*BSDでBBルータを作ろう互助会 4pps
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2007/02/20(火) 13:21:31FreeBSDでBBルータを作ろう互助会 3Gbps
http://pc10.2ch.net/test/read.cgi/unix/1102740133/
ただ1.5・1.6用なのと1FD用だから1CFに流用できるかはわからん
ちょいと使ってみるわ
0115名無しさん@お腹いっぱい。
2007/10/06(土) 13:47:27ちなみにどんなNIC?
0116名無しさん@お腹いっぱい。
2007/10/06(土) 19:24:480117名無しさん@お腹いっぱい。
2007/10/06(土) 21:00:36Atherosチップを積んだ奴なら大抵おk
0118名無しさん@お腹いっぱい。
2007/10/06(土) 21:09:250119113
2007/10/14(日) 01:08:27オンボのVT6103。リンクしない事が多すぎる。繋がってもping飛ばすとパケロス
70%とかどんだけー
0120名無しさん@お腹いっぱい。
2007/10/14(日) 15:20:58ショップに行ったんだが、、AT電源売ってない。。。。
しょうがないからyamahaルータを3万で買ってきてバックアップしてあった設定から同じような設定で稼働させました。
正確には覚えてないけど、たぶん10年くらい電源入れっぱなしでがんばってくれてました。
どうもありがとうございました。。。
0121名無しさん@お腹いっぱい。
2007/10/19(金) 09:07:26ケーブル類もあったような気がしたけど過渡期過ぎると無くなったりするしね。
うちは古いAT電源はパッシブで電源が入れられるので、外付けでHDDや
スピンドルドライブのテスト用として重宝してます。
ATXは山ほど余ってるけど、だいたい半分くらいは故障で現役引退以前に
現在のパーツの容量に耐えられなくなって退役って感じだったな。
スレチすまぬ
0122名無しさん@お腹いっぱい。
2007/10/20(土) 01:33:47> まぁもう引退させろっていうお告げってことだね、ATXをATにするような
> ケーブル類もあったような気がしたけど過渡期過ぎると無くなったりするしね。
まだあったぞ
ttp://www.google.co.jp/search?q=ATX-ATMB
0123名無しさん@お腹いっぱい。
2007/10/22(月) 23:20:41でも今月の電気代を見てから復帰させるかどうか考えよう。
yamahaルータ、結構なんでも出来そうだし
0124名無しさん@お腹いっぱい。
2007/10/30(火) 00:49:24そう思って、RT107eとか入れてVPN組んだらちょい遅いんで
イラチな人に文句垂れられた。
0125名無しさん@お腹いっぱい。
2007/10/30(火) 02:21:51835 :名無しさん@お腹いっぱい。 :sage :2007/10/27(土) 14:55:46
ipnat/ipfilterが動いているFreeBSDマシンの内側にIPSEC-VPN鯖を起きたいんだ
けど、外(WAN側)からVPN鯖へ繋ぐ為の設定が分かりません('A`
市販ルータなら、いわゆる VPNパススルーとかIPSECパススルーの機能な訳ですが
FreeBSDで同じことするにはどうすればいいの?
0126名無しさん@お腹いっぱい。
2007/10/30(火) 03:26:13packetfilter なら protocol 云々を指定すれば転送出来たはず
0127名無しさん@お腹いっぱい。
2007/11/02(金) 00:52:32どはまりしてたが何とか抜けれそうだ・・・1週間とは長かった。
・mpdに前スレ792氏パッチを当てる
・前スレ839-844をよく読む
でFA?
一つ、$ext_gw,$ext_gw2の指定方法がいまいち分からなかった。
誰かご教授願いますorz
しかし、できてるようで出来てない設定だとng0では繋がるけどng1では繋がらない不思議。
これだからng1もうまくいきそうでpfのルールで無駄に四苦八苦してた。
('A`)お陰でfreebsdとかなり仲良くなれたぜb
0128名無しさん@お腹いっぱい。
2007/11/02(金) 09:57:02おま・・環境古すぎ。6.2p8+mpd4.3 だろ。
0129名無しさん@お腹いっぱい。
2007/11/02(金) 10:03:30$ext_gw 変数なんて使わんで、ベタにng0,ng1 を指定して書いてみ
サンプル設定で十分だとおもう。 mpd4 あたりなんか、confの文法変わってるから
mpd(3以前)のままじゃ動かんので、書き換える。
pf.conf は、 ipf.conf/ipnat.conf あたりを混ぜてて、好みじゃない。
だから、ipf使ってるけど、QoSやりたいんだよとか考えると、pf/ipfw2のどっちかに
なんだよね。 ipf.conf/ipnat.conf -> pf.conf 化するツールがあれば欲しいわ。
0130127
2007/11/02(金) 11:15:47環境は数年前構築したのを流用しようとしたためちょっと古いです。
とりあえずバージョンアップか・・・把握した。
いっその事サクっとクリーンインストールしちゃおうかな・・・
>$ext_gw 変数なんて使わんで、ベタにng0,ng1 を指定して書いてみ
試して見ました。pfctl -s rulesで確認したらちゃんとできてました。ありがとうございます。
しかし相変わらずng1へ接続できなかったです。ng1向けに行きたいpcでnslookupすると、
# pfctl -s state
self udp 192.168.0.***:32770 -> 210.***.***.***:53 SINGLE:NO_TRAFFIC
と出ます・・・
0131名無しさん@お腹いっぱい。
2007/11/02(金) 11:17:040133名無しさん@お腹いっぱい。
2007/11/02(金) 20:05:49俺できなかった。
0134名無しさん@お腹いっぱい。
2007/11/04(日) 09:19:390135名無しさん@お腹いっぱい。
2007/11/04(日) 23:18:11まあそれならしょうがないな
0136名無しさん@お腹いっぱい。
2007/11/05(月) 10:05:18それ、natできてないね。ng1でnatする設定書いてある?
0137127
2007/11/06(火) 02:12:58natルールは書いてあります。一応現在のpf.confの抜粋です。
rdrは省略、int_ipとかものアドレスも一例に変更してあります。
ttp://www.e-kuraberu.net/uploader/src/kuraberu2400.bin.html
パスは名前です。
チラ裏:
6.2にアップグレードしようとしたら/usrの空き領域が足りなかった・・・
3GBのHDDを使いまわさずちゃんと40GBの新品のHDD積んでおけばよかった・・・
0138名無しさん@お腹いっぱい。
2007/11/06(火) 07:58:52- $intt_ip を必ず $extt_if に route-to するルールがない
- pass in quick on $int_if from $int_if:network ... があるのでその下の
round-robin のルールが死んでる(直接は関係ないけど)
というあたりが問題だと思います。
0139名無しさん@お腹いっぱい。
2007/11/06(火) 20:47:56>>チラ裏
/usr/ports をあぼんするべし。
アップグレードが終わったら、/usr/src と /usr/obj を消せば良い。
その後余裕が有れば、ports を再展開するのもいい。
当方の2GBの滅入る鯖はこれで乗り切った。
0140127
2007/11/07(水) 01:34:12確認ありがとうございます。
> - $intt_ip を必ず$extt_ifにroute-toするルールがない
pass out on $extt_if route-to ($ext_if ng0) from $int_ip to any
pass out on $ext_if route-to ($extt_if ng1) from $intt_ip to any
> pass in quick on ... round-robinのルールが死んでいる
該当行コメントアウトしました。
以上でうまく行っている気がします。
ありがとうございました。
>>139
/usr/portsはアボン済みです。
パーティションを区切る時に配分を間違えたのかもしれない・・・
# chflags -R noschg ./*
後の状態でこれです。
# df
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/ad0s1a 253678 50262 183122 22% /
devfs 1 1 0 100% /dev
/dev/ad0s1e 253678 26 233358 0% /tmp
/dev/ad0s1f 1296326 896642 295978 75% /usr
/dev/ad0s1d 253678 146242 87142 63% /var
とりあえずうまくいっているようなので(?)ルータのFreeBSDはこのままにしようかと思います。
遊び用をもう一台組んでそっちにそろそろ出る7とか入れて遊んで見ようかと思います。
0141ナット ◆ZUufTLOWoc
2007/11/08(木) 08:45:54NetBSD/sparc64-currentでルータ&NAT箱&簡易FWを作ろうとしているのですが、
行き詰まってしまいました。
具体的には、ルータにするマシンはUltra5-270MHz/320MB/40GB HDDなのですが、
それにOSを入れて、ipnatとipfilterをオンにし、ipmonとipwatchdとか
sshdとかその辺も一通り書いてみました>/etc/rc.confに。
で、ルータから外界にはpingが名前で引けるようになり(自前でnamedを立てて
キャッシュだけのDNSを仕上げました)、これでPPPoEセッションは
確立したなと安心し、次にNATの製作に取り掛かりました。
具体的には、とりあえずオールイン・オールアウトのセキュリティもへったくれもない
NATにしようと思い、設定しました。そして、各クライアントマシンへの
IPアドレスやゲートウェイアドレスなどはDHCPですべて供給しようと思い、
/usr/shared/example/dhcp/dhcpd.confを/etc/dhcpd.confとしてコピーし、
IPアドレスのリース範囲だけを192.168.xxx.10〜192.168.xxx.99までとし、
その下の部分の設定は消して再起動しました。
すると…すべてのクライアントPCの有線LANにIPが割り振れなくなり、
固定IPの無線LANアクセスポイント(192.168.xxx.210)や
コンソールサーバ(192.168.xxx.180)、レーザプリンタ(192.168.xxx.200)のみに
アクセスできる状態です。APを通しているからでしょうか、無線LANのみは
すべてのマシンでIPアドレスを動的に割り振られ、自在にネットを徘徊できます。
どのマシンでも有線LANにDHCPが作動せず、無線LANのみに正しいIP範囲のIPアドレスが
割り振られている状態です。どうすればいいですか?もちろん無線では外界に出られますが。
0142ナット ◆ZUufTLOWoc
2007/11/08(木) 09:07:11169.254.151.253、ネットマスクが255.255.255.0のはずが
255.255.0.0になっていたりします。おっかしいなあ。
0143ナット ◆ZUufTLOWoc
2007/11/08(木) 10:13:36サーセンww
0144ナット ◆ZUufTLOWoc
2007/11/08(木) 14:35:44「MACアドレス制御」は可能でしょうか?NetBSDで。
おそらくipfilterのどっかの設定にあるのかもしれませんが、
市販のものだと大体32クライアントが限界ですよね。
たくさん無線LANカードを持っている私としては、32ではちょっと
足りないないんですよ。そこで、NAT/ipfilterの機能に、
MACアドレス制御(登録してあるMACアドレス以外のクライアントの
ルータ越えを禁止する)、しかしMACアドレスとIPアドレスを固定させる
わけではなく、あくまでDHCPで割り振る、ということは可能でしょうか?
どうかご教示ください。
0145名無しさん@お腹いっぱい。
2007/11/09(金) 00:17:400146名無しさん@お腹いっぱい。
2007/11/09(金) 09:34:59MACアドレス制御ではないが、認証したユーザーだけ使えるようにするという目的なら、authpf
も使えるかもしれない。
やりたいことから考えると、DHCPでIPアドレスを渡す際にMACアドレスに基づいて渡すIPアドレスを変えるという手法もありだと思う。
hardware ethernet, fixed-addressの設定をするとよいよ。
0147名無しさん@お腹いっぱい。
2007/11/09(金) 14:27:49> やりたいことから考えると、DHCPでIPアドレスを渡す際にMACアドレスに基づいて渡すIPアドレスを変えるという手法もありだと思う。
クライアントのユーザが自分しかいないなら別だが、
一般的には144のような要求のある場所でそれはダメ。
0148名無しさん@お腹いっぱい。
2007/11/10(土) 00:09:08ブロードキャストをウォッチしていてMACアドレス盗んでなりすまされたら意味無いと思うけど?
0149名無しさん@お腹いっぱい。
2007/11/10(土) 00:30:050150名無しさん@お腹いっぱい。
2007/11/10(土) 01:06:510151名無しさん@お腹いっぱい。
2007/11/10(土) 06:11:12まぁ使ってる暗号次第だけどまだWEPなんか使ってたら
10MB位データキャプチャーすれば簡単に復号出来るし。
0152名無しさん@お腹いっぱい。
2007/11/10(土) 10:16:340153名無しさん@お腹いっぱい。
2007/11/10(土) 11:45:40>恥を書く
誤字で台無し。
0154名無しさん@お腹いっぱい。
2007/11/10(土) 11:59:480155名無しさん@お腹いっぱい。
2007/11/10(土) 16:11:29と言いたいんじゃネーノ(ゲラゲラ
0156ナット ◆ZUufTLOWoc
2007/11/15(木) 20:22:32訊いたのであって、それが実効性のあるものかどうかは
問題にしてない質問だったわけで…。
市販の安物ルータ(某牛とか)、無線LANのAPにも
MACアドレスで弾く仕様はあるでしょ?それを
NetBSDでできないかな〜と思ったが、ダメですか。残念。
スタティックIPをMACアドレスに割り振るのじゃダメですよ。
ここで言ってるのは、MACアドレスでフィルタリングしつつ、
かつルータのローカルなDHCPサーバで動的にIPを割り振る、
という話ですから。
識者の方いらっしゃらないかな…。
0157名無しさん@お腹いっぱい。
2007/11/16(金) 00:11:510158名無しさん@お腹いっぱい。
2007/11/16(金) 00:15:21IPFWならできるよ
欲しいなら、pfベースで自分で作ってみれば?
需要があればマージされるかもよ
0159名無しさん@お腹いっぱい。
2007/11/16(金) 00:54:45pfilインターフェース(pf, ipfilter)じゃ無理。
0160名無しさん@お腹いっぱい。
2007/11/16(金) 07:16:120161名無しさん@お腹いっぱい。
2007/11/16(金) 09:31:08どのFWソフトで出来ますか? (´=∀=`)
1秒間に何個接続を許可するとかもやりたいです
0162名無しさん@お腹いっぱい。
2007/11/17(土) 02:01:44http://fbsd.wordpress.com/2007/11/10/smoothwall-vs-m0n0wall-a-comparison/
0163名無しさん@お腹いっぱい。
2007/11/17(土) 02:17:06tcpならいくらでも制御できる。 xinetd でも、tcpserver(djb)でも、お手製のものでも 。
udpは捨てるしかないだろ。
そんなことは判ってると思っているが、知らないと困るので。
0164名無しさん@お腹いっぱい。
2007/11/18(日) 18:40:330165名無しさん@お腹いっぱい。
2007/11/18(日) 18:45:060166名無しさん@お腹いっぱい。
2007/11/21(水) 03:08:38正しいというかエレガントな起動方法はどうすればいいいんでしょうか?
最初に /etc/rc.d/pf が起動するときは ng0 がないのでエラーが出ているようです。
いちおう、今は /etc/start_if で mpd を起動させたあとに /etc/rc.d/pf start させて動いてますが・・・
ちなみに /usr/llocal/etc/rc.d/mpd --> /usr/local/etc/mpd/mpd.linkup で /etc/rc.d/pf start も試してましたが、
そっちはなくても動きます
0167名無しさん@お腹いっぱい。
2007/11/22(木) 01:29:03rc.confで普通に
pf_enable="YES"
pflog_enable="YES"
pf.confで
anchor "interface/*" all
mpd.linkupで
pfctl -a "interface/${interface}" -Fn -Fr -f - <<EOF
nat on ${interface} from <internal_net> to any -> ${local}
EOF
0168名無しさん@お腹いっぱい。
2007/11/22(木) 11:58:570169名無しさん@お腹いっぱい。
2007/11/24(土) 17:49:150170名無しさん@お腹いっぱい。
2007/11/25(日) 03:11:44http://m0n0.ch/wall/beta-1.3.php
0171名無しさん@お腹いっぱい。
2007/11/25(日) 23:58:45亀レスだけど。
普通にNetBSD/i386が動いてるよ。
0172名無しさん@お腹いっぱい。
2007/11/27(火) 01:04:47お、いくらぐらいだった?20664円とか?
0173名無しさん@お腹いっぱい。
2007/11/27(火) 11:07:46それ。
0174名無しさん@お腹いっぱい。
2007/11/29(木) 23:14:10そのうち買おう
0175名無しさん@お腹いっぱい。
2007/12/01(土) 10:21:57そしてありがとう
0176名無しさん@お腹いっぱい。
2007/12/08(土) 11:10:180177名無しさん@お腹いっぱい。
2007/12/14(金) 20:32:09FreeBSD-6.2R + pf + mpd です。192.168.1.1がPCルーターのアドレスです。
192.168.1.2でhttpdが動いてて、外向きには8080で公開しています。
フィルターの設定なんですけど、
ext_if="ng0"
int_if="em0"
int_net="192.168.1.0/24"
www_srv="192.168.1.2"
nat on $ext_if from $int_net to any -> ($ext_if)
rdr on $ext_if inet proto tcp from any to any port 8080 -> $www_srv port 80
block log all
pass quick on lo0 all
pass quick on $int_if all
pass in quick on $ext_if proto tcp from any to $www_srv port 80 flags S/SA modulate state
pass in quick on $ext_if inet proto icmp all icmp-type echoreq keep state
pass out quick on $ext_if proto { udp, tcp, icmp } from any to any keep state
と、先人サイトのほぼコピペなんですけど、ここはこうしたほうがいいよとか、突っ込むところあります?
0179名無しさん@お腹いっぱい。
2007/12/14(金) 21:33:07基本的なフィルターしかかけてないので、悪意のあるアクセスに対してはどうなのかと思いまして。
あと、コレ使い出してから、sipが・・・orz
0180名無しさん@お腹いっぱい。
2007/12/15(土) 00:44:070181名無しさん@お腹いっぱい。
2007/12/15(土) 00:44:51>15
亀ですが需要あります。
0182名無しさん@お腹いっぱい。
2007/12/15(土) 12:52:44最近の pf では、rdr したものに対する pass はまとめられて、
rdr pass on $ext_if inet proto tcp from any to any port 8080 -> $www_srv port 80
と書ける。そうすると
pass in quick on $ext_if proto tcp from any to $www_srv port 80 flags S/SA modulate state
はいらなくなるはず。
0183名無しさん@お腹いっぱい。
2007/12/15(土) 14:28:390184177
2007/12/17(月) 00:38:04勉強になりますた。即変更しました。
とりあえず、IPブロックごと拒否するルールを追加して、運用してみようと思います。
table <ng_ip_cn> const { 222.216.0.0/15 }
table <ng_ip_tw> const { 122.120.0.0/13 }
block log quick on $ext_if from { <ng_ip_cn>, <ng_ip_tw> }
いまのところ、8080へ執拗にアクセスしてくるのはこのへんなので。
0185名無しさん@お腹いっぱい。
2007/12/17(月) 14:16:31アクセスをブロックしたいIPアドレスは、外部ファイルに記述するのはどう?
私はCNとKRについて
table <block_cn> persist file "/etc/pf/block_cn"
table <block_kr> persist file "/etc/pf/block_kr"
block quick on $wan_if from <block_cn> to any
block quick on $wan_if from <block_kr> to any
としてる。
0186名無しさん@お腹いっぱい。
2007/12/18(火) 12:31:24http://m0n0.ch/wall/downloads.php
0187177
2007/12/20(木) 00:48:06と、まとめると、
後から
block log quick on $ext_if from { <ng_ip_cn>, <ng_ip_tw> }
って書いても、意味無かった。。。。
アパッチにログ残っててなんでだろ?って悩んでたw
0188177
2007/12/20(木) 00:54:00それも考えたんですけど、今のところport80で公開してないので、
まだ、弾くIPはそんなに無いので、pf.confに書いてます。
増えてきたら考えます。
ちなみに、block_cn とか block_kr とかは自動生成ですか?
0189177
2007/12/20(木) 02:06:05>185
0190185
2007/12/20(木) 12:33:21CNとKRについては、月に1回APNIC(ftp.apnic.net/pub/stats/apnic/)から最新の
Resource rangeファイルを取得して、手動バッチで抜き出してます。
バッチは、 ttp://www.italk.ne.jp/minagawa/tech/krfilter.pl.txt を参考に作成。
その他SSH/FTPへのアタックは、swatch使って自動的に block_all に追記してます。
0191名無しさん@お腹いっぱい。
2007/12/20(木) 12:46:460192名無しさん@お腹いっぱい。
2007/12/20(木) 19:11:1015書いたの自分だけど、実はあれからminiupnpdに移行しちゃって使ってないんだ。
動作するかどうかわからないけど、それでも欲しい?
一応まだコンパイルは通るみたいだけど。
特に事情がないならminiupnpdを使う方がいいと思う。
こっちは開発してる人が第一ターゲットとしてるフィルタが*BSDのpfだし。
0193181
2007/12/20(木) 23:06:47あっさり Funsion フォンP'が通るようになりました。
ありがとうございました。
0194名無しさん@お腹いっぱい。
2007/12/21(金) 14:08:18rcでstopさせる時たまにpanicしたり、数日稼働させてるとシステムがハングしたり。
7.0に上げてからは大丈夫そうなんだけど、6.3のpfせいだったのかな?
0195名無しさん@お腹いっぱい。
2007/12/30(日) 22:30:42Motherboardを探しているのですが、Mini-ITXでは厳しい?
VIAのNICがとにかく評判悪いようなので、気になっているところです。
0196名無しさん@お腹いっぱい。
2007/12/30(日) 22:56:17地雷とか、そういうチャチなレベルじゃない。
0197名無しさん@お腹いっぱい。
2007/12/31(月) 04:04:45それまで3年くらいずっとEPIA(のVIA NIC)で特に問題なかったけどなぁ。
蟹のGIGAはFreeBSDでWatchdog Timeout出まくりで苦労したけど。
0198名無しさん@お腹いっぱい。
2008/01/01(火) 00:21:150199名無しさん@お腹いっぱい。
2008/01/01(火) 00:54:30はずれ引くとそんな感じ
窓では普通に使えた
FreeBSDでまともに動くのもあるけどね
0200名無しさん@お腹いっぱい。
2008/01/01(火) 01:53:470201名無しさん@お腹いっぱい。
2008/01/01(火) 10:21:480202名無しさん@お腹いっぱい。
2008/01/01(火) 17:41:04見た感じ普通のEther×3持ったPCに見えるんだけど。
0203名無しさん@お腹いっぱい。
2008/01/01(火) 17:55:280204名無しさん@お腹いっぱい。
2008/01/02(水) 00:33:27IP330で遊ぶくらいなら、もっと安くて遊びやすい機種がある。あえて茨の道を
選ぶこともない。
0205名無しさん@お腹いっぱい。
2008/01/02(水) 00:55:32うまくボケろよ。
0206名無しさん@お腹いっぱい。
2008/01/02(水) 22:02:39100Mの帯域が出なかったからem増設しちゃった。
0207名無しさん@お腹いっぱい。
2008/01/03(木) 20:56:030208名無しさん@お腹いっぱい。
2008/01/03(木) 20:58:38まあ写真みれば想像つくだろうけど、めちゃくちゃうるさいし、
出ている価格をみるとそんなに安くないし
それほどのお勧めでもないよ。
>>204
でお勧め機種はどんなの?
0209名無しさん@お腹いっぱい。
2008/01/03(木) 21:05:04http://pc11.2ch.net/test/read.cgi/jisaku/1198908177/
0210名無しさん@お腹いっぱい。
2008/01/03(木) 21:20:180211名無しさん@お腹いっぱい。
2008/01/04(金) 00:36:00> でお勧め機種はどんなの?
ALIX2
0212名無しさん@お腹いっぱい。
2008/01/04(金) 00:39:140213名無しさん@お腹いっぱい。
2008/01/06(日) 04:57:40pfベースにして移行しても良さそうかな。
■ このスレッドは過去ログ倉庫に格納されています