*BSDでBBルータを作ろう互助会 4pps

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 2chのread.cgiへ]
Update time : 03/05 01:27 / Filesize : 162 KB / Number-of Response : 619
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：名無しさん＠お腹いっぱい。 [2007/02/20(火) 13:21:31 ]: 前スレ
FreeBSDでBBルータを作ろう互助会 3Gbps
pc10.2ch.net/test/read.cgi/unix/1102740133/
380 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/11(日) 14:51:08 ]: lagg(4)でいいんじゃ。LACPしてくれるぞ。
L2SWにやさしいし。
381 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/13(火) 01:44:07 ]: pppoeパススルーってできるのかな
382 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/14(水) 12:19:03 ]: >>381
pppoeパススルーがこういうことかどうかは知らないけど、内側のネットワークの人が
PPPoEをしゃべって、外側にいるAccess Concentrator (PPPoEのサーバ)に接続し
IPアドレスを得るのは試しにやってみたらできた。
ルータマシンではmpd4を動作させた状態。

方法は、if_bridgeで内と外をブリッジして、ipfwでブリッジするパケットを
ethertype 0x8863,0x8864,0x3c12,0x3c13だけにする感じ。
0x3c12,0x3c13はいらないかもしれない。

ただ、ルータマシン自身が外側ネットワークにPPPoE以外のパケットを
投げないようにするのはブリッジのフィルタではできないので、そのフィルタの
設定はさらに必要。ブロードキャスト・マルチキャストのパケットがやっかい。
まあ、気にしなければいいという話もあるにはあるけど。
383 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/15(木) 08:54:49 ]: ipfw2 やら dummynet を使う際に、カーネルオプションじゃなく .ko 設定だけで使えるんでしょうか？
384 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/16(金) 00:35:10 ]: もちろん使えますよ
385 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/25(日) 14:54:33 ]: 皆、IP変わった時のddnsの更新スクリプトを晒してくれ。
386 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/25(日) 17:24:55 ]: >>385
1ヶ月に1度は更新しないと消されちゃうところだから
cronで一日に一度wget呼んでるだけだし
PPPoEが切断されてIPアドレス変わっちゃったって場合には
mpd.linkupがwget呼んでくるだけだから
特に晒せるスクリプトって無いです(´Д⊂
387 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/25(日) 17:35:14 ]: 自分のもろくなスクリプトでないし、晒せるほど汎用的に作ってもいないｗ
FreeBSDでこれから設定するならportsのdns/ez-ipupdateとか使えばいいんでない？
使ったことないけど。
388 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/25(日) 23:53:19 ]: PR-200NE をブリッジして mpd で使っています。2コネクション使い切ってる
ので、フレッツスクエアv6に接続しようと rtsol しても v6 アドレスが振っ
てきません。tcpdump すると ICMP6 router advertisement は見えてるのです
が……。うまく接続できてる方いますか？ブリッジが悪いのかなぁ。
389 名前：385 mailto:sage [2008/05/26(月) 00:02:05 ]: スクリプトの勉強も兼ねて、自分で作ってみようと思った。
ifconfig ng0 | grep inet | awk '{print $2}'
これで、ng0 の IP をぬけるようになったが、
ddns のドメインから IP ぬくのが難しくて・・・
390 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/26(月) 00:31:24 ]: >>388
router advertisement がフィルタでブロックされちゃってるとか？
391 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/26(月) 00:43:56 ]: >>390
アドレスを付与しようとしてる i/f で tcpdump した結果が以下ですが、これっ
て advertisement は見えてるってことですよね？

00:25:17.362962 IP6 (class 0xe0, hlim 255, next-header: ICMPv6 (58), length: 64) fe80::XXXX:XXXX:XXXX:XXXX > ff02::1: ICMP6, router advertisement, length 64
392 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/26(月) 00:51:30 ]: 構成がわかんないから何とも言えないけど、router advertisement 受けたいマシンは
フィルタをかけてないの？
mpdやってるみたいだからフィルタもしてそうだけど……

ちなみに、tcpdump (bpf) はフィルタよりも前に受信したパケットをつかまえるので、
tcpdump にパケットが出てるからと言ってフィルタにかかってないとは言えないよ。
393 名前：385 mailto:sage [2008/05/26(月) 01:32:11 ]: ぐぐったらあった。
nslookup $myhost | awk 'BEGIN{flg=0}/Name:/{flg=1;next}flg==1 && /Address:/{print $2}'
394 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/27(火) 17:35:41 ]: ddns を更新した直後に↑を実行するならば、 DNS問い合わせ先によっちゃ古い（キャッシュされた）アドレスを返してくれるけどいいの？？
395 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/27(火) 19:22:27 ]: dig でも host でもいいが自分の DynamicDNS ゾーンの権威サーバに
直接聞きに行くようにした方が良くないかね
396 名前：385 mailto:sage [2008/05/29(木) 16:34:00 ]: 5分程度で更新されているようなので、７分毎に動かしてみることにした。
397 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/06/08(日) 11:35:30 ]: mpdの話です。ちょっと、教えてください。

pppoeのセッションが切れたり、再接続した時のログは
/var/log/ppp.log に残ります？

うちのログは↓これしかないんですけど
mpd: [PPPoE] LCP: no reply to 1 echo request(s)
これはpppoeのリンクが切れてるわけじゃないし。
398 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/06/08(日) 21:19:21 ]: どういうログを吐くかはmpdの設定による。mpd付属のマニュアル嫁。
399 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/11(金) 22:04:49 ]: one2manyつかってゴニョゴニョしてたら、
em0とem1の２本繋がないとパケットロスするようになった・・・orz
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/17(木) 17:46:24 ]: FreeBSD 6.2R + mpd + pf + miniupnpd でBフレッツ用ルータにしてます。
そこにNNT東のVoIPを接続しているのですが、SIP接続失敗で動作してくれません。
miniupnpdは5060,5090,5091(UDP)に穴あけてくれているので動作はしているようです。

>>41 >>215 にて214さんが pf + miniupnpd で厄介だったと書かれているようですが、
解決方法ご存じの方がいらっしゃったらご教示ください。
401 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/17(木) 17:50:47 ]: 東のVOIPって、最初の設定をPPPoEで拾いにいくんじゃなかったっけ？
402 名前：400 mailto:sage [2008/07/17(木) 18:08:39 ]: >>401
あ、失礼。設定書いてなかったですね。
ネットワークはPPPoEを外してIPをDHCP取得にしてあります。
市販の有線ルータに接続して動作確認はできてますので設定に問題はないのかと。
また、有線ルータの前にFreeBSD4.2 + ppp + ipfw + Linux-igd でやっていたのですが、
明示的にマスカレード設定して逃げてましたが、現環境ではそれでも動かないので。

ちなみにXBOX Live!等UPnPを使う物も問題なく動作しています。
このVoIPは特殊なんでしょうか・・・
403 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/17(木) 18:29:36 ]: router箱上でtcpdumpで取ったパケットを他のマシンでwiresharkかけてみたら
いいんでない？
wiresharkならSIPも解析してくれそうだし。
直接router箱上でwireshark動かせるならそれでもいいけど。

あと、pfctl -v -s stateでどういうstateがあるのか見てみた方がいいかも。
404 名前：400 mailto:sage [2008/07/17(木) 20:23:23 ]: >>403
Etherealはwiresharkに名前が変わったのですね。
ひとまず解析してみます。
数年に一度ルータを構築し直してる程度なのですっかり知識が飛んでしまってます。

pfctl -v -s state は
self tcp 192.168.1.197:1024 -> 125.xxx.xxx.xxx:63543 -> 210.173.163.178:80 FIN_WAIT_2:FIN_WAIT_2
self udp 192.168.1.197:5060 -> 125.xxx.xxx.xxx:59436 -> 218.40.158.58:5060 SINGLE:NO_TRAFFIC
この2本だけで、外部から入ってくるパケットはないようです。

UPnPはこのようにちゃんと通ってます。
rdr pass on ng0 inet proto udp from any to any port = 5060 label "g101app (192.168.1.197:5060) 5060 UDP" -> 192.168.1.197 port 5060
rdr pass on ng0 inet proto udp from any to any port = 5090 label "g101app (192.168.1.197:5090) 5090 UDP" -> 192.168.1.197 port 5090
rdr pass on ng0 inet proto udp from any to any port = 5091 label "g101app (192.168.1.197:5091) 5091 UDP" -> 192.168.1.197 port 5091
405 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/17(木) 23:20:42 ]: 今までのルータが SIP-NAT に対応してただけじゃないの
STUN とか、グローバルIP 教えてあげればいい
406 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/03(日) 21:59:27 ]: FreeBSD6.2R+mpd+pfな構成にftp-proxy噛ましてFTP接続も出来るようになったが、
Firefoxだと見れんのだが対策ある？
407 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/03(日) 22:11:37 ]: って、調べてたらFirefoxじゃ透過FTPプロキシとの通信ができないみたいだな。
408 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 20:50:36 ]: ちょっとこっちで質問させてください

FreeBSD6.1+mpd3+ipf+ipnatの時は、5060:udpを問題なくリダイレクト出来て
いたんですが、FreeBSD7.0+mpd4+ipf+ipnatに変えたとたん、リダイレクトさ
れなくなってしまいました。

お陰で鯖の内側のVOIPアダプタがSIP登録できずに悩んでいます。

色々検索してみると、FreeBSD6.2→6.3の変更の際に似たような症状に出会っ
た人や、m0n0wallについて以下のような発言が見つかりました。

ttp://www.usenet-forums.com/ipfilter/396962-ipfilter-inbound-nat-rdr-problem-sip.html

これって何らかの設定で回避出来る問題でしょうか？
409 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 21:46:45 ]: あっちのスレから見てたけど、普通の設定じゃSIPは通らんはずなんだけどなぁ。

www.rtpro.yamaha.co.jp/RT/docs/sip-nat/index.html
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 22:27:54 ]: >>409
しかし6.1では実際に出来ていたわけで。
余ってるマシンで6.1鯖立てて、inとoutのtcpdump取ってみるから待っててくれ。
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 22:58:11 ]: >普通の設定じゃSIPは通らんはずなんだけどなぁ。

dump結果見たけど、これについては簡単で、NATの内側にいるVOIPアダプタは
外に向けてSIPメッセージ投げるときは、SIPメッセージ内のIPについては最初
からglobal-IPを記述してる。

FreeBSDのNATの問題と思って書いてなかったけど、実際には鯖はDDNS登録して
いて、かつVOIPアダプタにはhost名を設定しています。

やっぱ6.2(←6.1じゃなくて6.2の勘違いﾃﾞｽﾀ）だとうまく動くよなぁ。
6.3以降の不具合のような気もするんだが・・・
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 23:02:54 ]: ↑
ていうか、この辺はUPnPに対応していれば、NAT内側の機器はDDNSに頼らなく
てもGlobal-IP取得出来て、同じような動作になるんじゃない？余談だけど。
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 23:20:00 ]: SIPってヘッダにIPとデータ部にもIP入ってるけど、そっちも大丈夫？
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 23:30:52 ]: 大丈夫って、なにが？
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 23:43:48 ]: pf 使ってみたら?
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 23:50:41 ]: >>415
　　　　　　ﾊ,,ﾊ
　　　　　（ﾟωﾟ )　　お断りします
　　　　／　　　＼
　 ((⊂ 　）　ﾉ＼つ))
　　　　　（＿⌒ヽ
　　　　　　ヽ　ﾍ　}
　ε≡Ξ　ﾉノ｀J
417 名前：416 mailto:sage [2008/09/02(火) 06:01:37 ]: >>415
と思いましたが、姫井議員並に熟慮した結果、これを機会にpfを試す事に
します。何事も経験だよね。♂×♂だって実際やってみたら気持ち良いか
も知れないし。

あーでもALTQだけはﾏｼﾞﾏﾝﾄﾞｸｻ('A`
dummynetは簡単で良かったんだが。
418 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/02(火) 08:49:16 ]: ふつうALTQなんか放置だろ
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/02(火) 09:27:48 ]: じゃあどうやって帯域制御するんだよ？
420 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/02(火) 13:46:22 ]: dummynet併用すりゃいいじゃん
421 名前：416 [2008/09/02(火) 16:41:06 ]: だめだ、pfでも全く話にならん。

root# cat pf.test

# macros
ext_if = "ng0"
int_if = "em0"

# options
set block-policy drop
set loginterface $ext_if

# scrub
scrub in all
scrub out on $ext_if all random-id max-mss 1414

# nat all int -> ext
nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr pass on $ext_if inet proto udp from any to any port sip -> 192.168.0.230 port sip

# default filter
pass in all
pass out all

root#

これしか書いてないのに、SIPメッセージがリダイレクトされないとか、それ
何の冗談 orz
422 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/02(火) 17:04:05 ]: VoIPアダプタは何つかってるんだ?
423 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/02(火) 17:51:57 ]: >>421
nat on $ext_if proto udp from 192.168.0.230 port sip to any -> ($ext_if) static-port
を
nat on $ext_if from $int_if:network to any -> ($ext_if)
の前に入れてみたら？
424 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/02(火) 19:40:50 ]: 俺はupnpに逃げたから、416には期待してる。
425 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/02(火) 20:07:21 ]: >>424
416にナニを期待してるのか分からんけど、upnpつーても「壁に穴あけ」「ポー
トリダイレクト」を自動でやってくれるつーだけで、その裏にはpfなりipfがい
るんじゃねーの？
426 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/02(火) 20:26:59 ]: わかってないなら黙ってろ。
427 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/02(火) 21:00:42 ]: voipアダプタがupnpクライントなって、グローバルIPとポートを取得、
SIPのメッセージ内のIPやSDP内のIPをグローバルにしてセッションする。
ポートフォワーディングはNATでやる。

ってな事が手持ちの本に書いてる。
428 名前：名無しさん＠お腹いっぱい。 mailto:sag [2008/09/03(水) 00:57:19 ]: 理解出来ていないのは >426 ですね。わかります。
429 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/03(水) 01:28:45 ]: いや、426は半分正解。
430 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/03(水) 01:29:16 ]: ↑>425の間違い
431 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/03(水) 01:30:02 ]: だから、わかってないのは黙ってろ。
432 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/03(水) 01:53:16 ]: ｵﾏｴﾓﾅｰ
433 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/07(日) 23:11:41 ]: pftpx使ってる人いてますかぁ～？
434 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/08(月) 00:41:27 ]: あぁ、使ってるよ。
435 名前：433 mailto:sage [2008/09/08(月) 00:58:23 ]: mpd+pf+pftpxでやってみたんですけど、うまく動いたのは動いたんですけど、ちょっとわからない点がありまして。

PCルーター兼ftpサーバでして、
ext_if="ng0"
int_if="em0"
ftp_srv="192.168.1.1"
nat on $ext_if from $int_net to any -> ($ext_if)
nat-anchor "pftpx/*"
rdr-anchor "pftpx/*"
rdr pass on $ext_if inet proto tcp from any to any port ftp -> 127.0.0.1 port 8021
anchor "pftpx/*"
block log all
pass quick on lo0 all
pass quick on $int_if all
という設定（抜粋）で、外から内のftp、内から外のftpに見れるようにはなったんですけど
内から内のftpにつなげなくなりました。

ローカルで同じネットワークアドレスなので、natとかrdrとか関係なくて繋がるはずだと思ってたんですが、無理でした。
フィルターでblockされているのかとも思い、"tcpdump -n -e -ttt -i pflog0" で覗いてみましたがblockされてませんでした。

で、なぜか↓の一文を入れると動きました。
rdr pass on $int_if inet proto tcp from any to $ftp_srv port ftp -> 127.0.0.1 port 8021
なぜ？
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/08(月) 13:59:41 ]: だってproxyやんか。両方向ないとあかんやろ。
437 名前：433 mailto:sage [2008/09/08(月) 18:00:15 ]: rdr pass on $ext_if inet proto tcp from any to any port ftp -> 127.0.0.1 port 8021
この一文で指定してるのは「外部インターフェイス(ng0)に流れるport21のパケットはproxyにリダイレクトする」という意味ですよね？

192.168.1.55（XPでFFFTP)でem0(192.168.1.1)に向かって接続する分にはng0を通らないので、リダイレクトされず、
proxyを経由せずに192.168.1.1:21に向かうはずですよね？

俺、なんか勘違いしてます？
438 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/09(火) 08:02:07 ]: FFFTPでなくftpコマンドで、21番ポートすら通らないのか、PORT/PASVが通らないのか
切り分けしてみては。
439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/09(火) 08:08:40 ]: man
440 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/09(火) 11:48:51 ]: > という設定（抜粋）で
関係ないと思って秘密にしたところに問題があるんだろ。
441 名前：433 mailto:sage [2008/09/09(火) 17:40:47 ]: >438
192.168.1.55（XPでFFFTPでPASVで）繋いだ時のem0 port21をダンプしてみた。

リダイレクトを
rdr pass on $ext_if inet proto tcp from any to any port ftp -> 127.0.0.1 port 8021
だけに設定した場合。（ローカルから接続不可）

# tcpdump -i em0 port 21
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
23:31:12.595892 IP 192.168.1.55.1791 > hoge.hoge.jp.ftp: R 2594405633:2594405633(0) ack 394357041 win 0
23:31:12.613883 IP 192.168.1.55.1794 > hoge.hoge.jp.ftp: S 2214447583:2214447583(0) win 65535 <mss 1414,nop,wscale 2,nop,nop,sackOK>
23:31:12.613964 IP hoge.hoge.jp.ftp > 192.168.1.55.1794: S 1331947073:1331947073(0) ack 2214447584 win 65535 <mss 1414,nop,wscale 3,sackOK,eol>
23:31:12.614123 IP 192.168.1.55.1794 > hoge.hoge.jp.ftp: . ack 1 win 65044
23:31:12.638733 IP hoge.hoge.jp.ftp > 192.168.1.55.1794: F 1:1(0) ack 1 win 8307
23:31:12.638990 IP 192.168.1.55.1794 > hoge.hoge.jp.ftp: . ack 2 win 65044
23:31:12.639112 IP 192.168.1.55.1794 > hoge.hoge.jp.ftp: R 1:1(0) ack 2 win 0
442 名前：433 mailto:sage [2008/09/09(火) 17:40:53 ]: リダイレクトを
rdr pass on $ext_if inet proto tcp from any to any port ftp -> 127.0.0.1 port 8021
rdr pass on $int_if inet proto tcp from any to $ftp_srv port ftp -> 127.0.0.1 port 8021
の二文を設定した場合。（この場合は接続できています）

# tcpdump -i em0 port 21
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
23:28:47.060610 IP 192.168.1.55.1791 > hoge.hoge.jp.ftp: S 2594405596:2594405596(0) win 65535 <mss 1414,nop,wscale 2,nop,nop,sackOK>
23:28:47.060686 IP hoge.hoge.jp.ftp > 192.168.1.55.1791: S 394356940:394356940(0) ack 2594405597 win 65535 <mss 1414,nop,wscale 3,sackOK,eol>
23:28:47.060851 IP 192.168.1.55.1791 > hoge.hoge.jp.ftp: . ack 1 win 65044
23:28:47.070117 IP hoge.hoge.jp.ftp > 192.168.1.55.1791: P 1:21(20) ack 1 win 8307
23:28:47.076845 IP 192.168.1.55.1791 > hoge.hoge.jp.ftp: P 1:13(12) ack 21 win 65039
23:28:47.077231 IP hoge.hoge.jp.ftp > 192.168.1.55.1791: P 21:55(34) ack 13 win 8307
23:28:47.082839 IP 192.168.1.55.1791 > hoge.hoge.jp.ftp: P 13:31(18) ack 55 win 65030
23:28:47.091945 IP hoge.hoge.jp.ftp > 192.168.1.55.1791: P 55:78(23) ack 31 win 8307
23:28:47.099456 IP 192.168.1.55.1791 > hoge.hoge.jp.ftp: P 31:37(6) ack 78 win 65024
23:28:47.099858 IP hoge.hoge.jp.ftp > 192.168.1.55.1791: P 78:101(23) ack 37 win 8307
23:28:47.206646 IP 192.168.1.55.1791 > hoge.hoge.jp.ftp: . ack 101 win 65019

PASVが通ってないんですかね？
443 名前：433 mailto:sage [2008/09/09(火) 17:52:11 ]: >440
以下全文です。（改行が多いっていわれたので分けます）

ext_if="ng0"
int_if="em0"
int_net="192.168.1.0/24"
www_srv="192.168.1.1"
ftp_srv="192.168.1.1"

set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10000, frags 5000 }
set loginterface ng0
set optimization normal
set block-policy drop
444 名前：433 mailto:sage [2008/09/09(火) 17:52:29 ]: scrub in on $ext_if all fragment reassemble
scrub out on $ext_if all max-mss 1414

nat on $ext_if from $int_net to any -> ($ext_if)

rdr on $ext_if inet proto tcp from any to any port 80 -> $www_srv port 80
rdr on $ext_if proto tcp from any to ($ext_if) port 22 -> ($int_if) port 22
nat-anchor "pftpx/*"
rdr-anchor "pftpx/*"
rdr pass on $ext_if inet proto tcp from any to any port ftp -> 127.0.0.1 port 8021
rdr pass on $int_if inet proto tcp from any to $ftp_srv port ftp -> 127.0.0.1 port 8021
rdr-anchor "miniupnpd"
anchor "miniupnpd"
anchor "pftpx/*"

block log all
pass quick on lo0 all
pass quick on $int_if all
pass in quick on $ext_if proto tcp from any to $www_srv port 80 flags S/SA modulate state
pass in quick on $ext_if proto tcp from any port > 1023 to ($int_if) port 22 keep state
pass in quick on $ext_if inet proto icmp all icmp-type echoreq keep state
pass out quick on $ext_if proto { udp, tcp, icmp } from any to any keep state
445 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/10(水) 00:07:02 ]: なんだ、単にftpdの設定を見直せって話か
446 名前：433 mailto:sage [2008/09/10(水) 00:18:28 ]: ではなぜこの一文でPASVで繋がるんでしょうか？
rdr pass on $int_if inet proto tcp from any to $ftp_srv port ftp -> 127.0.0.1 port 8021
447 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/10(水) 00:49:34 ]: > 内から内のftpにつなげなくなりました。
ということだけど
> hoge.hoge.jp
これローカルなアドレスなのか?
448 名前：433 mailto:sage [2008/09/10(水) 01:02:49 ]: クライアントからはftp://192.168.1.1でつなぎに行ってます。
em0のダンプを出したときに勝手にドメイン名に変えて出力してるみたいです。
ちなみに、正引きできない名前です。
449 名前：433 mailto:sage [2008/09/10(水) 01:14:51 ]: '-n' 付けてみましたが・・・

# tcpdump -n -i em0 port 21
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
01:13:41.860704 IP 192.168.1.55.3776 > 192.168.1.1.21: R 1047316341:1047316341(0) ack 631648578 win 0
01:13:41.879697 IP 192.168.1.55.3780 > 192.168.1.1.21: S 2602868932:2602868932(0) win 65535 <mss 1414,nop,wscale 2,nop,nop,sackOK>
01:13:41.879781 IP 192.168.1.1.21 > 192.168.1.55.3780: S 3258941258:3258941258(0) ack 2602868933 win 65535 <mss 1414,nop,wscale 3,sackOK,eol>
01:13:41.879936 IP 192.168.1.55.3780 > 192.168.1.1.21: . ack 1 win 65044
01:13:41.902322 IP 192.168.1.1.21 > 192.168.1.55.3780: F 1:1(0) ack 1 win 8307
01:13:41.902555 IP 192.168.1.55.3780 > 192.168.1.1.21: . ack 2 win 65044
01:13:41.902806 IP 192.168.1.55.3780 > 192.168.1.1.21: R 1:1(0) ack 2 win 0
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/10(水) 07:06:11 ]: pf_enable="NO", mpd_enable="NO", pftpx_enable="NO" で起動して
ftp が繋がるか試してみれば？
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/10(水) 10:59:39 ]: anchorあるじゃんか。
452 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/10(水) 11:12:28 ]: pfのfaqでも見てきたら堂なのかな。検索くらいできるよね。
453 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/10(水) 16:09:10 ]: >>452
別にfaqに有益な情報は無いようだが？バカ？死ぬの？
454 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/10(水) 16:13:53 ]: そんな事いってるからだめなんじゃないの？
455 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/10(水) 16:58:28 ]: とりあえず、質問の内容に関係なく定型文投げつけて来る馬鹿っているよね

ｸﾞｸﾞﾚｶｽ
FAQ読め
検索すれば書いてあるだろ
etc

>>452 はこのタイプ
456 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/10(水) 19:43:18 ]: 全部定型文で十分な質問なのだからしょうがない。
457 名前：433 mailto:sage [2008/09/11(木) 00:40:26 ]: >450
繋がらなかった。

vsftp.confの中に "pasv_address=xxx.xxx.xxx.xxx" （固定IPです）
を入れてるんだけど、それが悪さしているような気がしてきた。

つまり、内側のパケットもrdrでproxyに送ってやらないと、PASVでグローバルなIPを返してくる。
これで正解？

以下、
rdr pass on $int_if inet proto tcp from any to $ftp_srv port ftp -> 127.0.0.1 port 8021
の一文を追記したときのffftpのログ。

ホスト 192.168.1.1 (21) に接続しています.
接続しました.
220 (vsFTPd 2.0.7)
>USER oreore
331 Please specify the password.
>PASS [xxxxxx]
230 Login successful.
>XPWD
257 "/usr/home/oreore"
>TYPE A
200 Switching to ASCII mode.
>PASV
227 Entering Passive Mode (192,168,1,1,221,237)
ダウンロードのためにホスト 192.168.1.1 (56813) に接続しています.
接続しました.
>LIST
150 Here comes the directory listing.
226 Directory send OK.
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/11(木) 12:18:43 ]: >>457
vsftpdはinetdから起動している？
/etc/hosts.{allow,deny}には何と書いてある？
pf無効にしてもtcpdump結果が>>449と同じ状態ならdata connectionは関係ない。
459 名前：433 mailto:sage [2008/09/11(木) 13:04:19 ]: xinetd.d/ftp の only_from に 192.168.1.0/24 が抜けておりました。お恥ずかしい。

192.168.1.55からpassiveで繋ぐと

ホスト 192.168.1.1 (21) に接続しています.
接続しました.
220 (vsFTPd 2.0.7)
>USER oreore
331 Please specify the password.
>PASS [xxxxxx]
230 Login successful.
>XPWD
257 "/usr/home/oreore"
>TYPE A
200 Switching to ASCII mode.
>PASV
227 Entering Passive Mode (xxx.xxx.xxx.xxx,254,42) ←グローバルなIP
ダウンロードのためにホスト xxx.xxx.xxx.xxx (65066) に接続しています.
接続できません.
ファイル一覧の取得を中止しました.
ファイル一覧の取得に失敗しました.

これが正常な動作ですね。アクティブでは繋がります。
ありがとうございました。
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/11(木) 13:56:16 ]: ほぼ正しい答を>>445が書いてるにもかかわらず、確認せずに>>446だもんなあ
糞だろ
461 名前：433 mailto:sage [2008/09/11(木) 14:05:46 ]: (´・ω・`)
462 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/16(火) 05:52:07 ]: >>433
>>433
>>433
>>433
>>433
>>433

人の話は聞けないくせに非難だけはする、最近多い困ったゆとりチャンですね。
463 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/16(火) 10:47:11 ]: 連続行コピペしてゆとりだのなんだの、言って何か説明した気になってる
やつもたいがいだがな……

とりあえず予想外のところで引っかかってる場合なかなか、この手の
やりとりでは解決しにくいね。相当凄腕のエスパーがいない限り。
464 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/16(火) 11:58:15 ]: エスパーがいて無駄だろ。
適切に指摘しても本人が聞かないんだから。今回のように
465 名前：433 mailto:sage [2008/09/16(火) 16:50:33 ]: >464
>445でエスパー回答いただきましたが、
ftpdの設定は間違ってませんでしたがなにか？

で、最終的な話。
xinetdで内向き外向きにvsftpd.confの設定を別けるしか解決方法が無く、
結局、例の一文を追記して、運用することにしました。
466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/16(火) 20:44:28 ]: ホラな。

エスパーなんていたって意味ないだろ？
467 名前：463 mailto:sage [2008/09/16(火) 23:04:26 ]: >>466
ちょっとワロタ。
468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/17(水) 00:22:52 ]: >>466
ホントだwww
ここまでの天然物はひさしぶりだwwwwww
469 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/20(土) 19:49:48 ]: 質問させて下さい

LAN外から受信したマジックパケットを
LAN内にブロードキャストしたいのですが，
ｐｆで実現できるのでしょうか？

ｐｆで無理ならば，他によい方法はあるのでしょうか？

よろしくお願いします
470 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/20(土) 20:58:18 ]: apache で WOL の cgi を動かすとか。
471 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/20(土) 22:40:58 ]: >>470
レスありがとうございます

現在，そのようにしています．
ただ，WOLのためだけにルータにApacheを立てるのが，
なんとなく嫌だったので，他の方法を探しているのです
472 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/21(日) 00:04:20 ]: つ WACTH BOOT light
473 名前：前スレ792 [2008/10/28(火) 12:03:06 ]: NTT西日本・フレッツ光プレミアムで、
mpd5 を使って PPPoE マルチセッションを張るための patch を捨てておきます。

不具合があるかもしれませんので、自己責任でどうぞ。

begin-base64 644 patch-mpd5-for-Flets-HIKARI-Premium-PPPoE-MultiSession.gz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====
474 名前：前スレ792 [2008/10/28(火) 12:37:17 ]: mpd3 ではプロバイダから割り当てられたIPアドレスに対して
loopback route を設定するために、自動的に

route add a.b.c.d -interface lo0

してくれてましたが、mpd5 は設定してくれません。

動的IP環境ではあまり問題にならないと思いますが、
固定IP環境などで問題になる場合は、up/down script 内で自前で設定するしかなさそうです。
↓こんな感じで

self_addr="`echo $3 | sed -e s/\\\/[0-9]*//`"
/sbin/route add ${self_addr} -interface lo0 >/dev/null 2>&1
475 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/28(火) 12:57:18 ]: >>473
神光臨
476 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/29(水) 00:24:29 ]: つかもしかして、某高専の先生かしら？ｗｗ
477 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/29(水) 03:09:12 ]: mpd4使ってるが5ってそんないろいろ面倒くさいのか
478 名前：前スレ792 mailto:sage [2008/10/29(水) 07:17:17 ]: >473 の patch は mpd-5.1 用です。mpd-5.2 以降には patch 当たりません。

mpd-5.2 が出てるの見落としてた…。
mpd-5.2 用の patch 作ったけどテストしてないので、大丈夫そうだったらまた patch 捨てに来ます。

>476
違います。

>477
mpd4 も mpd3, mpd5 と同じくフレッツ光プレミアムで PPPoE マルチセッション張れないはずです。
(mpd3 から mpd5 に移行したので、mpd4 の patch は作ってません)
479 名前：477 mailto:sage [2008/10/29(水) 12:25:45 ]: >>478
あ、Bフレッツではないのね。失礼、ちゃんと読んでなかった。
480 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/29(水) 18:41:42 ]: >>473
これって、destination が同じ point to point mode の ng_iface を複数設定
できないのを、broadcast mode にして、経路は自前でつっこんで回避するパッチ？
もしそうなら汎用性ありそうだから mpd 本家に投げてみるのもいいかも。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef