*BSDでBBルータを作ろう互助会 4pps

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 2chのread.cgiへ]
Update time : 03/05 01:27 / Filesize : 162 KB / Number-of Response : 619
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：名無しさん＠お腹いっぱい。 [2007/02/20(火) 13:21:31 ]: 前スレ
FreeBSDでBBルータを作ろう互助会 3Gbps
pc10.2ch.net/test/read.cgi/unix/1102740133/
101 名前：92 mailto:sage [2007/07/23(月) 11:41:37 ]: すいません、ゴミが紛れ込みました。
S/OSunam/OS/
102 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/23(月) 12:55:29 ]: >>100
スピードテスト後の pfctl -s queue -v の結果を見てみたいかも。
103 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/23(月) 14:00:04 ]: >>102
キューを活かして再計測してみました。
// 全てのステータスクリア
# pfctl -F all && pfctl -f pf.rules

// 計測
SPEED 2.5 (speed.rbbtoday.com)
計測日時 : 2007年7月23日月曜日 13時38分34秒
下り（ISP→PC）: 1.34Mbps
上り（PC→ISP）: 63kbps

// キュー表示
# pfctl -s queue -v
queue vnc priority 9
[ pkts: 0 bytes: 0 dropped pkts: 0 bytes: 0 ]
[ qlength: 0/ 50 ]
queue webserver priority 7
[ pkts: 0 bytes: 0 dropped pkts: 0 bytes: 0 ]
[ qlength: 0/ 50 ]
queue dflt priority 5 priq( default )
[ pkts: 858 bytes: 167507 dropped pkts: 0 bytes: 0 ]
[ qlength: 0/ 50 ]
queue ftp priority 2
[ pkts: 0 bytes: 0 dropped pkts: 0 bytes: 0 ]
[ qlength: 0/ 50 ]

パケットを落として帯域を絞っているようには見えないですね。
104 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/24(火) 14:39:48 ]: >>103
うーん、何が起きてるのかわからん……
altq on $ext_ifという設定で、上りだけでなく下りも影響を受けているということは、
TCPのACKにひどい遅延が入っているからなのか？
altqの設定あり/なしで、routerに対するpingとrouterごしのpingでRTTがどうなるか
見てみるといいかもしれない。

スピードテスト前後のnetstat -sの結果を見比べて何が起きてるのか見てみるのも
いいかも。
105 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/26(木) 09:27:18 ]: motion
106 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/02(木) 13:58:24 ]: Beta version 1.3b3 released!

* added voucher support to captive portal (mwiget)
* wireless LAN improvements
o WPA-PSK and WPA-Enterprise (in hostap mode)
o hide SSID option
* allow dashes in alias names
* added hidden option to disable auto-generation of PPTP rules on WAN (<nofwrulegen/> in <pptpd> section)
* fixed ATA HD spin down feature (using ataidle - needs testing)
* ipfilter TCP window scaling bug fix (see here)
* synced with changes from 1.23 branch
* increased mfsroot size to 14 MB (from 13 MB)
* updated base system to FreeBSD 6.2-RELEASE-p6
* updated PHP to 4.4.7
* updated ipsec-tools to 0.6.7
* updated isc-dhcpd to 3.0.5
* updated Dnsmasq to 2.39
* added kernel patch for fragment bug in ipfilter (contributed by Frank Edwards)
* modified kernel patch to handle ipnat+dummynet in ip_input -> should fix problems with captive portal not reporting downloaded data per user properly when the traffic shaper is on, and also makes per-user bandwidth limits work again
* added ural(4) to list of recognized wireless NICs
* removed "-P" option from boot.config again (doesn't work properly with USB keyboards)
* added kbdmux to kernel config of generic-pc(-cdrom) -> should fix problems with USB keyboards
* use setkey from ipsec-tools now that we use NAT-T

m0n0.ch/wall/beta-1.3.php
107 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/19(日) 02:30:54 ]: pfSense 1.2 RC2 released!

New features/improvements present in 1.2-RC2:

* Automatically restarts racoon (ipsec-tools if it wedges)
* Ensure CARP status page cache is cleared before load
* Updated lighttpd to 1.4.15
* APC updated to 3.0.14
* Update to DNSMASQ 2.3.9
* Ensure that rules are cleared from UPNP when service is stopped
* Correectly show IPSEC firewall rules tab when Mobile IPSEC is enabled
* Quality graph misc alignments
* Backport show username on captive portal status screen
* Do not allow aliases named "pptp"
* TCP timeout time fixes

pfsense.blogspot.com/
108 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/19(日) 17:09:43 ]: なるほどね
109 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/27(月) 01:55:31 ]: m0n0wall 1.3b4 released!

* captive portal voucher fixes: idle timeout, allow voucher authentication starting with &apos-' (by mwiget)
* console speed for WRAP image is now 38400 as this has always been the default for new WRAP (and ALIX) boards anyway
* modified WRAP image kernel to also work with ALIX.2 (added vr device and USB EHCI + CPU soft reset patches to wrap kernel; tested on prototype board)
o for ALIX, interfaces need to be re-assigned (vr* instead of sis*)
* patched hostapd to support writing PID file; start hostapd with -B flag (fixes problem with wireless interfaces that have WPA enabled not being initialized properly on boot)
* recompiled MPD with current MSS/dial-on-demand patches (also fixes idle timeout bug)
* removed code that auto-selects subnet mask on LAN and OPT setup pages (it"s confusing and doesn"t necessarily get it right)
* recompiled PHP, this time with radius extension

m0n0.ch/wall/beta-1.3.php
110 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/23(日) 01:40:57 ]: m0n0wallでssh使えるようになって欲しい。
sshの為だけにpfsense使ってるけど、やっぱm0n0wallのほうが馴染む。
111 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/09/23(日) 07:32:48 BE:52837722-2BP(8044)]: FreeBSDでもベースにして作っちゃえ
NetBSDにもツールはあったし
112 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/01(月) 00:14:49 ]: pfsenseまだPPPoEマルチ対応してないのか
外国では流行ってないのかなー
113 名前：名無しさん＠お腹いっぱい。 mailto:age [2007/10/06(土) 03:14:17 ]: m0n0wallやpfsenseはFreeBSDベースだけど、NetBSDベースの1-CFルータとかない？

FreeBSDとあまりに相性が悪いNICを使ってるんで、FreeBSD以外の*BSDでルータを
作りたいんだけど、
114 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/06(土) 08:58:24 BE:396279465-2BP(8044)]: fdgwとかは？
ただ1.5・1.6用なのと1FD用だから1CFに流用できるかはわからん

ちょいと使ってみるわ
115 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/06(土) 13:47:27 ]: >>113
ちなみにどんなNIC?
116 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/06(土) 19:24:48 ]: FreeBSDで使える11gのPCI接続の無線カード無いかにゃあ
117 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/06(土) 21:00:36 ]: >>116
Atherosチップを積んだ奴なら大抵おk
118 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/06(土) 21:09:25 ]: 5312とかインテリジェントなチップはダメだろ。
119 名前：113 mailto:sage [2007/10/14(日) 01:08:27 ]: >115
ｵﾝﾎﾞのVT6103。リンクしない事が多すぎる。繋がってもping飛ばすとパケロス
70%とかどんだけー
120 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/14(日) 15:20:58 ]: pen2-233マシンでルータさせてたんだけど、ついに電源が逝ってしまって
ショップに行ったんだが、、AT電源売ってない。。。。
しょうがないからyamahaルータを3万で買ってきてバックアップしてあった設定から同じような設定で稼働させました。
正確には覚えてないけど、たぶん10年くらい電源入れっぱなしでがんばってくれてました。
どうもありがとうございました。。。
121 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/19(金) 09:07:26 ]: まぁもう引退させろっていうお告げってことだね、ATXをATにするような
ケーブル類もあったような気がしたけど過渡期過ぎると無くなったりするしね。

うちは古いAT電源はパッシブで電源が入れられるので、外付けでHDDや
スピンドルドライブのテスト用として重宝してます。
ATXは山ほど余ってるけど、だいたい半分くらいは故障で現役引退以前に
現在のパーツの容量に耐えられなくなって退役って感じだったな。
ｽﾚﾁすまぬ
122 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/20(土) 01:33:47 ]: >>121
> まぁもう引退させろっていうお告げってことだね、ATXをATにするような
> ケーブル類もあったような気がしたけど過渡期過ぎると無くなったりするしね。
まだあったぞ
ttp://www.google.co.jp/search?q=ATX-ATMB
123 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/22(月) 23:20:41 ]: あーーそういうのがあるのか。
でも今月の電気代を見てから復帰させるかどうか考えよう。
yamahaルータ、結構なんでも出来そうだし
124 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/30(火) 00:49:24 ]: >>123
そう思って、RT107eとか入れてVPN組んだらちょい遅いんで
イラチな人に文句垂れられた。
125 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/30(火) 02:21:51 ]: 転載

835 ：名無しさん＠お腹いっぱい。：sage ：2007/10/27(土) 14:55:46
ipnat/ipfilterが動いているFreeBSDマシンの内側にIPSEC-VPN鯖を起きたいんだ
けど、外（WAN側）からVPN鯖へ繋ぐ為の設定が分かりません('A`

市販ルータなら、いわゆる VPNパススルーとかIPSECパススルーの機能な訳ですが
FreeBSDで同じことするにはどうすればいいの？
126 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/30(火) 03:26:13 ]: >>125
packetfilter なら protocol 云々を指定すれば転送出来たはず
127 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/02(金) 00:52:32 ]: FreeBSD5.5,mpd3.18+pfで東Ｂフレ光２ＩＳＰマルチセッション・・・
どはまりしてたが何とか抜けれそうだ･･･１週間とは長かった。
・mpdに前スレ792氏パッチを当てる
・前スレ839-844をよく読む
でＦＡ？

一つ、$ext_gw,$ext_gw2の指定方法がいまいち分からなかった。
誰かご教授願いますorz

しかし、できてるようで出来てない設定だとng0では繋がるけどng1では繋がらない不思議。
これだからng1もうまくいきそうでpfのルールで無駄に四苦八苦してた。
('A`)お陰でfreebsdとかなり仲良くなれたぜｂ
128 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/02(金) 09:57:02 ]: >>127
おま・・環境古すぎ。6.2p8+mpd4.3 だろ。
129 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/02(金) 10:03:30 ]: >しかし、できてるようで出来てない設定だとng0では繋がるけどng1では繋がらない不思議。

$ext_gw 変数なんて使わんで、ベタにng0,ng1 を指定して書いてみ

サンプル設定で十分だとおもう。 mpd4 あたりなんか、confの文法変わってるから
mpd(3以前）のままじゃ動かんので、書き換える。

pf.conf は、 ipf.conf/ipnat.conf　あたりを混ぜてて、好みじゃない。
だから、ipf使ってるけど、QoSやりたいんだよとか考えると、pf/ipfw2のどっちかに
なんだよね。　ipf.conf/ipnat.conf -> pf.conf 化するツールがあれば欲しいわ。
130 名前：127 mailto:sage [2007/11/02(金) 11:15:47 ]: >>128,129
環境は数年前構築したのを流用しようとしたためちょっと古いです。
とりあえずバージョンアップか・・・把握した。
いっその事サクっとクリーンインストールしちゃおうかな･･･

>$ext_gw 変数なんて使わんで、ベタにng0,ng1 を指定して書いてみ
試して見ました。pfctl -s rulesで確認したらちゃんとできてました。ありがとうございます。
しかし相変わらずng1へ接続できなかったです。ng1向けに行きたいpcでnslookupすると、
# pfctl -s state
self udp 192.168.0.***:32770 -> 210.***.***.***:53 SINGLE:NO_TRAFFIC
と出ます･･･
131 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/02(金) 11:17:04 ]: 「好みじゃない」は言い訳でpf化できないだけ、と読める
132 名前：129 mailto:sage [2007/11/02(金) 11:46:48 ]: >>131
pf で動かしてるルータも何台かあるよ。
133 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/02(金) 20:05:49 ]: pfでpppoeのマルチセッションできるか？
俺できなかった。
134 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/04(日) 09:19:39 ]: pf(4)の話してるときにpfSenseをpfと省略するクズはどっかいってください。
135 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/04(日) 23:18:11 ]: >>119
まあそれならしょうがないな
136 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/05(月) 10:05:18 ]: >>130
それ、natできてないね。ng1でnatする設定書いてある？
137 名前：127 mailto:sage [2007/11/06(火) 02:12:58 ]: >>136
natルールは書いてあります。一応現在のpf.confの抜粋です。
rdrは省略、int_ipとかものアドレスも一例に変更してあります。
ttp://www.e-kuraberu.net/uploader/src/kuraberu2400.bin.html
ﾊﾟｽは名前です。

チラ裏：
6.2にアップグレードしようとしたら/usrの空き領域が足りなかった･･･
3GBのＨＤＤを使いまわさずちゃんと４０ＧＢの新品のＨＤＤ積んでおけばよかった･･･
138 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/06(火) 07:58:52 ]: >>137
- $intt_ip を必ず $extt_if に route-to するルールがない
- pass in quick on $int_if from $int_if:network ... があるのでその下の
round-robin のルールが死んでる(直接は関係ないけど)
というあたりが問題だと思います。
139 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/06(火) 20:47:56 ]: >>137

＞＞チラ裏

/usr/ports をあぼんするべし。
アップグレードが終わったら、/usr/src と /usr/obj を消せば良い。
その後余裕が有れば、ports を再展開するのもいい。

当方の2GBの滅入る鯖はこれで乗り切った。
140 名前：127 mailto:sage [2007/11/07(水) 01:34:12 ]: >>138
確認ありがとうございます。
> - $intt_ip を必ず$extt_ifにroute-toするルールがない
pass out on $extt_if route-to ($ext_if ng0) from $int_ip to any
pass out on $ext_if route-to ($extt_if ng1) from $intt_ip to any

> pass in quick on ... round-robinのルールが死んでいる
該当行コメントアウトしました。

以上でうまく行っている気がします。
ありがとうございました。

>>139
/usr/portsはアボン済みです。
パーティションを区切る時に配分を間違えたのかもしれない･･･
# chflags -R noschg ./*
後の状態でこれです。
# df
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/ad0s1a 253678 50262 183122 22% /
devfs 1 1 0 100% /dev
/dev/ad0s1e 253678 26 233358 0% /tmp
/dev/ad0s1f 1296326 896642 295978 75% /usr
/dev/ad0s1d 253678 146242 87142 63% /var

とりあえずうまくいっているようなので（？）ルータのFreeBSDはこのままにしようかと思います。
遊び用をもう一台組んでそっちにそろそろ出る７とか入れて遊んで見ようかと思います。
141 名前：ナット ◆ZUufTLOWoc [2007/11/08(木) 08:45:54 ]: 質問させていただきます。
NetBSD/sparc64-currentでルータ&NAT箱&簡易FWを作ろうとしているのですが、
行き詰まってしまいました。

具体的には、ルータにするマシンはUltra5-270MHz/320MB/40GB HDDなのですが、
それにOSを入れて、ipnatとipfilterをオンにし、ipmonとipwatchdとか
sshdとかその辺も一通り書いてみました＞/etc/rc.confに。
で、ルータから外界にはpingが名前で引けるようになり(自前でnamedを立てて
キャッシュだけのDNSを仕上げました)、これでPPPoEセッションは
確立したなと安心し、次にNATの製作に取り掛かりました。

具体的には、とりあえずオールイン・オールアウトのセキュリティもへったくれもない
NATにしようと思い、設定しました。そして、各クライアントマシンへの
IPアドレスやゲートウェイアドレスなどはDHCPですべて供給しようと思い、
/usr/shared/example/dhcp/dhcpd.confを/etc/dhcpd.confとしてコピーし、
IPアドレスのリース範囲だけを192.168.xxx.10～192.168.xxx.99までとし、
その下の部分の設定は消して再起動しました。

すると…すべてのクライアントPCの有線LANにIPが割り振れなくなり、
固定IPの無線LANアクセスポイント(192.168.xxx.210)や
コンソールサーバ(192.168.xxx.180)、レーザプリンタ(192.168.xxx.200)のみに
アクセスできる状態です。APを通しているからでしょうか、無線LANのみは
すべてのマシンでIPアドレスを動的に割り振られ、自在にネットを徘徊できます。
どのマシンでも有線LANにDHCPが作動せず、無線LANのみに正しいIP範囲のIPアドレスが
割り振られている状態です。どうすればいいですか？もちろん無線では外界に出られますが。
142 名前：ナット ◆ZUufTLOWoc mailto:sage [2007/11/08(木) 09:07:11 ]: ちなみに有線LAN(fxpが多い)には、Windows上からは
169.254.151.253、ネットマスクが255.255.255.0のはずが
255.255.0.0になっていたりします。おっかしいなあ。
143 名前：ナット ◆ZUufTLOWoc mailto:sage [2007/11/08(木) 10:13:36 ]: スイッチの位置変えたら直りましたｗ
サーセンｗｗ
144 名前：ナット ◆ZUufTLOWoc [2007/11/08(木) 14:35:44 ]: またまた質問ですが、一般の市販のルータに備わっている
「MACアドレス制御」は可能でしょうか？NetBSDで。

おそらくipfilterのどっかの設定にあるのかもしれませんが、
市販のものだと大体32クライアントが限界ですよね。

たくさん無線LANカードを持っている私としては、32ではちょっと
足りないないんですよ。そこで、NAT/ipfilterの機能に、
MACアドレス制御(登録してあるMACアドレス以外のクライアントの
ルータ越えを禁止する)、しかしMACアドレスとIPアドレスを固定させる
わけではなく、あくまでDHCPで割り振る、ということは可能でしょうか？

どうかご教示ください。
145 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 00:17:40 ]: FreeBSDならIPFWで出来る。NetBSDは知らね。
146 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 09:34:59 ]: ipfもpfもそんな機能はなかったと思われ。
MACアドレス制御ではないが、認証したユーザーだけ使えるようにするという目的なら、authpf
も使えるかもしれない。

やりたいことから考えると、DHCPでIPアドレスを渡す際にMACアドレスに基づいて渡すIPアドレスを変えるという手法もありだと思う。
hardware ethernet, fixed-addressの設定をするとよいよ。
147 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/09(金) 14:27:49 ]: >>146
> やりたいことから考えると、DHCPでIPアドレスを渡す際にMACアドレスに基づいて渡すIPアドレスを変えるという手法もありだと思う。

クライアントのユーザが自分しかいないなら別だが、
一般的には144のような要求のある場所でそれはダメ。
148 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/10(土) 00:09:08 ]: そもそもMACアドレス制限って意味あるの？
ブロードキャストをウォッチしていてMACアドレス盗んでなりすまされたら意味無いと思うけど？
149 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/10(土) 00:30:05 ]: 無線の場合は簡単に傍受できるから全く意味が無いな。
150 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/10(土) 01:06:51 ]: 誰かがそんなこと書いてたなw
151 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/10(土) 06:11:12 ]: 無線のキャプチャーツールも色々出てるしねぇ。
まぁ使ってる暗号次第だけどまだＷＥＰなんか使ってたら
10MB位データキャプチャーすれば簡単に復号出来るし。
152 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/10(土) 10:16:34 ]: WEPでもWPAでもMACアドレスは平文。半可通は恥を書く。
153 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/10(土) 11:45:40 ]: >152
>恥を書く

誤字で台無し。
154 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/10(土) 11:59:48 ]: 旅の恥は書き捨て
155 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/10(土) 16:11:29 ]: 半可通は恥を（かくような嘘っぱちを平気で）書く。

と言いたいんじゃﾈｰﾉ（ｹﾞﾗｹﾞﾗ
156 名前：ナット ◆ZUufTLOWoc mailto:sage [2007/11/15(木) 20:22:32 ]: いやァ、MACアドレス制御ができるのかできないのかを
訊いたのであって、それが実効性のあるものかどうかは
問題にしてない質問だったわけで…。

市販の安物ルータ(某牛とか)、無線LANのAPにも
MACアドレスで弾く仕様はあるでしょ？それを
NetBSDでできないかな～と思ったが、ダメですか。残念。

スタティックIPをMACアドレスに割り振るのじゃダメですよ。
ここで言ってるのは、MACアドレスでフィルタリングしつつ、
かつルータのローカルなDHCPサーバで動的にIPを割り振る、
という話ですから。

識者の方いらっしゃらないかな…。
157 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/16(金) 00:11:51 ]: 無線だったら、hostapdでやるのかなぁ？
158 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/16(金) 00:15:21 ]: >>156
IPFWならできるよ
欲しいなら、pfベースで自分で作ってみれば？
需要があればマージされるかもよ
159 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/16(金) 00:54:45 ]: IPFWはFreeBSDべったりだからL2のフィルタリングが出来てる。
pfilインターフェース(pf, ipfilter)じゃ無理。
160 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/16(金) 07:16:12 ]: どなたかALIX手に入れたかしら？
161 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/16(金) 09:31:08 ]: 1IP当たりの同時接続数を制限するのは
どのFWソフトで出来ますか? （´=∀=｀）
1秒間に何個接続を許可するとかもやりたいです
162 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/17(土) 02:01:44 ]: Smoothwall(Linux) vs M0n0wall(FreeBSD): A comparison
fbsd.wordpress.com/2007/11/10/smoothwall-vs-m0n0wall-a-comparison/
163 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/17(土) 02:17:06 ]: >>161
tcpならいくらでも制御できる。 xinetd でも、tcpserver(djb)でも、お手製のものでも。
udpは捨てるしかないだろ。

そんなことは判ってると思っているが、知らないと困るので。
164 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/18(日) 18:40:33 ]: mpd4ってmpd3で発生した光プレミアムで接続しようとすると失敗するバグは直ってる？
165 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/18(日) 18:45:06 ]: そんな事くらい、自分で試せばすぐ分かるだろ。
166 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/21(水) 03:08:38 ]: FreeBSD-6.2R + pf + mpd でルータを作る場合、
正しいというかエレガントな起動方法はどうすればいいいんでしょうか？
最初に /etc/rc.d/pf が起動するときは ng0 がないのでエラーが出ているようです。
いちおう、今は /etc/start_if で mpd を起動させたあとに /etc/rc.d/pf start させて動いてますが・・・

ちなみに　/usr/llocal/etc/rc.d/mpd --> /usr/local/etc/mpd/mpd.linkup で /etc/rc.d/pf start も試してましたが、
そっちはなくても動きます
167 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/22(木) 01:29:03 ]: ヲレは

rc.confで普通に
pf_enable="YES"
pflog_enable="YES"

pf.confで
anchor "interface/*" all

mpd.linkupで
pfctl -a "interface/${interface}" -Fn -Fr -f - <<EOF
nat on ${interface} from <internal_net> to any -> ${local}
EOF
168 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/22(木) 11:58:57 ]: mpd5ってどお？
169 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/24(土) 17:49:15 ]: しらなかった
170 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/25(日) 03:11:44 ]: m0n0wall 1.3b5 released!
m0n0.ch/wall/beta-1.3.php
171 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/25(日) 23:58:45 ]: >>160
亀レスだけど。
普通にNetBSD/i386が動いてるよ。
172 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/27(火) 01:04:47 ]: >>171
お、いくらぐらいだった？20664円とか？
173 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/27(火) 11:07:46 ]: >>172
それ。
174 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/29(木) 23:14:10 ]: なるほどね
そのうち買おう
175 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/01(土) 10:21:57 ]: >>173
そしてありがとう
176 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/08(土) 11:10:18 ]: まあFreeBSD6.xベースになるととたんに重くなるので困るわけだが
177 名前：名無しさん＠お腹いっぱい。 [2007/12/14(金) 20:32:09 ]: >166氏と同じ感じでルーター作ってます。
FreeBSD-6.2R + pf + mpd です。192.168.1.1がPCルーターのアドレスです。
192.168.1.2でhttpdが動いてて、外向きには8080で公開しています。
フィルターの設定なんですけど、

ext_if="ng0"
int_if="em0"
int_net="192.168.1.0/24"
www_srv="192.168.1.2"
nat on $ext_if from $int_net to any -> ($ext_if)
rdr on $ext_if inet proto tcp from any to any port 8080 -> $www_srv port 80

block log all
pass quick on lo0 all
pass quick on $int_if all
pass in quick on $ext_if proto tcp from any to $www_srv port 80 flags S/SA modulate state
pass in quick on $ext_if inet proto icmp all icmp-type echoreq keep state
pass out quick on $ext_if proto { udp, tcp, icmp } from any to any keep state

と、先人サイトのほぼコピペなんですけど、ここはこうしたほうがいいよとか、突っ込むところあります？
178 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/14(金) 20:45:43 BE:528372285-2BP(8044)]: とりあえずローカル環境でテスト運用してみたら？
179 名前：名無しさん＠お腹いっぱい。 [2007/12/14(金) 21:33:07 ]: 一応、（ng0にグローバル振って）テストでは問題なく動いているんですけど、
基本的なフィルターしかかけてないので、悪意のあるアクセスに対してはどうなのかと思いまして。

あと、コレ使い出してから、sipが・・・orz
180 名前：名無しさん＠お腹いっぱい。 [2007/12/15(土) 00:44:07 ]: >15
181 名前：名無しさん＠お腹いっぱい。 [2007/12/15(土) 00:44:51 ]: あう、ミスった。
>15
亀ですが需要あります。
182 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/15(土) 12:52:44 ]: >>177
最近の pf では、rdr したものに対する pass はまとめられて、
rdr pass on $ext_if inet proto tcp from any to any port 8080 -> $www_srv port 80
と書ける。そうすると
pass in quick on $ext_if proto tcp from any to $www_srv port 80 flags S/SA modulate state
はいらなくなるはず。
183 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/15(土) 14:28:39 ]: 勉強になるな
184 名前：177 [2007/12/17(月) 00:38:04 ]: ＞182
勉強になりますた。即変更しました。

とりあえず、IPブロックごと拒否するルールを追加して、運用してみようと思います。

table <ng_ip_cn> const { 222.216.0.0/15 }
table <ng_ip_tw> const { 122.120.0.0/13 }
block log quick on $ext_if from { <ng_ip_cn>, <ng_ip_tw> }

いまのところ、8080へ執拗にアクセスしてくるのはこのへんなので。
185 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/17(月) 14:16:31 ]: >>184
アクセスをブロックしたいIPアドレスは、外部ファイルに記述するのはどう？
私はCNとKRについて

table <block_cn> persist file "/etc/pf/block_cn"
table <block_kr> persist file "/etc/pf/block_kr"

block quick on $wan_if from <block_cn> to any
block quick on $wan_if from <block_kr> to any

としてる。
186 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/18(火) 12:31:24 ]: m0n0wall 1.232 released!
m0n0.ch/wall/downloads.php
187 名前：177 [2007/12/20(木) 00:48:06 ]: rdr pass on $ext_if inet proto tcp from any to any port 8080 -> $www_srv port 80
と、まとめると、
後から
block log quick on $ext_if from { <ng_ip_cn>, <ng_ip_tw> }
って書いても、意味無かった。。。。

アパッチにログ残っててなんでだろ？って悩んでたｗ
188 名前：177 [2007/12/20(木) 00:54:00 ]: >184
それも考えたんですけど、今のところport80で公開してないので、
まだ、弾くIPはそんなに無いので、pf.confに書いてます。
増えてきたら考えます。

ちなみに、block_cn とか block_kr とかは自動生成ですか？
189 名前：177 [2007/12/20(木) 02:06:05 ]: アンカーミス。
>185
190 名前：185 mailto:sage [2007/12/20(木) 12:33:21 ]: >>177
CNとKRについては、月に1回APNIC(ftp.apnic.net/pub/stats/apnic/)から最新の
Resource rangeファイルを取得して、手動バッチで抜き出してます。
バッチは、 ttp://www.italk.ne.jp/minagawa/tech/krfilter.pl.txt を参考に作成。

その他SSH/FTPへのアタックは、swatch使って自動的に block_all に追記してます。
191 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 12:46:46 ]: BSE?
192 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/20(木) 19:11:10 ]: >>181
15書いたの自分だけど、実はあれからminiupnpdに移行しちゃって使ってないんだ。
動作するかどうかわからないけど、それでも欲しい？
一応まだコンパイルは通るみたいだけど。

特に事情がないならminiupnpdを使う方がいいと思う。
こっちは開発してる人が第一ターゲットとしてるフィルタが*BSDのpfだし。
193 名前：181 [2007/12/20(木) 23:06:47 ]: いや、おいらもminiupnpd使いました。はい。
あっさり Funsion フォンP'が通るようになりました。
ありがとうございました。
194 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/21(金) 14:08:18 ]: miniupnpdだけど、FreeBSD6.3で使ってるとなんか不安定だった。
rcでstopさせる時たまにpanicしたり、数日稼働させてるとシステムがハングしたり。
7.0に上げてからは大丈夫そうなんだけど、6.3のpfせいだったのかな?
195 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/30(日) 22:30:42 ]: Bフレッツ用のPPPoEルータをNetBSD or FreeBSD w/mpdで作ろうと思って、
Motherboardを探しているのですが、Mini-ITXでは厳しい？
VIAのNICがとにかく評判悪いようなので、気になっているところです。
196 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/30(日) 22:56:17 ]: 評判悪いとか言うレベルじゃなくて、まともにlink-upしない＞VIA
地雷とか、そういうチャチなレベルじゃない。
197 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/12/31(月) 04:04:45 ]: 最近、SiSチップセットのMini-ITXに変えちゃったけど、
それまで3年くらいずっとEPIA(のVIA NIC)で特に問題なかったけどなぁ。
蟹のGIGAはFreeBSDでWatchdog Timeout出まくりで苦労したけど。
198 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 00:21:15 ]: ひどいデタラメだｗ＞196
199 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 00:54:30 ]: >>198
はずれ引くとそんな感じ
窓では普通に使えた

FreeBSDでまともに動くのもあるけどね
200 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 01:53:47 ]: なにそれ＞はずれ引く

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef