*BSDでBBルータを作ろう互助会 4pps

[0001 名無しさん＠お腹いっぱい。 2007/02/20(火) 13:21:31]

前スレ
FreeBSDでBBルータを作ろう互助会 3Gbps
http://pc10.2ch.net/test/read.cgi/unix/1102740133/

[0178 名無しさん＠お腹いっぱい。 NG NG]

とりあえずローカル環境でテスト運用してみたら？

[0179 名無しさん＠お腹いっぱい。 2007/12/14(金) 21:33:07]

一応、（ng0にグローバル振って）テストでは問題なく動いているんですけど、
基本的なフィルターしかかけてないので、悪意のあるアクセスに対してはどうなのかと思いまして。

あと、コレ使い出してから、sipが・・・orz

[0180 名無しさん＠お腹いっぱい。 2007/12/15(土) 00:44:07]

>15

[0181 名無しさん＠お腹いっぱい。 2007/12/15(土) 00:44:51]

あう、ミスった。
>15
亀ですが需要あります。

[0182 名無しさん＠お腹いっぱい。 2007/12/15(土) 12:52:44]

>>177
最近の pf では、rdr したものに対する pass はまとめられて、
rdr pass on $ext_if inet proto tcp from any to any port 8080 -> $www_srv port 80
と書ける。そうすると
pass in quick on $ext_if proto tcp from any to $www_srv port 80 flags S/SA modulate state
はいらなくなるはず。

[0183 名無しさん＠お腹いっぱい。 2007/12/15(土) 14:28:39]

勉強になるな

[0184 177 2007/12/17(月) 00:38:04]

＞182
勉強になりますた。即変更しました。


とりあえず、IPブロックごと拒否するルールを追加して、運用してみようと思います。

table <ng_ip_cn> const { 222.216.0.0/15 }
table <ng_ip_tw> const { 122.120.0.0/13 }
block log quick on $ext_if from { <ng_ip_cn>, <ng_ip_tw> }

いまのところ、8080へ執拗にアクセスしてくるのはこのへんなので。

[0185 名無しさん＠お腹いっぱい。 2007/12/17(月) 14:16:31]

>>184
アクセスをブロックしたいIPアドレスは、外部ファイルに記述するのはどう？
私はCNとKRについて

table <block_cn> persist file "/etc/pf/block_cn"
table <block_kr> persist file "/etc/pf/block_kr"

block quick on $wan_if from <block_cn> to any
block quick on $wan_if from <block_kr> to any

としてる。

[0186 名無しさん＠お腹いっぱい。 2007/12/18(火) 12:31:24]

m0n0wall 1.232 released!
http://m0n0.ch/wall/downloads.php

[0187 177 2007/12/20(木) 00:48:06]

rdr pass on $ext_if inet proto tcp from any to any port 8080 -> $www_srv port 80
と、まとめると、
後から
block log quick on $ext_if from { <ng_ip_cn>, <ng_ip_tw> }
って書いても、意味無かった。。。。

アパッチにログ残っててなんでだろ？って悩んでたｗ

[0188 177 2007/12/20(木) 00:54:00]

>184
それも考えたんですけど、今のところport80で公開してないので、
まだ、弾くIPはそんなに無いので、pf.confに書いてます。
増えてきたら考えます。

ちなみに、block_cn とか block_kr とかは自動生成ですか？

[0189 177 2007/12/20(木) 02:06:05]

アンカーミス。
>185

[0190 185 2007/12/20(木) 12:33:21]

>>177
CNとKRについては、月に1回APNIC(ftp.apnic.net/pub/stats/apnic/)から最新の
Resource rangeファイルを取得して、手動バッチで抜き出してます。
バッチは、 ttp://www.italk.ne.jp/minagawa/tech/krfilter.pl.txt を参考に作成。

その他SSH/FTPへのアタックは、swatch使って自動的に block_all に追記してます。

[0191 名無しさん＠お腹いっぱい。 2007/12/20(木) 12:46:46]

BSE?

[0192 名無しさん＠お腹いっぱい。 2007/12/20(木) 19:11:10]

>>181
15書いたの自分だけど、実はあれからminiupnpdに移行しちゃって使ってないんだ。
動作するかどうかわからないけど、それでも欲しい？
一応まだコンパイルは通るみたいだけど。

特に事情がないならminiupnpdを使う方がいいと思う。
こっちは開発してる人が第一ターゲットとしてるフィルタが*BSDのpfだし。

[0193 181 2007/12/20(木) 23:06:47]

いや、おいらもminiupnpd使いました。はい。
あっさり Funsion フォンP'が通るようになりました。
ありがとうございました。

[0194 名無しさん＠お腹いっぱい。 2007/12/21(金) 14:08:18]

miniupnpdだけど、FreeBSD6.3で使ってるとなんか不安定だった。
rcでstopさせる時たまにpanicしたり、数日稼働させてるとシステムがハングしたり。
7.0に上げてからは大丈夫そうなんだけど、6.3のpfせいだったのかな?

[0195 名無しさん＠お腹いっぱい。 2007/12/30(日) 22:30:42]

Bフレッツ用のPPPoEルータをNetBSD or FreeBSD w/mpdで作ろうと思って、
Motherboardを探しているのですが、Mini-ITXでは厳しい？
VIAのNICがとにかく評判悪いようなので、気になっているところです。

[0196 名無しさん＠お腹いっぱい。 2007/12/30(日) 22:56:17]

評判悪いとか言うレベルじゃなくて、まともにlink-upしない＞VIA
地雷とか、そういうチャチなレベルじゃない。

[0197 名無しさん＠お腹いっぱい。 2007/12/31(月) 04:04:45]

最近、SiSチップセットのMini-ITXに変えちゃったけど、
それまで3年くらいずっとEPIA(のVIA NIC)で特に問題なかったけどなぁ。
蟹のGIGAはFreeBSDでWatchdog Timeout出まくりで苦労したけど。

[0198 名無しさん＠お腹いっぱい。 2008/01/01(火) 00:21:15]

ひどいデタラメだｗ＞196

[0199 名無しさん＠お腹いっぱい。 2008/01/01(火) 00:54:30]

>>198
はずれ引くとそんな感じ
窓では普通に使えた

FreeBSDでまともに動くのもあるけどね

[0200 名無しさん＠お腹いっぱい。 2008/01/01(火) 01:53:47]

なにそれ＞はずれ引く

[0201 名無しさん＠お腹いっぱい。 2008/01/01(火) 10:21:48]

同じのを500枚ぐらい買って集計したんじゃねーの

[0202 名無しさん＠お腹いっぱい。 2008/01/01(火) 17:41:04]

NOKIAのIP330がヤフオクで出てるんだけど、これ買いですかね？
見た感じ普通のEther×3持ったPCに見えるんだけど。

[0203 名無しさん＠お腹いっぱい。 2008/01/01(火) 17:55:28]

ゴミだな

[0204 名無しさん＠お腹いっぱい。 2008/01/02(水) 00:33:27]

>>330
IP330で遊ぶくらいなら、もっと安くて遊びやすい機種がある。あえて茨の道を
選ぶこともない。

[0205 名無しさん＠お腹いっぱい。 2008/01/02(水) 00:55:32]

>>330
うまくボケろよ。

[0206 名無しさん＠お腹いっぱい。 2008/01/02(水) 22:02:39]

うちのMini-ITX上のvrはとりあえず問題なく動いたけど、CPUすかすかでも
100Mの帯域が出なかったからem増設しちゃった。

[0207 名無しさん＠お腹いっぱい。 2008/01/03(木) 20:56:03]

あ、互助会延びていた

[0208 名無しさん＠お腹いっぱい。 2008/01/03(木) 20:58:38]

>>202
まあ写真みれば想像つくだろうけど、めちゃくちゃうるさいし、
出ている価格をみるとそんなに安くないし
それほどのお勧めでもないよ。

>>204
でお勧め機種はどんなの？

[0209 名無しさん＠お腹いっぱい。 2008/01/03(木) 21:05:04]

ハードの話はこちらでだうぞ
http://pc11.2ch.net/test/read.cgi/jisaku/1198908177/

[0210 名無しさん＠お腹いっぱい。 2008/01/03(木) 21:20:18]

それはどうか

[0211 名無しさん＠お腹いっぱい。 2008/01/04(金) 00:36:00]

>>208
> でお勧め機種はどんなの？
ALIX2

[0212 名無しさん＠お腹いっぱい。 2008/01/04(金) 00:39:14]

でもそれだと価格が3倍ぐらいだからなあ

[0213 名無しさん＠お腹いっぱい。 2008/01/06(日) 04:57:40]

net/miniupnpd 使っている人居ないか？
pfベースにして移行しても良さそうかな。

[0214 名無しさん＠お腹いっぱい。 2008/01/06(日) 16:58:45]

普通に使ってる。 NTT東のVoIPアダプタは収容できている。

[0215 214 2008/01/06(日) 17:23:29]

そういえば、特製パッチ(>>41)が必要だった。
現行バージョンで必要かは知らぬ。

[0216 名無しさん＠お腹いっぱい。 2008/01/07(月) 15:17:14]

>>213
素のportsで使ってます。
IP電話とか使ってないからわからんけどLeopardの「どこでも My Mac」は大丈夫っぽい。

[0217 名無しさん＠お腹いっぱい。 2008/01/11(金) 19:15:25]

mpd使ってる人どのバージョン使ってますか？
バージョンによって目立った得失ある？

[0218 名無しさん＠お腹いっぱい。 2008/01/11(金) 22:04:20]

>>213
FreeBSD RELENG_6でportsそのままのminiupnpdをpfベースで使ってます。
これといった問題を感じたことはないです。

miniupnpdはフィルタに関係なく一部手抜きしてるといえば手抜きしてるんだけど、
実用上は問題ないですね。

[0219 名無しさん＠お腹いっぱい。 2008/01/12(土) 20:30:16]

>>217
4.2.2
4 以降は接続時にプライマリとセカンダリ DNS が取得できる。

[0220 名無しさん＠お腹いっぱい。 2008/01/12(土) 20:48:36]

3.18だった。
なるへそ。
4にしてみよう。

[0221 名無しさん＠お腹いっぱい。 2008/01/13(日) 15:39:00]

Mpd-5.0 released
http://kerneltrap.org/mailarchive/freebsd-net/2008/1/12/563042

[0222 名無しさん＠お腹いっぱい。 2008/01/14(月) 15:33:00]

って言うか、mpdって性能面でも伸びてるの？
正直、mpd3 + pf + miniupnpで運営してて
機能的にも安定性から見ても困る事って無いんだが…。
mpd4や5にすると、何が良くなんの？

[0223 名無しさん＠お腹いっぱい。 2008/01/14(月) 15:46:26]

困ってないならいいんじゃない？

[0224 名無しさん＠お腹いっぱい。 2008/01/14(月) 18:11:37]

>>222
ヒント: mpdはBBルータとして使うためだけのものではありません。
てかさ、そう思うならリリースノートくらい読もうよ。

[0225 名無しさん＠お腹いっぱい。 2008/01/15(火) 00:04:12]

mpdのコマンドでpppのポート設定できるようにならんものか。

[0226 名無しさん＠お腹いっぱい。 2008/01/15(火) 02:33:10]

処理の殆どはカーネル内のnetgraphモジュールが行うので、mpdのバージョンを上げても
スループットは変わらない。
mpd4(の途中から)からはwebインターフェースで設定できるので、そういうのが嬉しい人は嬉しい。

[0227 名無しさん＠お腹いっぱい。 2008/01/17(木) 22:58:50]

おい、これ激ヤバだぞ。
UPnP機能を持つSOHOルーターを介してインターネット接続しているクライアントに
攻撃Flashを食わせることでルーターのUPnP機能を操作でき、port forwardingなど
を行うことが出来る。

http://blog.ohgaki.net/index.php/yohgaki/2008/01/17/upnp-flash

[0228 名無しさん＠お腹いっぱい。 2008/01/18(金) 04:03:04]

＞UPnPは必要か?というと一般的なユーザであればUPnPが無効でも困ることは無いはずです。
一般的なユーザーだからこそ、必要なんだろ。
自分でポート設定できないから、UPnPがあるんだしｗ

[0229 名無しさん＠お腹いっぱい。 2008/01/18(金) 07:04:06]

UPnPはもともとこのぐらいのセキュリティリスクには目をつぶって使うという趣旨だし〜

[0230 名無しさん＠お腹いっぱい。 2008/01/18(金) 07:32:28]

そもそもUPnPは、ユーザーが意識せずとも、アプリケーションが勝手にポート設定とかやってくれるって言う仕組みだし
これはセキュリティーホールでもなんでもない。仕様。

[0231 名無しさん＠お腹いっぱい。 2008/01/18(金) 08:34:44]

何が悪いかといえば、何でも出来すぎちゃうflashのセキュリティモデルの欠陥だろ。
UPnPのではなく。

[0232 名無しさん＠お腹いっぱい。 2008/01/18(金) 11:07:36]

たしかに、UPnPだけ叩いてFlash叩かないってのは片手落ちですねぇ。
Java appletとかの実行環境がその手の制限をわりと注意深くかけてるのと
比較して考えると……

それはそうと、参照元のサイトにminiupnpdの作者がコメントつけてるwww

[0233 名無しさん＠お腹いっぱい。 2008/01/18(金) 12:52:13]

英語読めないので元記事のソースだけ読んだけど
コントロールURLは固定? Flashからマルチキャスト
UDP飛ばして取得する事は出来ないのかな?
後、Flashのクロスドメイン関係でブロックされないの?

[0234 名無しさん＠お腹いっぱい。 2008/01/18(金) 22:10:22]

NTTのVoIPアダプタ使ってるけど止めると電話できなくなるな。
発見者はUPnP叩きたがってるようだけど、Flashが悪いに一票。

[0235 名無しさん＠お腹いっぱい。 2008/01/18(金) 22:27:17]

ここで（あの方面の人たちは）NATを叩けばいいのに

[0236 名無しさん＠お腹いっぱい。 2008/01/19(土) 01:15:27]

SSDPで取得から全部XMLメッセージベースで完結するから突きやすいといえば突きやすい、のか？
でもUPnP DeviceSecurityって遙か昔にリリースされてるよね。IGD v2が立ち消えてから宙に浮いてるけど。

というかそれならNAT-PMPの方がシンプルすぎて拡張してもやばそうな希ガス。

[0237 名無しさん＠お腹いっぱい。 2008/01/19(土) 06:29:04]

Flash叩いてる人いるけど
これから本格的に、Web上でリッチアプリケーションを動かすようになった時
Flashも、通常のWindowsアプリと同様に、UPnPが使えても良いと思うんだが…。
むしろ、使えないと困る。

結局、これFlashに限らず、アプリケーションからユーザーが意識せずとも勝手にポート設定をしてくれる
っていうUPnPのわかりきったごく当然の話だったと思うんだが・・・。

[0238 名無しさん＠お腹いっぱい。 2008/01/19(土) 07:27:49]

これから本格的に、Web上でリッチアプリケーションを動かすようになった時
Flashも、通常のWindowsアプリと同様に、ファイルアクセスが使えても良いと思うんだが…。
むしろ、使えないと困る。

[0239 名無しさん＠お腹いっぱい。 2008/01/19(土) 07:28:37]

Flashに仕込み放題

[0240 名無しさん＠お腹いっぱい。 2008/01/19(土) 08:08:40]

UPnPの存在は色々矛盾なんだよな。
UPnPは、ユーザーが意識せずともシームレスにネットワークを介して情報のやりとりが出来るってのを目指したもの
でも、一番危ないのが意識しないこと。

ただ、これはそもそも、NATがあるからセキュリティーはＯＫって考えが問題なんじゃないかと。
セキュリティー上攻撃を防ぐのは、NATではなく、FireWall
NATは、複数の端末から１つのネットワーク回線を共有するものって概念だと
実はUPnP自体の考えは、案外普通なのかもよ。

[0241 名無しさん＠お腹いっぱい。 2008/01/19(土) 08:33:18]

NATがそもそもアレなんだろ

[0242 名無しさん＠お腹いっぱい。 2008/01/19(土) 11:24:53]

ALIX2とかを店頭でひょいっと買える店とかないかな

[0243 名無しさん＠お腹いっぱい。 2008/01/19(土) 12:59:04]

>>242
ない。
どうせ注文翌日には届くんだから代理店に注文すりゃいいじゃないか。

[0244 名無しさん＠お腹いっぱい。 2008/01/19(土) 13:05:18]

そうなんだ
翌日なんだ

[0245 名無しさん＠お腹いっぱい。 2008/01/19(土) 14:02:40]

この中でALIX買った人いるなら、
スループットとか知りたいな。
WRAP買ったけど、使ってみて
パワー不足を感じたからさ。

[0246 名無しさん＠お腹いっぱい。 2008/01/19(土) 21:26:48]

miniupnpの中の人の反論はこっちの方が詳しいかな。
ttp://miniupnp.tuxfamily.org/forum/viewtopic.php?t=435

>>245
NICのチップがVIAだからあまり期待しないほうがいいと思う

[0247 名無しさん＠お腹いっぱい。 2008/01/20(日) 07:14:22]

VIAはVIAでもGbEのほうのVIAを使ってくれればいいのになぁ。
Soekrisの5501もそうだけど。
パフォーマンスをなげうってでもそんなにコストがちがうんか？と問い詰めたい

[0248 名無しさん＠お腹いっぱい。 2008/01/20(日) 08:16:42]

100Mbでリンクしたとしても消費電力が結構違うね。

[0249 名無しさん＠お腹いっぱい。 2008/01/24(木) 16:25:23]

m0n0wall 1.233 released!
http://m0n0.ch/wall/

[0250 名無しさん＠お腹いっぱい。 2008/01/25(金) 20:33:39]

ALIX2 USB穴付きエンクロージャーついにキター

[0251 名無しさん＠お腹いっぱい。 2008/01/25(金) 23:29:50]

>>250
キタね

[0252 名無しさん＠お腹いっぱい。 2008/01/26(土) 06:04:33]

ALIX.2C3でルーター兼Asterisk鯖にしようと思うんだけど力不足かな。
光回線なんだけど

[0253 名無しさん＠お腹いっぱい。 2008/01/26(土) 06:33:11]

問題なしだろう
やってみてレポってよ

[0254 名無しさん＠お腹いっぱい。 2008/01/26(土) 12:21:31]

wrapは性能足りなかったのでそこんとこ知りたい。

[0255 252 ◆NEET/r.be. 2008/01/26(土) 16:28:01]

さくらの共有鯖でしかFreeBSD触った事無い、ド素人だけど
ALIX買ってしまった、上手く動いたらレポします。
MiniPCIの無線LANカード入れて無線LANのAPも作りたかったり

手に負えなかったらIPnuts入れる予定(´･ω･｀)

[0256 名無しさん＠お腹いっぱい。 2008/01/26(土) 16:50:57]

スループット言ってる奴ってなにはかってほしいの？

[0257 名無しさん＠お腹いっぱい。 2008/01/26(土) 18:54:44]

ALIXってVIAの6105って時点で禿げしく地雷な予感なんだけど。

[0258 名無しさん＠お腹いっぱい。 2008/01/26(土) 19:39:59]

そうでもない。

[0259 名無しさん＠お腹いっぱい。 2008/01/26(土) 20:52:21]

>>255
手に負えなかったら、m0n0wallやpfsenseにしなよ
ｽﾚ的な意味で

[0260 名無しさん＠お腹いっぱい。 2008/01/26(土) 21:45:19]

>>256
PPPoEしたときどのぐらいのスピードがでるのかとか

[0261 名無しさん＠お腹いっぱい。 2008/01/26(土) 22:21:01]

>>260
サーバ側用意するのめんどいっす。

[0262 名無しさん＠お腹いっぱい。 2008/01/26(土) 23:00:13]

とりあえずnetperf

[0263 ◆NEET/r.be. 2008/01/27(日) 20:29:35]

ALIX到着
BIOSのアップデートしようと思ったら既に最新版のv0.99入ってました。
ルーター兼Asterisk鯖が目標なので、m0n0wallにasterisk入れようと思たんだけど無理だった。
コマンドもsshも受け付けないみたい、自分でビルドしないと駄目なのか(´･ω･｀)

http://neet.rgr.jp/img/ALIX1.jpg
http://neet.rgr.jp/img/ALIX2.jpg

[0264 名無しさん＠お腹いっぱい。 2008/01/27(日) 20:47:02]

>>263
そんな君にpfsense

[0265 名無しさん＠お腹いっぱい。 2008/01/27(日) 20:49:41]

ビルド自体は別PCでやってそれをCFにぶちこんで動かすのん？

[0266 名無しさん＠お腹いっぱい。 2008/01/27(日) 21:15:04]

そうだね
今あるCFイメージをいじって済むならそれでもいいかもね

[0267 名無しさん＠お腹いっぱい。 2008/01/27(日) 23:21:39]

AskoziaPBX

つ http://askozia.com/pbx/

ただ、ルーター兼Asteriskとなると、自分で構築するしか無いと思うけど。

[0268 名無しさん＠お腹いっぱい。 2008/01/30(水) 20:13:24]

>>261
フレッツつかっているならフレッツスクエアとか

[0269 名無しさん＠お腹いっぱい。 2008/01/30(水) 21:18:06]

>>268
JavaVM入れるのめどい

[0270 名無しさん＠お腹いっぱい。 2008/01/30(水) 21:19:36]

じゃあそこらのブロードバンドｽﾋﾟｰﾄﾞテストでいいよ

[0271 名無しさん＠お腹いっぱい。 2008/01/30(水) 23:41:28]

http://www.freebsd.org/cgi/cvsweb.cgi/ports/net/pchar/
http://www.freebsd.org/cgi/cvsweb.cgi/ports/net/pathchar/

[0272 名無しさん＠お腹いっぱい。 2008/01/30(水) 23:52:55]

miniupnpdのRCが取れた。

[0273 名無しさん＠お腹いっぱい。 2008/01/31(木) 03:43:50]

Seven Different Linux/BSD Firewalls Reviewed
http://www.fsckin.com/2007/11/14/7-different-linuxbsd-firewalls-reviewed/

[0274 ◆NEET/r.be. 2008/02/01(金) 19:35:04]

ALIXにm0n0wall入れてみました。
RT-200NEより早くなって感激。

portsでAsterliskを入れようとしたら、2GBのCFに入れたのに容量オーバーと言われ
http://devwiki.pfsense.org/FlashHowTo
↑を参考に、ノートにFreeBSDを入れて、ようやく全サイズ認識させる事に成功したんですが
今度はmakeコマンドが使えない。。どうやら使えるコマンドが少ない模様
http://neet.rgr.jp/pfsense/command.txt

makeを入れるにはスクラッチから自分でビルドしないと駄目ですか？
http://devwiki.pfsense.org/BuildingpFSense
もう、わけわかめ(´･ω･｀)

[0275 名無しさん＠お腹いっぱい。 2008/02/02(土) 01:32:22]

ふつうに6.3 or 7.0-prereleaseいれたら？

そんなにm0n0wall入れるのに
こだわらなくても自分で構築したら？

そうまでこだわる理由ってなによ？

[0276 名無しさん＠お腹いっぱい。 2008/02/05(火) 23:57:40]

>>219
DNS情報が反映出来ない。
何か設定が必要ですか？

[0277 名無しさん＠お腹いっぱい。 2008/02/06(水) 01:40:10]

>>276
mpd.conf で
set ipcp yes req-pri-dns # dns1 取得(up-script パラメータ数 9)
set ipcp yes req-sec-dns # dns2 取得(up-script パラメータ数 9)
を設定すると up-script のパラメータが 9 個になって次の並びとなる
interface proto local-ip remote-ip authname "dns1" server-ip "dns2" server-ip

これで分かる？