、うちでは設定するとmpd4では使えなかった。
0687名無しさん@お腹いっぱい。
2006/04/28(金) 21:26:19たまにIPアドレス残ってるのでpingしてみると
No buffer no spaceとか言われる。
KERNELからALTQ関連を外すと直る・・・
0688名無しさん@お腹いっぱい。
2006/05/03(水) 02:08:086.xをルータに使うのは、NICの共有メモリ管理が変なときがあって
過負荷の時は難があるね。 去年6.0beta2くらいでローカル
ルータを作ったとき、GbEがたくさん刺さっているマシンでは落ち
まくって泣いた。
6.0-RELで収まったんだが、なんかいうとエラーがでるし、
6.1-betaでも再発したり、いろいろあるわ。
使った機材のヘタれ具合に左右されている気がしないでは
ないんだが、普通のサーバ機でもトラブルがでたからなあ。
まあ、そういうときは5-stableで我慢してる。
0689名無しさん@お腹いっぱい。
2006/05/05(金) 02:04:03May 4 07:29:59 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 07:42:39 kernel last message repeated 2 times
May 4 08:47:20 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 09:39:46 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 10:21:02 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 10:34:38 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 10:48:53 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 11:12:13 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 11:15:13 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 11:45:14 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 12:54:11 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 14:20:18 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 15:07:29 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 15:27:54 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 15:43:44 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 17:37:32 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 18:55:58 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 19:01:09 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 19:10:34 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 19:18:29 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 21:46:07 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 21:50:02 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 22:18:13 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 22:42:23 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 23:21:19 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 5 00:45:11 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
むっちゃ安定しないように見えるけど、みんなこんなもの?
0690689
2006/05/05(金) 02:09:28ONUとの間に200KIが挟まってます
0691名無しさん@お腹いっぱい。
2006/05/05(金) 15:55:50お前だけ。俺んちはLCPのエラーは全然でてない。
0693名無しさん@お腹いっぱい。
2006/05/05(金) 20:58:250695名無しさん@お腹いっぱい。
2006/05/12(金) 19:34:32で,このマシンでpoptopを使ってPPTPによるVPNサーバも
同時に上げてるんですが,外部からVPNを張った時の
外部マシンのスループット低下に悩んでいます.
ルータ直下にある自宅マシンでは上り下りとも20〜30Mbpsほど
出ているのですが,外部からVPNを張ると外部マシンの
スループットが1/10ほどに低下してしまいます.
「外部」も直で計測すると40〜50Mbpsほど出る回線ですし,
VPNを張ってスループット計測する時のルータマシンのCPU loadにも
余裕があるので,どこがボトルネックなっているのかわかりません.
VPNを張ったときにスループットの低下をできるだけ抑えられる方法を
どなたか御指南していただけないでしょうか.
0696名無しさん@お腹いっぱい。
2006/05/12(金) 19:42:310697名無しさん@お腹いっぱい。
2006/05/14(日) 01:41:420698名無しさん@お腹いっぱい。
2006/05/14(日) 02:15:090699名無しさん@お腹いっぱい。
2006/05/14(日) 15:55:53mpd使え。
0700名無しさん@お腹いっぱい。
2006/05/14(日) 19:41:57どうも6.x系統はルーターに向かないらしいぞ。
>>686
>>688
0701名無しさん@お腹いっぱい。
2006/05/15(月) 02:10:39公平ではないと思うけれど、>>688 のようにGbEをつかってて落ちまくるというのは
ひどいね。
しかしながら、落ちたという報告があるのはいずれもBETA版だから、リリースでは
どうなってるかわからないね。
>>699の言うようにmpdを使うのがベターだな。
0702名無しさん@お腹いっぱい。
2006/05/15(月) 19:27:00まぁ、nveはファーストリリースだからしゃーないけど
問題がNICであればな、別のKernel自体の問題な気がするが・・・
0703名無しさん@お腹いっぱい。
2006/05/15(月) 23:31:12どっか変だろこのNIC
0704695
2006/05/16(火) 00:53:49PPPoEしつつPPTPサーバになることってできるんですかね.
PPPoEで得られるIPアドレスは固定じゃないもんで,
mpdの設定ファイルにルータの外側のIPアドレスを記述できないんすよね.
0705名無しさん@お腹いっぱい。
2006/05/16(火) 01:04:590706名無しさん@お腹いっぱい。
2006/05/16(火) 01:28:29OpenBSDの人が自分らで別実装を作ってたけれど、FreeBSDにもimportされないかなぁ。
それとも、そういうことやったらnVidiaからそっぽを向かれちゃうんだろうか?
0707名無しさん@お腹いっぱい。
2006/05/16(火) 01:55:40nVIDIAから直接落としてこよう。
でも、バージョンを調べる方法ってあったっけ?
今使ってるドライバのバージョンがわからん
0708名無しさん@お腹いっぱい。
2006/05/17(水) 10:50:066.0beta2辺りから連綿と更新をしてきてるので、その辺が良くわからない。
6.0ベタは高負荷時に kernel panic を経験してきてるから、それが何時から
無くなったか忘れた。 おまけに、6.1betaでも再発なんてのを見てる。
4.11もそろそろ終わりですね。 メモリが少ないから、
swap が遅いらしい、6.1には換えたくないマシンが数台。
しかも6.xに対応してないアプリケーションもある・・・。
compat4 とかライブラリとかメンドい。
>>707
ソースを見るか、 /boot/kernel/*.ko を stringsする手のはどよ。
0709名無しさん@お腹いっぱい。
2006/05/17(水) 13:50:060710名無しさん@お腹いっぱい。
2006/05/17(水) 13:57:56w3mは何故改行がうまくできないのだろう。
0711名無しさん@お腹いっぱい。
2006/05/17(水) 17:10:030712名無しさん@お腹いっぱい。
2006/05/17(水) 21:53:554.10のことだったデマッテスマンカッタ
0713名無しさん@お腹いっぱい。
2006/05/18(木) 00:13:52emでもたまに。
6.1にしてから6.0の頃より酷くなった気がするよ
0714名無しさん@お腹いっぱい。
2006/05/20(土) 05:05:12lgeもかなりダメよ。 よく死んでて
lge2: link state changed to UP
lge2: link state changed to DOWN
lge2: link state changed to UP
lge2: link state changed to DOWN
lge2: link state changed to UP
lge2: link state changed to DOWN
0715名無しさん@お腹いっぱい。
2006/05/20(土) 06:08:190716名無しさん@お腹いっぱい。
2006/05/20(土) 11:52:51残念でした。
May 9 23:59:25 sv00 kernel: fxp0: device timeout
May 10 21:23:37 sv00 kernel: fxp0: device timeout
May 11 09:04:57 sv00 kernel: fxp0: device timeout
May 13 04:49:58 sv00 kernel: fxp0: device timeout
May 15 17:09:41 sv00 kernel: fxp0: device timeout
May 15 23:42:20 sv00 kernel: fxp0: device timeout
May 19 04:34:41 sv00 kernel: fxp0: device timeout
0717名無しさん@お腹いっぱい。
2006/05/20(土) 12:13:50skはよくwatchdog timeoutしてるなぁ。
0718名無しさん@お腹いっぱい。
2006/05/20(土) 19:04:26あんたのホストでdevice timeoutが出る事で、fxpが安定していないと言い切っているのは馬鹿?
0719名無しさん@お腹いっぱい。
2006/05/21(日) 18:08:13|DragonFlyってどんな具合なんですかね今。
1.2.6から1.4.xに上げたら netgraphのどこかでpanicするようなので
mpdを使ってる人は様子見またはデバッグに参加。
0720名無しさん@お腹いっぱい。
2006/05/21(日) 23:43:26nat on ng0 inet from any to any port = globe -> 192.168.0.2
ってしても、転送されてない雰囲気
やさしい人、静的NATの使い方教えて
0721名無しさん@お腹いっぱい。
2006/05/21(日) 23:59:05どこで言い切ってる?
0722名無しさん@お腹いっぱい。
2006/05/22(月) 01:46:04外から来たパケットを特定のホストに向けることをしたいんだよね?
その場合のキーワードはnatではなくてbinatだと思うんだけど?
詳しい話は下記のBidirectional Mapping (1:1 mapping)を見てもらうとよいと思うけど。
http://www.openbsd.org/faq/pf/nat.html
binat on インタフェース名 from 内部IPアドレス to any -> 外部IPアドレス
まあ、全部向ける必要ないならこの次のページに載っているredirectを
使うほうが安全だとは思いますが。
0723名無しさん@お腹いっぱい。
2006/05/22(月) 22:52:16ありがとう
natって言葉につかまってた
0724名無しさん@お腹いっぱい。
2006/05/28(日) 18:52:16多分device timeoutってメッセージが出て通信出来なくなるヤツだよね?
それなら、パッチが出てるよ。
あと、ndisでWindows用を使った方が無難な気がするんだけど・・・
えらいトリッキーな方法だけど、少なくとも現状よりは無難に思えるくらい。
あっちは普通に安定するらしい。
ところで、ndisを使った場合のスループットの低下って無いのかな?
一応無駄なオーバーヘッドが増えないわけではないのだし・・・。
100Mや1000Mの範囲では殆ど問題にならないオーバーヘッドなのかな?
0725名無しさん@お腹いっぱい。
2006/06/01(木) 19:16:070726名無しさん@お腹いっぱい。
2006/06/08(木) 22:41:44kwsk
0727名無しさん@お腹いっぱい。
2006/06/14(水) 18:23:19例えば
int_if0 = "fxp0"
table <works_zone> { 172.30.10.0/24 }
table <guest_zone> { 172.30.100.0/24 }
block log all
pass quick on lo0 all
pass in on $int_if0 from <works_zone> to any
pass out on $int_if0 from !<guest_zone> to <works_zone>
pass in on $int_if0 from <guest_zone> to !<works_zone>
pass out on $int_if0 from any to <guest_zone>
これを試してみたら<guest_zone>→<works_zone>が通ってしまう...
0728名無しさん@お腹いっぱい。
2006/06/14(水) 18:43:140729名無しさん@お腹いっぱい。
2006/06/14(水) 19:06:30ブリッジなんじゃないの?
と良心的に解釈
0730727
2006/06/15(木) 11:32:31そんな初歩も知らないまま2年前から悩んでた...
0731727
2006/06/15(木) 12:10:16[ works_zone PC ] 172.30.10.2/24
|
|
[ スイッチングハブ ] ------------- fxp1[ FreeBSD ]
| 172.30.10.1/24
| alias 172.30.100.1/24
[ guest_zone PC ] 172.30.100.2/24
0732名無しさん@お腹いっぱい。
2006/06/15(木) 12:43:41arpとかのパケットは筒抜けになるって事じゃないかなぁ?
0733727
2006/06/15(木) 12:59:200734名無しさん@お腹いっぱい。
2006/06/17(土) 06:43:570735名無しさん@お腹いっぱい。
2006/06/27(火) 03:49:14VIAのドライバがコンパイルできませんorz
bus_pio.h と bus_memio.h が無いとか言われるんだけど・・・・
0736名無しさん@お腹いっぱい。
2006/06/27(火) 11:41:23で、"無いとか言われる"って、そんな情報でどうやって調べろと。
エラーログコピペするぐらいしろって。
0737735
2006/06/27(火) 23:22:06スマソ
無いとか言われるというより、
machine/bus_pio.h と machine/bus_memio.h
この二つを ドライバのソースで include してるんだけど、
この2つのファイルが無くてコンパイルが出来ないのです。
0738名無しさん@お腹いっぱい。
2006/06/27(火) 23:59:30FreeBSD 6.1はVIA VT6122のドライバをvgeで標準実装しているし、
machine/bus_pio.h と machine/bus_memio.h は include してないよ。
# cd /usr/src/sys/dev/vge
# ls -l
total 94
-rw-r--r-- 1 root wheel 58456 3 18 06:30 if_vge.c
-rw-r--r-- 1 root wheel 30196 1 6 2005 if_vgereg.h
-rw-r--r-- 1 root wheel 5728 6 11 2005 if_vgevar.h
# grep -n machine/ *
if_vge.c:108:#include <machine/bus.h>
if_vge.c:109:#include <machine/resource.h>
bus_pio.h と bus_memio.h ってFreeBSD 5系のヘッダのような・・・
君の言うVIAのドライバって?何処から持ってきた?/usr/src/sysは6.1用?
嫌な予感がするので先に忠告しておくが、その程度の知識でNIC二枚刺しは危険。
稼働は実験室だけにして、決してInternetには接続しないように :-P
0739名無しさん@お腹いっぱい。
2006/06/28(水) 09:19:59ttp://www.jp.FreeBSD.org/cgi/cvsweb.cgi/src/sys/dev/vge/if_vge.c?rev=1.3.2.4&content-type=text/x-cvsweb-markup
で、R6.1のGENELIC kernelだとvgeは有効で
それこそ挿せば認識するのだが、あえて外した
kernelを作ったのか?
0740名無しさん@お腹いっぱい。
2006/06/29(木) 03:45:10(略)
rdr pass on $ext_if proto udp from any to ($ext_if) -> $nds_wifi
# Default
block return-icmp(port-unr) log all
# Nintendo DS
pass quick on $ext_if proto udp from any to any keep state
(略)
NintendoDSでWiFi対戦するためにこんなpf.confにしてるけど
pflogを眺めてみるとrdrされてないUDP通信があったりblockされてるUDPがあったりと
精度がビミョー…
0741名無しさん@お腹いっぱい。
2006/07/11(火) 12:02:49nat/ポートフォワードの設定は
ext_if="fxp0"
int_if="fxp1"
ftp_ip="192.168.0.16"
table <server_net> { xx.xx.xx.xx1, xx.xx.xx.xx2 }
nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
rdr on $ext_if proto tcp from <server_net> to ($ext_if) port { ftp-data, ftp } -> $ftp_ip
フィルターでブロックはしていません。
0742741
2006/07/11(火) 12:08:02Data connection from 192.168.0.1 did not originate from remote server xx.xx.xx.xx1!
というエラーが出ます。
私の推測だと21番ポートと20番ポートをやりとりしているipが違うからだと思っています。
現状のpassive出の接続はそのままで特定のサーバーだけactiveで接続する方法を教えてください。
よろしくお願いします。
0743名無しさん@お腹いっぱい。
2006/07/11(火) 23:42:170744741
2006/07/12(水) 23:18:40一応pf,pf.conf,ftp-proxyは全て目を通したのですが、
私の目が節穴なんだと思うんですが解決に至っていません。
リスト取得の際にnat内のipでデータを取得しにいっているのではないかと
思っているのですが、どうすればいいのかわかりません。
ftp-proxyがうまく動かせていない気がします。
ftp-proxyはinetd.confのにかかれているもののコメントアウトを外して動作させていますが、なにかオプションをつけて起動させないと行けないのでしょうか?
0745名無しさん@お腹いっぱい。
2006/07/12(水) 23:50:07FreeBSDの現行のftp-proxyはしょぼいから、ftp/pftpxを利用おすすめする。
OpenBSD3.9ではこっちに変更になってる。
設定方法はmanなりPF User's Guideを参考に。
0746名無しさん@お腹いっぱい。
2006/07/13(木) 00:01:12ftp-proxy って IP 付け替えやってくれないんじゃなかったっけ?
>>742 みたいにデータ接続の送信元IP が違うって怒られる場合は
ftp-proxy 使っても意味無いと思ってたんだけど。
0747741
2006/07/13(木) 12:04:56pftpxですね。入れてみます。
>>746
ftpの動作自体あまり詳しくわかっていたいので、
みなさんから見ればおかしなことを言っているのだと思います。
私の頭の中ではlsでのデータ取得する場合の動作は
1.postコマンドでサーバーに情報を送る(nat内pcの情報)
2.listコマンドをサーバーに送る
3.サーバーから接続される(pfが動いているゲートウェイ)
4.postコマンドで送ったipと接続したipが違うのでサーバ側が切断
という感じで動いているのではないかと思っています。
この認識で間違いないでしょうか?
0748名無しさん@お腹いっぱい。
2006/07/13(木) 13:45:320749741
2006/07/14(金) 00:22:58うまく説明できなくてすいません。
3をもう少し詳しく書くと
3-1.ftpサーバーの21番ポートからゲートウェイに接続が来る
3-2.ftp-proxyがnat内のftpクライアントに通知(passive接続ができているのでこれは通っていると予想)
3-3.ftpサーバーの20番ポートからゲートウェイの1で通知したポートに接続が来る
こんな感じなのではないかと思っています。
参考として下記の説明と図をみて考えました。
http://www.jp.freebsd.org/QandA/HTML/2073.html
http://slacksite.com/other/ftp.html
0750名無しさん@お腹いっぱい。
2006/07/14(金) 01:11:04たしか、
1-1 クライアントが制御接続で PORT を送出。
1-2 ftp-proxy がクライアントの PORT を握りつぶす。
1-3 ftp-proxy がサーバへ制御接続で自前の PORT を送出。
1-4 サーバが制御接続でコマンド成功だったかをクライアントに返信。
2 クライアントが制御接続で LIST を送出。
3-1 サーバがデータ接続で ftp-proxy によって示された IPアドレス、port に接続
3-2 ftp-proxy がデータ接続でクライアントによって示された IPアドレス、port に接続
4-1 クライアントはサーバからの接続を期待したのに
ftp-proxy から接続されたので詐称っぽいと警告を出す。
WindowsXP SP1 だったか SP2 だったかの
パーソナルファイアーウォールも ftp-proxy の中継だとブロックする。
そんときに調べた記憶だと、こんな感じだったかと。
PASV使えば、一応解決するんだけどね。
0751741
2006/07/14(金) 08:39:58詳細な解説ありがとうございます。
確かにpassiveだと大丈夫です。
ただ、私の管轄外のftpサーバーがactiveでしか接続を受け付けない
仕様になっているのでほとほと困っています。
とりあえずこの接続だけpfのゲートウェイを介さず
接続することにします。
あとはftp/pftpxを入れてみます。
0752名無しさん@お腹いっぱい。
2006/07/14(金) 08:52:02これなら文句言われずに動きそう。
0753名無しさん@お腹いっぱい。
2006/07/17(月) 20:28:59ftp使うのを止める方が先だと思う
■ このスレッドは過去ログ倉庫に格納されています