【ルータ】超マニアック。L-Routerについて語ろう!

このエントリーをはてなブックマークに追加
11
レーザー5が出してるLinux組み込み高性能ルータ、L-Routerについて
みんなで語ろう!

http://www.laser5.co.jp/embedded/lrouter/index.html
▼フレッツADSL、Yahoo!BB、CATV、光に対応。
 30Mbpsの高速 ブロードバンドルータ

性能:
64ビット動作MIPS VR4122(180MHz)
主記憶32MB
フラッシュ16MB
2login:Penguin:02/01/08 17:58 ID:Mu6iLz8E
うーん。もっとJPNIC/ISPが気前良くIP Address振ってくれれば
こういうブツも市場があるんだろうけど、今の日本でこんなもの
売れるか?
31:02/01/08 18:13 ID:0ox2vurC
そこんところがね。
でも買っちゃったよ。

設定はマニアックだけど良い!
4login:Penguin:02/01/08 18:18 ID:ALZOJTSW
>>2
はぁ?意味不明・・・
んじゃ、巷に溢れるBBラウタをどう思ってるんだYO!!
売れるか売れねーかの尺度は、価格に尽きるだろ。
5login:Penguin:02/01/08 18:21 ID:uqamDAWf
>>1のページ,値段書いてないんだけど,個人向けには売って
くれるのかな?

ライバルはOpenBlockSSかな….あっちはHDDが接続できるぶん有利?
6login:Penguin:02/01/08 18:25 ID:q1ilEsrR
要は、性能の良い「子羊ラウタ」ってなワケだろ。
今じゃ、子羊の機能であの値段は、チート高けぇよな。
72:02/01/08 18:54 ID:Mu6iLz8E
>>4
単なるルータじゃなくてわざわざLinuxを採用しているから、
省電力と柔軟な運用を両立している点がこのブツの
アドバンテージでないかい?そこが価格の差だろ。
一個固定IP AddressがあればUSAGIを入れてIPv6トンネリングとか
いろいろできそうだよ。単にNAT/DHCP機能が使いたいだけなら
そこらの家庭用ルータで十分だけど。

>>5 ぷらっとホームにL-Routerおいてあった気がする。
8login:Penguin:02/01/08 19:33 ID:UJV5LHgp
L-RouterバラしてHD繋げた場合、
構築可能なサーバをあげよ
9login:Penguin:02/01/08 19:39 ID:dYe2ClJM
それなりのWebインターフェイスを持っているかと思いきや、
NATやパケットフィルタの設定はiptablesのコマンドを直で
記述するんですね(^^;)。素敵っす〜。

講座で購入するためただいま見積依頼中。
欲を言えばネットワークの口が3つあると目的にベストマッチ
だったのですがね〜。
101:02/01/08 20:25 ID:eUyYN6nI
自分が買ったのはその「ぷらっとホーム」って言う秋葉の店です。
東京に行ったときに買ったんです。
26800円でした。

>>9
一応Webブラウザからも設定出来ますよ。
それ以上にマニアックに設定したい人、カスタマイズしたい人は
ルータにアクセスして書き込んで下さい。
11login:Penguin:02/01/08 21:22 ID:igkhKoSd
>>4
BBほげほげっていったって、結局どこぞのサーバに
お世話になりっぱなし状態なわけで、5,6年前での
"IP Reachable"ってイメージからは、かなーり遠いよね。

それぞれの家庭で各種サーバが世界へ向けたサービスを
するのが本当だと思うし、それが当り前って状態にまで
なれば、Linuxミニルータ/ミニサーバみたいな物の意味も
また変わってくるのかなーと思ってみたり。
122:02/01/09 01:55 ID:05ZRDDw1
開発者の方が言うには、ファームをアップデートすると
性能がさらに上がるらしい。あとIDEインタフェースも
もってるそうな。サポート対象外なのは当然だけど。
131:02/01/09 02:16 ID:E1JlsKls
>>12
IDEはルータを分解してやらないと使えないみたいです。
ルータ事態ちっこくて薄型なので中に何が入ってるのかわかんないけど・・
買って得した品です。


誰か買って〜!
情報共有したい!
「こんなことしたら早くなった」とか。
14新参者:02/01/09 23:12 ID:f5uWXZYD
iptablesの文字数制限が1300文字というのは正直つらい。
せめて5000文字程度は入力できるようにして欲しい。

ちなみにL-Routerの中身はL-Boardがそのまま入っていた。
勿論ファームウェアの内容は違うとおもうが。
12が言うようにIDEのコネクタも実装されていて
HDD等が接続できそうな感じだった。
15 :02/01/10 00:01 ID:YH1E3e2e
>>14

ルールをベタ書きしていくと足りなくなっちゃうの
かもしれないけど、

テーブルの定義を工夫して、分かりやすく簡潔で短い
ルールをかけるようになろう。

エレガントなルール記述の技術を身につけよう。
16login:Penguin:02/01/10 19:35 ID:gNuibyiI
>>14
禿同。とてもじゃないけど1300文字以内は無理。
うちは背後のLinux Boxでファイアウォール立てて、L-routerのパケットフィルタリングは無効なアドレスをDROPさせることしかやってない。

>>15
是非そのエレガントなrc.firewallを見たいっす。
171:02/01/10 19:59 ID:M9Da1Q3i
>>16
ファームウェアアップする前は1900文字じゃ無かったっけ?
18login:Penguin:02/01/10 20:04 ID:kqm8AlJi
>>17
最新ファームだと1300文字になってます。
Web設定画面だと表示されてました。
DNSなんちゃら機能の追加で、空き容量が減っちゃったのかな?
1916:02/01/10 20:07 ID:kqm8AlJi
なんかただの煽りみたいなので、うちのrc.firewallはこんな感じ。
みんなのrc.firewallも知りたいぞ。

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o ppp+ -j MASQUERADE
iptables -A INPUT -i ppp+ -s 127.0.0.0/8 -j DROP
iptables -A INPUT -i ppp+ -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i ppp+ -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i ppp+ -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i ppp+ -s 0.0.0.0/8 -j DROP
iptables -A INPUT -i ppp+ -s 169.254.0.0/16 -j DROP
iptables -A INPUT -i ppp+ -s 192.0.2.0/24 -j DROP
iptables -A INPUT -i ppp+ -s 224.0.0.0/4 -j DROP
iptables -A INPUT -i ppp+ -s 240.0.0.0/4 -j DROP

16でも書いてるけど、単に無効なアドレスをDROPしてるだけ...。
20新参者:02/01/12 18:27 ID:Ovt7NTcW
iptablesの設定をこんな感じにしたらL-Routerのweb表示が出来なくなった。
telnet接続も出来ないしpingを打ってもパケットが返ってこない。
どこが悪いんだろう。

#!/bin/sh
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -A INPUT -s 192.168.0.0/24 -j DROP -i eth1
/sbin/iptables -A INPUT -s 172.16.0.0/20 -j DROP

/sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j fil-tcp1
/sbin/iptables -A INPUT -p tcp -m tcp --dport 25 -j fil-tcp1
/sbin/iptables -A INPUT -p tcp -m tcp --dport 53 -j fil-tcp1
/sbin/iptables -A INPUT -p tcp -m tcp --dport 110 -j fil-tcp1

/sbin/iptables -A INPUT -p tcp -m tcp -s 192.168.0.0/24 --sport 23 -j ACCEPT -i eth0
/sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j fil-tcp1
/sbin/iptables -A INPUT -p tcp -m tcp --dport 443 -j fil-tcp1
/sbin/iptables -A INPUT -p udp -m udp --dport 123 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --dport 1024:6000 -j ACCEPT
/sbin/iptables -A INPUT -p udp -m udp --dport 1024:6000 -j ACCEPT

/sbin/iptables -N fil-tcp1
/sbin/iptables -A fil-tcp1 -s 192.168.0.0/24 -j ACCEPT -i eth0
/sbin/iptables -A fil-tcp1 -p tcp -m tcp --syn -j DROP -i eth1
/sbin/iptables -A fil-tcp1 -j ACCEPT -i eth1
21 :02/01/12 20:10 ID:yOHKmDpx

どこから,どこに telnet が通らないのか,
もうすこし具体的に書いてくれないと,
全部読んで想像しなきゃならないじゃないか.
2220:02/01/12 21:31 ID:/gPBBV5f
>>21
スマソ。
L-routerのIPアドレスは192.168.0.2(デフォルトのまま)
pcのIPアドレスは192.168.0.3。
telnetを起動しL-Routerに接続しようとすると
暫く"接続中…"と表示がでた後繋がらない旨の
エラーがでる。
もちろんtelnetのサービスは起動してある。
23login:Penguin:02/01/12 21:41 ID:yOHKmDpx
>>22

ええと,pc は eth0 側についているの?

だとすると,

これは,

/sbin/iptables -A INPUT -p tcp -m tcp -s 192.168.0.0/24
--sport 23 -j ACCEPT -i eth0

これが正解じゃない?

/sbin/iptables -A INPUT -p tcp -m tcp -s 192.168.0.0/24
--dport 23 -j ACCEPT -i eth0

もし eth1 についているなら,これで落ちて終ってます.

/sbin/iptables -A INPUT -s 192.168.0.0/24 -j DROP -i eth1
2420:02/01/12 21:42 ID:/gPBBV5f
さらに補足しておくと、実は当方ADSL(YahooBB)は開通していない。
ADSL開通までルーターの扱い方を習得するため先行して購入した。
2520:02/01/12 21:44 ID:/gPBBV5f
>>23
サンクス。
今から確認してみます。
2620:02/01/12 22:01 ID:0WUEfXFj
>>23
サンクス。
指摘した箇所("--sport"->"--dport")を修正したらtelnetでログイン出来るようになった。
しかし相変わらずweb表示できずpingパケットも返ってこない。
チェーンの記述方法が悪いんだろうか…。
27login:Penguin:02/01/12 22:16 ID:yOHKmDpx
>>26

とりあえず,ping は icmp を通さないと駄目だよ.

eth0 側のマシンから通れば良いなら,たとえばこういうの.

iptables -A INPUT -i eth0 -p icmp -j ACCEPT

Web にアクセス出来ないって,port は 80 で良いの?
今のルールで PC から繋がりそうだけね.

おれ,OpenBlockSS は持ってるけど,L-Router は持ってな
いんだ.
28login:Penguin:02/01/13 00:37 ID:NDsAPE5F
>>20
FORWARDパケットを全部DROPしてるからLAN側マシンから外へ出れない
と思うけど、それはいいの?
そんなことないですか?
29login:Penguin:02/01/13 00:38 ID:vhsa0vyB
L5社員の自作自演でした。
30login:Penguin:02/01/13 01:42 ID:k/Hw6ppQ
>>28

FORWARD を DROP してたら,パケットが通過しないもんね.

WEBが見れないって,このマシンごしに,インターネット
のWEBが見れないってことか.だったら納得.
FORWARD が DROP じゃ見れません.

僕は PC から このマシン で動いている WEB が見れない
という意味に取っていました.
31login:Penguin:02/01/13 02:55 ID:NDsAPE5F
>>30
>僕は PC から このマシン で動いている WEB が見れない
>という意味に取っていました.
たぶんそういうことなんだろうけど、とりあえず問題になりそうな
ところを聞いてみました。
WebサーバがそのL-Routerで動いてるとすると>27さんの言う通り
設定は問題なさそうなんだけど。なんでだろ?
ただ2回同じ設定してるのは無駄ってくらいかな?
3220:02/01/14 00:45 ID:0tlsOr9N
いつの間にか話が進んでいるな。

>>27
pingの件解決した。TNX !

>>28,30
FORWARDってMASQUERADEを通さずに単純に
パケットを右から左へ流す物じゃなかったっけ。
違ってたらスマソ。

>>30-31
L-RouterのWEB表示ができないと言う意味。説明不足でスマソ。
ちなみに24で書いたとおりADSLはまだ開通していない。

>>31
>ただ2回同じ設定してるのは無駄ってくらいかな?
ウツダシノウ…
3320:02/01/14 00:50 ID:0tlsOr9N
ここで新事実が発覚
iptablesを

#!/bin/sh
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -A INPUT -s 192.168.0.0/24 -j DROP -i eth1
/sbin/iptables -A INPUT -s 172.16.0.0/20 -j DROP

/sbin/iptables -A INPUT -p icmp -j ACCEPT -i eth0

/sbin/iptables -A INPUT -p tcp -m tcp -s 192.168.0.0/24 --dport 23 -j ACCEPT -i eth0

/sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --dport 25 -j fil-tcp1
/sbin/iptables -A INPUT -p tcp -m tcp --dport 53 -j fil-tcp1
/sbin/iptables -A INPUT -p tcp -m tcp --dport 110 -j fil-tcp1

/sbin/iptables -A INPUT -p tcp -m tcp --dport 443 -j fil-tcp1
/sbin/iptables -A INPUT -p udp -m udp --dport 123 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --dport 1024:6000 -j ACCEPT
/sbin/iptables -A INPUT -p udp -m udp --dport 1024:6000 -j ACCEPT

/sbin/iptables -N fil-tcp1
/sbin/iptables -A fil-tcp1 -s 192.168.0.0/24 -j ACCEPT -i eth0
/sbin/iptables -A fil-tcp1 -p tcp -m tcp --syn -j DROP -i eth1
/sbin/iptables -A fil-tcp1 -j ACCEPT -i eth1


と修正し、"iptables -L -v"と打つと…
3420:02/01/14 00:58 ID:6tm0gV3q
#!/bin/sh
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
# iptables -L -v
Chain INPUT (policy DROP 10 packets, 1649 bytes)
pkts bytes target prot opt in out source destination

0 0 DROP all -- eth1 any 192.168.0.0/24 anywhere

0 0 DROP all -- any any 172.16.0.0/20 anywhere

0 0 ACCEPT icmp -- eth0 any anywhere anywhere

353 14531 ACCEPT tcp -- eth0 any 192.168.0.0/24 anywhere
tcp dpt:23
107 13294 ACCEPT tcp -- any any anywhere anywhere
tcp dpt:80
0 0 ACCEPT udp -- any any anywhere anywhere
udp dpt:123
0 0 ACCEPT tcp -- any any anywhere anywhere
tcp dpts:1024:6000
0 0 ACCEPT udp -- any any anywhere anywhere
udp dpts:1024:6000

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination


Chain OUTPUT (policy ACCEPT 403 packets, 80786 bytes)
pkts bytes target prot opt in out source destination


Chain fil-tcp1 (0 references)
pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- eth0 any 192.168.0.0/24 anywhere

0 0 ACCEPT all -- eth1 any anywhere anywhere

と返って来た。
どうやらユーザー作成のチェーンへの参照がされていないようだ。
35login:Penguin:02/01/14 01:03 ID:l1oQ/eu5
>>34

そうぞうでわるいが,

/sbin/iptables -N fil-tcp1

これを,ユーザ定義チェインにジャンプしだす前,
たとえば,/sbin/iptables -P OUTPUT ACCEPT
の直後あたりに移動したらどう?
3620:02/01/14 01:10 ID:6tm0gV3q
>>35
TNX !!!!!!!
うまく参照してくれたよ !
37login:Penguin:02/01/14 01:11 ID:l1oQ/eu5
>>36

それはよかった :)
3820:02/01/14 01:13 ID:6tm0gV3q
しかし、C言語の変数みたいに
事前に宣言(?)しないといけないのか。
そんなことはどこにも書いてなかったような…
3928=31:02/01/14 09:13 ID:R92oGwJL
>>38
ユーザ定義チェインの勉強になったデス。
FORWARDについては、(L-Routerじゃないけど)自分で設定して、
DROPにしたらLANのPCから外がみれんかった。
だからたぶんそうじゃないかなと思った次第でござる。
4020:02/01/14 21:06 ID:9sczqo+C
とりあえずiptablesの設定を書いてみたから
評価してくれ。

#!/bin/sh
ipt='/sbin/iptables'
$ipt -F
$ipt -t nat -F
$ipt -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

$ipt -P INPUT DROP
$ipt -P FOWARD DROP
$ipt -P OUTPUT ACCEPT


$ipt -N fil-syn
$ipt -A fil-syn -s 192.168.0.0/24 -j ACCEPT -i eth0
$ipt -A fil-syn -p tcp -m tcp --syn -j DROP -i eth1
$ipt -A fil-syn -j ACCEPT

$ipt -N fil-web
$ipt -A fil-web -s 192.168.0.0/24 -j ACCEPT -i eth0
$ipt -A fil-web -p tcp -m tcp --syn -j DROP -i eth1
#
#ここで接続を遮断したいweb siteのIP addressを
#指定してDROPする
#例
#$ipt -A fil-web -s 111.222.111.222 j DROP
#
$ipt -A fil-web -j ACCEPT

$ipt -A INPUT -s 192.168.0.0/24 -j ACCEPT

$ipt -A INPUT -s 172.016.0.0/10 -j DROP
$ipt -A INPUT -s 192.168.0.0/16 -j DROP -i eth1

$ipt -A INPUT -p icmp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp --dport23 -s 192.168.0.0/24 -j ACCEPT -i eth0

$ipt -A INPUT -p tcp -m multiport --dport 20,21,25,53,110,119 -j fil-syn
$ipt -A INPUT -p tcp -m multiport --dport 80,443 -j fil-web

$ipt -A INPUT -p udp --dport123 -j ACCEPT

$ipt -A INPUT -p udp --dport 1024:1300 -j ACCEPT
$ipt -A INPUT -p udp -m udp --dport 2000:6000 -j ACCEPT
$ipt -A INPUT -p tcp -m tcp --dport 2000:6000 -j ACCEPT
4120:02/01/14 21:28 ID:9sczqo+C
どっこいしょっ、と。
4228=31:02/01/15 05:10 ID:VmLlLmi9
>>40
>$ipt -A INPUT -p tcp -m multiport --dport 80,443 -j fil-web

これだけだと、
>#ここで接続を遮断したいweb siteのIP addressを
>#指定してDROPする
>#例
>#$ipt -A fil-web -s 111.222.111.222 j DROP
が効かない気がする。↑のようなパケットは-dport 80,443じゃないから。
あとマイナス抜けてるね…(揚げ足取りマンか?漏れ)

俺まだ初心者なんで、あんま鵜呑みにしないほうが(・∀・)イイよ…
4320:02/01/15 18:54 ID:NWDvK5Iv
>>42
ずいぶん早起きだな。

スマソ。説明がよく分からん。
宛先ポートが80(http)か443(https)の場合のみ
fil-webにジャンプして、そこで遮断したいweb siteの
ip addressのサイトから来るパケットをDROPするつもりなのだが。

で、いま思ったんだが、LAN側からの接続要求も遮断した方が
トラフィックが軽減されてよろしいのでは、と。
けど、それをやろうとすると1300文字以内ではとても記述しきれない。

そらなら各PCごとにファイアーウォールソフトでパケットを遮断した方が
合理的かもしれない…。
44login:Penguin:02/01/15 19:19 ID:maIks+j3


iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

みたいなの,どうしてつかわへんの?
4520:02/01/15 19:28 ID:1GT8rjnK
>>44
理由は単純。
俺のスキルでは理解できないから。
解説キボンヌ。
46login:Penguin:02/01/15 19:34 ID:Zd7jhSSk
>>45
man iptablesに載ってるよ。
http://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
入ってきたパケットの属性を指定している。
うちは原則INPUTをDROPし、>>44とICMP,SSHだけを通す指定にしてる。
4720:02/01/15 19:45 ID:IaMVQZ2y
>>46
TNX !
それ読んで勉強してみます。
4828=31:02/01/15 20:30 ID:VmLlLmi9
>>43
夜更かし駄目学生なんです…

>そこで遮断したいweb siteのip addressのサイトから来るパケット
これってソースポートが80または443じゃない?
そのip addressのマシンから自分のWebサーバを見えないようにする、
ってわけじゃないよね?
4920:02/01/15 20:57 ID:H/UPehyv
>>48
LAN側からweb siteが見えないようにしているだけ。
入力ポートを指定していないのは、特に指定しなくても
働きは同じと思われるため。
ちなみにwebサーバを立てる予定はない。
5028=31:02/01/15 21:57 ID:VmLlLmi9
>>49
宛先ポートが80か443じゃないとユーザ定義チェインにジャンプしないけど、
Webサーバから来るパケットの宛先ポートは80でも443でもないよ、
ってことなんですが…(ソースポートは80か443だけど)
あとよく考えたら、LANのマシンに制限かけるならFORWARDチェインじゃないと
アカンと思う。まあ実際ネットにつなげて試すのが一番わかりやすいかな?
51login:Penguin:02/01/16 00:48 ID:EkZ0sGLI

・Local-net からインターネットは dnsとhttp しか認めん

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -p tcp --dport www -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -p udp --dport domain -j ACCEPT

・IP偽装プロテクトの設定
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
5220:02/01/16 01:29 ID:x9UOTrDu
>>50
>宛先ポートが80か443じゃないとユーザ定義チェインにジャンプしないけど、
>Webサーバから来るパケットの宛先ポートは80でも443でもないよ
>ってことなんですが…(ソースポートは80か443だけど)
えっ、そうなの?
まあ、それなら --port オプションで指定すればいいのかな?

>あとよく考えたら、LANのマシンに制限かけるならFORWARDチェインじゃないと
>アカンと思う。
ip masqueradeを使ってる場合でもそうなの?
5328=31:02/01/16 01:45 ID:XWpIRXwB
>>52
ip masqueradeでもパケットはIPアドレスとポートを書き換えられて
通過(FORWARD)するだけだよね?
漏れはL-RouterじゃなくてLinuxマシンをルータにしてるんだけどさ、
FORWARDドロップしたらローカルマシンからは外へ何もできんかった。

1300字の制限あるならFORWARDはDROPしないほうが良さそうだけど、
セキュリティ的にはどうなんでしょ?>詳しい人
ip masqueradeなら外部からローカルマシンにはアクセスされないだろうから
いいと思うんだけど、駄目かな?
54shineLASERfive:02/01/16 18:09 ID:Y6mhBN9B
>>43
実はWebインターフェースで設定せずにviでべた書きすれば1300文字以上設定できます。

やりかたはシリアルクロスでつないでログインするか、Telnetで入って、/etc/init.d/rc.firewallをじかに設定してね。

一回それをやってしまうとWebインターフェースでの設定がうまくいかなくなるかもしれませんので、以後はコンソールでの設定をやってね。というかLinux板の住人ならWebインターフェース使わずvi使おう。
設定でわかんないことは聞いてね。

iptablesについては
ttp://tlec.linux.or.jp/docs/iptables.html
を参照しましょう。基本的な設定ならここでわかる。
5516:02/01/17 01:39 ID:jiregSPf
今更ながらの16なんですが、

>>54
1300文字制限を回避することが出来るんですね。
初耳です。早速ちょっとトライしてみようと思います。

あと便乗質問なんですが、シリアルコンソールでLoginするときってどうやってます?
うちはminicom使ってるんですけど、[Ctrl]+[c]ってやらないと"login:"が出てこないんですよね。
ただこれだと、接続中のppp0を切断しちゃうんですよね。
ということで、他のlogin方法ってあるんでしょうか?
56login:Penguin:02/01/18 16:11 ID:yyY6W6C7
先日このルータ買ったんですけど外部からhttpへ入れなくなっちゃいました。
鯖は触って無いので原因はこのルータかと。

57login:Penguin:02/01/18 16:31 ID:rQn2pD1p
>>56
それで?あんたはこのルータのバグが原因とかいいたいの?
意味わかんねー。パケットフィルタリングの設定ぐらい出しなよ。
581:02/01/18 19:38 ID:wl8LVWtR
>>56
ポート80を通したいんでしょ。
5920:02/01/18 20:06 ID:pvBnkJoa
>>53
以下の構成で簡単に実験してみたんだけど、
FORWARDをDROPしてもwebサーバーにアクセスできた。

PC1 : Hubを介してeth0(LAN)に接続。(Win2k マシン)

 ↓
Hub
 ↓

L-Router : iptablesの設定は>40の通り。
        WAN側の設定は 固定IPアドレス、ip : 111.222.111.1
| ゲートウエイアドレス : 111.222.111.2 (PC2)
|(クロスケーブル)


PC2 : webサーバ (Win2kマシンにIISをインストール)
ごく簡単なhtmlファイルを作成。
IPアドレスは 111.222.111.2 (前述の通り)


>>54
サンクス。viの使い方はよく知らないが、やってみます。

>>56
NAT使って宛先ポートが80のパケットをwebサーバに
振り分けるようにすればいいのでは?
具体的の方法は…スマソ、わからん。

>>57
あまり煽らんでくれ。
6028=31:02/01/18 20:30 ID:BT9gKdds
>>59
マジっすかー?
漏れのカン違いかー…
61login:Penguin:02/01/18 20:56 ID:oFeErbcy
>>60おれは自分のマシンでたった今確認したが、FORWARDをDROPするとルータにはならない。
62login:Penguin:02/01/18 21:10 ID:oFeErbcy
>>59まじめにサブネット切って実験しても抜けちゃう?
63login:Penguin:02/01/18 21:11 ID:oFeErbcy
改行コードが反映されません。行が長いって怒られる。CGI変えたの?
64login:Penguin:02/01/18 21:24 ID:ED8WIfFm
UNIX 板の方で cookie うけつけないと w3m で改行削られる、
といってた人がいたような。
6561,62,63:02/01/18 21:29 ID:oFeErbcy
>>64

おお、おれまさにw3m使ってるよ。

でもおれのw3mは、cookieのサポートONでコンパイルしてるのに。
6620:02/01/18 22:58 ID:o23QRClR
>>62
えっ、サブネット切るってどういう意味?


ところで、>59の実験をしているとき奇妙な事が起きた。
LAN側のマシンからブラウザでWAN側のアドレスを入力すると
L-Routerのweb設定ページが見れた。
どういうことだろうか。
6728=31:02/01/18 23:20 ID:BT9gKdds
>>66
iptablesの設定がまっさらな状態で
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
とIPマスカレードだけ設定して、それでもルータ超えてWeb見えちゃう?
6820:02/01/18 23:24 ID:o23QRClR
あっ、>59を一部訂正&補足。

>40の一部を変更した。
旧 : $ipt -A INPUT -p tcp -m multiport --dport 80,443 -j fil-web
_ ~~~~~~~~
新 : $ipt -A INPUT -p tcp -m multiport --port 80,443 -j fil-web
_ ^^^^^^^


それから、WAN側のIPアドレスのサブネットは255.255.255.0に設定した。
>62が言っているのはこの事かな?

まあ、これらはFORWARDの件とは関係ないと思うが。
6920:02/01/18 23:25 ID:o23QRClR
>>67
今から回線切って首つって…じゃなかった、
実験してみます。
7020:02/01/19 00:09 ID:AvGj0285
>>67
その通りに設定してみたら確かにwebは
見えなかった。
もちろんFORWARDをACCEPTすると見えたが。

それからさらに実験してみたんだけど、
67の設定の最後に
/sbin/iptables -A -p tcp -m multiport --port 80 j ACCEPT
と追記したらwebが見えるようになった。
どうやら通したいポートを明示的に指定すればいいようだ。
7120:02/01/19 01:14 ID:sre4UtDh
あっ、70に一部不適切な表現があるかも…
おそらく

誤 : 通したいポートを明示的に指定すればいいようだ

正 : 通したいパケット属性を明示的に指定すればいいようだ

と思われ。

ついでにage。
7228=31:02/01/19 01:30 ID:EqrzHwvM
>>71
>/sbin/iptables -A -p tcp -m multiport --port 80 j ACCEPT
-A FORWARD?
7320:02/01/19 16:45 ID:AFuZ/UU8
>>72
FORRARDチェーンは
iptables -P FORWARD DROP
のみ。
74あきじ:02/01/19 23:32 ID:xsY9O0Il
なんか間違いしてるナ >20

>/sbin/iptables -A -p tcp -m multiport --port 80 j ACCEPT



/sbin/iptables -A FORWARD -p tcp -m multiport --port 80 -j ACCEPT

の間違いじゃないの? って話でしょ。
書き写してるのであれば正確にね。

ついでに普通は -m multiport って使わないんじゃないかな。
上のだったら

/sbin/iptables -A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT

でおっけー。-i でインターフェースも指定するとなお良し。
じゃ、頑張って勉強してください。
7528=31:02/01/19 23:57 ID:Oc0W6fKf
>>74
おーいえす
7620:02/01/20 00:03 ID:IRGTOIGq
>>72, >>74-75
スマソ。>>70の記述にチェーン名が無かったって事か。
正しくは

/sbin/iptables -A INPUT -p tcp -m multiport --port 80 -j ACCEPT

だ。


それと-m multiportのオプションを使用したのは
--portオプションを使いたかったから。
本来は
/sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -i eth0
/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT -i eth1
とするのだろうが、ちょっと横着して上述の記述をしてみた。


http://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
を読んだ限りでは --port は -m オプションで multiportを組み込まないと
使えないような気がしたんだが。
実際には-m tcp(若しくは--m udpも)でも使えるの?
77あきじ:02/01/20 00:36 ID:XZqGnGMp
>>76
>/sbin/iptables -A INPUT -p tcp -m multiport --port 80 -j ACCEPT

>/sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -i eth0
>/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT -i eth1

port 80 からのアクセスを受け入れるのは問題あるよ。

/sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -i eth0
/sbin/iptables -A INPUT -p tcp -m state --state NEW -j DROP -i eth1

普通はこんな感じか?

>実際には-m tcp(若しくは--m udpも)でも使えるの?

使えない。でも使う必要も無いってことですわ。OK?
7820:02/01/20 00:55 ID:IRGTOIGq
>>77
なるほど。サンクス。
7920:02/01/22 18:10 ID:4l0Hsc+R
ところで、みんなスループットはどのくらいでてるの?

ハード板でこんなレス見つけたけど。
http://pc.2ch.net/test/read.cgi/hard/1002994000/513
80login:Penguin:02/01/22 20:38 ID:Sw/blBTP
>>79
おやまぁ
俺の友達は問題なく速度出てるらしいけど。
何が悪いのか?
81login:Penguin:02/01/22 20:48 ID:7Clcim3u
>>80
http://speed.on.arena.ne.jp/ってあくまでもローカルテストでは
ないから、plalaが遅いとかという原因ではないかと思う。
MIPS 180MHzとはいってもさすがに6.3Mってことはないと思うぞ。
8216:02/01/22 22:08 ID:FlAqAW1F
Laser5のMLによればpppoeが原因だとか...。
現在改良版ファームをがんばって作ってるようです。
フレッツ1.5だけど新ファーム期待age。
83水元@金町局:02/01/22 22:11 ID:m8CHMZYI
>>81
すいません、それ書いたの私です。
実は、ルーターのテスト色々していて、L-Routerは工事待ちの友人に借りて
テストしました。
私が持っている、corega BAR SW-4P Proが同テストで約25Mbps、Linuxルー
ター(Mosquito)が30Mbps出ていることから考えると、plalaの問題では無い
と思うんですけど。
84login:Penguin:02/01/22 22:15 ID:Sw/blBTP
>>83
ファームウェア最新にして設定いろいろいじってみてよ。

それともうすぐ最新のファームウェア出るらしいからそれまで待つとか。
それで改善されるらしいから。
85水元@金町局:02/01/22 22:25 ID:m8CHMZYI
>>84
了解
86login:Penguin:02/01/24 17:58 ID:+OguueXC
今日から8Mフレッツだ。ちゃんと速度出るかな。
つーか8Mっつっても3M程度しか出ないからわからないけど。
87login:Penguin:02/01/24 21:26 ID:n8FMWXCw
漏れのL-RouterもBフレッツベーシックで6Mbpsしか出てねえ。
プロバイダはSo-net。
PC直結で20Mbps出るから非常に悔しいぞ。
ファームウェア早く更新しやがれage
8820:02/01/25 19:53 ID:mWFTkH6H
新しいファームウエアが出たぞ、この野郎!
http://www.laser5.co.jp/embedded/lrouter/info/vmlinuxbinary/020125.htm

>>83,>>87の問題がこれで解決するか分からんが。
8920:02/01/25 20:09 ID:mWFTkH6H
拡張子の末尾に'l'を追加のこと。
コピペに失敗した。
901:02/01/25 21:18 ID:AlMcYcmh
>>88
ありがとう
さっそくアップしました。
91bitch:02/01/26 01:27 ID:cdJSLhbB
use linksys
9216:02/01/26 18:04 ID:CEb+AojB
新ファーム導入後、1.16から1.22Mbpsに。<フレッツ1.5
1.2台が出たのは今回が初めてなので、なんらかの改良があったのは間違いなさそう。
嬉しage。
93shineLASERfive:02/01/28 18:53 ID:o55TR8XX
どうよ。
ttp://www.jp.netbsd.org/ja/JP/ml/port-hpcmips-ja/200112/msg00018.html
NetBSDユーザ恐るべし。
94login:Penguin:02/02/07 09:49 ID:WpUvgram
>93
すげぇ・・・
NetBSDが何々にって話はよく聞くけど、ほんと
簡単そうにやってる・・・
95login:Penguin:02/02/13 21:00 ID:bZY0fcUS
age
96login:Penguin:02/02/13 22:05 ID:28QKP1qz
>>93
こいつら、2年後には絶対炊飯器でNetBSD動かしてるに違いない。
97login:Penguin:02/02/13 22:56 ID:DHMppI/p
>>93 はげしく、わろた。
98login:Penguin:02/02/17 00:42 ID:S6gisXP7
>96
組み込みじゃ結構NetBSD使っているそうだから、
きっともう動いていると思われ。
99login:Penguin:02/02/22 12:56 ID:PwUZwQEF
>98

だろうねぇ
組み込み系はよくITRONとNetBSDって聞くよね。
100login:Penguin:02/02/23 19:16 ID:O2Kao2rk
正直、x86のopenblocksがほしい。
101 :02/03/15 17:26 ID:6jnwxpz3
http://202.221.8.75/l-router-up/

謎の新firmwareハケーン。
ファイル名もかなり変わってるし、怪しさ全開。
誰か逝ってみてくれ。
俺はなぜかtimeoutで繋がらなかった。
1021:02/03/15 18:35 ID:w/1Xi7mS
>>101
怪しすぎだよ(;´Д`)
103名無しさん@お腹いっぱい。:02/03/16 22:11 ID:n5VIxBms
L-Routerはカッコいいです。色が特にイイです。
今はOCN ADSL IP8 flets planで使っています。
さて、電源入れてADSL接続が完了した後に、手動で
`route add -net default dev ppp0`
とやっているのですが、これ、自動化したくてたまりません。
rc.adslの後で実行させるようにしても、なんか成功しません。
Linuxには初めて触りました。どうすればいいでしょうか。
104login:Penguin:02/03/17 00:37 ID:oFCaLJvQ
>>103
ちょっと自信ないけど、rc.adslの最後の行に

`route add -net default dev ppp0`

を追記してみたらどおよ。
105名無しさん@お腹いっぱい。:02/03/18 00:55 ID:RnUAZ+q0
↑どうもありがとうございます。
でも、なんかダメでした。
ところで、このroute、
psすると、rc.*がいつまでもプロセスとして残ってますね。
106login:Penguin:02/03/19 11:20 ID:5+s6cMxr
nohupとか。
107login:Penguin:02/04/20 09:28 ID:cGudQiQy
> (お知らせ)
> "Unnumbered"は現在未対応ですが、近日中にファームウェアアップデートにてご利用いただける予定です。
> http://www.laser5.co.jp/embedded/lrouter/info/index.html
だそうな。
108login:Penguin:02/05/15 23:44 ID:o+U2xXf/
syslogメッセージを他のマシンに転送をしたいのですが、よいアイディアありませんか?

109login:Penguin:02/05/16 01:00 ID:wIfA35Ke
>>108

syslog の機能で飛ばしちゃだめなの?
他マシンの syslogd に飛ばせると思うが。
110108:02/05/16 06:51 ID:MI/tF+yB
それが、L-Routerのsyslogはどうも本物じゃないみたいなのです。
111名無しさん@Emacs
>>110
単に受け取る側のsyslogdが-rを付けて起動してないだけってことではないの?