1 :
名無しさん@お腹いっぱい。 :
02/11/23 23:09 高い金出して最近のへぼなブロードバンドルータ買うより全然いいと思うぞ。 「PPPoEの方法」 「NATにする方法」 「NICを2枚使う方法」 「ファイヤーウォール設定・セキュリティ対策」 その他なんでもいいからここで質問&アドバイスして輪を広げてこう。 悪質ブロードバンドルーター製品逝ってよし!
2げとずさ
3げとずさ
4 :
名無しさん@お腹いっぱい。 :02/11/23 23:24
4がと ⊂(´<_`⊂⌒`つ≡≡≡(´⌒;;;≡≡≡
linuxigdでUPnPお話しできるようにするのは普通だよな?
Yahoo!BBで帯域溢れるとBB Phoneが使えなくなるのだが、 ルータでデータ側の動的なうまい流量制限方法ないか? BB Phone使い始めると流量制限してくれるのがいいんだけど。 常時流量制限するのはもったいない。
PacketShaper的な設定?
kuso.
tcpdumpでソレっぽいパケットが流れてたら、ipfwで細くすればいいんじゃないの? ADSLモデムとBB Phone用VoIP機器が別々になってないと使えない手かもしれないけど。 つーか、通信技術板行きっぽい気がする。 あとは、無職の某氏にBB Phone使わせてみるとか(w
10 :
名無しさん@お腹いっぱい。 :02/11/24 12:22
イーアクPPPoAからフレッツADSL(PPPoE)に変えるつもりなので、FreeBSD入れた 古いノートPCにもう一枚中古買いNIC追加してルータ構築に悪戦苦闘してます。 いきなりしょっぱなから追加NICを認識してくれず困った君状態から抜け出せませ ん。2枚目のNICを追加する時には必要な設定が知りたいです。今まで追加したの は次のような設定です。足りないもの間違ってるものアドバイスお願いします。 /etc/rc.conf network_interfaces="ed1 ed2 lo0" ←追加 ifconfig_ed1="inet 192.168.1.99 netmask 255.255.255.0" ifconfig_ed2="inet 192.168.2.1 netmask 255.255.255.0" ←追加 pccard_ifconfig="inet 192.168.1.99 netmask 255.255.255.0" pccard_ifconfig="inet 192.168.2.1 netmask 255.255.255.0" ←追加 カーネルファイル修正再コンパイル device pcic0 at isa? irq 0 port 0x3e0 iomem 0xd0000 #device pcic1 at isa? irq 0 port 0x3e2 iomem 0xd4000 disable ←コメントアウト device pcic1 at isa? irq 0 port 0x3e2 iomem 0xd4000 ←追加 /etc/default/pccard.confを /etc の中にコピーしてみた やみくもにやってみたというのはありますが・・・ PC : IBM ThinkPad 760EL OS : FreeBSD-4.7Rerease NIC : IBM EthernetU ※2枚ともこれ(1枚だけの時はどちらも正常認識) ルータ難民にお力を!
金出せばすぐ使えるのが手に入るんだから時間の無駄。 もっと有意義に時間を使おうよ。
DirectPlayとかPortForwardingってどういう設定すりゃいいの?
>10 dmesgからed1, ed2 切り出しキボンヌ。 あとは現在刺さっているカードのステータスを 取るコマンド…cisdumpだっけ? 蛇足だが、OSが認識しているカードスロットと、 自分のIPアドレス振ったポートを間違えないようにね。 同じカードを買っちまったからにはその辺も注意。 すれ違いsage
>>9 BB Phone後付なので電話アダプタ別タイプです。
モデムとの接続はUTPケーブルなので、ここをHUB経由にして見てみりゃいいのかな?
ストレートケーブルで接続なのでHUBかますと小細工が要りそうな。
今はdummynetで帯域の実測値から常時100kbps空けるようにしてるんだが、
もともと1Mbpsも無いので痛いのよね。
でも、帯域使い切っちゃうとやっぱ着信ができなそうな気もするな。
>13 レスありがとうございます。 dmesgにはed2に関しての情報は一切出ていないようです。 # dmesg | grep "ed[12]" ed1 at port 0x240-0x25f iomem 0xd4000-0xd7fff irq 3 slot 0 on pccard0 ed1: address 00:04:ac:d5:4f:cb, type NE2000 (16 bit) OS起動後抜き差しするとカードの情報をコンソールに表示はしますがed2 の文字は出ないです。 cisdumpというコマンドは無いようです。findで全ディレクトリの中検索 したけどそのようなコマンドはヒットしませんでした。 そのコマンドがあればもうちょっと詳しくわかるのでしょうか。何か手は ありますでしょうか。
16 :
名無しさん@お腹いっぱい。 :02/11/24 17:07
PPPoAは無理?
>10 ノートPCは機種によっては、PCカード二枚指しするときは他のデバイス(シリアルとかパラレルとか)の どれかをBIOSでDisableする必要があるみたいです。 その辺はどうです?
18 :
名無しさん@お腹いっぱい。 :02/11/24 20:03
19 :
名無しさん@お腹いっぱい。 :02/11/24 20:05
20 :
名無しさん@お腹いっぱい。 :02/11/24 20:07
21 :
名無しさん@お腹いっぱい。 :02/11/24 20:07
22 :
名無しさん@お腹いっぱい。 :02/11/24 23:46
>16 PPPoAはATMの上にPPPが乗っかってるんで、PCまでATMがこないとだめ。 モデムとPCがATMでつながればできないことはないだろうけど普通モデム とPCの間はみんなイーサなんで無理でしょう。
>>13 | 取るコマンド…cisdumpだっけ?
# pccardc dumpcis
>>10 同一カードの2枚刺し、漏れも昔やってたよ。
/etc/pccard.conf の当該カードのエントリに一行追加。2枚目の IF名を明示してやる。
config auto "ed2" ?
これでだめなら、irq あたりを疑ってちょ。
それから、pcic0 の slot0 と slot1 だろうから、pcic1 は関係ないと思うな。
もう一つ、機種依存文字は使わないでね(はぁと
>OS起動後抜き差しするとカードの情報をコンソールに表示はしますがed2
>の文字は出ないです。
No resource allocated...とかなんとかいわれてないか?
>>17 もいっているがIRQか何かが足りなくてed2が割り当てられてない可能性が高い。
> ed2が割り当てられてない可能性が高い。 何を今更……(w
PicoBSDの事なんですがね。 4.7-RELEASEになった今でも/usr/src/release内に存在してるんですよ。 そこで作ってみるかって事になったんですがイマイチ作り方がわかんないんですよ。 /usr/src/release/picobsd/doc/src/how2build.html読んでみたんですが 2.2.*、3.*-RELEASEなんて事書いてるんですが 4.7-RELEASEでも作れるんですかね? 作った人がいたら作り方なんぞを伝授していただけませんか? #お礼はxxx画像のURLでいかがでしょうか。
グロ画像かも
うち、局からの距離が遠いのと、周りがISDN使いまくり なもんでxDSLで128kくらいしかでないっす。 で、ファイバー引き込もうと思ってるんですけど、ユー ザランドpppってどの程度パフォーマンス出る? ついでに、kernel pppってPPPoEで使える?
>>30 うちはフレッツADSLでみかかのサイトで調べた伝送損失は40dbだが、1.5Mbpsは出ているみたい。
まあ、最近のCPUを使っているぶんにはuser pppもkernel pppも速さは変わらんと思うが。
>>10 うちと同じ機種っぽい。設定したのが2年ほど前なので正確には覚えてないけどね。
うちではIRQがかぶってた。(別メーカーのNICだったから?)いちおう2枚同時に
差して認識してたんだけど、一方だけ全く通信できなかった。
(/etc/rc.conf)
pccardd_flags=" -i 10 -i 5"
(/etc/pccard.conf)
こちらは
>>24 さん参照
>>31 > うちはフレッツADSLでみかかのサイトで調べた伝送損失は40dbだが、1.5Mbpsは出ているみたい。
うちもそうだよ。
友人宅は他に選択肢がなくって、48db落ちで周りにISDN
無しで512k程度出てる。
うちは、42db落ちとかっていってたんだけど、調子がい
い時で 256k 位しかでない。
で、悔しいから光って話なんだけど、
100MでFreeBSDのPPPoEってどの程度出る物なのか?
ってがそもそもの趣旨です。
>24 ありがとうございます。うまく認識しました。ifconfigでed2が出てきました! こんなたった1行だけの問題だったとは・・・とにかく感激です。 # IBM PCMCIA Ethernet I/II, RIOS PC CARD II ETHERNET card "IBM Corp." "Ethernet" config auto "ed" ? config auto "ed2" ? ←これ1行のみ追加&再起動 ether 0xff0 # 08:00:5a 00:04:ac 00:06:29 insert /etc/pccard_ether $device start remove /etc/pccard_ether $device stop
35 :
名無しさん@お腹いっぱい。 :02/11/25 22:45
>>1 どっかにもあったけど、PCをルータがわりにして24/7つけっぱにすると
電気代がバカにならない(月1000円くらい?)んだよなー。
>>36 1000円逝くのは最近の機体くらいかと。
うちはMateNX使ってるけど、確か最大でも60Wくらい。
メインの機体(Athlon)を常時稼動させるよりは安いと思うので採用してます。
他にいろいろ遊べるってのもあるね。まぁ、市販ルータより難しいと後悔したりもしますが。
>>33 FirewallなしでFreeBSDマシンをつなげてばっちり100Mbpsでているという話は聞いたことがありますね。
プロバイダはNTTPCだったかな。
グロ画像じゃありませんよ。 誰かご存知ないですかね?
>>39 映画『XXX』の画像だろ。
そんなのでは萌えん。
42 :
名無しさん@お腹いっぱい。 :02/11/27 21:18
BBルータとして動かすんだったら inetd は殺しておいたほうがいいんですかね。 それとも ipfw や tcp wrapper とかでガチガチに書き込むもんですか。 みんなどんな運用してるんだか知りたいです。
>>42 不要なデーモンは全て殺す。
これ常識。
何が不要かわからん香具師はFreeBSDでRouterを作るべからず
大田@RGO 「でも教えられるコトって限界あるよナ しょせん人からの話だし・・やっぱ経験だよナ自身の─── 頭の中で組み立てた理屈じゃあなく 自分の目で見て自分の体でわかっていく 大事なコトは教えられない 経験でしかわかっていけない」 ジェッティング富永「ルータてさホント不思議なモンでナ 理論や理屈でわりきれないコトホントあるんだヨ いいかげんに組んだルータがいいかげんに回ると思えば── ひたすら緻密に手間と時間をかけても そのわりにはむくわれない時もあるのヨ どこをもって満足とするのか─── そして何をもって終りとするのか───────── ルータという機械は不思議だ チューニングをくり返すだび その生命感も増す気がする それがいかに荒唐無稽なコトでも 自分の目で見たならばそれはすべて真実だ───── それは裏切らない────── それは信じていける─────」 北見@地獄「管理者ってのはちょっと矛盾しててナ どこかで望んでるトコあるんだヨ。 手塩にかけたそのファイアウォールが崩れるのを─── 一生けん命育てあげた我が子を実験台に載せてしまうその心─── 積みあげたモノが壊れることによって 何かがわかる──── それが知りたくて仕方ないんだ rootという人種の矛盾─────uptimeへの欲求───── チューニングの果てしない欲望─────────────」
45 :
名無しさん@お腹いっぱい。 :02/11/28 04:26
>>45 最高速度を出したいならFlashgetでやっているように複数セッション張ってやるのが普通。
その実験でやっているようなやりかただとそんなに性能は出ないはず。
隔離スレはここですか。
48 :
名無しさん@お腹いっぱい。 :02/11/29 00:02
デスクトップだと電気代が気になるし、ノートだと熱が心配。
>>48 蓋開けとけばたいして熱くならないんじゃない?
usermodeとkernelmodeの違いがあることが
わからない
>>51 は大凶とでてる。
>>51 FreeBSDはkernelの再構築なしでいけるよ。
>>52 みんな口を揃えてkernel modeっていうけど、そんなに速くなるもんなの?
>
>>52 > みんな口を揃えてkernel modeっていうけど、そんなに速くなるもんなの?
実際どれだけ速くなるかはおいといて、
原理的にはカーネル空間からユーザー空間にメモリコピーが必要な分は
確実に遅くなると思われ。
まぁ、その代わりと言ってはなんだが
>>51 が参照したURLに
Configuring FreeBSD's PPPoE was easy with its complete Handbook.
Possibilities to debug and log connections were good.
とあるように、別のメリットはあるよ。
mpd使え
56 :
名無しさん@お腹いっぱい。 :02/12/01 18:36
what is mpd ?
/usr/ports/net/mpd
58 :
名無しさん@お腹いっぱい。 :02/12/01 23:06
>>1 ______
/_ |
/. \ ̄ ̄ ̄ ̄|
/ / ― ― |
| / - - |
||| (5 > |
| | | ┏━┓| / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| | | | ┃─┃| < こんなサイトを見つけた
|| | | | \ ┃ ┃/ \ 正直、スマンカッタ
| || | |  ̄ \_________
http://freeweb2.kakiko.com/saitama/
>>53 PPPoEをGbEtherでやったらkernel modeでないと実用的でないと思われる。
光でやった場合は数kbps換算の違いが出そう。
ADSLではスパシーボ効果が絶大なので、実はこれが一番求められてる。
是非どうぞ。
みんな、in-kernel PPPoE のソースくらい読んで、 userland PPP のソースくらいも読んで、 ちゃんと試験もした上で差がない、って言ってるんだよね。
>>60 | ADSLではスパシーボ効果が絶大なので、実はこれが一番求められてる。
おろしや国のかたでしょうか。
kernel PPPでPPPoEはできますか? Handbookにはppp(8)でPPPoEする方法しか載っていないんですが... pppd(8)にはPPPoEの話はまったく載っていないようですし。
>>66 さんくすこ
ついでにmpdでPPPoEをする方法を書いたドキュメントをきぼーんぬ。
>>67 /usr/local/share/doc/mpd/mpd.html
69 :
名無しさん@お腹いっぱい。 :02/12/02 11:18
mpdのほうが速いのかなぁ? B Fletsベーシック100Mでttcpのベンチマークでも取りますか。
>>69 べんちまーくきぼーんぬ。
10回の平均と標準偏差を教えて。
mpd+ipf+ipnatだと全部カーネルで逝けるね。 つっても漏れはルータにしてるジャンクノートのスペック(今時PCMCIA NIC一枚)が低いので ベンチマークは取っても参考にならない。 他の方ヨロ。
ipfw Miranda(ICQ/MSN)でファイル転送できるようにしたいっす ipfw.confに add 11200 allow tcp from any to any 6891 in via tun0 add 11210 allow tcp from any 6891 to any in via tun0 とか書いてみたけど駄目っぽい 俺には無理だったのかなぁ # winnyもやりたぃ。。。 色々わかったら、ipfw総合ページ作ってもいいから 助けてくれー
>>72 natdにはICQの対応コード入ってるから大ジョブかも。punch_fw
>>72 > ipfw
> Miranda(ICQ/MSN)でファイル転送できるようにしたいっす
ipfilterならipnatのルールで
rdr tun0 IPofOutbound port 6891-6900 -> IPoflocalmachine port 6891 tcp
でいけるんだけどね。
IPofOutBoundは、動的IPなら0.0.0.0/0とかにすればいいかな。
参考になったら、ipfilter総合ページ作ってね。ウヒョ。
75 :
名無しさん@お腹いっぱい。 :02/12/04 12:45
>>72 どういう環境かわからんが、natdでredirectしないとだめだな。
ICQやMSNがIP addressなんかの情報がLayer 4以上にあるようなプロトコルだったらredirectしてもだめだな。
まず、ipfw ICQでググってみれ。
実は rc.confで firewall_type="OPEN" ってやってて ipfw.confを読んでなかった(;_;) 読み込ませたらネットできやしねぇ 脆弱な状態でネットしながら設定を獲得しなければ というわけで、メッセンジャーまでは道が遠いのであった ごめんなさい
>>77 ipfw -a listは知ってるかな?坊や。
あとは、deny,dropするものをすべてlogに残すように設定してからログを見てみな。
そうそう、natd_enable="YES"は書いてあるの?
>>78 おお
アドバイスありがとうございます
OPEN状態と同じ規則をipfw.confに書いてみたけど
うまくいかなかったような気がするけど
もう一度やってみます
>>77 ずっと疑問に思ってたんだが、ipfw.confって何?
rc.confではfirewall_typeにはなんて書いてるの?
>>80 おおお、もしかして一般的なファイル名じゃなかったのか
firewall_script="/etc/rc.firewall"
firewall_type="/etc/ipfw.conf"
としてるあるよ
>>81 ipfw -f flush
ipfw /etc/ipfw.conf
したときにFormatエラーなく読み込んでくれる?
ちなみに、ipfw -a listしてやるとエラーが起きたのは読まれてないのですぐわかる。
>>82 読み込んでくれてましたm(_ _)m
ご迷惑をおかけしました
# あとはNATまわりだな
なんか、もう面倒になってきた おれにはFreeBSDもipfwもNATも無理だ 総合ページなんて無理だ Windowsマンセー
85 :
名無しさん@お腹いっぱい。 :02/12/07 00:15
>>81 ちゃんとipfwからnatdにdivertしてる?
87 :
名無しさん@お腹いっぱい。 :02/12/08 05:23
>>87 > mpd+ipfw+natd試してみました。そうしたら、MTUのblackhole問題に
> はまった。
set link mtu 1454
set link mru 1454
じゃ、だめなのか?
それとも、基本的にわたいがかんちがいしてる?
90 :
名無しさん@お腹いっぱい。 :02/12/09 01:32
>>89 >set link mtu 1454
>set link mru 1454
>じゃ、だめなのか?
>それとも、基本的にわたいがかんちがいしてる?
そのオプションはすでに試しているがだめだった。それに加えて、
set iface mtu 1454
も付けたがだめだった。88のURLをみるとわかるぞな。
>87 >89 >90 /usr/ports/net/tcpmssd
>91 あんがと。でも、それだと、カーネルモードオンリーとならないのでは? 違ったらごめん。 pppにtcpmssfixが入っていないときは、それを利用してましたね。 >89 結局、mpdではIPヘッダのMSS値を書き換えないからだめということで
>>92 ipfw divert -> tcpmssd -> ipfw divert
となるはずなのでカーネルモードオンリーにならない.
>>93 あんがと。
やはり、パフォーマンスを追求するためには、ipfilter3.4.30以上+mpdしか
ないですね。
>>95 厨なんで、そこまでのスキルはないっす。やるとしたら、userland pppから
該当部分をmpdに移植する方向でしょうね。mpdのマニュアル見ると、iij-ppp
(現在のuserland ppp)を参考にしたというので、移植はしやすいかもしれない。
でも、厨な我には無理ぽーん。
とりあえず、ipfilter_3.4.31をインストールして、カーネルの再構築と ipfilter関連のコマンドを置き換えたら、うまくいきやした。
mpd PPPoEマルチセッション(クライアント側)パッチ gzip+base64 H4sIAIrw9T0AA51X/3OaShD/+fwrtnZsJGIqmq/60peMIQlTv43aee1LOpTCqYxwMIBt8zr939/e HSCY9KsTEY7dvd3Pfm5302w2IQzDgB7YTTLfUJjRELQT0FrdI63bPoZ2q9WuNBqNTIoMAwZjO4H2 KbRa3cOzbutUCl1cQPNEPYbGiXoCFxcVgH20RuHDh/548m5q3NzODz6v3Djx6N4ef/uyApXGc4cu XEYBJpPJWDeHbwZzY6bPZsZ4VIHnLrO9jUOhirsfrKo7K+hPeY0tFxtm80XuzOEx9+Ywc4cMXLYm xMNrjxDych+CTQT8UbhC9E+UJVO6IHYSeeKhJ6Q8dJkyWAQR8Dfg0zi2ljSWWnESbRAN9Gbu+jQi dsAYtRPxIPXTFRdxS3A12CTiN+L6DbIxXZZox2ZCYrSLQsZVrwLf8Js8hBTBgXQHtnTZIiD7Ex63 gbcoIsLUjto8Tu3oUD0TgcaJlbg2fApcpwJCfBxSVp+sHmKuB6FSga+IvLvg5p/AvUHslRVB6pC5 CoL13ejGvB2PXw/0ETRAe99Dfcocd4EQYIBxArlfEFI4h3r+rITNV670F6MVlj9uFnex+x8NFvU8 OpFPBMNNTMdKLAW3GV6+NVOf3ve2WD+ShX3pgisecO/vCyq4dU/CdixhOz5JYSPuAuohbb7i+FF4 dp5CczX+Z4SIERLRZBOxnmDtD7CLWRhhTjG0An4qZPEWFhU1tZAqC4Sh2qzFVRUxYk7zFbN8qhTB RkINrTWFeBNRwG1otLBsvIthE0pG8jCe8Thc/uZNqGCy0XsBvFi6M65Hl8OZ8W+aSYHG2ZmqdaDR
bp2omsSDf74WUfdNfx1SJK4fchCa3Jd+RDlYjH7moQAL8BgKXj96F+j5W9hi5IcHnOc5POkzIlMV KCDtJESj8ZVuzt9NdKW3o4+nuITwdim3wtEQC7u6PJxd5WxNUVGYg7DjCU+Sqc9v9elIn4vc/IAM PBmj5QyzN4yXdZlTOw7stXQqtJKVimJ8m9HN0LzRR/rU6Jt93MPQVbE2fD3R9akKL/yw4KaiwF/Q ghcvgEYRCzhddf2tMZsrnCxeTFMm/HTz5h9vzon1564rkLO6QQRDB8GyPrgx9Slq1Kt3tfg92Bbb S8CWRKrFIOiXBHir1uIu8MRwTe6Dx9byuDxFmlwqjzvnhMoLLGIYRHWBpKIo8ki0tVNVa+OR6LTV dkuWiJw70kYaEn+QXMvZVt6jzDvecm6LpMsWioyrOTnnJOMGxui1OZnq18ZbVQbLE+phiXXol1+j 4TU2x77sRvXh5EraRXkVti6lgRWrlMgWGiHLAKFfWK7X6e2S7NdNP6546QZQ3qBZLnpz6nmQrGix lKBwEj3wn7TH8lsLnY8+yfYKxKd+TJO66AwqtHLIxYLyM9jylAnxnC8FE2l+s0JTwq0A0m8begKl YhdIVfjV9HA4OeckxhvZv6QTStoymR0+1AsKkpapkFpsskKjXDS4aFYyRPr4sZbOFQ96tjIa6f25 Ko5PB48P9tfOYSudv77+uP+bOFctedd/ejCIk1gpDwFCIWv9EQ29h1LrT1/Lht/YnR3QHOzjhVsU LvHo+JAzuZzfboccIMWxJpu4OkcytFNN1Q5lYciK1+T23WxbvbaTn0jqtkRl5Ui4jamnlkOjA9t3 4Py8AOj1pTGAv6HKjwR1qtCFqu0FMd4qIlfkI1bGNQ/PtmJaULzsY4fXu6I8Ex7r46FIIKCkDnBe cDNPhhFRe88BaXI3EORdnFJXEQayIemRSynHjCv0CuSHkAITjSt0cr+ez8O/5VxuHGpfyv6Vdtjx EQiefGvjJd3vtB9p3A5832IO1LwNLKLAh3s8o/fVJ1sP+u8FbKk8Sqw8P1lv6eC4xf836bRULW0t WS6BfMNvWi6q98lMTKMAvNvds6pAPIlEIKWBNevGBU0MGxHhml+EZhmLnhDH0rrVwBxjFDsali2H UDnXoXP4V0G9yv+kUr7yPA4AAA==
よく考えたらさぁ。 アメリカのほうってBフレッツ100Mみたいなの無いよね? PPPoEで100MB/sな回線の需要って日本以外にあるのかなぁ? だとするとdebianのベンチマークが8Mで上限なのも理解できる。 disable deflate とか指定しているのか激しく疑問だし。
>アメリカのほうってBフレッツ100Mみたいなの無いよね? >PPPoEで100MB/sな回線の需要って日本以外にあるのかなぁ? ないと思うなあ。DSLも8Mだの12Mだのサービスはないんじゃないかな? まあせっかくの100M FTTHでPPPoEなんてクソな技術を使ってる方もどうかとは思うが。
102 :
名無しさん@お腹いっぱい。 :02/12/11 04:50
でも、ホールセールスの場合ユーザ認証の問題があるから、 その部分の解決はどうするの?>101 といってみるテスト。
>>102 NTT地域会社のISP業務を許可する。
>>101 使ったこと無いんで PPPoE がどう糞なのか知らないんだけど、
dhcp の代替として使えるような技術ってどんなのがあるんですか?
dhcp じゃ認証は無いですし。
>使ったこと無いんで PPPoE がどう糞なのか知らないんだけど、 ガイシュツだがencapsulation処理のオーバーヘッド、実効帯域低下、 MTUにまつわるもろもろのトラブル、 常時接続回線なのにPPP的に切れてしまうことがあるなど、いろいろ頭の痛い問題が多い。 PPPが切れるというのはインタフェースが消えるということだから、 その後復活してもデーモンがbindしてくれないこともあるしね。 >dhcp の代替として使えるような技術ってどんなのがあるんですか? 残念ながら世の中PPPoEで行くことになったんで代替技術は開発されてない。 が、だからといってPPPoEを何の疑問も持たずに受け入れるのは ダイヤルアップ文化に毒されてしまってるみたいで個人的には抵抗がある。 光100M常時接続に固定アドレス8個なんて、一昔前からすれば夢のような環境なのに、 認証のためとはいえあいかわらず貧乏臭い間欠接続の技術、てのはどこかアンバランスで物悲しい。 まあ、所詮愚痴なんでこのくらいで勘弁してや。
>>106 MTUは同感。VLAN通る機械(つまり今どき売ってるほとんど)なら1546オクテット
いけるからPPPoEの中で1500オクテット流せるようにして欲しい。
後の問題点は専用箱を用意する事でかなり解決しません?
108 :
名無しさん@お腹いっぱい。 :02/12/12 20:28
>>105 >dhcp の代替として使えるような技術ってどんなのがあるんですか?
IP発効するだけなら、IPv6へ移行するとか。
109 :
名無しさん@お腹いっぱい。 :02/12/12 20:32
すまそ。 >その後復活してもデーモンがbindしてくれないこともあるしね。 mpd+ipfilterでNAT箱つくったが、mpdはpppのセッションが切れたら、 再接続しようとするんだけど、bindが失敗して、pppの再接続ができない みたい。 うまくいっている人いたら、教えて
>>109 > mpdはpppのセッションが切れたら、
> 再接続しようとするんだけど、bindが失敗して、pppの再接続ができない
> みたい。
セッション切れた時と接続しなおした時に, 某かのプロ
グラムを動作させる仕掛けが必要なのでは?
userland ppp見たく linkup/linkdown した時にスクリ
プト走らせる機能ってあるの?>識者
>>109 切れたこと無いから…
linkupしたときipf -yしてる?
112 :
名無しさん@お腹いっぱい。 :02/12/13 02:28
>>110 していないっす。 NAT箱の起動スクリプトの順番は、
1)mpdの起動(PPPoEでのプロバイダ接続とPPTPサーバの起動)
2)ipf -Fa -f /etc/ipf.rules
で起動している。マニュアルをざっと眺めたところ、mpdにはuserland ppp
のようにlinkup/downしたときに、ppp.linkup/linkdownのようなシェル
スクリプトを走らせることはできなさそう。でも、英語はあまり得意でない
からできるかもしれない。
引き続き、情報きぼーん
113 :
名無しさん@お腹いっぱい。 :02/12/13 02:35
あと、我のmpd.confとmpd.linkupは次のようになってるよ。 特に、mtuとmru以外はデフォルトと変化なし。 mpd.conf default: load din din: new -i ng0 din din set iface addrs 1.1.1.1 2.2.2.2 set iface route default set iface disable on-demand set iface idle 0 set iface mtu 1454 set bundle disable multilink set bundle authname xxxxxxxxxxxx set bundle password yyyyyyyyyyyy set link no acfcomp protocomp set link disable pap chap set link accept chap set ipcp yes vjcomp set link mtu 1454 set link mru 1454 set ipcp ranges 0.0.0.0/0 0.0.0.0/0 open iface mpd.links din: set link type pppoe set pppoe iface fxp0 set pppoe service "whatever"
114 :
名無しさん@お腹いっぱい。 :02/12/13 03:19
115 :
名無しさん@お腹いっぱい。 :02/12/13 04:41
>>114 サンクソ。
これでpppのセッションが切れたときでも、再接続できるようにできそう。
重ねて、あんがと
>>109 > mpd+ipfilterでNAT箱つくったが、
で、カーネルモードオンリーになって、速くなったかい?
ルータにしてるのがジャンクのノートでPCMICAのNIC一枚で運用してるので余り参考にはならないけど、 直にフレッツスクエア(Bフレファミリ)から落としたときは5.8M,ルータ介したときが2.9Mと丁度半分 その時のCPU stateをtopで見るとinterruptが90%以上,idleが数% 直: ETHER + PPPoE + IP + NAT ルータ経由: ETHER + PPPoE + IP + NAT + IP + ETHER となるがルータ経由の場合は丁度半分なのでNICの性能で頭打ちになってると推測できる。 mpd+ipfilterでNICの性能一杯までは出せるという事でファイナルアンサー?
>>114 あんがと。とりあえず、うまーいった。mpd.linkupというファイルを作って、
そこに、
ipf -y
ipnat -CF -f /etc/ipnat.rules
とした。これで、再接続時も、NATテーブルの更新とインターフェース
状態の同期をして、うまくいくようになった。
>>116 ipfilter+mpdでNAT箱完成。で、早速、www.fletsの速度測定をしたけど、
回線帯域か速度サイトのWebがボトルネックになっているのか、あんまり変わ
らなかった。userlean ppp+ipfwとほとんど変わらない。誤差の範囲ですた。
でも、idleは上昇していたので、負荷は少なくなって、うまーーー状態。
でも、ひとつ気になったことが・・・
mpdの問題発見した。 mpdはpppoeのマルチセッションに対応していない。 なので、mpdをインターネット、pppをフレッツスクエアにして PPPoEのマルチセッション接続にしたけど、mpdのpppoeの再接続が うまくいかなくないバグ?を発見した。原因は、pppがpppoe接続 をするときに、NICにorphanという名前?をつけていまうことが 原因ではないかとおもう。 ということで、98,99のpatchですが、こちらではうまくデコード できない(3回試したが、×)ので、誰か、そのまま、のっけてくらはい m(_o_)m
スマソ書きかけで送信しちまった。
>>109 98,99をコピペして
perl -e 'use MIME::Base64; print decode_base64(join("", <STDIN>));' < ファイル名 |gunzip
でデコード汁。
MIME::Base64がなけりゃportsかパケジで入れてくれ。
orphanは他に引き取り手の無いプロトコル(PPPoE)が渡されるhookなので正しい。 カーネルモジュール(ng_pppoe)は既にマルチセッションに対応してるので、98のパッチをあてて、 din: set link type pppoe set pppoe iface fxp0 set pppoe service "whatever" hoge: set link type pppoe set pppoe iface fxp0 set pppoe service "whatever" と同一インターフェースを指定すればおっけ
あぼーーん。デコードはできたけど、1箇所パッチがあたりましぇん。 @@ -318,6 +340,7 @@ の部分です。ちょっと、ソースが違っているみたです。また、よろしゅうお願い します。
スマソ 3.8のdiff取ってた H4sIAKjb/T0AA51WbXOiSBD+jL+i1y0TiOj6kphbvWSTMiShomipW5dcdoslMCglzFAMZC93f/7m BQma7CsfFJru6aeffqaHRqMBcRwT1HSbJAmWymKVwcRNoXMIrff9dqt/eAidVqtTqdfrG09lkSGw yCN0euxd/7DX73al09kZNI71HtSP9WM4O6sAHMAcIfjyZTiZ3s3Mq+tF8+sqoGmI9vf523cVqNTf esgPMAKYTqcTwx5/HC3MuTGfmxOrAm8D7IaZh6DKsjdX1R0Lw7Ntw0s/wy43cjDtow6H0z7q6u8F IJo6aeDCIwm8Ckx5/CRGWJ2unqiJfQKxVoH/GKTAZ6BeA1RX3JWTAEWUBgTbK0LW99aVfT2Z3IwM C+rQ/jxg8Qh7gV8BxSWYpjKRXB/BCajFsxY3TgP2P2CuGWYLsuSgALsym+dRFOUh8+9p8C8ivkrT JGO9wUtRuB3gILU9J3U0WWuvJ2o9buW1KoEPaowap7xoBG9O8nouJn9ZrExFSVCaJXggevCdgimO kwCnLH+paB02oEpGTc9XyIMFLVBt1GhVh4cMe41T7ERIKzP07gDGzhoBzRIELA1KfMdldxSyWAhE lPGG1xHwNx9jTZAk+yBM9+aldT6em3/n9HM2Oq2u3u5CvdNu6W3JB794ZEFjZEfrGKEEopiT0OBY hgniZGH0lZcCmDBRMRT1l++IUbyFZ46iuJk+xaigJ39mzFQFC0wrkiJrcmHYi7upoQ124kmWbDH8 bCpW4WwIw24sL2c3eGPT9FxbO0h4k2xjcW3MLGMhevMdMfBmWMs5696YLlXZU5cSdy1BxU660pkb T2Ndje0rwzJm5tAeshymoQvb+GZqGDMd9qK4BFPT4E9owd4eoCTBhMvVMG7N+ULjYgkpypXww+SN 307OhfX70DUoVF1XhEJHZKmOrmxjxiLU6n2NfgbXwfspuFJINQpCfilht3qN9oE3hkdyDCFey+3y mmgKr6LuQhMMWJowDkmiCiY1Tcu3RKejtztsS3SP9E5LjohCO3KNvCT+ILVWqG07x7buwgCvr8ui 2xjKiqt5heak4kamdWNPZ8aleavLYnlDQzYXPfTPz8nwko36IcEYuak6nl7IdZk/W6+AlBdWnlKi W2wRZUkY9b4ThN3Brsh+fumXEy9PANsJGttDb4HCENIVKo8S5pwmT/zPlan5rcPAJ49MJmLQRCii KFUDPvd1aBWUC4P2I9qKlgn3Qi+lJfL+bgbNFm8lkn55oVdYKp8CeQj/tUOE2SHJRMxu5PklQUjR pQl24ye1FCBlmTvpMD6/3eQREdtDg7tuRoZoH9/WElx5o28slmUMF7rYPt3eIT9fu38c6e1892x2 +PT6bv68xWXr+GEuKn/ex5s9mzUTRNnHDHI8lDTdyIOTk1LWy3NzBB+gynWDvCr0oeqGhLJbTRSk PLDxsR7wTxGHolLg+ZAdg0afK/s1YAly9z2QTrvQgAcJcADq7ocGTSkcaDlqobO8ubyFpc8IhenO ycK0/43hJwG4JIoc7EEtzMBPSASfmEI+VV8dfGpmhwQvtReMye5xAP8DxzZu7sMKAAA=
125 :
名無しさん@お腹いっぱい。 :02/12/17 13:13
126 :
名無しさん@お腹いっぱい。 :02/12/18 00:36
MSNメッセンジャーのファイル送信に対応したルーター作れませんか?
>>126 add allow tcp from any to WINDOWS_BOX 6891-6900 in via OIF
だけでいけてますよ。
128 :
名無しさん@お腹いっぱい。 :02/12/18 01:07
>>127 それだけなんですか?
複数のPCでメッセンジャーが立ち上がっている環境なんですが?
>>129 libaliasにMSN Messengerを使えるようにする拡張をすれば使えると思うよ。
alias_irc.cやalias_ftp.cを見てやってくれる勇者を希望。
>>126 MSMmは6891-6900のうちどれかでも開いてればセッション張れるらしいから、
WINDOWS_BOXがそう多くなければ
any to WIN_BOX01 6891
any to WIN_BOX02 6892
とかやればいけるかも。
メッセンジャーのファイル送信はUPnPには対応しておりません。
最近のだといけるのか。XP付属のだと無理みたいだけど。
>124さん、テストちょっと待っててください。急な仕事がはいって、来週 あたままでてんぱっています。テストしたら、結果報告します。 ところで、UPnPについて、以前探したとき、Linuxで対応するための デーモンを開発しているWebサイトがあった気がしたけど、今、さがすと ないですね。 どこいったんだろう。
>>137 /usr/ports/net/linuxigd
140 :
Bフレッツファミリー :02/12/29 21:48
NIC1枚挿しでBBルータつくるのと2枚挿しでつくるBBルータ。 メリットとデメリットを教えて下さい。
http://pc.2ch.net/test/read.cgi/unix/1039623473/ の512ですが、pppでNAT箱を作ってもパフォーマンスが悪いです。
>>113 の書き込みを参考にmpdを使ってみたのですが、以下のように表示されます。どこに問題があるのでしょうか。
[PPPoE] can't create iface node: Exec format error
[PPPoE] ppp node is "mpd202-PPPoE"
[PPPoE] using interface ng0
[PPPoE] the max MTU on type "pppoe" links is 1472
[PPPoE] the max MRU on type "pppoe" links is 1472
Usage: set ipcp ranges self/width peer/width
[PPPoE] IFACE: Open event
[PPPoE] IPCP: Open event
[PPPoE] IPCP: state change Initial --> Starting
[PPPoE] IPCP: LayerStart
[PPPoE:PPPoE] [PPPoE] bundle: OPEN event in state CLOSED
[PPPoE] opening link "PPPoE"...
[PPPoE] link: OPEN event
[PPPoE] LCP: Open event
[PPPoE] LCP: state change Initial --> Starting
[PPPoE] LCP: LayerStart
[PPPoE] device: OPEN event in state DOWN
[PPPoE] exec: /sbin/ifconfig vr0 up
[PPPoE] can't create pppoe peer to vr0:,orphans: File exists
[PPPoE] device is now in state OPENING
[PPPoE] device: DOWN event in state OPENING
[PPPoE] device is now in state DOWN
[PPPoE] link: DOWN event
[PPPoE] LCP: Down event
>>144 /usr/bin/pppでPPPoEを使うとnetgraphのhookをちゃんと掃除しないけど、
ngctlで消したりリブートしたりしてみた?
一番上の > can't create iface node: Exec format error ng_iface.koのロードに失敗してる。(未解決の名前がある) 中途半端にnetgraphのモジュールをカーネルにスタティックリンクしてると一発でロードできなかった気がする。 kldload netgraph kldload ng_iface で逝けたような気がする。 俺はnetgraph関連のモジュールは全部ローダブルモジュールにしちまってるが、これでも問題ない。 (netgraph関連のオプション全部外し、カーネル作り直す)
>>140 俺、一枚で運用してるけど、フレッツに関しては開通以来局側からPPPoE以外のパケットは
飛んで来てないからセキュリティに関しては問題ないと思われ。
性能的にはIN/OUTがほぼ同時に発生するので苦しい。
俺はPCカードスロットの空きが無いという理由で一枚な訳だけど、NICなんて安いんだから
2枚挿せるなら2枚挿せというのが、実際に運用してる上での結論。
>>145-146 ありがとうございます。ngctlで何をどうしたらいいのかわからなかったので、
rc.confからppp関連の設定をコメントアウトしてリブートしたところ、mpdで接続できました。
ただ、default gatewayがglobal addressに切り替わらないので、外に出られません。
ngctl vr0: で、クリアされるみたいですね。 route delete default; route add default X.X.X.X で、 外へ出られるようにして、ベンチマークを取ってみましたが、 ppp を使っていたときと比べてパフォーマンスは改善されませんでした。 nat箱使っても70Mbpsくらい出る人の環境ってどうなっているんだろう?
訂正 ngctl shutdown vr0:
151 :
名無しさん@お腹いっぱい。 :02/12/30 16:36
>>148 ifconfigとdmesgのCPUとかチップセットぐらいは貼り付けないと、どこが悪いのか解らない。
dmesgの抜粋です。EPIA-M6000を使っています。 CPU: VIA C3 Samuel 2 (599.72-MHz 686-class CPU) vr0: <VIA VT6102 Rhine II 10/100BaseTX> port 0xe400-0xe4ff mem 0xe7500000-0xe75000ff irq 11 at device 18.0 on pci0 vr0: Ethernet address: 00:40:63:c3:9b:1d miibus0: <MII bus> on vr0 ukphy0: <Generic IEEE 802.3u media interface> on miibus0 ukphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto fxp0: <Intel Pro 10/100B/100+ Ethernet> port 0xe800-0xe83f mem 0xe7400000-0xe74fffff,0xe7501000-0xe7501fff irq 10 at device 20.0 on pci0 fxp0: Ethernet address 00:20:e0:60:40:ff inphy0: <i82555 10/100 media interface> on miibus1 inphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto で、最後に module_register: module netgraph already exists! linker_file_sysinit "netgraph.ko" failed to register! 17 vr0: Using force reset command. って怒られる。 KERNCONFは以下の通りです。 options MSGBUF_SIZE=40960 options NETGRAPH options NETGRAPH_ETHER options NETGRAPH_PPPOE options NETGRAPH_SOCKET
ppp -ddial で接続した時の ifconfig -a です vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 ether **.**.**.**.**.** media: Ethernet autoselect (100baseTX <full-duplex>) status: active fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet 192.168.0.203 netmask 0xffffff00 broadcast 192.168.0.255 ether **:**.**.**.**.** media: Ethernet autoselect (100baseTX <full-duplex>) status: active lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384 inet 127.0.0.1 netmask 0xff000000 ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500 tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500 inet *.*.*.* --> *.*.*.* netmask 0xffffffff Opened by PID 344
mpdで接続した時の ifconfig -a の結果です。153との差分だけ書いてあります。 ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1454 inet *.*.*.* --> *.*.*.* netmask 0xffffffff で、、、ここまで書いておいて何ですが、 今 route get default をやってみたところ、ちゃんと default gateway が global addressで設定されてますた。 さっきは設定されていなかったのに・・・。
PPPoE するなら NetBSD カーネルに内蔵の PPPoE が高速で良いよ。 pppoectl(8) と ifconfig(8) で設定するだけでセッション張れる から取り扱いも簡単だし。default route と DNS, VPN その他は ifwatchd(8) が /etc/ppp/ip-up を叩いてくれるからそこで処理 できる。ルータ起動時に自動で PPPoE セッション張るなら /etc/ifconfig.pppoe0 を書けばいい。 スレ違いすまそ。
スロット1つしかないノートでも 2枚させるような便利なものはないのかな? このスレ読んで張り切ってうちのノートたち見たら 全部1スロットだった・・・・ ドラえもん助けて!
IP2個割り当ててやればいけるんじゃない?
>>156 USBは使えんの?
FreeBSDのusb etherって、あんまり安定してないから
できれば使いたくは無い、ってのはあるけど。
>>157 Yahooなんで、1枚だとなんか危険だと読んだ
>>158 USBか!そっか!
探してみる
1つはカードで1つはUSBで、なんてことも出来るのかな
>>159 > 1つはカードで1つはUSBで、なんてことも出来るのかな
できる。
>>160 やった!
道が開けたよ
うちのボロ・・・いや、役目を終えたパソコンたちが
復活できます。
今年はツイてる!
162 :
名無しさん@お腹いっぱい。 :03/01/02 22:20
PCIバスの無いマシンで仕方なくusb使ってルーターにしているけど。 そんな腐った用途で使っている人が居ないのか、10日ぐらいするとバグってaueからパケットが帰ってこなくなると。 シリアル繋いでリブートさせないと復活しなくなる。
漏れも所有してるノートパソコンは全部1スロットでした。 USBもついてないし、どうしよう!
164 :
名無しさん@お腹いっぱい。 :03/01/03 14:51
>>162 漏れも、PCカード(ed1)とUSB(aue0)で運用してる。
立ち上げっぱなしじゃないから、あんまり問題は起こってないんだけどね。
ちなみに、aue0をADSLモデムに繋いでる
>>162 3comだったと思うけど、1スロットで2枚入るきわものを見たことある。
166 :
名無しさん@お腹いっぱい。 :03/01/03 16:49
1スロットに2枚! 製品名などご存知の方いませんか?
元がノートPCの話題だからPCカードだと思ってたが。 うちもfxp二枚挿しだからこういうのは惹かれるなぁ
PCIのはみつかるのですが、PCカードスロットがみつかりません。
ノートなら内蔵無線と PC カードの有線で、って手はあるな。
なにぶん古いノートPCなので内蔵無線はついてない・・・・
正月休みになったので、124さんのパッチを当てて、フレッツスクエアと プロバイダのマルチセッション接続を試しました。 1週間連続稼動しましたが、PPPoEの再接続、マルチセッションも問題なく、 できて、激ウマーーーーーーーーーー状態です。 フレッツスクエアの速度測定をしたところ、 ppp: 50-60Mbps mpd: 60-70Mbps が出るようになり、idle値もmpdの方がよかったです。あんがとさん>124さん ところで、124さんのパッチをもらう前にmpdの作者に問い合わせたら、「仕様 なので、がまんしてね」うんぬんメールをもらいました。このメールをsendprし てくれると、幸せになれる人が増えるんですが、どうでしょうか?
ウチはカニの二枚差しですが何か?
そんじゃ、私の方から、「某掲示板でもらったパッチ」ということで、 mpdの作者にパッチを送っておきますね。 許可、あんがと > 124さん
>>167 俺が見たのはPCカード(CardBUSかPCMCIAかは憶えてない)。
型番も憶えてない… ベンダーも非常にあいまい… 場所:秋葉のどっか…
ここ1年以内…(だったような)
役に立たなくてスマソ。
177 :
名無しさん@お腹いっぱい。 :03/01/04 20:18
ipfとIDSと連係させて問題のあるIPアドレスからの アクセスを一定時間だけ制限したいと思っています。 ipfのポリシーを作り直して、flushしてloadする以外 の方法は無いのでしょうか。 Linuxのiptablesだと、ポリシーの途中にInsert/Delete が出来るのでとても簡単なのですが。
>>177 @<数字> で好きな場所にルール追加できるけど、そういうことじゃない?
179 :
名無しさん@お腹いっぱい。 :03/01/04 22:05
>>177 おお!それだ!ちょっと調べてみます。
ありがとう。
>>177 deleteは
echo 'ルール'|ipf -r -f -
だけど、ipfにバグあって消せないのがある。
>>180 再現方法はありますか? send-prずみですか?
再現方法: % echo 'pass in quick on ng4' |ipf -f - % ipfstat -i |grep ng4 pass in quick on ng4 from any to any % ipfstat -i |grep ng4|./ipf -r -f - <=これ 1:ioctl(delete rule): No such process % echo 'pass in quick on ng4' |ipf -f - <=これなら消せる send-pr: してない パッチ: LS0tIHBhcnNlLmMub3JpZwlTdW4gU2VwICAxIDAxOjI2OjMwIDIwMDIKKysrIHBhcnNlLmMJVGh1 IERlYyAxOSAwMjoyMjozMyAyMDAyCkBAIC0zMDUsNyArMzA1LDYgQEAKIAkJCQkJbGluZW51bSwg InJldHVybi1yc3QiKTsKIAkJCQlyZXR1cm4gTlVMTDsKIAkJCX0KLQkJCXJldHVybiAmZmlsOwog CQl9CiAKIAkJaWYgKCpjcHApIHsKQEAgLTM1OCw2ICszNTcsOCBAQAogCQkJY3BwKys7CiAJCX0g ZWxzZQogCQkJc3RyY3B5KGZpbC5mcl9pZm5hbWVzWzJdLCAiKiIpOworCQlpZiAoISpjcHApCisJ CSAgcmV0dXJuICZmaWw7CiAJfQogCWlmICgqY3BwICYmICFzdHJjYXNlY21wKCpjcHAsICJ0b3Mi KSkgewogCQlpZiAoISorK2NwcCkgewo=
mpdはstdinから読めなくなると stdoutとstderrの両方を閉じちゃう ので、daemontoolsでsuperviseするのに困りますね。
>>183 うん、そこらへんの仕組みがしょぼい。
-cでコンソールポート開けると0.0.0.0でlistenするから気をつけよう。
パスワードかけててもコンソールにログ出すようにしていると、認証前でもログが見える。
>>124 さん
mpdのパッチ、作者に送っておきました。好意的な返事を受けたたので、
次のバージョンあたりで統合されるかと思い汁。
作者への返事
Thanks! I'll see about incorporating it into mpd source.
Cheers,
-Archie
これで、みんな幸せになれそう汁。
186 :
名無しさん@お腹いっぱい。 :03/01/08 11:37
PPPoE ed4:<->FreeBSD ed3:<->HUB - Windows 2000,Windows98 ... と、接続しています。 mpdを実行すると、ちゃんと接続されているようです。 FreeBSDからは #telnet www.google.com 80 GET / HTTP/1.0 等とやるとうまく接続できるのですが、 Windows側からgoogleには接続できません。 原因わかりませんか?
187 :
>>186 追加 :03/01/08 11:45
mpd.conf PPPoE: new -i ng0 PPPoE PPPoE set iface addrs 1.1.1.1 2.2.2.2 set iface route default set iface disable on-demand set iface idle 0 set bundle disable multilink set bundle authname xxxxxxxxxxxxx set bundle password xxxxxxxxxxxx set link no acfcomp protocomp set link disable pap chap set link accept chap set link mtu 1454 set link mru 1454 set ipcp yes vjcomp set ipcp ranges 0.0.0.0/0 0.0.0.0/0 open iface mpd.links PPPoE: set link type pppoe set pppoe iface ed4 set pppoe service "whatever"
188 :
>>186追加 :03/01/08 11:46
mpdで繋いだときのifconfig -a lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500 ed3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet 192.168.1.64 netmask 0xffffff00 broadcast 192.168.1.255 inet6 fe80::240:26ff:fe3e:ffcf%ed3 prefixlen 64 scopeid 0x2 ether 00:40:26:3e:ff:cf ed4: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet6 fe80::240:26ff:fe38:d7ab%ed4 prefixlen 64 scopeid 0x3 ether 00:40:26:38:d7:ab lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet 127.0.0.1 netmask 0xff000000 ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500 sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552 faith0: flags=8002<BROADCAST,MULTICAST> mtu 1500 tun0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500 ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1454 inet 219.160.207.xxx --> 219.160.0.xxx netmask 0xffffffff inet6 fe80::240:26ff:fe3e:ffcf%ng0 prefixlen 64 scopeid 0x9
略) [PPPoE] IFACE: Up event [PPPoE] exec: /sbin/ifconfig ng0 219.160.211.206 219.160.0.228 netmask 0xffffffff -link0 [PPPoE] exec: /sbin/route add 0.0.0.0 219.160.0.228 [PPPoE] IFACE: Up event
>>186 sysctl net.inet.ip.forwarding=1
した?
# sysctl net.inet.ip.forwarding=1 net.inet.ip.forwarding: 1 -> 1 ところで、カーネルで option IPFILTER 設定して IPNATしないと いけないの?
>>186 KLMで逝ける。ところでNATの設定はちゃんとやってるかい。
can't create pppoe peer to ed4;orphans: No such file or directory こんなエラーが出て接続できません。 ed4はPPPoEモデムに繋がっています。 でも、 #ppp ppp>dial default Ppp> PPp> PPP> PPP>close PPp> Ppp> ppp>quit を実行した後に #ngctl shutdown ed4: を実行し #mpd を起動すると接続できます。 解決方法わかりませんか?
194 :
名無しさん@お腹いっぱい。 :03/01/09 22:38
pppとmpdを併用する場合、124さんのパッチを当てないとできません。
>>193 # kldload ng_ether
# kldload ng_pppoe
197 :
名無しさん@お腹いっぱい。 :03/01/11 22:54
家に B-Flet's の100を引いたんで、ルータをあげてみたんですが、 OS: FreeBSD-4-Stable + kernel PPPoE マシン: Libretto110CT (MMX-233MHz + RAM 64MB) NIC: 3com の 10/100 の PC カードタイプ、Cardbus じゃないやつ (家じゃないんで型番不明、スマソ) 回線: Interlink(Zoot) on B-Flet's ニューファミリー これで、スループットがせいぜい10〜15Mbpsくらいなんだけど、 何が一番ボトルネックなんでしょう? マシン or NIC だったら、どれくらいのスペックなら 光の100Mを生かせるか、ご教示キボンヌ あるいは B-Flet's ニューファミリー + FreeBSD-4-Stable だけが前提の場合の推奨スペックとかでもいいっす。
>>197 > ルータをあげてみたんですが
意味不明
とりあえずPCカードがネックだろ。 CardBusじゃない100M Etherのカードはたいして速度は出ない。 10Mよりは速い、くらい。 もっとも、その上を狙うにはCPUも苦しいし、ISPもネックだろうけど(w
200 :
名無しさん@お腹いっぱい。 :03/01/12 11:54
kernel PPPoEってppp.confで設定したってこと? pppのpPPPoEはusermodeだよ。 過去ログ読もう。
201 :
名無しさん@お腹いっぱい。 :03/01/12 14:15
>> 197 優しくねぇなぁ もっと理解してやれ。
そもそもFreeBSDで昔から、pppd じゃなくて、ユーザランド ppp 推奨なのはなんで? pppd なんてローカルパッチ多すぎで、アップデートできなくなっちゃってるし
>>197 > NIC: 3com の 10/100 の PC カードタイプ、Cardbus じゃないやつ
> これで、スループットがせいぜい10〜15Mbpsくらいなんだけど、
> 何が一番ボトルネックなんでしょう?
外出だけどNIC
この前 Thikpad 1157(Celeron 500MHz + RAM 128M + 12月中ごろの current)
で実験した結果
1. ep ドライバの場合 net.inet.tcp.recvspace をうまく調整してやれば
100base の LAN で 20Mbps から 30Mbps
2. Corega のカニつかった cardbus タイプの奴で 50Mbps 程度がせいいっぱい
うちに帰らんとカードの型番がわかんないっす
>>202 Configuring FreeBSD's PPPoE was easy with its complete Handbook.
Possibilities to debug and log connections were good.
cf.
http://derbian.org/pppoe/
過去にスピードが出ねーーって悩んだ者です。 BR1500Hでportを振って回避していましたが、 これだとsshがたまーに反応しなくなるので、 再度NAT箱でpppを立ち上げてみました。 Windows側のmtuを1472まで下げることでスピードの問題は解消されますた。
>>204 pppd だってドキュメント整備すれば同じことだよね?
というか、Linux の豊富なドキュメントがそのまま適用できるし。
log についてはよく知らないけど。pppd はシスログだったけかな?
>>206 Linuxの糞なドキュメントなんて、百害あって一利なし
>>207 君は何も知らないんだから、出てこなくいい。
210 :
名無しさん@お腹いっぱい。 :03/01/14 10:37
211 :
名無しさん@お腹いっぱい。 :03/01/14 13:28
初心者はそうしてくれたほうがネットが混まなくてありがたいよ。
212 :
名無しさん@お腹いっぱい。 :03/01/15 09:33
>>210 カーネルの再構築くらいしか知らない漏れでも
出来たのに・・・
213 :
名無しさん@お腹いっぱい。 :03/01/15 11:53
age
(^^)
nat箱にapacheを入れてみたところ、外からは1400バイトくらいのファイルしか落とせない状況です。
同様に外からsshで重い処理( ls -R /usr/src とか)をすると、出力が止まってしまいます。
nat箱にぶら下がっているWindozeでは
>>205 に書いたように問題は起こっていません。
どこを見直すべきでしょうか。
216 :
名無しさん@Emacs :03/01/16 01:07
んー。FreeBSD 3.5-STABLEでPPPoE + Nat + ipfw箱つくったけど NTT東日本とか、eBankとか、特定のウェブサイトが見えんばい。 こまったばい。
>>216 pppoeで出てきた諸々の問題に対応したのは3.5よりは後だと思うか
ら、アップデートした方が何かといいんじゃないかな。
220 :
名無しさん@Emacs :03/01/16 10:05
>>218 ,219
ありがとう!!
具具って見たらば、218の言うとーりらしい。
んで、219の言うようにFreeBSD-4.4以降にならないと
mssfixupがないようだす。
おうちには-CURRENTと3-STABLEしかないので
-CURRENTでPPPoE箱を作り直します。
>>218 enable tcpmssfix を指定していますが、これだけでは足りませんか?
あと疑問に思ったのですが、ppp -ddial した後に ifconfig で tun0の mtu を
表示すると、ppp.conf で指定したものと異なるのですが(1500になっちゃう)、これで
問題ないでしょうか。
>>221 足らん。mtuやmruのサイズについての設定はしたか?
問題ある。ちゃんと設定したサイズになるはず。
*ppp.conf 抜粋 default: set device PPPoE:fxp0 set log Phase Chat LCP IPCP CCP tun command set speed sync set mru 1492 set mtu 1492 accept CHAP accept PAP enable tcpmssfix add default HISADDR nat enable no *ifconfig 抜粋 ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500 tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500 ならない・・。
>>223 set MRU max 1492
set MTU max 1492
では?
>>224 答える前にppp(8)読め。
>>223 パージングエラー起こしてるんじゃ?
/var/log/ppp.logを見てみな。
tcpmssfixupのスペルがまちがっとるぞ。
で、このオプションはデフォルトでenableだから何も書く必要がない。
>>224-225 お返事ありがとうございます。
> set MRU max 1492
> set MTU max 1492
としても結果はかわりません。
ログを見たところ、パージングエラーは出力されていませんでした。
ただ、警告がひとつだけ表示されていました。
> Warning: deflink: Reducing configured MRU from 1500 to 1492
>>226 enable tcpmssfixを外してみる。
あるいは ppp.linkupに default: bg ifconfig INTERFACE mtu 1492 を書いてみる。
>>227 外してみる、というのは、disable を指定するということでしょうか?
色々漁ったところ、bg ではなく !bg と指定しているのを見かけました。
この違いって何でしょうか。 ppp(8) を読んでも違いがわかりませんでした。
で、仰るように ppp.linkup を書いたところ、
キター!!
外から sshで繋いでも落ちなくなりました。
ありがとうございました!
# なんで tun0 のmtuが変更されなかったんだろう。
NAT箱にぶら下がっているWin2KのMTUを1500に戻したところ、
Win2kの速度低下は見られませんでした。
ただ、
ttp://www.oak.dti.ne.jp/%7Eflash/speedeye.html ここのベンチマークが、DTI以外はとても不安定な結果(始まらない・終わらない)
を返すのが不安です。
# rtprio X ppp -ddial XXX
とかやっていたのですが、これだと ppp.link で tun0のmtuを書き換えても
反映されないことがわかりました。
>>230 pppを-ddialなしで起動して、show versionとshow lcpの結果みせて
>>231 こんな状態です
ppp ON XXX> show version
PPP Version 3.1 - Jan 11 2003
ppp ON XXX> show lcp
deflink: LCP [Initial]
his side: MRU 1500, ACCMAP ffffffff, PROTOCOMP off, ACFCOMP off,
MAGIC 00000000, MRRU 0, SHORTSEQ off, REJECT 0000
my side: MRU 1500, ACCMAP 00000000, PROTOCOMP on, ACFCOMP on,
MAGIC bd536912, MRRU 0, SHORTSEQ off, REJECT 0000
Defaults: MRU = 1492 (max 2048), MTU = 1492 (max 2048), ACCMAP = 00000000
LQR period = 30s, Open Mode = active (delay 1s)
FSM retry = 3s, max 5 Config REQs, 5 Term REQs
Ident:
Negotiation:
ACFCOMP = enabled & accepted
CHAP = disabled & accepted
CHAP80 = disabled & accepted
LANMan = disabled & denied
CHAP81 = disabled & accepted
LQR = disabled & accepted
PAP = disabled & accepted
PROTOCOMP = enabled & accepted
関係ない質問で恐縮なのですが、 ppp -ddial で既に tun0 が使用中の時に、 うっかり ppp -ddial を再度実行すると、 tun1 が ifconfig で表示されちゃいます。 この時、 tun1 を ifconfig で表示されないようにするには どうしたら良いのでしょうか? # その都度 rebootしています、、、。
>>229 |
>>227 | 外してみる、というのは、disable を指定するということでしょうか?
どれかの設定が、一度1492に自動的に設定されたMTUを1500に戻していぬ
んじゃないかと思ったので。
MTU以外でこういう訳分かんない状態になったんだけど、ppp.confに書く設定が
分かんなくて、結局ppp.link{up,down}でシェルコマンドを走らせるのが楽なんで。
時間があったら追跡してここで教えてちょーよ。
| 色々漁ったところ、bg ではなく !bg と指定しているのを見かけました。
| この違いって何でしょうか。 ppp(8) を読んでも違いがわかりませんでした。
ソースによると、
"bg"と"!bg"は同じ意味で、シェルコマンドを裏で起動するやつで、
"shell"と"! "も同じ意味で、コマンドの終了を待つやつ。
今の場合は "shell"のほうがよかったかも。
>>233 ifconfig tun1 destroy
嘘かも。
>>234 細かい点、有り難う御座います。結局のだんだん訳が分からなくなって、
ppp.linkup で !bg sh /etfc/ppp/linkup.sh とか書いて、sh側で
dyndns のドメイン更新とかやってます。
>>235 駄目ですた。man ifconfig でそれらしいオプションが無いし、tun0 のPIDを
kill しても、表示は残っちゃいます。
>>229 そんなこと気にしてリブートするっつーのが理解不能。
>>236 ちゃんと試したのか?
最近のtunは勝手にデバイスが生える仕様(cloned device)
で,生成はcreate(plumb),消去はdestroy(unplumb)
つまり235の通りなのだが。
てゆーか「tun0 のPIDをkillしても」って言うのが意味不明だな。
気にしてるのはtun1じゃないのか?
ちなみにOSのバージョンは何よ?
>>238 > てゆーか「tun0 のPIDをkillしても」って言うのが意味不明だな。
失礼しました、tun1 の間違いです。
tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
Opened by PID 4005 ←これ
> ちゃんと試したのか?
#ifconfig tun1 destroy
ifconfig: SIOCIFDESTROY: Invalid argument
と表示されて削除出来ません。
> ちなみにOSのバージョンは何よ?
#uname -sr
FreeBSD 4.7-STABLE
です。
常にppp -unit0で起動する癖をつける。
>>239 スマソ。
FreeBSDのtun(4)はcloning deviceのくせにSIOCIFCREATEもSIOCIFDESTROYも
受け付けないようだ。
つまりはdevfsのためということか。
NetBSD由来だから普通に出来るだろうと思ってたよ。
gif(4)とかそうだし。
普通にPPPoEして40Mbps以上でてるがな、Bフレッツで。もちろんIPFW+natdでルータになってるし・・・
>>242 CPUに余裕があればスループットは出るだろう。
latencyは落ちるだろうがブロバンテストの項目にはないからそれでもいいかもな。(藁
244 :
arisa :03/01/23 13:43
245 :
名無しさん@お腹いっぱい。 :03/01/23 18:30
mpd使わずに72M以上でます? あとkernelとuser間にメモリコピーが発生するから、CPUというよりもメモリ帯域で律速されるのかも
age
247 :
名無しさん@お腹いっぱい。 :03/01/31 00:33
{PPPoE,pptp}クライアントをmpdに切り換えてからしばらくして 気がついたことがあります。これはopenの時の処理が半端でなく CPUをひとり占めしますね。mpg321で聴いていた曲が中断します。 ……PenII 266MHzだからかな。
newpcmって天地開闢以来まともに使えたためしがないのですが、 /sys/dev/sound/pcm/channel.cのPRIBIOをPI_AVあたりに猛烈に上げてやり、かつ 自分の使っているドライバのなんとか_DEFAULT_BUFSZが小さければ微妙に増やしてやる という方法でほぼ音飛びを撲滅しました。それでもmadplayのclip報告が0にならない ので微妙に飛んでいるのでしょうけど、露骨にテンポが狂って脳波に変調をきたすことは 避けられると思います。うちの場合は割り込みを持っていくのがディスクで、CD-Rを 灼いた後にISO imageなどをrmると30秒後に時間の流れが変わったのかと思うくらい もの凄いことになっていました。たぶんgeom(4)を筆頭にata(4)とかsyncer(4)あたりが アレコレしてるのだと思うのですが、priority方面から攻めて現状なんとかなったので 後のことは任せた。ゴフっ
ゲフッ
253 :
名無しさん@お腹いっぱい。 :03/02/09 11:41
フレッツADSLモアの場合モデムを設定してそのまま接続できるようだが、 FreeBSDなルータにしてる場合、どうしたらいい? pppで接続が不要な感じもするのだが。
>>253 どの器械が何をやっているのかをもう一回良く考えてから来たまえ。
>>253 管理用に192.168.1.1が振ってある&DHCPで192.168.1.0/24を配ってるというだけで、
モデムとしての使い方は従来のブリッジモデムと変わらんよ。
当然PPPoEは必要。
>>253 ,255
俺も最初はあれっ、と思った。
まぎらわしいけど、まあインテリジェントハブみたいなもんかなと。
ところでこれのtelnetインタフェースのリファレンス、
どっかにないですか?
257 :
名無しさん@お腹いっぱい。 :03/02/16 14:19
DMZ用、LAN側用、WAN用の3つのNICを持ったルータをつくろうと考えています。 やはり常時つけておかなければいけないので、省電力で静かなのを希望です。 Edenは内蔵LANとPCIスロット1枚分のNICしか挿せないので、除外するとして(デュアルポートのNICやUSB Etherを使うしかない)、他にルータに適しているものはないでしょうか? 内蔵LAN+PCI 2スロット又は内蔵LAN非搭載+PCI 3スロットのマザーボードに発熱の少ないCPUを載せ、オンボードVGAに静音電源といった感じでしょうか。 皆さんはどんな構成でルータを稼動させていますか?
260 :
名無しさん@お腹いっぱい。 :03/02/16 16:35
>>258 ライザーカードという物があるのは知りませんでした。
しかし、これはPCIスロットを増設するのではなく、挿す向きを変えたりする物ではないのでしょうか?
3スロットのライザーカードはコネクタが3つありますし・・・・・
EdenはPCIスロット自体が1つしかないので、この製品では解決できなさそうです。
>>257 > DMZ用、LAN側用、WAN用の3つのNICを持ったルータをつくろうと考えています。
向うのスレももう一回見てきてくれ。
新しいネタ入れといたよ。
>>261 EDENスレでも話題になっていたけど、ライザーによるPCIスロットの増設は可能。
>>264 素直に Eden 専用のライザカード(PCIx2)使いなさいということでしょ。
箱をどうするのかという問題はあるけど。
OSどれいれたらいいでしょうか? 3.5? 4.7? 5.0?
4-stableじゃない?
>>268 さんくす
メイン(勉強用)には4.7なんだけど
みんな4シリーズつかってるのかな
ふと疑問に思った。
>>265 情報ありがとうございます。
Googleで使用している人がいないか調べてみたのですが、1つもHITしませんでした。
お店で新品を買うよりも相当安く買えるので、迷っています。
>>266 Eden専用のライザーカードはEPIA-E533についてくる物ですよね。
私はEPIA-ME600の購入を検討しているのですが、こちらにはついてこないようなので・・・・・
箱は迷いまくりです。ACアダプタにでいれば言う事無しだけど、NICを2枚つけるとつらいのかなぁ。
271 :
名無しさん@Emacs :03/02/16 23:42
3.xはPPPoEつかいもんにならないので止めとけ.4.7が安心.
3.5-STABLEではまって
>>216 でしつもんして
>>218-219 で教えてもらった.
ルータに使うNICでよさげなのってどのへんでしょうか? ロープロに対応してる奴きぼん
274 :
名無しさん@お腹いっぱい。 :03/02/17 15:01
FletsADSLからYahoo!BBに乗り換えなんですが, ppp.confの書き直しだけでいいの?
Yahoo!BB ってDHCPじゃなかったっけ。 ppp.confの設定いらんような。
277 :
名無しさん@お腹いっぱい。 :03/02/17 16:57
ここって、FreeBSD限定ですか。 もし良ければ、OpenBSDでのBBルータを作る為の情報も交換していきましょうよ。 この為に新しいスレッド建てるのも何だし、、、
278 :
名無しさん@お腹いっぱい。 :03/02/17 17:20
>>274 Yahoo!BBってモデム自体が接続してるはずだから、
rc.confでNICの設定と、NAT使うならnatdを設定をしておいたらいいんじゃないの?
皆さん.サンクス。なるほど、Yahoo!BBのほうがらくちんちゅーことですか。 PPPoE使わなくてすむならそれはうれしい。んで、クライアント側の FreeBSD nat boxはYBBのモデムからはIPをDHCPで取得できるんですね。 ありがとございました。
>>280 Yahoo!BB適当に繋ぐならifconfig_ifname="HDCP"でおてがるにできるんだけど。
経験的には、(かなり改善されたと聞くが)HUBでおとなりにつながってるつもりで
セキュリティに気を使うのと、BB!Phone用に帯域残す配慮をしたほうが良い。
!
>>281 :s/HDCP/DHCP/
281ではないが、281の補足
HUBでお隣につながるという感覚でいないといけない例はこんな感じ。
Sambaを使う場合に使用可能な範囲を限定したりFirewallを使ったりしないと
他のYahoo!BBユーザーにお主の破廉恥なファイルを見られて恥ずかしい思いを
する。
また、BB!PhoneはTCP/IPで通信を行うのでADSLの帯域を使い切るとちゃんと
通信ができない。だから、Dummynetなんかを使って帯域制限せよ。
まあ、ALTqでもいいんだが、FreeBSDのcoreには含まれていないので。
蛇足スマソ。
結局光では NetBSD の方がイイと言うことでつか?しょぼんぬ
rc.confに network_interfaces="fxp0 fxp1" ifconfig_fxp0="DHCP" ifconfig_fxp1="inet 192.168.0.1 netmask 255.255.255.0" firewall_enable="YES" firewall_type="open" gateway_enable="YES" natd_enable="YES" natd_interface="fxp0" natd_flags="" と書いてとりあえず作ってみましたが繋がりません。 何故かMSNMessengerとかだけは通るようです。なぜでしょうか うー プロバイダはZAQです。
ZAQということはCATVでDHCPということでいいのかな。 それはそうと、何がどうつながらんのかさっぱりわからんぞ。 fxp0にはちゃんとアドレスはついたのか? そのFreeBSDマシンから外へはつながるのか?
>>284 子機で名前が解決できてないんだね。
MSNm は名前が解決できなくても助けを呼べるw
子機の設定がわからないけど、/var/db/dhclient.leases
に書いてあるDNSサーバを設定してやればつながるはず。
漏れは面倒なんでそれでおわりだけど、
DHCPd立てたり、DNSキャッシュサーバ立てたほうがいいのかな?
ただ、ZAQはメールサーバの指定が変だったりしたような。
知り合いが市販ルータ使ってもメンバーズページにつながらないとか云ってた気が。
子機はWinXPで
IPアドレス192.168.0.2
サブネットマスク255.255.255.0
デフォルトゲートウェイ192.168.0.1
にしました。
>>285 はい。そうです。ケブールでDHCPによる自動割当てです
あ、今頃286さんの言ってる意味がわかった DHCPdやDNSキャッシュサーバー立てないと名前解決できないのは ZAQ固有の問題なんでしょうか? あープロバイダ変えたい
>>288 いいえ。
市販のルーターでもDHCP ServerやDNS Serverの設定はあるはずだけれど。
あえて言うならば、手動で設定すればDHCP Serverの設定もDNS Serverの設定も
不要であるけれど、市販のルーターっぽく使いたいときはisc-dhcpd入れたり
namedを動かしたりしとき。
もちろん、isc-dhcpdではDNS Serverとして192.168.0.1を指定せんといかんのは
言うまでも無いが。
ifconfig -a netstat -nr しる!
みなさま、たびたびありがとうございます。 今日が FletsADSL -> Yahoo!BB切り替えなので、ばたばたと Kernel作りなおしたり,rc.firewall書き直したりしてます。 んで 教えていただいたdummynetですが ipfw add 1100 pipe 1 tcp from any to 192.168.1.10/24 ipfw pipe 1 config bw 4Mbit/s ぐらいにしとけばいいでしょうか? 速度が分からんと、絞りようがないですよね。
ということでYahoo!BBに無事きり変わったのですが,ipfwの設定はこんなもんでいいのでしょうか? ifconfig_de0="DHCP"しています。 # ipfw list 00050 divert 8668 ip from any to any via de0 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 01000 pipe 100 tcp from any to 192.168.1.0/24 01100 allow tcp from any to any established 01200 deny tcp from any to any 22 in recv de0 01300 deny udp from any to any 22 in recv de0 02100 deny tcp from any to any 137-139 in recv de0 02200 deny udp from any to any 137-139 in recv de0 65000 allow ip from any to any
>>292 流量制限は、こんな感じでやってる。
登り下りの速さ違うので、それなりにするのが良いでしょう。
経験的には実力値から100kbpsくらい空けてればOKのようです。
これやるまえは、BB!Phone切れまくりでした。
${fwcmd} 16010 add pipe 1 ip from any to any out via ${natd_interface}
${fwcmd} 16020 add pipe 2 ip from any to any in via ${natd_interface}
${fwcmd} pipe 1 config bw 500Kbit/s
${fwcmd} pipe 2 config bw 800Kbit/s
あとはYBB側からのローカルアドレスパケットをシャットアウトしたり、
偽DHCPサーバを排除しておくと安心かも。
(YBB!側で対策したそうだが...?)
他人のブロードバンドルータのパケットが漏れまくりだったころからのユーザなので、
そのあたりの設定してからdhclientを起動するlocalなrc.firewallにしてます...。
なので、該当インタフェースはrc.confでのDHCP定義からは除外してます。
ほんとにほんとにありがとー。100Kbpsというのはとても参考になったす。 すべて禁止にしてルールをいっぱい書いたです。
>>294 余談だけれど、
ipfwを使うことで性能低下を感じたらIPFW2を試してみそ。
IPFW2を使った場合、ルールに対しての負荷がO(log x)だった記憶がある。
でも、IPFW2は開発途上のようなのでマニュアルにある設定の一部は正しく反映されないといううわさがある。
>>29 /etc/make.confに
IPFW2=true
って追加してmake worldとか。
これでIPFW2になっているのかな?
options IPFW2 make kernelも必要 どっかのMakefileもいじらないと駄目かも。
>>296 >>297 さんの言う設定も必要。
でも、Makefileは特にいじる必要は無い。
まとめると、
1. /sys/i386/conf/YOUR_CONFにoptions IPFW2を追加。
2. make kernel KERNCONF=YOUR_CONF
3. /etc/make.confにIPFW2=trueを追加。
4. make world
4'. 4の代わりにcd /usr/src/sbin/ipfw && make depend all install clean でも可
ちなみに、ユーザーランドのIPFWのバージョンとkernelのIPFWのバージョンがずれているとエラーが出るか設定が無視されるかするので注意。
どちらにしろ締め出しを食らうので。(でも、ネットワーク越しにこういう設定するアフォはもれだけか(゜д゜)
半分思い出した。どっかのファイルいじらないと options IPFW2 でipfilter(IPFW2)がカーネルにスタティックリンクされてしまう。
>>300 書き間違いかもしれないけれど、なんか基本的なところを間違っている気が...
ipfw != ipfilterなんだけれど。
それで、ipfw2はipfwのversion 2ね。
ちなみに上記で紹介された方法ではkldとしてではなくkernelの構成要素としてipfw2が組み込まれることになる。
そうそう、上記の指定をするときにはつぎの設定も忘れずに。
options IPFIREWALL
あと、お好みでこんなのも。
options IPDIVERT
options IPFIREWALL_VERBOSE
options DUMMYNET
IPFW2はipfwのバージョンだけじゃなく、カーネルに組み込むファイルの識別にも使われる。と書きたかった。 かといって、IPFW2はバージョンを識別するのにも使用されるので、これを指定しないと、他のカーネルオブジェクトと矛盾が生じる。 んだからsys/conf/filesからIPFW2をコメントアウトしてた。
おぼえがき より >src/contrib/ipfilter で MFC、3.4.31 へ。 mssclaimfixup絡みでちょっと嬉しい
304 :
名無しさん@お腹いっぱい。 :03/03/04 12:32
5.xはipfw2が標準?
さんくす。いやー、マシーンをRELENG_5_0に置き換えたらdmesgに ipfw2 initialized, divert enabled, rule-based forwarding enabled, default to accept, logging unlimited なんてでたので,きいてみたくなったす。
307 :
名無しさん@お腹いっぱい。 :03/03/04 16:58
>>307 EDENのC3 933MHzだけど、
ppp+ipfでフレッツスクウェアで60Mくらいなら出てるよ。
これで満足するかどうか分からないけれど。
309 :
名無しさん@お腹いっぱい。 :03/03/08 17:36
>>139 FreeBSDでLinux-igdいれてUPnPやろうと思ってるんだけど、うまくいかない。
Linux-igdってipnatを内部で呼んでると思うだけど、ipnatってnatdと同じようなことしてるんだよね?
だれかipfwでうまくLinux-igd使えてる人居ませんか?
ipfilterにしてipnat使おうかと思ったけどルール書き直すのに挫折しました。。
310 :
名無しさん@お腹いっぱい。 :03/03/12 20:36
rwinの変更方法教えて下さい。
>>309 portsのパッチの方を書き換えれば?
っと、思いつきで書いたけど。natdは設定変えるのはプロセス終了しなけりゃならなくて、 終了する時に数秒sleepしてるから、厳しそう。
313 :
名無しさん@お腹いっぱい。 :03/03/13 00:45
俺もRWINの設定のやり方知りたいな。 WindowsのDr.TCPみたいな簡単なツールあれば誰でも できるけど、BSDだとさっぱりわからん。 お願い、おせーてぇ〜!
315 :
名無しさん@お腹いっぱい。 :03/03/13 01:36
>>311 & 312
そうなんですよ・・natdだと毎回終了する必要があるんで、多分うまくいかないと思うんです・・
NTTとかのVoIPもUPnPが必要みたいだし、けど市販のルータはあんまり使う気がしないんですよね・・
この前IP Filterとipnatでやってみたんですがipnatがうまくいかなかったです・・
外側のインターフェイス:ng0
外側のIPアドレス(固定):xxx.xxx.xxx.xxx
内側のIPアドレス :192.168.50.0/24
map ng0 192.168.50.0/24 -> xxx.xxx.xxx.xxx/32 portmap tcp/udp auto
map ng0 192.168.50.0/24 -> xxx.xxx.xxx.xxx/32
っていう感じにしてるんですがなにか根本的に違うんでしょうか?
ちなみにipftestで 内側(192.168.50.3)から外側にテストしたらPASSと表示されたんで
IP Filterは問題ないと思うのですが・・
俺は↓で動いてる。 map ng0 from 192.168.0.0/16 ! to 192.168.0.0/16 -> xx.xx.xx.xx/32 proxy port ftp ftp/tcp map ng0 from 192.168.0.0/16 ! to 192.168.0.0/16 -> xx.xx.xx.xx/32 portmap tcp/udp auto map ng0 from 192.168.0.0/16 ! to 192.168.0.0/16 -> xx.xx.xx.xx/32 PPPoEのセッション確立した後(mpd.linkupで)ipf -yしてるか?
>>316 PPPoEが確立したあとに作業してたから ipf -y と思ってたけど、起動時にipf立ち上げて、
リンクアップのときに ipf -y したらうまくいきました。
ありがとうです。
便乗で聞きたいんだけど、MRTGでトラフィックの統計とってるんだけど、ipfwだと
ルール番号でどうにかなったけど、ipfだとルール番号って自分でつけられないよね?
とりあえず今は、
# ipfstat -ai
83039 count in on ng0 from any to xxx.xxx.xxx.xxx/32
4072 count in on ng0 proto tcp from any to xxx.xxx.xxx.xxx/32 port = 80
って感じで取得はできてるんだけど。
もうひとつ。Linux-igdをFreeBSD使えてる人います?
どういうわけかわからないけど、終了時に必ず core dump はいてるんだよね・・
相変わらず、インターネットゲートウェイとして表示されないし・・
>もうひとつ。Linux-igdをFreeBSD使えてる人います?
>どういうわけかわからないけど、終了時に必ず core dump はいてるんだよね・・
Windows からゲートウェイとして見てえます。
route add -net 239.0.0.0 -iface ${INT_IF} 255.0.0.0
を /usr/local/etc/rc.d/linuxigd.sh に追加してます。
でも、終了時には core 吐きます。
core までは追ってないですけど。
Win が落ちたりして残った不要なリダイレクトを、
定期的に掃除してくれると嬉しいんですけどね。>upnpd
ところで、
http://reaim.sourceforge.net/ は既出?
ソースをざっと見ても、Content-Length の調整をしてないみたいだけど、
ちゃんと動くのかしら?>MSNのファイル転送
> ところで、
http://reaim.sourceforge.net/ は既出?
> ソースをざっと見ても、Content-Length の調整をしてないみたいだけど、
> ちゃんと動くのかしら?>MSNのファイル転送
気になって調べてみたら、
Content-Length なんてヘッダありませんでした>MSNのプロトコル
記憶違い
(^^)
>>318 & 319
route add -net 239.0.0.0 -iface ${INT_IF} 255.0.0.0
やったらできました。。
今まで route add -inet 239.0.0.0/255.0.0.0 -inteface ${INT_IF} でやっていて
netstat -rn -f inet みても 239.0.0/31 とかおかしなルーティングになってるのに
気づきませんでした・・
今度は ReAIM でファイル転送をしてみようと思います。
ありがとうございました。
322 :
名無しさん@お腹いっぱい。 :03/03/14 01:28
>314 RWINの変更は、 # sysctl net.inet.tcp.recvspace=65536 とかやればいいんですかね。 これであってます?違うのかな
323 :
名無しさん@お腹いっぱい。 :03/03/14 01:58
sysctl -w ;)
man 8 sysctl
>>317 >便乗で聞きたいんだけど、MRTGでトラフィックの統計とってるんだけど、ipfwだと
...
># ipfstat -ai
>83039 count in on ng0 from any to xxx.xxx.xxx.xxx/32
>4072 count in on ng0 proto tcp from any to xxx.xxx.xxx.xxx/32 port = 80
>って感じで取得はできてるんだけど。
ポート毎のトラフィックは計測できないけど、netstatでパケット数, バイト数は表示できまつ
#バイト数はFreeBSD依存だと思うけど
$ uname -sr
FreeBSD 4.7-RELEASE
$ netstat -ib -I fxp0 -f inet
Name Mtu Network Address Ipkts Ierrs Ibytes Opkts Oerrs Obytes Coll
fxp0 1500 net hoge 707719 - 574397831 832194 - 694614735 -
>>317 > 便乗で聞きたいんだけど、MRTGでトラフィックの統計とってるんだけど、ipfwだと
> ルール番号でどうにかなったけど、ipfだとルール番号って自分でつけられないよね?
質問が意味不明。
「ルール番号は自分でつけられない」という回答でいいのか?
323は古代人
旧人だと思う
>>331 > 原人なんて誰もいってない。
だよねぇ。きっと
>>329 の被害妄想。
NetBSD じゃ今でも現役だし。。。
でも、今時のサイエンスとかみると、ネアンデルタール
と現在の人類が共存してたらしいし、せめてネアンデル
タールくらいにしといてあげないと。。。
# NetBSD が古いって言ってるんじゃないよ!
# おれのメインマシンは NetBSD だから。。。
>>332 ゲイシの大好きなLinuxでも -w が必要なんでしょ?
334 :
名無しさん@お腹いっぱい。 :03/03/20 18:01
ipf+ipnatとipfwって併用できますでしょうか? 帯域制限(pipe config bw)と linuxigd(ipf)を使用したいんですが。
なんだハードウェアを作る話ではなくて ソフトウェアの設定の話なのか…
337 :
>>335 :03/03/20 21:31
NetBSDで静音パーツで作ってくれ。
静香パーツって何?
16MHzじゃだめ?
>336 そうですか、こちらでは add pipe した時点でpingは通るのですがtcpが通らなくなってしまいます。 ipmonしてみると keep stateした後の-Aのパケットが引っかかってしまっています。
342 :
名無しさん@お腹いっぱい。 :03/03/27 17:47
今、flets1.5Mにppp(-nat)+ipfwで接続してるんですがLAN内のwin機でのネットゲーム用に 特定ポートのパケットをredirectさせるにはppp+ipfw+natdに変えないと無理ですかね?
>>342 man ppp してみたけど、nat でできそうだけど?
344 :
>>342 :03/03/27 18:41
プレイオンラインならppp ipfw2 natdで出来ているよ。 /etc/natd.conf dynamic yes #port 8668 log yes verbose no deny_incoming no log_denied yes log_facility security use_sockets yes same_ports yes unregistered_only yes redirect_port tcp 192.168.1.ゲームマシンIP:50000-65535 50000-65535 redirect_port udp 192.168.1.ゲームマシンIP:50000-65535 50000-65535 というかんじ。 natdとipfwの設定も忘れずに。
345 :
名無しさん@お腹いっぱい。 :03/03/27 21:11
>>346 レスありがとうございます
私も3.13でマルチセッションに対応されたと思ってたんですけどね…
>>344 342ではないですが、natdの設定は上記の通りだとして、
ipfwはどう設定しているか見せてもらえないでしょうか?
試しにSSTPのポートを空けようとしているのですがどうにもうまくいかなくて。
349 :
>>348 :03/03/28 07:17
${ipfwcmd} add divert natd any to any via ng0 を、適切な行に設置する。 というか、/etc.rc,firewallを良く読もう。 firewall_type="simple"でやるとport 22が空いてなくて遠隔ではまったから注意。
350 :
名無しさん@お腹いっぱい。 :03/03/29 18:26
フレッツBで実効スループット8Mbpsの環境(同じPCで計測)で、MMX Pentium 200MHz、メモリ64MBのPCにFreeBSDをインストールし、ルータとして動かしたのですがスループットが著しくおちてしまいました。 8Mbpsだったのが1.1Mbpsになってしまいます。 ipfilterを使っていて、NICは2枚共3comの3C905です。 /etc/ipnat.rules map xl0 from 192.168.0.0/24 to any -> グローバルIP/32 portmap tcp/udp auto map xl0 from 192.168.0.0/24 to any -> グローバルIP/32 portmap /etc/ipf.rules pass out all pass in all です。ここまでスループットはおちるものなのでしょうか? FreeBSDのバージョンはFreeBSD(98)4.7です。 options IPFILTER options IPFILTER_LOG options IPFILTER_DEFAULT_BLOCK options TCP_DROP_SYNFIN 上記のオプションでカーネルの再構築を行いました。
>>350 比較の対象は何?
FreeBSD のバージョンはなに?
mod.conf に以下の設定はある?
set link mtu 1454
set link mru 1454
>>351 FreeBSDのバージョンはFreeBSD(98)Release4.7-P9です
PentiumPro 200MHz*2のPCでPlamoLinux3.0を動かし、NATさせてWindows2000のClientでGooの速度調査で図った時は
8Mbpsでていました。
今は、そのPlamoLinux3.0のPC------HUB---FreeBSD(98)のPC------Windows2000という感じです。
Plamo-----HUB-----Windows2000の時は8Mbpsでていました。
4Mbpsはでてくれると期待していたのですが、1Mbpsしかでません。
PPPoEを使うようにはしていないので、mod.confはみつかりませんでした。
353 :
名無しさん@お腹いっぱい。 :03/03/29 21:59
何がしたいんだ? NICは何? カニRealtek?
>>353 今まではサーバ専用のADSL回線をひいてたんだけど、Bフレッツファミリー(ニューファミリーがでる前だった)にした時に、2つひいてた回線を1つにまとめちゃった。
だから、クライアントPCとサーバPCすべてにグローバルIPアドレスを割りふるわけにもいかないから、グローバルIPはNAT BOXと各種サーバPCだけにしてクライアントはNAT BOX配下に設置という感じです。
NICはすべて3comの3C90Xです。
>>352 > mod.conf に以下の設定はある?
ごめんこれは誤爆.
もしかして, /etc/rc.conf で ppp_enable とかでやってるわけね?
だったら, NG_PPPoE を使うやつに変えないとまずいかも知れない.
ppp はユーザモードで仕事しているから, オーバヘッドがでかい.
試したことはないが, MMX 200MHz には荷が重そうな気がする.
>>355 すいません、図の書き方が間違っていました。
INTERNET----PlamoLinux3.0のPC----HUB---FreeBSD(98)のPC----Windows2000
です。
PPPoEはPlamoLinuxの方でカーネルモードで動作させています。
そして、FreeBSD(98)のPCもグローバルIPなので、FreeBSD(98)上でNATを使っています。
ですから、FreeBSD(98)ではPPPoEのための設定はせずに、ipfilterとipnatだけを動かしています。
FreeBSD(98)を介さずにINTERNET---PlamoLinux---HUB---Windows2000とすると、スループットが8Mbpsでるのでその間にFreeBSD(98)PCを挟んでも、5Mbps程度のスループットがでると期待していたのです。
>>356 なんで、FreeBSDで、natすんのか良くワカランが、
こないだまで使ってたFreeBSD(98) 9821Xc13(P-133)
fxp0-ed0 でのルーティング能力は、4MBpsぐらいは
あったような気がするな。気のせいかもしれんが。
それ以前にBフレッツで、8MBpsでつか?
>>357 IPv6に対応してるルータでIPsecも使えるもので、よさそうなのがなかったからです。
352でも書いたとおり、8MbpsというのはLinuxでNATさせてClientで図ったときのスループットです。
回線は354で書いたとおりBフレッツファミリーです。
>>357 8MBpsだと違う意味になるんだって・・・・・
8Mbpsでしょうに。
>>356 そこまで性能でないのは普通じゃない感じ。
ボトルネックがroutingなのか、filteringなのか、NATなのか、
その他不具合なのか、順番に切り分けて行くしかないだろう。
まずは、
INTERNET - ROUTER (NATなし)
ROUTER - CLIENT (NATなし)
の速度から測ってみたらどうよ。
>>360 なるほど、Bフレッツベーシックへの移行も考えていたのですが、10Mbpsのファミリータイプの帯域を充分に使えなかったら、話になりませんよね。
明日の朝起き次第、原因の切り分けをやってみます。
値段もそう高くないので、CPUアクセラレータも考えています。
>>359 スンマソン。逝ってきます(w
>>361 RTX1000あたりがIPv6,IPSec対応だったような。
MMX200だとIPSecもつらいような....よく知らないけどね
つうかFreeBSDで全部やればいいと思うのだが… v6もIPsecも使えるだろ。
364 :
名無しさん@お腹いっぱい。 :03/03/30 08:47
Pentium 200の時代とかだと、マザーボードも怪しい罠。
>>362 最初はRTX1000の購入を検討していたのですが、価格面で断念しました。
正直、RTX1000欲しいです。
IPsecがつらいようでしたら、CPUの換装をしようかと思います。
>>363 サーバを公開しているので、1台にNICを3枚挿してDMZ側、LAN側とわけるのはセキュリティ上
やりたくなかったので、FreeBSD(98)の出番と相成りました。
>>364 最低でも1年はもってくれないと困ります :-)
366 :
名無しさん@お腹いっぱい。 :03/04/02 23:13
動的にIPアドレスが変わる環境でパケットフィルタリングをしたいと思ったとき ipfwだとルールの1個1個をシェルスクリプトに書けるので IPアドレスが変わるたびにip-upからその新しいIPアドレスを引数にして ipfwのルールを記述したシェルスクリプト呼び出すようにするとか あるいはそれが面倒ならば"me"を使ってルールを記述するという手もあって とにかく対応可能ですが、 ipfilterはどうなんでしょ?
367 :
名無しさん@お腹いっぱい。 :03/04/03 05:10
振られるIPの範囲わかるからその範囲を指定しとくとか インターフェース指定するだけじゃダメか?
1つ1つのIPアドレスに対して特別なフィルタリングをしたいなら固定にしろ。
それがイヤなら
>>367 のとおり範囲を決めて割り当てろ。
馬鹿ばっか...
371 :
名無しさん@お腹いっぱい。 :03/04/04 00:21
IP Filter を動的 IP アドレス環境で使うならこんなスクリプトにすればいいのかな? うちでは専ら ipfw なので IP Filterはよく知らず,これでいいのかわからないが…. ----- #! /bin/sh ##### 変数定義 ######################################################### ipf_conf="/etc/ipf.conf" # IP Filter のフィルタリングルールファイル oip="$1" # このスクリプトに引数(IPアドレス)を渡すとここに入る ##### 関数定義 ######################################################### ipf() # ルール記述用 { echo "$1" >> $ipf_conf } start_of_ipf_rule() # ルール記述開始のおまじない { echo -n > $ipf_conf } end_of_ipf_rule() { /usr/bin/killall -HUP ipf # ルール記述終了のおまじない } ##### ルール定義 ####################################################### start_of_ipf_rule # ルール記述開始宣言 ipf " ここにルールを書く.ルールは必ずダブルクオーテーションでくくり," ipf "外側NICのIPアドレスを指定したい箇所には $oip と書く" end_of_ipf_rule # ルール記述終了宣言 ----- 前のレス見ると FreeBSD で UPnP 対応ルータ(with linux-igd)を構築するには, natd よりも IP NAT の方がいいのかな? 現にうちでもまだ ipfw + natd では うまくいってないし….もしそうなら IP Filter 覚えて乗り換えてみたいが.
372 :
名無しさん@お腹いっぱい。 :03/04/04 04:06
IPfilterの動的設定はportsのportsentryが参考になるよ。
こんばんわ。 いま NetBSD でルータを作ろうと思って RealTek8139 を使っている NIC を 2枚さしています。それぞれ rtk0, rtk1 として認識しています。 rtk0 に ADSL モデムをつなげて、BSD は快適 ADSL 生活を送っていますが、 rtk1 がおかしく、快適ルータ生活が送れません。 rtk1 を使おうとすると rtk1 : watchdog timeout って何回も表示され、うまく通信してくれません。 そこで質問があります。 watchdog timeout ってどういうときに出るのでしょうか? 安い NIC だったのですが、別メーカの NIC に変えたほうがよいでしょうか? 長文すいません。さげます。 よろしくお願いします。
watchdocが働いたということはハードウェアが死んでいるか あるいはドライバが暴走しているなどの理由で応答が得られなかった という事を意味しているけど、まだ原因を特定するには情報不足だと思う。 とりあえず、rtk0をLAN側,rtk1をWAN側にしたらどうなるか(ケーブルの差し替え)とか 今rtk0,1として使っているNICをrtk1,0として使ったらどうなるか(ボードの差し替え)とか を試してみて手がかりを探ってみてはどうかな。
>>374 さん
死んでると思われるrtk1にモデムをつないで通信しようとすると
途中で timeout してたのは確認したのですが、なるほど
ボードを差し替えるという手がありましたか。
さっそく今からやってみます。
ボードを違うスロットにさしてやってみたところ うまくいきました。 rtk0, 1 どちらでもモデムと通信できました。 ありがとうございました。
377 :
名無しさん@お腹いっぱい。 :03/04/13 15:29
すんません。いまYBBです。 ネットはYBBモデムー FreeBSDルータなんですが、 もしかしてYBBモデムの代わりに直にWAN-FreeBSD-LAN って可能だったのでしょうか。。。モデムレンタル代うかせられる?
モジュラーをどこに刺すというのか。
>>377 meguro氏
マルチリンクとはISDNのBチャンネルなどを複数束ねて太くすること。
> おそらくflesスクエアとマルチリンク
は間違い。
381 :
名無しさん@お腹いっぱい。 :03/04/15 22:24
MPDってDNSサーバのIPアドレス取れないのが残念だね。
http://www.dellroad.org/mpd-doc/mpd22.html を読むと"req-pri-dns"などのコマンドは用意されているものの
現状ではコマンドが使われたことがログに残るだけらしいんで。
ところでカーネル実装のPPPでPPPoEってできるのだろうか???
ハンドブックもユーザーランドPPPの例しか載ってないし
Web上で探してもそういう例は見つけられなかった・・・。
382 :
名無しさん@お腹いっぱい。 :03/04/15 22:39
>>382 ハンドブックで
># ppp -ddial name_of_service_provider
と書いてあるが、pppはユーザーランドだよねえ。
カーネルのはデーモンだから"d"付きのpppdになるはずでしょ。
384 :
名無しさん@お腹いっぱい。 :03/04/16 00:35
Linux由来のPPxPがユーザーランドだと思っていましたが・・・ /usr/sbin/ppp /usr/sbin/pppd これはなんでしょう?PPPoEのやつではなく、ダイアルアップ専用のPPPなんですか?
385 :
名無しさん@お腹いっぱい。 :03/04/16 00:49
すいません。 usr/sbin/pppも /usr/sbin/pppdも ついでに/usr/libexec/pppoed もユーザーランドでした。勘違いすてまた。
386 :
名無しさん@お腹いっぱい。 :03/04/16 00:59
もっとすいません。FreeBSDハンドブックちゃんと読みました。 カーネルPPPが/usr/sbin/pppdで、ユーザーPPPが/usr/sbin/pppなんですね。 あやふやに理解してました。勉強になりました。
387 :
>>381 :03/04/16 01:26
/usr/ports/net/djbdnsでdnscacheを動かす or BIND で /etx/resolv.conf nameserver 127.0.0.1 これで万事Ok
>>381 今まで渡り歩いたISP(ODN, Interlink, plala)のDNSはみんな腐ってた。
んだもんで
>>387 なので、パッチ作る気しない(使い始めた頃作った気もするけどどっかいった)。
IPCPはユーザランドでやってるから簡単だよ。
>>387 何も考えずにDNSサーバを立てると、世界にたった13台(くらい?)しかない
ルートDNSサーバを見にいくことになるから、なるべくISPのDNSサーバを調べて
djbdnsならFORWARDONLY、BINDならforwarderを使ってルートサーバの負担を減らすべき。
それにほら、www.aii.co.jp みたいに各ISPの中にサーバを置いてブロードバンド向けの
コンテンツの円滑な配信をするというサービスもあるんだから、ISPのDNSサーバに
クエリしないとそういうサービスは恩恵に預かれないでしょ。
答え書いているけど cat 'ISPのDNSサーバーIP' > /var/service/dnscache/root/servers/@ echo 1 > /var/service/dnscache/env/FORWARDONLY で解決しているじゃん。
>>389 うっせ、月額使用料が優先度第一なんだよ。ほっといてくれ。
>>390 FORWARDONLYだとISP提供の腐れDNSから逃れられないでしょ。
>>391 その「ISPのDNSサーバーIP」がmpdじゃそのまま取れないという話の流れなんだが。
>>392 plalaスレでも書いたけど(w
FORWARDONLYで
http://www.nic.ad.jp/ja/dns/ns.html ここらへんの鯖を指定するとかは?
>>390 > それにほら、www.aii.co.jp みたいに各ISPの中にサーバを置いてブロードバンド向けの
> コンテンツの円滑な配信をするというサービスもあるんだから、ISPのDNSサーバに
> クエリしないとそういうサービスは恩恵に預かれないでしょ。
そこいらへんは手元のDNS鯖で適切に名前解決を振り分ければOKデシ
フレッツスクエアとISP同時に繋いでるのりで
>>393 FORWARDONLY はキャッシュサーバーを指定すべきものだと
思いますが。
4.8R + IPFilter + ipnat + mpd でBフレッツに繋ぎました。 フレッツスクウェアって1時間ぐらい無通信が続くと切断されちゃう気がします。 それは別にかまわないんですが、そのときに 同時に接続しているISPの方も勝手に切っちゃってくれて、困っています。 [fsquare] LCP: rec'd Terminate Request #1 link 0 (Opened) [fsquare] LCP: state change Opened --> Stopping [fsquare] LCP: phase shift NETWORK --> TERMINATE [fsquare] setting interface ng1 MTU to 1454 bytes [fsquare] up: 0 links, total bandwidth 9600 bps [fsquare] IPCP: Down event [fsquare] IPCP: state change Opened --> Starting [fsquare] IPCP: LayerDown [fsquare] IFACE: Down event [fsquare] exec: /usr/local/etc/mpd/resyncnat.sh ng1 inet [fsquare] exec: /sbin/route delete 10.60.0.0 10.60.20.24 -netmask 0xffff0000 [fsquare] exec: /sbin/route delete 10.180.84.27 -iface lo0 [fsquare] exec: /sbin/ifconfig ng1 down delete -link0 [fsquare] LCP: SendTerminateAck #17 [fsquare] LCP: LayerDown [fsquare] LCP: rec'd Terminate Request #81 link 0 (Stopping) [fsquare] LCP: SendTerminateAck #18 [fsquare] connection closed [fsquare] device: DOWN event in state UP [fsquare] device is now in state DOWN [plala] connection closed
> cat mpd.conf
plala:
new -i ng0 plala plala
set iface route default
set bundle authname
[email protected] load cpppoe
fsquare:
new -i ng1 fsquare fsquare
set iface route 10.60.0.0/16
set bundle authname flets@flets
set bundle password flets
load cpppoe
cpppoe:
set iface disable on-demand
set iface idle 0
set iface mtu 1454
set iface up-script /usr/local/etc/mpd/resyncnat.sh
set iface down-script /usr/local/etc/mpd/resyncnat.sh
set bundle disable multilink
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set ipcp yes vjcomp
set link mtu 1454
set link mru 1454
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface
397 :
ゆりゅ ◆Yuryu7tFj2 :03/04/16 17:55
> cat mpd.links plala: set link type pppoe set pppoe iface fxp0 set pppoe service "whatever" fsquare: set link type pppoe set pppoe iface fxp0 set pppoe service "whatever" ほかにも同じような問題にあってらっしゃる方、いらっしゃいますか? これって解決方法とかあるんでしょうか。
俺もNetBSDでルータ作りたい いまはフレッツなんだけどどうやっていいのか NAT?DHCP?それ以前に、うおーPINGが通らん! はー、すっきりした もう一度ドキュメント探しの旅に出る なんかお勧めドキュメントがあったら教えてくれ 手取り足取り教えてくれそうなやつな いちおーBSDマガジンのDVD持ってるんだけど どこをどうよんでいいのやら それのお勧め読み方も教えてくれ なんて虫のいい話なんだ
399 :
名無しさん@お腹いっぱい。 :03/04/17 02:59
古い PC をルータにするのもいいけど、 もちょっとコンパクトな環境(組み込み系マシンとか)で やってる人いませんか? コンパクトなサイズのルータが作りたい…
(^^)
>>395 うちではインターネット、フレッツともにtimeout設定してオンデマンドだけど
フレッツ切れてもインターネット側が切れること無いぞ。(NTT東)
>>402 まさか同じインターフェース(fxp0)を使っているとだめだとか?
そんなことはないよねぇ...
手動で close iface ってやっても、もうかたっぽが勝手に落ちちゃいます
/cry
404 :
名無しさん@お腹いっぱい。 :03/04/20 00:52
NICを2枚刺ししてIPマスカレードさせてます。 Outsideからくる特定ポート(80と443とあといくつか)を特定の Insideにあるアドレスにひもづけるにはどしたらいいんでしょう。
IPマスカレードってLinux専門用語のような…
>>404 ppp -nat
natd
ipnat
どれよ
そーそーIPマスカレードはNAPTのLinuxにおける実装名。 確かにNAPTというアイディアはIPマスカレードが元ではあるけどね。 まーそれは置いといて、 今すでに「IPマスカレードさせてます」というならnatdの設定ファイルに redirect_port tcp INNER_HOST_IP:443 443 redirect_port tcp INNER_HOST_IP:80 80 redirect_port tcp INNER_HOST_IP:あといくつか あといくつか という行(INNER_HOST_IPは君の言う「Insideにあるアドレス」)を追加して natdを再起動すればいい。ただしファイアウォールで事細かな制限をしていると このままではだめかもしれないけど、そういう時はとりあえず制限を緩めてみて 徐々に厳しくしていけばいいと思う。
あ、↑はnatdの場合ね。俺はそれしか知らんので。
>>407 > 確かにNAPTというアイディアはIPマスカレードが元ではあるけどね。
んなことないだろ。TCP,UDPがIPアドレスとport番号の組で宛先を指定する
ものだと知っている人間が元のNATのRFCを読めば、余程気のきかない人間で
もなければ、誰でも自然に考えると思うが。
>>409 Diabloをマルチユーザーでやろうとすると、
FreeBSD経由だと出来ないけどLinux経由だと出来る、
とかいう迷信が流行ったのを思い出したよ(藁
∧_∧ ( ^^ )< ぬるぽ(^^)
409じゃ無いが。 ISDNルータと(ポート変換もおこなう)IPますかれーどのどっちが先か記憶が不確か… 富士通のNetビークルの一番初めのモデルは確か複数台つなげなかったからNATオンリーだったの だろうとは思うが。
>>412 でも用語辞典としてアスキー程度を持ってくるあなたも
いっぺん逝って良しでつ。ぐぐってひっかかった、おk、
だけとは情けないでつ。
>414 どこにそんなことが書いてあるのでつか
>>414 sigh.
>>409 でいってるRFCは1631ですが、あなたのおっしゃるのはどれでしょうか。
私はこれが出た少しあとに読んで実際に
>>409 のような感想を持ったわけですが。
このときIP masqueradeはまだ実装されていないか、少なくともある程度知られる
ようになったのはそれから暫く後だと思います。
>>412 こんなDQNな説明を引いてくるところからして程度が知れますな。
脱線しまくりだが
FreeBSDネイティブなWinnyCloneを製作中ですが,なにか?
期待してますが,なにか?
せっかくの名スレが!
423 :
名無しさん@お腹いっぱい。 :03/04/27 15:06
フィルタリングについての質問です。 デフォルトオープンのポリシーで運用していて、特定のポートを塞ぐべく、 ipfwでdenyとかrejectとかします。 そして塞がれたことを検証すべく、nmapでポートスキャンをすると 意図的に塞いだポートに対してのみ"filtered"と表示されてしまい、 「イャ、そこはダメ…」なことがバレてしまいます。 バレないようにする方法(つまり他の閉じているポートと同じ振る舞いをさせる方法) ってありませんかね? べつに普段デフォルトオープンな運用をしているわけじゃないので、単に気になっただけです。 だから「デフォルトクローズな運用をしろ」というのは無しということで。
4.7R使用で現在、Vtunの設定に苦労しています。 サーバAとサーバBでのVtunはうまく機能しているのですが、 サーバAに、新規で追加したサーバCとのVtunがうまくいきません。 また、サーバAはtun0を使用してサーバBとVtunを実現しています。 ここで基本的な質問なのですが、サーバAとサーバCでのVtunを追加する 場合、サーバAの方にtunデバイスを新しく追加しなければいけないのでしょうか? ご教授願います。
>>425 マルチポストしてるから答えるのやーめた.
>>424 どうもありがとう。助かったわ。
これで彼にイジワルされなくて済むわ。
お前ら、俺のために格安L3SWも作ってください。
ポートは、いくつ必要だ? 自作PCで作ってやろうか?(爆
PCじゃ L3SW に成らないだろ(w
NIC何枚も挿して、VLANも切れるようにする(w
ん? L3SW と ルータの一番の違いって 実装がHWかSWかだと思ってたんだが?
そうだったの? 知らなかったわ。 すまん(w でも、やってみてよぉ。
FreeBSD4.8、PII 400、外tl0、中fxp0 TEPCOひかり。gooで75Mくらいでてるyo
saga よりはマシか
437 :
名無しさん@お腹いっぱい。 :03/05/20 23:27
FreeBSD4.7でルータ設定してみています。 LANの中にあるWWWサーバを外に公開したいのですが、 いまいちうまくできません。 WWWサーバが192.168.1.2 でルータが1.2.3.4(外側)、192.168.1.1(中側) だった場合、設定を ipfw add pass tcp from any to 192.168.1.1 80 setup としてもうまくいきません。外からアクセスしてくるのが 1.2.3.4:80 に来ているみたいで…。 どなたかご教授していただけると助かります。
ipfw add 1 allow tcp from any to me 80 i v keep とかでいいんじゃない? #端折ってるけど
>>437 内側は192.168.1.0/24のようだけど
内側がプライベートならNAT使わないとだめなんじゃん?
pppのnatとか,natdとかを使うと可能かと。
で,natdならipfwのルールで,divert 何とかだったと思う。
pppなら,/etc/ppp/ppp.confに書くよろし。
いずれにせよ,ドキュメントとかwebページとか色々あるのでググってみよう。
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
441 :
名無しさん@お腹いっぱい。 :03/05/24 03:09
age;age;age;halt
>>429 せっかく作るならリンクアグリケーションとロードバランサ搭載せよ。
しつもん。グローバルIPが数十っこある環境でルーター作りたいのです。 NICふたつ(両方とも subnet 255.255.255.192)くっつけて、ipfilterかましました。 WAN側とLAN側にIP割り当てたのはいいんだけど、LAN側に2つ以上のIPつけると通信できなくなります。 たぶんroutedとかgatedの設定だと思うのですが、*BSD関係のFAQ見てもグローバルIPがたくさんある環境はあまり想定されてなくて、みんなNATの話になっちゃって参考にならずに困ってます。 アドバイスいただけないでしょか?
補足させてください。 「LAN側に二つ以上のIPつける」というのはLAN側につけたハブに二つ以上のクライアントをくっつけるという意味です。
>>442 もしかしてルータとやらの両方のIFに同じサブネットのIPふってないよね?
もしそんなことしていたら読むべきは*BSDのFAQなんかじゃなくて
TCP/IPの教科書だな。
あと説明足りなすぎ。
やっぱりそうですか。。。上の組織から割り当てられたIPおよびnetmaskがそのようだったので、その中で割り当ててました。 でなおしてきます。ありがとうございました。
>>444 足りなすぎならそれだけ言えばいいだろうが。
そんな答えかたしかできんお前がでなおせや。
解決に導く適切な回答だと思うが。 お前のほうがよっぽど糞。
448 :
名無しさん@お腹いっぱい。 :03/05/25 02:32
5.0Releaseはどう? BBルータ的に使うにあたっていいことあるかな 4.*Releaseに比べてさ。
ここまでpicoBSDのrouter buildの使い勝手とかの話が出てこないのは 使ってる人いないからですか?
やれやれ、
>>447 は冷静に考えてそう思ってるんですかね。
PCの冷却ファンを外して頭に付けた方がよさそうだ。
>>446 =
>>451 必死だな。
>>444 は情報が足りないのに有り得るケースを想定して原因を
推定したのは親切だと思う。それもちゃんと当たっているし。
煽るならお前が回答してみろよ。
またなのかよ。よそでやってくれよ、マジで。
454 :
名無しさん@お腹いっぱい。 :03/05/25 14:47
やっぱりわからないので、しつもんさせてください。 勉強不足ながら、DMZのあるLAN構築をしたくて、こんな構成にしたいと試行錯誤しているのです。 ne1 ne2 LAN2 LAN1 (Internet)------[*BSD]-----------------[Router]--------- . | | . | | . [HUB A] [HUB B] [HUB A]をDMZにしてサーバーを公開。 [HUB B]にはプライベートアドレスをふって、LAN内のユーザーのクライアント用とします。 [Router]にはNAT機能をもたせる。 IPを発行している部署からは、クラスBのIPをたくさんもらいました。 具体的には「IP a.b.c.d netmask 255.255.255.192 (Gateway a.b.c.1)」と「a.b.d.0/26 netmask 255.255.255.192」です。 その部署からは「前者をWAN側に、後者をLAN側に振ればよいです。」と言われました。 そこで、[*BSD]にipfilterを入れて、 ifconfig ne1 a.b.c.d netmask 255.255.255.192 ifconfig ne2 a.b.d.e netmask 255.255.255.192 としたのですが、[HUB 1]に複数のサーバーをつないで、それらを a.b.d.f netmask 255.255.255.192 と a.b.d.g netmask 255.255.255.192 のようにIPをふると通信できません。 DMZ内にひとつだけIPがふられていれば通信できるのは実験的に確かめられました。 [*BSD]にはNATのないrouter機能をもたせつつ、DMZ内にgrobal IPを使ったサーバー公開をしたいのですが、どのようにすればよいでしょうか? というのが聞きたかったことです。
455 :
442=454 :03/05/25 14:48
あーネットワーク図がずれてしまいますた。 [HUB A]は[*BSD]と、[HUB B]は[Router]とつながっています。
456 :
442=454 :03/05/25 14:56
それから ne1, ne2 は[*BSD]の外側と内側 interface, LAN2, LAN1は「Router」の外側、内側のinterfaceです。
e,f,gの値と各マシンのdefault routeは。 通信できないというのは何と何の間の通信か。
458 :
442=454 :03/05/25 15:18
はい、e,f,g は a.b.d.0/26 内から割り当てた値で、e=62, f=1, g=5です。 通信というのは、 Internet側からサーバーが見えないし、pingも通らない。 e,f,gをつけたマシンからのpingはne1までしか通らない。 という意味です。
459 :
442=454 :03/05/25 15:22
[HUB 1]につないだマシンのdefault routeはne2のIP (a.b.d.e)にしてます。
fire wall のヴァージョンは? パケットフィルタリングの詳細は? でなおしなさい
462 :
442=454 :03/05/25 15:38
OpenBSD3.3のpfです。テスト段階なので作業中だけ pass in all pass out all でやってます。
hub Aがそれぞれどうつながってるのかよくわからんのだけど、 等幅フォントで見たときの図が意図したものと思ってよい? ne2--LAN2のセグメントが[HUB A]? まずipfilter入れずにちゃんと設定できてる? IP forwardingはちゃんと有効にしてる?
464 :
442=454 :03/05/25 15:45
>>463 さん
すみません、図がずれてるので455,456で補足してます。
それからipfowardingはちゃんと設定してます。
作業しないときはne2から先を外してますが、その状態だとInternet側からアクセス(ssh)できます。
465 :
名無しさん@お腹いっぱい。 :03/05/25 15:47
>>463 カーネルも問題ありません
/etc/rc.confの設定も問題ありません
もう頭がパニックっています誰か教えてくれませんか
466 :
442=454 :03/05/25 15:47
464は、Internet側からne2に直接sshできる、という意味です。 pfは稼働してて、上の状態でne2からInternetのそとのサーバーにもsshできるのを確認してますので、設定はできていると思うのですが。。。
まずはもちつけ。 状況説明が説明になっとらん。ne2に/からって何よ。NICはsshしたりしないぞ。
>>454 の図が全てを物語っているぞ!
原因は、
二 股 の イ ー サ ケ ー ブ ル を 使 っ て い る こ と だ !
(-_-)ソリャダメダ
469 :
名無しさん@お腹いっぱい。 :03/05/25 18:28
フレッツADSLでmpd+natd+ipfwっていう構成のルータを作ろうと思ってるんだけど、 どうもmpdの設定だけがいまいちわからない・・ 正確な設定方法を書いてくれる人ギボンでつ・・・
> 11はマルチリンク機能を有効にするかどうかという選択肢です。私にはマルチリンクは不要だったので利用不可になってます。 > おそらくflesスクエアとマルチリンクしたいという需要があると思うのですが、FreeBSD5.0添付時点での最新バージョン(3.10)では問題があるようです マルチリンクはISDNなどでBチャネル複数本束ねる機能なのでこれも間違い。
すみませんメールを使うためにsylpheedがひつようなんですがどうすれば よいですか?
メールを使わなければオケ
474 :
名無しさん@お腹いっぱい :03/05/26 12:37
473おまえ二度とunixをつかうなおたんこなす
>>472 シヌフィードをインストォールして、コンフィーグすれば良いのでは?
478 :
名無しさん@お腹いっぱい。 :03/05/26 17:28
BフレッツにPPPoE接続してルータにしてDynDnsをddclientで更新して jail内でweb鯖、メール鯖、named動かして・・・ これを一台のPCに全部詰め込んでみようとしてる私は無謀ですか? ちなみにjailとnamedでつまづいています…
479 :
名無しさん@お腹いっぱい。 :03/05/26 17:41
>>478 ついでなのでDHCP,TFTP,NFS鯖も立ててdhiskless client用の鯖にして、
sambaでWinny用ストレージも作っておくとなにかと便利。
というか、これくらいのことしないならBBルータ買った方がいいだろと思う。
>>480 DHCPとかNFSとかは出来れば別のサーバーにさせたほうがセキュリティPARANOID的には理想。
device bpfは外したいじゃん。
あとrpcも。
>>478 そのぐらい詰め込むのはよくある話。
linuxigdとかも入れてUPnP対応にしたりとかも。
namedも標準でsandboxに対応しているのでgoogleれば簡単。「BIND sandbox」とかchrootとかで。
確かにtelnetが使える以上にbpfキモイな。 両方使えた日にはTheoが隣に座ってるだろうよ。
>device bpfは外したいじゃん。 なんで?
おぉlinuxigdってのがあるのか… ぐぐってきます。
>484 うちん所ケーブルなんではずせないよ
>>481 Yahoo!BBなのでbpf外すとなにかと不便(w。
ちょっと前にFreeBSDのGENERIC kernelにbpf入れるのに
ひと悶着あったようだが、未だに不満がくすぶってるのかな?
Y!BBでbpf必要な理由ってなに?
bpfって、内部のDHCPサーバ動かすのに、 必要でしょ?みんなDHCPサーバは、別のマシンで 動かしているのかな? 確かに、あんまりよろしくないのは知ってますが。。。
mpdもbpf使いますが何か? root取られたら何にしろおしまいでソ。
内部への被害を最小にするためでしょ。 俺恐いからnatdとsyslogd以外動かしてないし。 総プロセス数:13 目指せ1桁。
DHCPクライアントでbpf必要だから外すの無理
∧_∧ ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。 =〔~∪ ̄ ̄〕 = ◎――◎ 山崎渉
>>491 FreeBSD-5xだと20は越えちゃいますが。
bpf.ko持ち込まれたらだめっしょ。
*BSD使いならバークレーマンセーってことで BPFも認めてあげよーよ。 つーかBPFってroot権限を乗っ取られなけりゃ心配ないんじゃない??? 「パスワードはわかりにくいものにしてちょくちょく替える」 「セキュリティホール情報に注意して勧告が出たら直ちに対策を取る」 といった地道な気配りをしていればさほど気にしなくていいと思うんだけど、どうなん?
>>495 sysctl -a kern.securelevel
-1 ha itte yoshi
>>492 DHCP必要なくらいマシンがあるなら別に用意しろと小一時間…。
ルータにDHCPでIP振るなと丸一日…。
>>496 sniffer仕掛けちゃうぞと…。
>ルータにDHCPでIP振るなと丸一日…。 なんででつか?
なぜ逆フェイルオーバー型クラスタみないな構成にするのかと。
>>500 その…CATVからDHCPでIPもらってるんでつ
固定IPだと3倍ぐらいのお値段なんで…
>>498 BPFがあるとどう危険なの?
1.rootアカウントを奪われた場合に危険
2.一般ユーザアカウントを奪われた場合に危険
3.アカウントが奪われてなくても危険
よくないという言う人はいるが、
何がよくないかを書いているページは見たことがないので
教えてください。おながいします。
YBBがトラぶりまくってたころは、DHCPもかなり問題になっていたことは事実だが、 どちかかというとDHCPサーバダウンと偽DHCPサーバ問題だった。 お隣にIPアドレスをデリバリして、自分のルータ経由で接続させてパケットダンプして それみたことかとか。。。 今のYBBはDHCPの逆流止まってるので、YBB向けにDHCPサーバ立てても意味無し。 (念のため) DHCPでルータにアドレス振るなとかいうと孫さんに営業妨害だとか言われかねないよ。 無線ルータセットも販売してるからね。あそこ。
>>502 1. じゃないかな。
そこから別なマシンに被害が拡大する。
505 :
名無しさん@お腹いっぱい。 :03/05/30 13:33
『YAHOOBB』----『fxp0(DHCP)----ef1(192.168.0.1)』----『windows(192.168.0.2)』 FreeBSDでDummyNetルーターを構築したいのですが windowsから外部への全てのパケット通過許可 ルールはrc.firewallに記述すればいいのでしょうか?
${fwcmd} add pass tcp from any to any established
507 :
名無しさん@お腹いっぱい。 :03/05/30 23:32
>>396 その後何か対策されましたでしょうか?
同じ現象が発生して困ってます。
>>395 でした。
ちなみに 4.8R + ipfw + natd + mpd で
Bフレッツに繋いでます。
設定も同じです。(ispは違うけど)
>>502 bpfはBerkeley Packet Filterといって、その計算機に刺さっているNICにきたパケットを見るための機構。
それで、RouterにBPFがあるとroot権限を奪われた際に外部との通信すべてが盗聴される恐れがある。
(BPF deviceをopenするには通常root権限が必要なので)
しかしながら、もれには外部との通信すべてが盗聴されてヤヴァイ事態というのが想像つかんが...
あえて言うなら「こいつこんなサイト見てるよ。ハァハァ」って事態か?
重要なネタはすべてSSL通してやってるから盗聴されても別にかまわないわけだが。
>>509 やっぱり root 権限が必要なんですな。
正確には/dev/bpf* が root しか読み書きできないパーミッションだから
ということになるんでしょうな。
ということは root 権限さえ奪われなければ BPF に関しては安心ということでいいのかな。
だいたい root 権限奪われたら盗聴どころではないわけで(それに root ならその時 BPF が
無くたって追加できるし)、そう考えると組み込む組み込まないについて BPF だけ特別騒ぐのは
とても間抜けな議論に思える。
僕の住んでいる地域ではコンピュータの番組でFREE BSDなどの歴史をやっています 個人的にはLINUX SOLARIS などのほうが興味あるのですが特に予定はないようです 残念。
512 :
77777 :03/05/31 14:24
>>507 なんかわかった気がする、マルチセッション化のバグみたいぽ。なおして見る。
>>516 このパッチは本家のサイトにある pppoe.patch の内容も含んでるんですよね?
早速パッチ当ててみましたがOKでした!!
ありがとうございました。m(_ _)m
>>515 オーシャン水でCPUを水冷したらデーモン君滅菌されました。GoobBye Worldって感じです。
>>510 > BPF追加
追加できるかはkern.securelevelによる。
1以上だと追加不可能だったはず。
でもrootもってたらそこで動いているサーバーデーモンにくる情報を取れるのは事実だし、
natd使ってたら、手を入れたnatd仕込めば外部との通信も覗き放題だろうから
BPFなしでkernel作ってsecurelevel>=1にすれば安心という問題でもないが。
>>520 再起動をすればkern.securelevelを下げることも可能なわけで、
その再起動もリモートから行うことが可能なわけで、
kern.securelevelも所詮気休めにしかならないと思う。
#まあ、再起動をすれば侵入していることがバレる可能性は高まるけど。
要はrootを奪われたら一巻の終わりでしょやっぱ。
>>521 > 要はrootを奪われたら一巻の終わりでしょやっぱ。
まぁそれはそうなんだけど、
そこを踏み台に他のマシンへ
(再起動なしに) 影響が広がるのが問題なのではないかと。
BPF入れるなって騒いでる奴って20年前に得た知識を更新してない化石だよ。 当時はスイッチングハブなんか無かったから簡単に全部見えた。 お手軽に乗っ取れてsniffer出来るWindowsなんか無かった。 そんな環境でnitなんかコンフィグするなゴルァと怒られた記憶だけ残ってるんじゃねーの。 もう隠居していいよ。
GENERIC kernelにbpfが入った経緯も、root取られる危険性が増す わけじゃないってところで、DHCP clientがインストールディスクで 使える利便性を選んだってことだったと思う。 でも決定されてもそのあと何度もフレームになってたよな。 ちょっとネタが古いかな。 そんで、隠居されたら困るような人が抵抗勢力だったりするのよね。
525 :
名無しさん@お腹いっぱい。 :03/06/01 05:04
ppp+ipfw+natd から ppp+ipf+ipnat にして、さらに mpd なるものを知って mpd+ipf+ipnat にしてみたところ module_register: module netgraph already exists! linker_file_sysinit "netgraph.ko" failed to register! 17 こんなエラーが出て接続出来ません。 ちなみに FreeBSD4.8-stable でカーネルコンフィグファイルに options NETGRAPH options NETGRAPH_PPPOE options NETGRAPH_SOCKET options NETGRAPH_ETHER を加えて再構築しました。 どうすれば解決出来ますでしょうか?
optionsを外せ。
527 :
俺のsora! :03/06/01 05:16
★★★★★お金が欲しい人は見て下さい★★★★★
http://www.c-gmf.com/index1.htm 自分勝手なことを言っている人って、もしかして、社会の中で生きてゆけない
人にも、感じられます。無職な人は、いつも逃げていて、自分が被害者である
ように語るが、それは間違いである。努力した人はそれなりに、自分の時間を
潰しても、仕事に没頭し、子供を育てている人が多い。人の何十倍も努力して
いるから、良い生活ができるのであります。私はそんな人間である。
何十年と私のビジネスを続けることが、良い結果になれば良いのであります。
法的な処置をとりたい人は取ってください。私のビジネスは本当に大事なこと
であり、皆さんが0円からビジネスできる仕事を提供しています。
http://www.c-gmf.com/index1.htm
外した所、エラーメッセージが出なくなりました。 どうやら接続出来ないのは他に原因があるようです。 出直してくる・・・
529 :
名無しさん@お腹いっぱい。 :03/06/01 06:06
pppoeの設定をしてfirewallの設定をして WAN側にもLAN側にもIPが振られているのにその下にあるマシンにDHCPでIPが振られてきません。 他にやらなきゃいけない設定ってありますか?4.8R使ってます。
530 :
名無しさん@お腹いっぱい。 :03/06/01 06:11
ていうかもしかしてDHCPって別設定しなきゃいけないんですかね? なんかルータ解説系のサイトだとtun0にIPが通ったら 下のマシンでも直ぐにネットできるような感じに書いてあったんですけど
531 :
名無しさん@お腹いっぱい。 :03/06/01 06:16
>>523 ARP poisonを流せるettercap(portsにもある)などのツールを使えば
スイッチングハブ越しでもやはり簡単に見えてしまう。
>>525 >>528 そのエラーメッセージは、カーネルにNETGRAPHが組み込まれているのに
さらに動的モジュール版のNETGRAPHをロードしようとして、同じ物が既にあるから
ロードに失敗したということを示している。
従ってこれはウザい警告なだけであって、その後の動作には影響ない。
pppを使う場合もNETGRAPHを使うけど、この場合はコンフィグにそれらを追加しても
しなくてもよい。ただし、それら4つのうち例えばNETGRAPHだけなどのように
中途半端な追加をするとやはり同じメッセージが出る。たぶん足りない他の3つを
ロードする際にNETGRAPHもロードしようとしてしまうからだと思う。
まあいずれにしてもその後の動作に影響はないけどね。
>>530 LAN向けのDHCPサーバーの設定が必要。
wideのでもiscのでもいいからdhcpd入れて設定しな。
そうそう、dhcpdを設定するところか起動するところでどこのNIC側でlistenするか書くところがあるけれどちゃんとLANの方で設定するように。
dhcpdってちゃんと設定せんと使えんから気づくかな。
>>522 毒ARPは監視してれば検出できるんで以前ほどお手軽じゃない。
つーかLAN内のパケットは全て傍聴されてい前提だからssh使うんだろうがっ。
もう隠居しろ。
>>530 subnetmask をちゃんと切ってあって、NATにぶらさがっているマシンに
固定でIP address を設定してやってりゃDHCP立ち上げるまでもない。
あぼーん
bpfがどうこう以前にroot権限で動いているデーモン君がWANに極めて近い部分、 若しくはWANに直結した状態で動くこと自体、問題ではないだろうか? 万が一の場合、rootを取られる可能性自体が高くなるよね?
>>521 securelevelは考えて使えば強力で、リモートからリブートしても下げる事は出来ないように運用することは可能。
しかし、とてつもなく使いにくくなる。
>>541 何を今更...
>>542 リモートから下げられないようにするのってどうやるんですか?
>>544 rcで上げる。rc等の重要なファイルが変更できないようにschg立てる。
>>545 たしかにそうするとconsoleを奪わないといけないことになりますね。
rc実行前にrcのsecurelevelを上げてる個所をあぼーんするこーどを突っ込めれば破れそうだけれど、ちょっとその方法が思いつかないですね。
>>545 おぉそうか!schgフラグと併用すればいいのか。
そうすると設定を変えたい時は
必ず一度シングルユーザモードにする必要があって
シングルユーザモードでの操作はコンソールでないと行えない…
というわけか。
これならシステム関連(/etc)だけでなく/usr/local/etcの中の
設定ファイルなんかも保護できるのか。スゲエ!
# securelevel=4 : コンソールとシリアルポートデバイス以外かのログインを禁止する。
# なーんてのがあったらさらに強力かも。っていうかこれができる方が、
# schgフラグで制限するより管理がラクな気が。
securelevel上げるまでに実行されるプログラム達も忘れずにschg立てる。 しかし、とてつもなく面倒になるぞ。
>>547 securelevel=4なんてmadなものを作るよりもLOMACに期待。
551 :
名無しさん@お腹いっぱい。 :03/06/09 21:19
mpd+ipfw+natd+tcpmssdな構成でルータ作ってる方 Web作ってくれたらうれしいなぁ。
>>551 俺はその組み合わせだが…
特に悩むような所無かったぞ
とりあえずやってみ
554 :
名無しさん@お腹いっぱい。 :03/06/09 23:23
Bフレ ニューファミリー 千葉 440BX Timecounter "i8254" frequency 1193182 Hz CPU: Intel Celeron (801.82-MHz 686-class CPU) Origin = "GenuineIntel" Id = 0x683 Stepping = 3 Features=0x383f9ff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,MMX,FXSR,SSE> real memory = 402587648 (393152K bytes) fxp0: <Intel Pro 10/100B/100+ Ethernet> vr0: <VIA VT6102 Rhine II 10/100BaseTX> で 30Mbpsぐらい #Natの噛ましてるLANから測定 まぁ ぶら下がってるPCもPC9821なんでそれで遅くなってる可能性も有るが、そこまでは知らん
>>551 もしかして ICPM 3.4 (type3のcode4という意味ね) をフィルタリングしてない?
こいつをフィルタリングすると MTU が大きすぎる時の フラグメント要求が
出せないのでせっかくの Path MTU Discovery 機能が働かない罠。
code4 さえ通せばこの問題は解決するけど、type 3 (Destination Unreachable) は
全部通してしまっていいと思う。
ICMPの間違いね。スマン。
>>555 ん?単に「遅い」という問題なのか?
速くするなら natd に rtprio をかけてプロセス優先度を上げるとかでどう?
# ps ax | grep natd
569 ?? Is 0:06.50 /sbin/natd -f /etc/natd.conf -n rl0
# rtprio 5 -569
>>558 文を追ってくれよ(w
>>554 に対しての反応しただけで、俺はこの速度で満足してるのでOK
>>556 ICMP type3素通しすればtcpmssdは要らないの?
>>560 いや、ICMP 3.4 を通すのは必要な条件の1つにすぎない。
ようするにステルス厨死ねという事でFA?
FA -- Factory Automation ? FA -- Free Agent ? Stelth 厨って? mmap大好きな人のこと?
tcpmssdを通す時点でusermodeになるから、どうしてもipnatより遅くなる罠。 mpd + ipfilter + ipnat(mssclamp 1414)にしておけ。
>>563 FA:
final answer
ステルス厨:
大衆向けパソコン雑誌で「セキュリティ = ポートを塞ぐ、ICMP遮断する」を刷り込まれ
セキュリティチェックサイトで満点を取る事を目的にネットしてる人たち。
>>563 ついでにmmapじゃなくてnmapだろ?んで、 stelth scanじゃなくて
half connect scan と呼んで欲しい今日このごろ。
567 :
名無しさん@お腹いっぱい。 :03/06/10 13:28
net.inet.icmp.bmcastecho=0 はいまデフォルトだけど net.inet.icmp.drop_redirect=1 禁止っちゅうことでいいですか。
569 :
名無しさん@お腹いっぱい。 :03/06/10 16:56
tcpmssdの設定方法ギボン
>>566 確かにmmapは変だな。(藁
見るたびに(2)という文字が脳内で補完される。
stelth scanはXmas scanなど他にもあるからthree way handshakeをまともにやらない
scanの総称としてあってもいいかと。
どっちゃにしろステルスのスペル間違っているし。
stealth?
574 :
名無しさん@お腹いっぱい。 :03/06/12 02:41
mpdで繋いでみると [ocn] ppp node is "mpd225-ocn" [ocn] using interface ng0 [ocn] IPCP: peer address cannot be zero [ocn] IFACE: Open event [ocn] IPCP: Open event [ocn] IPCP: state change Initial --> Starting [ocn] IPCP: LayerStart [ocn:PPPoE0] [ocn] bundle: OPEN event in state CLOSED [ocn] opening link "PPPoE0"... [PPPoE0] link: OPEN event [PPPoE0] LCP: Open event [PPPoE0] LCP: state change Initial --> Starting [PPPoE0] LCP: LayerStart [PPPoE0] device: OPEN event in state DOWN [ocn] exec: /sbin/ifconfig fxp0 up [PPPoE0] Cannot send a netgraph message: fxp0::No such file or directory [PPPoE0] device is now in state OPENING [PPPoE0] device: DOWN event in state OPENING [PPPoE0] device is now in state DOWN [PPPoE0] link: DOWN event [PPPoE0] LCP: Down event [PPPoE0] device: OPEN event in state DOWN [PPPoE0] pausing 4 seconds before open こうでてつながりません fxp0が見つからないというのはどういうことでしょうか? 解決法を教えてくださいお願いします。
fxp0をしらないんでしゅか。 man fxp
>>574 あなたはIntel EtherExpress NICを買い忘れてます。
mpdの iface down-script ってdownしたときには流れなくて 次に接続がうまくいったときにdown -> up と立て続け動くみたいなんですが、そういうものでしょうか? 漏れだけかな。
いや、fxp0もfxp1も刺さっています。 fxp0は外側でfxp1は内側のネットワークにしています。 rc.confでは ifconfig_fxp0="media 100baseTX mediaopt full-duplex up" と書いています。 念のためdmesgの一部も貼り付けます pcib1: <Intel 82801BA/BAM (ICH2) Hub to PCI bridge> at device 30.0 on pci0 pci1: <PCI bus> on pcib1 fxp0: <Intel 82557/8/9 EtherExpress Pro/100(B) Ethernet> port 0xc000-0xc03f mem 0xe5000000-0xe50fffff,0xe5201000-0xe5201fff irq 11 at device 0.0 on pci1 fxp0: Ethernet address 00:02:b3:3a:59:90 inphy0: <i82555 10/100 media interface> on miibus0 inphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto fxp1: <Intel 82557/8/9 EtherExpress Pro/100(B) Ethernet> port 0xc400-0xc43f mem 0xe5100000-0xe51fffff,0xe5200000-0xe5200fff irq 10 at device 1.0 on pci1 fxp1: Ethernet address 00:02:b3:41:29:5d inphy1: <i82555 10/100 media interface> on miibus1 inphy1: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto isab0: <Intel 82801BA/BAM (ICH2) PCI to LPC bridge> at device 31.0 on pci0 isa0: <ISA bus> on isab0 どうすればいいのでしょうか…
>>574 なんか前に同じ症状が起こったなぁ。
ppp -ddial でつないでから切断した後、mpd を呼べば問題なかったが。
580 :
名無しさん@お腹いっぱい。 :03/06/12 07:50
http://www1.neweb.ne.jp/wb/prof/index.htm 平成15年度 自作板 PC環境調査
◆5月分の結果が出ました。現在は6月分に移行しています。
(参考)
平均年齢 25.4歳
ネット(2ch含) 78.7%
ゲーム 59.0%
Windows XP Family 46.9%
Windows 2000 Family 34.4%
Athlon 45.3%
Pentium 4 29.7%
nVIDIA 49.2%
ATI 28.9%
DVD-R/RW/マルチ 20.4%
CD-R/RW 75.9%
光ファイバー 8.3%
ADSL/xDSL 64.5%
CRT 74.6%
LCD 25.4%
581 :
名無しさん@お腹いっぱい。 :03/06/12 10:53
tcpmssdの起動方法って /usr/local/bin/tcpmssd -p 1000 -m 1454 でええんかな?
>>574 ngctl listして
Name: fxp0 Type: ether ID: 00000001 Num hooks: 0
が無ければng_etherがロードされてない。netgraph関連のオプション全部外してカーネル作ってみれ。
なるほど。やってみまつ
netgraph関連のオプションを入れてカーネル作り直して /modules/netgraph.ko を消したらエラーメッセージも消え、mpdでPPPoEは出来てるみたいです。 しかし、ipnat.rulesでBフレッツファミリー100での非固定IPアドレスの場合の設定法がわかりません。 固定IPの場合なら検索して色々例があるのですが… map ng0 192.168.0.0/24 -> 0/32 portmap tcp/udp auto mssclamp 1414 map ng0 192.168.0.0/24 -> 0/32 mssclamp 1414 と書いているのですが、間違っているのでしょうか?
>map ng0 192.168.0.0/24 -> 0/32 portmap tcp/udp auto mssclamp 1414 >map ng0 192.168.0.0/24 -> 0/32 mssclamp 1414 問題ないと思うが。
>>584 NATのローカルアドレス0/32じゃなく、PPPで貰った奴を指定したいなら、
mpd.linkupで登録する。mpd.linkdownで削除する。
589 :
名無しさん@お腹いっぱい。 :03/06/13 12:45
具体的にどう書けばよいのやら… よければ教えてください。 皆さん固定IPなんですか?金持ちですねぇ
>>589 0/32でも変換できるはずなんで固定アドレスじゃなくても大丈夫。
一応俺の設定貼っとく。
mpd.linkupで
interface=$1
local=$3
ipnat -f - <<EOF
map $interface from 192.168.0.0/16 ! to 192.168.0.0/16 -> $local/32 proxy port ftp ftp/tcp
map $interface from 192.168.0.0/16 ! to 192.168.0.0/16 -> $local/32 portmap tcp/udp auto
map $interface from 192.168.0.0/16 ! to 192.168.0.0/16 -> $local/32
EOF
mpd.linkdownで
interface=$1
ipnat -l|egrep "^map *$interface"| ipnat -r -f -
mssclampつけたときにipnat -rがバグってて削除できないかも知れない。
そん時はipnatに食わせる前にsedで整形しる。
592 :
名無しさん@お腹いっぱい。 :03/06/13 15:59
mpd+ipfw+tcpmssd+natdな構成作ったけど、 ng0が出る前にipfw読み込んじゃって接続できないみたいなんだけど、 何か対策ない?
>>564 ipfwルールでMRTGのルールも追加してるから安易に変更できない・・・
>>592 ipfwは先に立ち上がってても問題なかった記憶がある。ipfwのログ取るべし。
ipfwとipfilter+ipnatは同居可能。
>>591 申し訳ないでつがrc.confとかmpd.confとか
mpdを立ち上げる方法(?) rc.localとかの記述法もキボン…
やっぱFreeBSD5.1にしてresyncしたほうがいいのかな?…
何で繋がらないか混乱してきました。
>>596 > 何で繋がらないか混乱してきました。
お前、このスレ最初から読んでないだろう。
mpd.confでup-script, down-script設定する。
mpd.linkupでipf -yする。
>>596 知障の方でつか?
今すぐ回線切って(以下略
過去ログよめ。 ちなみに俺はdaemontoolsでmpdをたちあげている。 「mpd site:www.mimori.org」でgoogle
>>592 while sleep 1
do
ng0=`ifconfig -a|grep ng0`
if [ -n $ng0 ]; then
break;
fi
done
とやってng0ができるまで待ってipfw関連のスクリプトを実行。
>>529 /etc/start_if.ng0 が使えるかもしらん
/usr/local/etc/rc.d/ mpdは000.mpd.shとかにしてさっさと挙げろ
>>602 これとipfw関連のを起動するshell scriptを作って、mpd起動後にバックグラウンドで実行。
別にng0ができるまでなんもせんからmpd起動前に呼んでも一向に構わんのだが。
そうそう、if文の中などの$ng0は二重引用符(")で囲わないとエラーになるかもね。
>>600 これでじゅうぶんだろ
while ! ifconfig ng0 >/dev/null 2>&1; do
sleep 1
done
>>516 わぁ、さっそく試してみました
当該の問題は解決されました
ありがとうございます。
で、そのうちこのあたりのことを
ページにまとめようとおもってるのですが
このパッチも宣伝していいでしょうか?
607 :
名無しさん@お腹いっぱい。 :03/06/17 16:20
余ったPCにNIC2枚挿してBフレベーシック(10Mbps)用のルータに してしまおうと考えてますが、Pentium-200MHzで10Mbpsのルーティングは 能力的に可能なものでしょうか。
>>607 私はPentiumPro-200MHz*2という環境ですが、Bフレッツファミリータイプ(10Mbps)を不自由なく使えています。
スループットも9Mbps前後です。(直接繋げた時よりも、気持ち程度遅くなるだけでした)
>>608 レスどうもです。うちはシングルですが、全く論外というわけでも無さそうなので
試してみます。
612 :
名無しさん@お腹いっぱい。 :03/06/17 17:28
ネットで稼ぐならこれ。完全無料!!
リンクスタッフになれば小遣い稼ぎができます!!(左下に詳しい説明があります)
[報酬について]
クリック報酬・・・1クリックされる度に10円の報酬
バナー紹介料・・・リンクスタッフ登録の度に1000円の報酬
キャンペーン・・・今なら登録するだけで1000円プレゼント
間接報酬・・・紹介者が得た報酬の25%を加算いたします
プレミアム・・・優秀サイトには、報酬に応じてボーナス有り
単純に考えて1日100人クリックしたとすると、100人×10円×30日=30000円(一ヶ月)
そこらへんの掲示板に貼り付けていけば100クリックなんてスグです。
その他、自分の貼り付けた広告から誰かがスタッフになると1000円もらえるので
1日5人スタッフを紹介できたとして1000×5×30=150000円
30000+15000=180000!!間接報酬などもありますのでどんなに悪くても一ヶ月に10万円以上は必ず稼げます!!
http://www12.ocn.ne.jp/~sihori/ ぜひ一度覗いて見てはいかがでしょうか?
>>607 10Mのベーシックというのは初耳。バスがPCMCIAだと10M使いきれてない。
>>607 昔Pentium133MHzのノートにNICを二枚さして、
NetBSDのinkernel pppoe + ipf + ipnat で、
27Mbps位出てたので、余裕じゃないでしょうか。
NetBSDでPPPoEはすごい速いし簡単。ただし安定させるには相当苦労しそう。
安定させるのに苦労しそうって…何が不安定なんだい?
NetBSD の ifconfig pppoe0 up で繋がるのは美しいですね。 感動しますた。
>>616 FreeBSDでmpd使えるような人なら、
たぶん楽勝っす。
FreeBSD mpd ipf(ipnat)でBフレッツにつないで。 ipsec racoonでIP-VPNを張って。 KAMEで6to4とかでIPv6使って。 zebraでstatic routeを設定しているけど。 zebra.confに ip route 192.168.1.0/24 192.168.1.1 してもダメ。 /etc/rc.confに static_route="vpn1" route_vpn1="192.168.1.0/24 192.168.1.1" としても、/24の静的ルートがつかない。 結局/usr/local/etc/rc.d/にroute addするスクリプトを置いてます。(これだとrouteが付く) なんか勘違いしているのでしょうか? ちなみに ifconfig gif0 create ifconfig gif0 tunnel こっちG_IP あっちG_IP ifconfig gif0 inet 192.168.0.1 192.168.1.1 netmask 0xffffff00 してgif0作ってます。
621 :
名無しさん@お腹いっぱい。 :03/06/19 03:55
Bフレッツ導入に向けてルータを作った(というか復活させた)んだけど、 FreeBSD5.1-Releaseを入れたものの、慣れないはmpd入れるの面倒だわで 慣れたNetBSDにしてしまった。 問題はUPnPだけなんだよな〜。 IP電話が普及してきたのでイラナイとはいえなくなった…
linuxigdで問題無し。落ちてもいない。 MSN Messengerしか使っていないけど。
>>621 4-stableから、5.1Rにしてみたけれど、
すっごい重くてまだルータにするには向いてないかも。
30Mbpsくらいでいっぱいっぱい。
前に5.0Rを試したときに比べたら軽くなってるんだけど、
5-stableまでは、遊び以外では辛いかも(´・ω・`)
C3 933MHzだから変に重いのかもしれないけど。。。
/etc/make.confと/usr/src/sys/i386/conf/HOGEをLINT参考にC3用にいじってmake worldしても重い?
>>624 /etc/make.conf
NO_CPU_CFLAGS= true
NO_CPU_COPTFLAGS=true
CFLAGS= -O -pipe
COPTFLAGS= -O -pipe
のコメントをはずして、ちょっとmake worldしてみるよ。
CFLAGS= -O2 -pipe COPTFLAGS= -O2 -pipe でもOk
CPUTYPE と CXXFLAGS+= -fmemoize-lookups -fsave-memoized も
628 :
名無しさん@お腹いっぱい。 :03/06/21 16:29
ADSL24Mの提供が近くなってきたら皆mpdに変更するような予感
電話局の隣に住んでないと24Mなんて出んぞ
計測厨は「俺の回線だけは特別で、ベストな設定さえわかればもっと出る」と思ってるのだよ。
いや、路線長が1.5kmを切っていたら、だめもとでチャレンジするかも。 路線長が2kmなのでsage
いろいろ実験してみたんだけど、 -O以外にの最適化オプションをつけると、 内蔵のvrがまともに動かなくなるっぽくてダメでした(´・ω・`) 結局、configファイル眺めてるときに デバッグオプションが全部はずれてないのに気づいて はずしてみたら、かなりいい感じなりました。 お騒がせしてごめん。
635 :
名無しさん@お腹いっぱい。 :03/06/23 19:28
pppって最終的に何Mbpsが限界よ?
>>635 1000Base-Tに2GHzOverなCPUなら
いくらくらい出るんだろうね?
ほそ○わさん実験してplz-
実験してるよ。やっぱ暇だなぁ。 あれ、ほそ○わってデブだっけ? あ、それはこ○のか。なんかかぶってるよな。
mpd + ipf + ipnat使って複数プロバイダに接続してる方、 mpd.confのset iface route とipnat.confのmapの設定ってどんな感じにしてます?
>>638 それはポリシーによるのでは?
うちは固定IPのほうはdstがそのアドレスの場合にだけ返事するようにして,自分が中から使う
時は非固定IPのほうを使うことにしている.ので,非固定のほうに
set iface route default
と書いて,/etc/ipf.rules に
pass out on ng1 to ng0 from *.*.*.* to any
pass out on ng1 to ng0 from any to *.*.*.*
# マスク部は固定IP
と書いてる.
>>639 サンクス。
>それはポリシーによるのでは?
そうですね…うちは非固定*2で、
自分が中から使う時に使うポートによってプロバイダ変えたいな…とか、考えてるんですが…
どうしていいやら…(汗)
>>640 だったら,
pass out on ng1 to ng0 from any to any port xxx
pass out on ng1 to ng0 from any to any port yyy
とかでどうでしょう.ってこれだと戻りが default route のほう使っちゃうのかな?
動かして確認してみてください.
もしそうだったらグループ化とかの機能使わないと駄目かも.
うちでも似たようなことやってるんだけど(マルチホーム?)、これやるとkeep stateできないよね? YAMAHAルータのfilter型ルーティング(要はpacket filterみたいなので引っかけて出口を選択させる) みたいなことってipfでもipfwでもできないんだよなー。 pfでもできないようにみえるけど、あんま真面目にみてないので自信ない。 うまく解決してる人いませんかね。
STABLEにipfw2キターーー?
クッそー、Yahoo BBに繋がんねーよ。
>>643 それはstableのデフォルトがipfw2になったという意味?
stableだってmake worldの時に有効にしようと思えばできるからねえ。
>>642 グループ化ってそういう機能だと思ってたけど違うんだ.マルチホームもどきじゃなければ
stateful inspection できるの?それは興味深いかも.
647 :
名無しさん@お腹いっぱい。 :03/07/01 04:06
Yahoo BBのモデムって、それ単体で世界に繋がってるよね。 あれって、どんな規格を採用してるのかな。802.1xなのかな?
(うわsageわすれた…スマソ) マルチホームもどきの問題は、keep stateしたinterfaceと packetの戻ってくるinterfaceがちがうのがいかんのだと思われ。 pass out on ng0 to ng1すると、ng1の「外」にpacketが置かれるので、 ipfではng1は反応できない。(NATは動く) だから、ng1でstateを覚えるわけにはいかない。 でも、ng0で覚えても返りのpacketは当然ng1に来るのでだめ。 かといってipfwでやろうとすると、今度はnext hopのIPを 指定しなくちゃいけなくて、ISPのgateway routerの設定なんて ぽこぽこ変わるからめんどくさい。 (繋がったときにsh scriptかなんかで書けばいいんだけど) そもそもipfwだとNATdが遅いうえに機能がすくなくてきついからなあ。 ipfw2の書式とかdummynetは魅力なんだけど。 ipfは優先/帯域制御ができん。 とかいってるとpfが魅力的に思えるんだけど、 FreeBSDのRELENG4.8ではつかえないという。 Linuxのiptablesぐらい余裕で突き放すような機能が欲しい…。
Celeron-1.2GHzの新マシンを組む時、ちょっとmpdとかが気になったけど、 結局慣れたppp+natd+ipfwにしてしまった俺… とりあえず下流のWin機からフレッツスクウェアで計測すると80Mbpsは楽に 出るようなので、速度に関しては気に病む必要はないのかな?
ちなみにBフレ新家族なんですが、同じWin機(P4-2.6C XPSP1)の標準PPPoE直結で計測すると 30Mbpsでした(w フレッツ接続ツール(2.2.2A)だと60〜80Mbpsといった感じで、どうやってもFreeBSD経由の速度と 安定性に及びませんでした。 なんか脱力したのでRASPPPoEを試す気力が失せた…
653 :
名無しさん@お腹いっぱい。 :03/07/01 19:49
FreeBSDでPF使いたい! 参考になるWebサイトありませんか?
>>650 top立ち上げてベンチ取ったりするとカナーリCPU喰わない?
セレ1.2とかだとCPUパワーでかなり救われているんじゃないかと思われ。
>>653 daemonnews.comの過去記事にリンクあるよ
>>654 Apache入れてawstatなどのちょい重めのcgiを動かしても、バックでHDDをゴリゴリ
いじめてもtopで見る限り3割を越える負荷は見当たりませんでした。
しかもその状態でも常に下流マシンのインターネット速度は微動だにしませんでした。
FreeBSDにネットを任せた時の堅牢さってこういう事を言うのかな?
>>656 PPPやNATDを使うとカーネルとユーザーランド間を
データが行き交ってメモリを食うと思うんだけど
メモリはどれくらい積んでるの?
>>657 積めるだけ。
と言ってもi815なんだけど…
topで見ても余りは全部キャッシュ行きだから余裕あるのかよーわからん。
ほそ○わさん、自分の収入目的で TOP にリンク張るのやめてください。 見苦しいですよ。
ちゅーか帯域よりもレイテンシーとかメモリチップへの負荷とかじゃないの? ユーザーpppのデメリットって。 最近のべアボーンはメモリへの負荷でだめぽに成る場合も多々あるし。
661 :
名無しさん@お腹いっぱい。 :03/07/04 18:45
そろそろフレッツADSL24Mに変えようと思ってるのだが、 pppで大丈夫だろうか?
100Mbpsの光で使っている人もいるから大丈夫でしょ
>>661 PPPoEサーバを自分で作って確かめればその疑問は解決するぞ。
FreeBSDをPPPoEサーバにするなら/etc/rc.confでpppoed_enable="YES"だ!
言うだけでなくおれも測ってみるとするか。
やっぱり pppoe なんて二度手間な重い処理かまさない YBB みたいな接続方法の方がいいのかもめ。 回線共有している以上 pppoe で vpn しなきゃいけないのはわかるが... 何とかならんもんかねぇ
vpn とかそういう問題よりも、認証したいのがメインかも。 そうじゃなかったらフレッツ以外(t-comとか) も PPPo* なのが理解できない。
667 :
名無しさん@お腹いっぱい。 :03/07/05 17:35
いきなりですみませんが、ipnatが動きません。 /dev/ipnat : Device not configuered とでるのです。いろんなページ見てカーネルを書き直してみましたが 一向に埒があかないのでここに質問させていただきました。
>>667 |いろんなページ見てカーネルを書き直してみましたが
どのように書き直してみたのか説明できますか?
kernel書き直せるほど凄腕なら自分でipnat実装してみたらどうでしょう?
>>665 分かるんだけど、本当に認証する必要ってあるのかね?
>>670 契約者以外に使われないために認証すんだよね?
素で質問、ADSL/FTTHのように使う回線が固定してる場合、
(PPPoE的な)認証をしなくても、プロバイダ側は接続元が
契約者だってわかるもんの?
672 :
名無しさん@お腹いっぱい。 :03/07/05 21:54
5.1-Releaseでmpdがうまく動かない… なんかいろいろ変わってるぽいね
FreeBSD 5.1-CURRENT #0: Sun Jun 22 23:32:00 JST 2003 では普通に動いてるけど,update しちゃまずいってこと?
>>672 うまく動きません
設定に問題はありません
ログはたくさんあるしスクロールしていくので書ききれません
scrollするぐらいでlogが読めないとほざく奴の技術レベルでは、たいして参考になりそうもないなぁ。 screenやscriptつかったのか? つーかmpdのlogをファイルに出せばいいのでは?
>>674 はともかくとして、netgraphが動かない
モジュールでnetgraph.koは読んでるんだけどifconfig -Cしてもngがないし、
option記述してスタティックでリンクしても同じです。
>>676 丁度、現在5.1Rのmpd立ち上げかけてるが何も問題なさげ。
「netgraphが動かない」という言葉に厨くささを感じるわけだが、
「netgraphが動かない」ならngctl listも「動かない」という事だな?
678 :
名無しさん@お腹いっぱい。 :03/07/06 13:17
>>674 は別の人です(苦笑
ngctl listでは
Name: ngctl562 Type: socket ID: 0000000c Num hooks: 0
Name: vx0 Type: ether ID: 00000002 Num hooks: 0
Name: dc0 Type: ether ID: 00000001 Num hooks: 0
って感じなんだけど、mpdすると
[:] load flets
[flets] interface "dc0" is not a netgraph interface
[flets] netgraph initialization failed
mpd: no bundles defined
mpd: no bundles defined
ってなっちゃう。
FreeBSDの作法よく知らないので単純なところミスってる可能性が高いな。。
やっぱpppoeが楽なNetBSDに帰るか…
>>678 mpdが動いてるときのngctl listは?
つか > interface "dc0" is not a netgraph interface か。 mpd.confの記述が間違ってる。 new -i dc0 とかやってるべ。
とりあえず、動かないと騒いでいる奴はngctl listして Name: ??? Type: ether ID: 00000001 Num hooks: 0 が無ければ kldload ng_etherしてみろ。
682 :
名無しさん@お腹いっぱい。 :03/07/06 17:53
>>680 ごめんそのとおり。完全にポカミスですた。。。。
というわけで普通に動きました。ありがとう。
ところで、set iface addrsを書き忘れたら、こんな表示になってワロタ
# mpd
Multi-link PPP for FreeBSD, by Archie L. Cobbs.
Based on iij-ppp, by Toshiharu OHNO.
mpd: pid 499, version 3.13 (root@ 23:31 4-Jul-2003)
[biglobe] ppp node is "mpd499-biglobe"
[biglobe] using interface ng0
Usage: set iface route dest[/width]
Usage: load system
[biglobe:ng_ifaceによるインポ
[biglobe:ng_ifaceによるインポ
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^プロンプト
684 :
名無しさん@お腹いっぱい。 :03/07/09 00:50
celero366程度でも平均62Mbpsくらいいくね>mpd+ipf+ipnat kameも踊るようになったし、とりあえず(゚Д゚)ウマー
そういえばみんなv6はどうしてるの? 漏れはv4アドレスがここ一年変わらないYBBからKDDIのオープンルータ。 v6直のつわものの武勇伝も希望。
options INET6でまんま使えている。 会社ではIIJのトンネルで。 自宅ではfeel6だったり6to4だったり。
>>685 もれもKDDIの6to4使ってる。
でも、特にIPv6を使う必要性が無いので通常はそこにデータを流していない。
689 :
名無しさん@お腹いっぱい。 :03/07/09 12:55
690 :
名無しさん@お腹いっぱい。 :03/07/09 20:24
mpd+IPFilter+IPNATでフレッツにつなごうとしたんだが、 mpdとパケットフィルタは働くものの何故かNATがかからない。(;´д`) なんでやろ。誰かヒントください。おながいします。 ↓カーネルコンフィグ抜粋 options IPFILTER options IPFILTER_LOG ↓rc.conf抜粋 gateway_enable="YES" ipfilter_enable="YES" ipnat_enable="YES" ↓ipf.rules pass in all # block にしたら pass out all # ちゃんとblockできる。 ↓ipnat.rules map ng0 192.168.0.0/24 -> 0/32 portmap tcp/udp auto mssclamp 1414 map ng0 192.168.0.0/24 -> 0/32 ルータマシンからは外にアクセスできる。 LANから外にpingを飛ばすと、ipfstat のinput packetsとoutput packetsは passedが増えていくんだけど、ipnat -l のactive sessionに出てこない。(T-T)
ルータにぶら下がっているマシンのdefault gatewayとか。
えっと、LAN内のマシンからルータ機にはアクセスできてます。 default gatewayはおっけーです。
すまん、いろいろいじくってたら成功したっぽ。 ちょっと整理してみまつ。
ipfilterってインターフェイスが活きてないときに 走らせるとうまく効かないっぽいよ。 起動時に mpdが活きるのが、ipf/ipnatより後なら /etc/rc.confだけに記述してもダメなんで /usr/local/etc/rc.d/あたりで走らせると良いかも
うちでは面倒なので,set iface up-script で走らせてるぽ. #!/bin/sh /etc/rc.d/ipfilter resync /etc/rc.d/ipnat restart
みなさんが*BSDでつくったNAT箱には、どんなデーモンや機能を走らせて いますか? うちは、VPNが使いたかったのがメイン目的なのでFreeBSDを使いました。 現在はNAT箱にはその他のデーモンは走らせてません。専用機としてます。 ・IPsecのVPNトンネル(racoon) ・PPTPのRASのVPN(mpd) ・SSL-VPN(stunnel) ・ダイナミックDNS(isc-dhcpd, bind9) ・SNMP監視(net-snmp5) ・IPv6への6to4やv6トンネル ・VRRP(freevrrpd) ・ガンダムがみたい(マルチセッションとbind9) なところが要望で、FreeBSDになりました。みなさんはどんなもんでしょう?
ついでに、なにか「これいい!!」とかいうデーモンありますか?
linuxigdでUPnP。 MSN Messengerとかを使わないのなら別に要らないかも。
ez-updateでdynamic dns mrtg+apacheでトラフィックのグラフ化 snortでIDS #あ、全部daemonじゃないや(W
Webalizer で apache のlog解析 MRTG で温度表示:D ntpd で時計合わせ&LANに時間配ってる
xmbmon-noxとrrdtoolで温度計
NTPサーバ
あ、ガイシュツじゃねーか。 ということでqmailでメールサーバ。 メールボックスは設けず単に自分のISPのメールボックスへの転送に使ってる。 aliasで無限にメアドが作れるので、通販とか掲示板で使うための使い捨てメアドに便利。
pkg_infoしてめぼしいのを紹介 distcc-2.7 分散コンパイルに djbdns-ipv6-1.05.b14_4 bind置き換え portupgrade 必須 scponly rsyncでの分散バックアップに dtcp モバイルにIPv6を使えるようにトンネル
会社からhttptunnel…
>>704 >portupgrade 必須
ですな。
FreeBSDはこれのおかげで数あるUNIX系OSの中でも
かなり使いやすいものになった気がする。
ちなみに似たような仕組みを持つGentoo Linuxもがんばれー。
707 :
名無しさん@お腹いっぱい。 :03/07/12 20:35
誰か、niftyのDDNSサービス使ってる香具師いませんか? IPアドレスの更新を自動でやる方法を知りたいのですが。 教えて君でスマソ。
>>706 disc1のpackagesに収録されているから、リリースエンジニアリングにも重要性は理解されている感じ。
みんなありがとん。うちのマシンはCFから起動してんで、
ログ関連はできません。ログは内部のマシンに転送してまつ。
>>698 linuxigdには挑戦してみたいな。でも、portsでmakeできんかった。
ちょっと、調べて再挑戦してみまつ。
>>699 ez-updateも挑戦してみる。固定IPなんで、実験だけど。
snortをNAT箱で稼動させるとスループットが激遅になるんで、
うちはportsentryにしてまつ。
>>700 ,702
ntpサーバはすでに走らせてた。
>>701 これもいい。
>>703 捨てアドの利用でつか。おもしろい使い方でつね。試してみまつ。
>>704 dtcpも試してみまつ。
>>705 httptunnelなら、stunnelで同じことできまつよ。
>>709 ほんの数週間前までmake packageできたけど。
なんかUPnP SDKのライセンスが厳しくなってどうのこうのってニュースで書いてあったなぁ。
それが影響しているのかも。
kk
何の問題も無くmakeできるが... >linuxigd 7/10にcvsup, 5-current
>>709 devel/upnpいれてnet/linuxigdでいけたよ〜 5.1R
なお、うちの会社の串はSSL tunnelいけないみたいです。よく調べてないけど
HTTPS串経由でトンネルするのってどうやるの?ポインタキボン。
「トンネル掘削機 SSL」とかでgoogle
716 :
名無しさん@お腹いっぱい。 :03/07/14 07:11
>>709 CFから起動という事ですが、CFは書き込み回数に制限がありますよね。
ログをCFに書き込まずに、別のPCに転送していれば書き込み回数制限は気にしなくて良さ
そうですか?
6to4をするPPPoEルータとしてFreeBSDを使おうと計画中です。
8月にEdenの新型でCFがそのまま使える製品がでるので、それでつくろうと思っています。
LinuxのMagicNCみたいに、/usrとかroマウントしたりファイルバッファのsyncを600秒ぐらいに延長したり。 メモリを沢山さしてmfsとか使ったり。 そうすれば数年ぐらいは使えるのでは。
>>715 ありがとん。キャッシュが見れました。(本体は何処へいったか気になる...)
portsになってるのを発見したのでまずはそれで試してみます。
「トンネル掘削機」で日本語だけ検索にしてgoogleすると、1位だよ。
mpd+ipnatでunnumberedに無理やりしてみた。さて浮いたグローバルアドレスをどう使おう。
>>710 そうですか。もし本当なら悲しいことでつね。
>>713 4-stableの2003年6月頃なので、cvsupしてみます。5.1を
FWにはまだできないような気がするので・・・。
>>716 picoBSD参考に、mfsroot(またはmdroot)で起動してまつ。
起動後、CFは引っこ抜き。だから、CFに書き込むのは設定ファイルを
変更するときだけてつ。
自宅のマシンは、メモリ64MBで、16MBのCFで起動してまつ。
mfsrootに32MBを割り当ててますが、先のもろもろのデーモンを
走らせてもメモリに余裕がありまつ。
724 :
名無しさん@お腹いっぱい。 :03/07/15 00:20
>>722 NetBSDにしてCFとmemfsでunionfsなんて萌えないか?
>>723 CD-Rにした場合、設定変更はできないのではないのかと?
設定を保存する場合FDなりの書込み可能メディアが必要だから、
個人的にはいまいちでつ。
また、物理稼動ドライブが増えるから故障要素が増えて芳しくないでつ
>>724 そっちの方面、勉強してみまつ。個人的に、前話題にでた、OpensBSD
のPFがすげーいいので、そっちにそそられる
726 :
名無しさん@お腹いっぱい。 :03/07/15 08:05
NetBSD1.6.1に6to4させたいのですが、設定方法がよく分かりません。 ifconfig gif0 create ifconfig gif0 tunnel "自分のグロバル固定IPアドレス" "kddilab.6to4.jpのIPアドレス" ifconfig gif0 up route add -inet6 default 2002:caff:2d05::1 ping6 www.kame.net としましたが、100%パケットロスしてしまいます。 間違っている設定がありましたら教えて下さい。
NetBSDでもstfつかうんじゃないの?「6to4.jp NetBSD」で検索してみれば。
__∧_∧_ |( ^^ )| <寝るぽ(^^) |\⌒⌒⌒\ \ |⌒⌒⌒~| 山崎渉 ~ ̄ ̄ ̄ ̄
736 :
名無しさん@お腹いっぱい。 :03/07/15 19:49
age
738 :
名無しさん@お腹いっぱい。 :03/07/15 20:41
>>728 ありがとう!
stfを使わなくても6to4を使えると思っていました。
調べてみます。
740 :
(;´Д`) :03/07/15 21:00
742 :
名無しさん@お腹いっぱい。 :03/07/16 03:28
>>726 netbsdで6to4やってた。
freebsdのrc.*のどこかにあった6to4設定用関数をパクってスクリプトとして使ってた。
ifwatchdから立ち上げて、pppoeの開始時に自動で6to4できてたよ
>>742 おぉ!
ということは、rtfを有効にしなくてもいけちゃいますか?
NetBSDでカーネルの再構築はしたことがなかったので、調べ中です。
744 :
名無しさん@お腹いっぱい。 :03/07/16 09:08
>>726 ifconfig -C
無かったら再構築しなきゃダメだろ
別にやり方はかわらん sys/arch/i386/conf とか場所が違うだけ
ちょっと脱線ですが、お薦めのFW向けベアボーンありませんか?
希望の仕様としては、
1)CPU: 500MHz以上(NAT+Firewallでワイヤースピード)
2)LAN: 10/100のNIC x 3 以上
3)MEM: 128MB以上搭載可能のもの
4)B5ブックサイズ(高さは4, 5cmぐらい)
5)値段は5万以下
6)できればファンレス
といったところです。一年前に、秋葉原のT-Zoneでみた、
http://www.lex.com.tw/case-light.htm http://www.lex.com.tw/cv860a.htm に一目ぼれで、販売してくれるかと思ったんですけどぽしゃたようです。
そのときの価格は\39800です。
組み込み系のMBはこのスペックでMB単体で、7-8万ぐらいするから
いいのがないのですよね。なんかお薦めあったら教えください。
>>745 >2)LAN: 10/100のNIC x 3 以上
>4)B5ブックサイズ(高さは4, 5cmぐらい)
両方は無理
748 :
名無しさん@お腹いっぱい。 :03/07/17 18:25
漏れは6to4兼パケットフィルタリング兼PPPoEブロードバンドルータ兼 必要に応じてVPNを掘れるルータ、が必要なのでNetBSDかFreeBSDを使って それを実現させたいです。 回線はBフレッツベーシックで、NATはPath MTU Discovery問題用にmssclampの設定を するだけです。 そのために、省電力でBフレッツのパフォーマンスを充分にいかせるパフォーマンスを もったPCを探しているのですが、EPIA ME6000 EDEN-600MHzでは、CPUがネックになってしまいますか?
mpdにしたらCPUパワーは余っているのでdnetcを走らせてます。 pppの場合はメモリの速度が重要かもね。
>>747 >価格: オープンプライス(想定売価¥59,800前後)
こんなもんだろ
>【使用上の注意】
>ベアボーンキットのインストールには別途USB接続のCD-ROM等をご使用ください。
USB・・・
他のPCでHD初期化&インストールファイルを入れておけばいいか
注:実際のインストールはしない
>>745 これくらいじゃないとNIC沢山入らない。
ttp://www.aopen.com/products/baresystem/Slim%20H340.htm このシリーズの昔のやつでC3 667MHz搭載のが39800(CPU付き)でアキバに
出回ってたことがあってそれを今もdisklessのデスクトップ(FreeBSD)に使ってる。
FANは電源FAN一個だけ。
この電源FANは温度検知でブーストするが低速回転時はそれなりに静か。
高速になるのは電源投入直後の時くらい。
普通のmpeg再生は問題ないがDivxの高画質ものは苦しい。
このあたりは3D関係命令セットが無いに等しいのとVGAがTridentだからで
ネットワーク性能とは別かな?
Pro1000を1枚挿してる(内蔵NICは抑止)がメモリとCPUが追いつかないみたいで
いまいち。
120Mbps程度。
ターゲットとするスループットにもよるが3port routerなら高FSBと高メモリクロックで
chipsetを選ぶべし。
1GbpsのスループットのTCP/IP通信にはPentium4の1GHz分のCPU処理を喰うそうだ。
100Mbpsなら100MHz分かな?
バス/メモリのスループットは各回線のスループットの和を目安に。
>>747 ,751
NICが2つしかない時点でわれてきには却下。DMZは必須。
でもデザインはぐっときまつ。
752>>
非常にさんこうになりまつた。あんがとございまつ。
Intel82559でipfw+natdのときのスループットを計測したことがありまつが
、Celeron500ぐらいでワイヤースピードを実現できまつ。これ以上は、
NICとSWの規格で計測できませんでつた。CPUを変更しながらPen2-266
からCeleron1000まで5,6種類のクロックで試したのでほぼ間違いないか
と(きちんとクロックとスループットが比例してまつた)。VIAのC3または
EdenもFSBクロックを変更しながらテストした結果、多分、700MHzぐらいで
100Mbpsはいくかと思いまつ。言い方があやふやなのは、そのときは
70Mbpsで頭打ちして、CPUのidle値が増えるだけだったからでつ。
ipfilterを利用すると、1割、2割低いクロックのCPUでいくかと思いまつ。
今なら、GBNICでその上のテストができそうでつね。環境準備するの
が大変だけど。
755 :
名無しさん@お腹いっぱい。 :03/07/18 20:20
NetBSDで map pppoe0 固定グローバルIP/29 -> 0/0 mssclamp 1414 としてmssclampを設定するようにしているのですが、2週間ぐらい問題なく動いていたのに 3時間ほど前に急に一部のWebサイトがみれなくなってしまいました。 /etc/rc.d/ipnat restartしてもipfilterをrestartさせても、直りません。 対処法が分かる方がいましたら教えて下さい。
うおーーーーー 再起動させて、設定をやりなおしたのですが、直りません。 ヘルプーーーーー
>>755 その一部のサイトは、急に見られなくなる前には見られたんですか?
つまり快調な時期に訪問したことがありますか?
tcpdumpくらい出来ない奴は市販のブロバンルーター使っとけ。
>>759 tcpdumpをやっと使えるようになったやつ発見。
761 :
名無しさん@お腹いっぱい。 :03/07/19 22:47
QUBE-AC/1Gをルータとして使ってる人いる? これ、ルータには最適な気がする。
765 :
tester :03/07/21 14:23
>>636 PPPoEではありませんが単純にEthernetにおいて転送性能を
RouterTesterで測定したら100Mbpsフルで出るようです。
FreeBSD 5.1-RELEASE/SMP kernel enable ULE scheduler
Dual Athlon MP2600+
DDR2100 2GB
Intel 64bit PCI Dual 1000Base-T ServerAdaptor MT (em0/em1)
Latencyが100μsecオーダーなのが専用機とは違いますか。
766 :
名無しさん@お腹いっぱい。 :03/07/21 15:08
FreeBSDでルータ作成中なのですがfirewallの設定は今は openなのですけどw3mとかでgooとか他のサイトは速攻表示されるのに yahooだけはいっこうに表示されないのは何が原因なのでしょうか・・? 宜しくお願いしますm(_ _)mマジでわかんない・・・ firewallがいけないんですかね・・?
しっかりpingは通るのですが・・・
>>766 tcpdumpの使い方を覚えてトライしてみよう。
分からないなりに何とかなるはず。
akamaiがらみかね?
googleも表示されませんでした。 tcpdump・・・・パケットの流れを表示するソフト・・? ちょこっとしらべてやったけどいまいちうまく いってないっぽいな・・・
770 :
名無しさん@お腹いっぱい。 :03/07/21 16:09
外側から内側へはリンクが張れない, 内側から外側へも決まったポートにしか でていけない(相手側 22, 80 のみ通る)ルータマシンを ipfw で構築しています. このような環境でパッシブ ftp をうまく通せるような ipfw のルールの書き方は ありますか ? 相手側の ftp のデータ転送用のポートが決まった時点で, それに関するルールを ipfw に追加できればいいのですが, それは無理ですか ?
tcpdumpでパケット情報みたいなのを見ることに成功しました。 googleにつなごうとしてるところをtcpdumpで見ましたが いったい何言ってるかわらかない・・・ なんかつなげようとはしてるみたいですけど・・・ どなたかご教授を・・
だいたいなんでyahooとかgoogleが表示されないかわからない。 彼らは何か遮ってるのでしょうか?
>>772 Path MTU Blackholeで検索してごらん!
>761さん おぉおー 何で繋がらないか意味がわかった そして繋がった!!どうもありがとうございました♪
>>766 で、同じ原因に陥った人のために
手順のここに書くというのはなしですか?
せっかく分かったんだし何か書いておけば?
その意味の無い報告だけじゃなくてさ?
単純明快 /etc/ppp/ppp.confの設定の mtu の値が 誤っていたからでした。
>>776 だから、どう誤っていたのよ・・・
と知ってて書いてみる
>>777 なに、報告の仕方について教育してるつもりなの?
779 :
8021.Q :03/07/21 21:46
5.1Releaseをインストールしました。 以前からここの環境ではVLANを多用しているので4.7の時と同様に カーネルのコンフィグで、 pseudo-device vlan 8 として再構築したのだがエラーが出ます?? 5.1からは変わったんですか。困ってしまいました。 お助けください。
>>779 どういうエラーが出るの?
これまではどんなログを見て正常に
動いていると判断していたの?
俺らがエスパーだとでも思っているの?
>>780 pseudo-device vlan 8
で再構築すりゃエラーでるからわかるだろ。
782 :
8021.Q改めIEEE802.1Q :03/07/21 22:22
>780 # config KERNELFILE の時点でエラー makeする全然以前の話ということで。 781さんのとおりです。
779が戻って来るまでこのネタは放置ということで。
放置のあいだVLANはどうやって使うか教えてください。 尾長居します。やっぱCISCOのスイッチとかがないと 使えないんですか?
# cp GENERIC MYKERNEL として、最下行に pseudo-device vlan 8 を追加。 # config MYKERNEL config: MYKERNEL:267: syntax error となります。 syntax error なので VLAN昨日追加の文法が変わった のかと思うのですが・・・ アドバイスよろしくお願いします。
>786 そう変わったんですか。 早速やってみたんだけど、Release4.*の時は pseudo-device vlan 8 と、vlan インターフェースの数を例えば8個と指定して コンパイルしたので、ifconfigで見るとvlanインターフェース がその数だけ出てきたのでわかりやすかった。 device vlan加えてコンパイルしたのですが、vlanインターフェース の作り方がRelease4の時と同じではうまくいかないです。 そこらへんもアドバイスいただけないでしょうか。
>>788 man vlan(4)
echo 'cloned_interfaces="vlan0 vlan1 ..."' >>/etc/rc.conf
>>788 man vlan(4)
echo 'cloned_interfaces="vlan0 vlan1 ..."' >>/etc/rc.conf
791 :
名無しさん@お腹いっぱい。 :03/07/22 13:09
mpdとipfilterでBBルータを作る場合、どの程度のPCスペックがあれば100Mbpsに 近いスループットを出すことができますか? ルータは省電力、静音を考えてるので、C3辺りをチョイスしようと思ってます。 C3-1GHzで組んだPCとCeleron2.0GHzで組んだPCで比べた場合で、1日の電気代はどの程度変わってくるのかな?
電気代はCPUでは大差でないだろ。電源とかが一番食うんだっけ? mpdだと333MHzでもBフレッツ100Mは大丈夫だったという記述を見た記憶が。
ばんなそかな!
新説堂々の登場
>> 791
Cel 2.0G 52.8W 28yen/day 10,036yen/year
C3 Nehemiah 1G 11.25W 6yen/day 2,138yen/year
C3 Ezra 1GHz 5.7W 3yen/day 1,083yen/year
電力量料金 1kWh 22円
大差あると見るか無いと見るかその人次第
>>793 ばんなそかな!
ちょっと気に入った
>>792 う〜ん、CPUはPCのパーツの中では最も電気を食う場合が多いと思います。
高性能のビデオカードも凄いみたいですが。
>>795 かなり、違うと感じました。
Celeron-2.0GHzとNehemiah-1.0GHzのパフォーマンスの差を電気代に見出せるかですよね。
今回は、PCルータなのでそこまでパフォーマンスが欲しいわけじゃないから、C3にしようと思います。
しかし、IPsecでVPNを使ったりするとCPUの性能がそのままパフォーマンスUPに繋がりますよね。
かなり悩みます。
長く使うために、WAN側が1Gbpsになるのを予測して、余裕をもってCeleronにしようとか考えたり。
797 :
名無しさん@お腹いっぱい。 :03/07/22 21:36
>>791 celeron366で、フレッツスクェアで72Mbps出てるよ。
これ以上はパケット自体のロスもあるから難しいんじゃないかな。
ちなみにFreeBSD5.1Rにmpd+ipfilterです。
コンパイルなんかも考えると、500MHzくらいあるといいかな〜、ってところでしょうか。
個人的にはceleron1.0Aがほしい
>>791 MAXで >795 の数字と考えるべきだと思わないのですか?
データが流れていないときは消費電力は
ぐぐっと下がりますよ?
>>798 MAXで >795 の数字と考えるべきだと思わないのですか?
これは、どういう意味ですか?
何を言われているのかよく分からないのですが・・・・・・
CPUは働いていないときは消費電力が下がる
を ややぞろ目
クロック上がるとPC全体の消費電力も上がるよね。
>>795 はそれを除外したCPUのみの消費電力なわけだ。
mpd+ipfilter+ipnat で、インターネット接続している状態で、 家の中の複数のPCからPPTPでVPNしようとしているのですが 最初の1台は問題ないものの2台目は接続することが 出来ません。1台目の接続を切ってしばらくしてから2台目の マシンで、接続を試みると接続できます。 これは、何らかの制限で2台同時に使うことは 出来ないということでしょうか?なにか解決方法とかありますか?
>>804 mpdをpptpのクライアントにする。
>>803 なるほど。そういう事でしたか。
ありがとうございました。
807 :
名無しさん@お腹いっぱい。 :03/07/24 11:32
ipfw+natdでlinux-igdとupnp使ってMSNメッセのファイル転送できてる人いる?
808 :
名無しさん@お腹いっぱい。 :03/07/24 12:45
NetBSDでカーネルモードPPPoE+ipfilter+ipnatを使っていたのですが、 30分ほど前に急にWebページが最期まで表示されなくなってしまいました。 FTPは使えますし、pingも通ります。 しかし、Webページだけがうまく表示されないのです。 /etc/ipnat.confでは map pppoe0 グローバルIP -> 0/0 mssclamp 1414 としています。 tcpdumpでpppoe0とLAN側のNICの宛先port 80をみてみたのですが、pppoe0 を通るパケットのmssが1460となっていました。 これは正常にipnatが変換してくれていないという事でしょうか? 何もしていないのに急に、このような現象が起きるのは何なんだろう・・・・
>>807 MSN Messengerはまた別のポート転送が必要だという記述を見かけた
UPnP linuxigdとかでgoogleってみて。
MSN Messengerは port 135
>>808 メモリが足りないとか低スペックで蟹NIC使ってるとか。
以前、蟹NIC2枚挿しのPCをルータにしてたんだけど、大容量のファイルをダウンロード
したりすると、完全にNICが使えなくなるって事があった。
ハードの方の問題じゃないかな?
814 :
名無しさん@お腹いっぱい。 :03/07/24 20:58
ルータ用のPCにギガビットイーサを2枚挿すと何かメリットある? WAN側が100Mbpsだとしても、ギガビットイーサにすればパフォーマンスあがるのかな?
無意味
816 :
名無しさん@お腹いっぱい。 :03/07/24 21:25
10%程度はあがる可能性あるんじゃない? オーバーヘッドが緩和されて。
いったいどこにオーバーヘッドが…。 1000BASE-TのNICは1000BASE-Tに最適化されているわけでして、100BASE-Tx では余計に効率が悪くなるのでは?F1カーのエンジンを軽自動車に乗せて一般道 を走ったら燃費悪くなるでしょ。発熱も増えるし。
819 :
名無しさん@お腹いっぱい。 :03/07/24 23:04
DNSキャッシュとか、proxyとか、その他の内部通信とか色々あるだろ。
820 :
名無しさん@お腹いっぱい。 :03/07/24 23:06
あと、アレだな。 100BASEを謳ってるカードには100Mbpsでない奴が多い。 Intelや3com使うなら別だけど。 1000BASEなら、とりあえず100Mbpsモードで理論値の半分しか出ないって事はないだろ。
もっともらしい嘘をつく奴ってどうしてageたがるんだろう。
つーか32bit 33MHzのPCIバスに指しても全然帯域を使いきれないぞ。1000BASE-TX NIC。
>>822 age/sageにこだわるやつってMLとかでいちいち、
「全文引用はやめましょう」とか言っているやつなんだろうな。
無知を観察するのが好きなだけだ。
内部通信するためにNICまでデータが送られると思っているのだろうか…
>>926 ほら。夏だから。
休み前は良スレだったじゃん。
1000BASE NICは内部のFIFOが大きいからDMAが速い とかはあちこちで良く聞くな。 FIFOと言いたいだけちゃうんかと。。。
独り言板でおながいします。
>>832 うっせ。 もうmpdのパッチつくらねーぞ。
834 :
名無しさん@お腹いっぱい。 :03/07/25 23:50
というか、論点を整理しようか。 1000BASE-Tを刺せば、100Mbpsで動作する。ここまでは良い。 で、100BASE-Tカードだと100Mbpsでない奴があるので、1000BASE-Tを刺した方が きっちり100Mbps出るから、刺した方が良いって事だよね。 カードの処理能力的に100Mbpsは確実に出るわけだから。 で、後に1000BASE-Tで1000Mbps出ないよと言う意見がでたけど、 これは1000BASE-Tを100BASE-Tとして動作させる話しとは別の話だよね。
っつーかemを100baseで使った場合と、fxpを100baseで使った場合のベンチとかしてないと無意味。 またemをどういう接続にしているのかというのも。 ngeとemはCPU負荷とか違うのか? とか。
>>834 用語がめちゃくちゃだぞ。
誤100BASE-T ->正 100BASE-Tx
誤1000BASE-Tx -> 正 1000BASE-T
1000BASE-TxのNICはまだ出回ってない。
>>838 ifconfigのemメッセージ気になってた。。勘違いする人いるんだろうなっと。
>>833 今パッチを作ることにどんな意味があるのよ。
解決できていない問題を列挙してみそ。
誰かunnumberd接続において、mpdで成功した人いますか? いたら、コンフィグみせて頂けないでしょうか? よろしこ、お願いしまつ。
843 :
名無しさん@お腹いっぱい。 :03/07/26 02:21
>>834 1000Base-Txの話なんか関係ないだろ。
100BASE-T4なんかも存在することにはするぞ。
100Baseには、100BASE-TX、100BASE-T4、100BASE-FX、の3種類が存在する。
844 :
名無しさん@お腹いっぱい。 :03/07/26 02:22
>>841 ほっとけって、始めっから作る気無いんだよ。そういう事言う奴は。
845 :
名無しさん@お腹いっぱい。 :03/07/26 02:23
>>841 ほっとけって、始めっから作る気無いんだよ。そういう事言う奴は。
>>833 バイバイ。あんたが居なくても他の奴が書くから帰って良いよ。
gigabitイーサのNICは、割り込みの回数を低減する機能が搭載されて るものが多い(というか、まともな奴なら搭載されてる)から、NICから の割り込み負荷の高い状況、すなわちFreeBSDのdevice polling機能が 有用な状況であれば、100BASEの環境でも性能が上がる可能性はある。 バッファも多いからその点も、負荷の高い状況で有利だろうな。 どちらも、負荷を下げるという効果が主なので、負荷の軽い状況だと、 性能に違いは見えないと思う。割り込み回数の低減は、840のレポート にあるように、転送速度に若干の悪影響を及ぼす可能性もある。 816がそこまで考えて書いてるかどうかは知らん。
>>848 もうそういう嘘をつくなって。
お前は小さいころからすぐ嘘をついてしまう子だったよね。
悪い子ではないんだけどねぇ。
852 :
名無しさん@お腹いっぱい。 :03/07/27 00:20
大口をたたく奴に限ってなにもしない法則。by UNIX
どうせ脳内にしかないパッチだろ?(藁 脳内の cvs にでも commit しとけ(プ
藁やプを書き込む奴は「夏」の法則
> 藁やプを書き込む奴は「夏」の法則 藁藁 ププ (w(w
夏だというのに寒い寒い
>>856 うまい!うますぎる!
いやまったくそのとおりだよ。
858 :
名無しさん@お腹いっぱい。 :03/07/28 15:10
寒い奴は夏真っ盛り
なつだなあ...
861 :
名無しさん@お腹いっぱい。 :03/07/28 23:56
>>846 うるせー、書き込んだ後にサーバが重くてちょっと間があるときに
次のことが思い浮かんだから書いたんだよ。( ゚Д゚)ゴラァ!
そしたら、前の奴が反映されてたんだよ。
二つ飛ばそうと思った訳じゃねーよ。
なにげに惨めなヤシだな…
863 :
名無しさん@お腹いっぱい。 :03/07/29 00:54
おいらは何時でも熱いのさ
>>847 > の割り込み負荷の高い状況、すなわちFreeBSDのdevice polling機能が
> 有用な状況であれば、100BASEの環境でも性能が上がる可能性はある。
> バッファも多いからその点も、負荷の高い状況で有利だろうな。
ギガビットイーサの場合、漏れの環境ではFreeBSD と比べて
Windows の場合の方がパフォーマンス(スループット)がよかった。
(大きめのパケットを扱った場合)
起動しているプロセスやカーネルレベルでの処理の違いなど、
条件が全然違うから単純に比べられるものではないかもしれないが
これはやはりドライバの出来によるものなのか?
>>864 FreeBSDのバージョンは?
現在の5-currentは特にネットワーク周りのパフォーマンスが
4-stableに比べてかなり劣るよ。
>>865 >
>>864 > FreeBSDのバージョンは?
5.1R で試しました。どうもドライバの割り込み周り
がよくないらしい。
ちなみに、ギガにする前に100BASE-TXのNIC(3com)を
使って同じようにPCルータにしてましたが、その時は
80〜90Mbps出てました。
すいません。教えて君で申し訳ない。 FreeBSD-5.0Rでこれからブロードバンドルータ作ろうと思っています。 余ったPCでやるんでNIC一枚しかないんすよ。 とりあえず、そんなことできる? /etc/rc.confにnetwork_gateway="yes"で1個のNICに割り当てた複数のエイリアス間でパケット通してくれるんでしょうか?
>>867 できるよ
でも強いて5.0Rにする理由がないなら4.8Rを使った方が良いと思うがなー
ましてFreeBSDは初めてのようだし
>>867 出来なくはないがNIC買って済むことなら2枚でやる事をすすめる。
>>867 うちはFreeBSD5.0RでNIC一枚ルータやってるよ。
一枚しか刺さらないマシンなので。
一枚でやる時の最もイヤーンなところは、インターネット側から届いたパケットがLAN内に直接入ってくるところだな。 フレッツは一年ほど観察したがPPPoE以外のパケットは届いていないのでほぼ安全だろう。 YBB!ではやる気はしないな。
>>871 うちで使ってるフレッツADSLモアU用のモデムは
PPPoE以外を弾くことができるみたいです。
(素通しする設定にもできる)
∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ
875 :
名無しさん@お腹いっぱい。 :03/08/04 07:47
>>874 面白い製品ですね。
でも、LANポートは2個あれば充分なんだよなぁ。
3つあるって事は、1台でDMZ、LAN、WANと繋ぐ用?
私の場合、LANカード2枚挿しのPCルータを2台使って、DMZとLANをわけているので3つは必要ないんだよね。
余ったLANポートを使って何か面白いことできないかな?
録画サーバーにするにはCPUがあれだし。
>>875 ところで、2台を使ったDMZ構成ですが、1台のNIC3枚構成と比べて
FWマシン自体のセキュリティ強度とセキュリティポリシーの区分化が
できるため、ネットワーク全体のセキュリティ強度があがるというのは
わかりまつ。しかしながら、DMZ、LANのホスト群に対するセキュリティ
強度はかわりません。ところが、専門書などは、大方、2台構成によ
るDMZ構築を紹介しています。
大企業なら2台構成の方がスループット面でも有利ですが、SOHOや
事業所レベルではオーバースペックであり、2台の運用が大変に思う
のですが、どうなんでしょうか?
事務所レベルでも2台構成をみるとメディアに踊らされすぎている
ようにおもったりしまつ。
>>874 は事業所・中小企業規模には最適なFTTH用FWになるのでは
とおもいまつ
自宅・事務所では2台でのDMZ運用は困難なんで、私には最適でつ。
>>877 もっともな意見だと思います。
私もメディアに踊らされている内の1人だったりします。
雑誌やWebサイトの解説をみて、PCが余ってるなら2台のPCを使った方が良いんだなぁ。
と思い、2台構成にしただけです。
WAN−DMZにPentium3-800MHzのタワー型PC、DMZ−LANに古いノートPC
を利用しています。
消費電力もそうですが、一番困っているのは場所をとるという事でした。
そう考えると、Light System Wirelessは最適な気がします。
気になるのが、FW専用に使う場合CFが何年ぐらい持つのか?という事です。
2.5inchハードディスクを使った方が良いのかな?
他にも、以前RealTek製のNICを使っていたのですが、負荷が高くなると通信できなくなってしまうという事がありました。
RealTek製のオンボードNICが3つとのことで、ちょっと心配です。
今はそんな事もないのかな?
879 :
名無しさん@お腹いっぱい。 :03/08/04 15:13
Linuxだとカニでもいいんだろうけど。 FreeBSDだとfxpがいいよなぁ。
>>881 カニは普通に使えるんじゃないの?
ドライバに「クソカード」だって書いてあるけどな。
うちで普通に使ってるけど
誰かあまってるfxpくれ。
>>878 やはり場所と管理コストですよね。
CFについての寿命ですが、書き換え回数がポイントとなりまつ。
一般的なCFで同じメモリセルに対して30万回、工業用途のCFで
50万回といわれていまつ。詳しい資料は下記で。
ttp://www.hscjpn.co.jp/download/file/CF_ATA_kakikae_jyumyo.pdf で、*BSDならMFSやMDにファイルイメージを格納したり、
/を通常はro、/varをMFSやMDにして、書込み回数を減らし、CF
へのアクセスを起動時と設定変更時のみだけにしたりすることで、
CFの寿命は無期限化できるかと。
>>880 かにですね。i55*版もあるようですが、1万ぐらいアップするみたい。
>>882 秋葉の中古屋で、一昔前のi82557が1000円で売ってるよ。
PXEBOOTしないなら枯れているからいいんじゃない。
884 :
名無しさん@お腹いっぱい。 :03/08/05 02:00
>>883 Intel PHYじゃないけど(ukphy)、性能差ってあるの?
>>883 82557じゃアチチになりそう。つーか82559が1000円しないよ
>>884 スマソ、わからない。
そうでつね。一般的なNICは、PHYとMACでチップが別でつね。
でも最近のチップは1チップみたいなのね。i82557はちがうけど。
その辺、詳しい人、情報きほんぬ。
887 :
名無しさん@お腹いっぱい。 :03/08/05 02:47
>>883 3Comも\1,500くらいで売ってるけど、こっちはどうなんだろう?
>>887 PXEBOOTが必要ないならお買い得。905には、無印、B、Cが
あるけどBがSolarisx86にも使え、一番いい!!
御三家(intel、3Com、旧Dec)ならどれも安心。
>>888 Cardbusだと古い奴は食い過ぎる。
ゴミ置き場から拾って来たPC9821-CS01(21143)だと800mWくらい?,
1年前にTZONEで最後の1枚をゲットしたFNW-3601-T(21143)だと400mW,
こないだ愛三で在庫ゲットしたFNW-3602-T(21143コンパチ)だと180mW
3枚比べると明らかに発熱が違う。
SiS900ってどうよ?
>>889 おお、そんなところに違いが。
消費電力と発熱は気づかなかった。スループットに着目する
だけなら御三家はお薦め。
発熱や消費電力などは、
>>890 のように最近のチップを検討
>>890 SiS900はsisドライバが、カーネルのPOLLINGに対応している
から、rlやvrよりもいい。
892 :
名無しさん@お腹いっぱい。 :03/08/05 23:15
>>883 i55*版!!!!!!
超興味あります。日本じゃまだ売ってないのかな?
894 :
名無しさん@お腹いっぱい。 :03/08/08 19:26
4.8-stableでlinuxigd使えてるっぽいんだけど必ずcore吐くわ。 皆さんもそうですか? ちなみに /usr/local/etc/rc.d/linuxigd.sh は EXT_IF=tun0 # external interface INT_IF=fxp1 # internal interface にして rc.conf に static_routes="upnp" route_upnp="-net 239.0.0.0 -netmask 255.0.0.0 -interface INT_IF" 書いてるけど合ってますよね?
895 :
名無しさん@お腹いっぱい。 :03/08/08 20:32
DECの21140って「de0: link down: cable problem?」って出るのは 直ったの? ifconfig叩けばいいだけなんだけど、何か面倒くさくてfxpにした記 憶が。
896 :
名無しさん@お腹いっぱい。 :03/08/08 20:40
>>895 mediaの検出だから問題あったとしてもphyに依存だろ。
>>894 全然問題なく動作している。
4.8R-p1だけど。
>>894 core吐くのはlinuxigdが依存しているupnpで、しかもupnpが終了するときじゃない?
確かに終了する時っすね 吐くcoreは /upnp.core です。 /uまでキーボードで入力してTab押して/usrに移動する癖付いてるから upnp.coreはマジうざいっす。
echo kern.corefile=/dev/null >> /etc/sysctl.conf
せめてバックトレくらい採れよ。
sysctl -w kern.corefile "/tmp"
FreeBSD 4.8R + mpd + ipfilter(+ipnat) ここのスレのおかげでなんとか動き始めました うまくいくんですけどipnatですこし困った事があります (A)rdr ng0 0.0.0.0/32 port XXXX -> 192.168.0.3 port XXXX tcp (B)rdr ng0 0/32 port XXXX -> 192.168.0.3 port XXXX tcp (C)rdr ng0 (※)/32 port XXXX -> 192.168.0.3 port XXXX tcp ※ mpdを実行して割り当てられた動的IPを設定して、-CFオプションでipnatを再起動 と(C)の方法でしかNATが有効になりません なんか凄い初歩的な事で躓いているきがしてしょうがないのですが・・・ みなさん、自鯖を公開するときはどうしてるんでしょう? (まぁ滅多にIP変らないISPなんですけどね) (今回のハマリどころw 参考になれば・・・) ・4.8以降であっても カーネルにNETGRAPH系(PPPOE/SOCKET/ETHER)が無いとダメ ・ISPによってはPAPしかない(CHAPだけではダメ)
>>904 有効にならないって具体的にどう?ipnat -lは?
> ・4.8以降であっても カーネルにNETGRAPH系(PPPOE/SOCKET/ETHER)が無いとダメ
んなこたない。NETGRAPH系は、ぜんぶkldで問題なし
つーかそのハマリどころは両方、pppでも同じことだろ
グローバルIPが不定なら/etc/dhclient-enter-hookで設定すれば良いじゃん。
なんで今dhclient-*の話が出てくるの?
>>904 (B) だけで何の問題もないと思うのだが。
動的IPを設定する(C)の意味は? 後学のため教えてください。
スマソ、
>>904 をよく読まずにカキコしていた。
mpd.conf に以下の行を追加して
set iface up-script /pass/to/linkup.sh
linkup.sh
#!/bin/sh
case $# in
4) /sbin/ipf -y; /sbin/ipnat -CF -f /etc/ipnat.rules; break;
;;
esac
でどうよ?
mpdのハマリどころと言えば、 「パッチを当てないとマルチセッション使えない」だな。
>>909 えーと、それに近い方法でいまやってますが
なんか泥臭いと感じてまして・・・
(なんか大きな勘違いしてる気がする)
そもそも 0/32 0.0.0.0/32 ってどういう解釈になるんでしょう
(専用FWでは PPPoE の割り当てIPなんですが ipnat では違うんですかね)
根本的に(A)(B)の方法ではPPPoEで割り当てられたグローバルIPを振ってく
れないんですかね?
あと >905 さん 私も NETGRAPH系はいらないと信じ込んでました
でもね・・・その4行を入れたカーネルと入れないカーネルの2つを作って試した
んですよ・・・
結果:ないとダメでした w
(オマケに、module_register: module netgraph already exists! が出るし)
私もこんな結果になって残念というか「マジかよ?」ですよ・・・
LANカードは Intel 100 x2 です
>>911 > そもそも 0/32 0.0.0.0/32 ってどういう解釈になるんでしょう
allとかanyとか
> (専用FWでは PPPoE の割り当てIPなんですが ipnat では違うんですかね)
専用FWて何よ
> あと >905 さん 私も NETGRAPH系はいらないと信じ込んでました
> でもね・・・その4行を入れたカーネルと入れないカーネルの2つを作って試した
> んですよ・・・
>
> 結果:ないとダメでした w
あっそ。うちは問題ないけど。
Id Refs Address Size Name
1 11 0xc0100000 415e78 kernel
2 1 0xcd643000 18000 ipl.ko
3 8 0xcd679000 9000 netgraph.ko
4 1 0xcd687000 3000 ng_ether.ko
5 1 0xcd68b000 5000 ng_pppoe.ko
6 1 0xcd691000 3000 ng_socket.ko
7 1 0xcd704000 2000 blank_saver.ko
8 1 0xcf195000 3000 ng_iface.ko
9 1 0xcf198000 6000 ng_ppp.ko
10 1 0xcf19e000 4000 ng_bpf.ko
11 1 0xcf1a2000 4000 ng_vjc.ko
905ではないが、 >911 > あと >905 さん 私も NETGRAPH系はいらないと信じ込んでました > でもね・・・その4行を入れたカーネルと入れないカーネルの2つを作って試した > んですよ・・・ > > 結果:ないとダメでした w > (オマケに、module_register: module netgraph already exists! が出るし) 試し方が悪いか何か勘違いしてるかのどちらかとちがう?
カーネル設定ファイルに options NETGRAPH options NETGRAPH_BPF options NETGRAPH_ETHER options NETGRAPH_IFACE options NETGRAPH_PPP options NETGRAPH_PPPOE options NETGRAPH_SOCKET options NETGRAPH_VJC options IPFILTER 入れてkldじゃなくて組み込んでおけば?
>>913 えぇ・・・勘違いしていると 自分でも疑いまくりですw
でも、優先順位として 別にカーネルでそのエラーが出ても
繋がるほうがマシなんで・・・・
>>912 専用FWってのはルーター専用機やGB-1000などのことです
ipfilter(ipf+ipnat)てのはFreeBSD用に作られてるわけではないし ましてやppp(mpd)とはなんの関係もないわけで
>>910 ん?今の ports バージョンでは使えてるけど。
>>911 > なんか泥臭いと感じてまして・・・
動的IP&NATをやっている時点で、もうね。
>>917 このスレにも報告があるけど、3.13にはPPoEマルチセッションにバグがある。
>>916 しかしkernelモードだけでPPPoEして、かつPMTUD Blackholeに対処しようとすると、ipfilter(ipnat)が一番まともっぽい解決方法な訳で。
だからといってIPCPで拾ってきたアドレスをipfilter側でなんとかすれ というのはお門違いなわけで
>>885 i82559を1000円以下で売っている店の情報きぼんぬ。
i82557は、COMPRO秋葉原2号店でつ。
>>918 それは固定IP以外のサーバー構築を認めないというあんたのスタイルだろ
いいじゃねぇかべつに、泥臭くても動いたモンの勝ちだぜ
だいたいこのスレで動的IPを否定つうか軽視する発言するのはおかしいだろw
>>918 ,923
MX を動的IPに向けるのはセキュリティ的にいかがなものかと思うけど,
http 等のアクセスが他の人に行って迷惑,とかいうのは P2P が全盛
になってしまった昨今では説得力ないよね.
>>924 誰もMXを動的IPに向けるとは言ってないわけだが…
>>924 MXってなに? P2Pのopennapのやつ?
それって論点になってるのか?
サーバーサービスを動的IPで公開することと、MXなんたら
のあんたの意見はなんの関係もないと思うが
コピペか?
>>928 巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: /' '\ |
|_,|_,|_,|/⌒ (・ ) (・ )| ハァ?
|_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ
| ) ヽノ |. ┏━━━┓|
| `".`´ ノ ┃ ノ ̄i ┃|
人 入_ノ´ ┃ヽニニノ┃ノ\
/ \_/\\ ┗━━┛/|\\
/ \ ト ───イ/ ヽヽ
/ ` ─┬─ イ i i
/ | Y | |
>>911 NETGRAPH関連のオプション全部はずす。/boot/loader.confでng_ether_load="YES"する。
>>928 加われない話題に、無理して加わろうとしないほうが良い。
>>928 釣り?
>>927 いや,一般論として動的アドレスでサーバを立てることが問題になることって,
MX を向ける時以外にはないんじゃないかなというどっちかというと
>>918 に
対する疑問.さすがに NS にしちゃう人はいないだろうから,他に問題になる
ことってある?
動的 IP で DDNS への変更が追いついていない状態というのは DNS spoofing を食らってるのと同じ。
話しを元に戻して、動的IPでもIPフォワードは出来ないとまずいというか それができないBBルーターなんて存在しない WinMXだろうとWinnyだろうと使うアプリの善悪なんてどうでもよくて 動的IPをNATで上手く設定できないってのは、FreeBSDの実装不足 と考えていいのでは?
>>934 ifベースで扱えるのだから何も問題ないと思うが。
運用中にIPアドレスが変動するなんていう特定の状況に依存する必要もない
>>934 インタフェースのレベルが違うものと比べられても。
既出のようにipnatでもPPPのセッションが確立されたときにNAT tableを更新す
るようなスクリプトが走るようにすれば、BBルータのインタフェース的なレベル
からは一緒じゃん。
第一カーネルにそういう処理を組み込むなら汎用的な枠組になるべきだけど、一
つのインタフェースに二つも三つもアドレスがつくときとかどうするのさ。
>>934 > 動的IPをNATで上手く設定できないってのは、FreeBSDの実装不足
> と考えていいのでは?
FreeBSD(ipnat)の実装不足じゃなくて
>>904 &&回答してる奴が、ipnatのドキュメント読んでないのが原因な訳で。
rdr ng0 0.0.0.0/0 port XXXX -> 192.168.0.3 port XXXX tcp
>>845 おい。unnumberedのパッチ早く作れよ。
939 :
名無しさん@お腹いっぱい。 :03/08/10 17:04
質問です。
# cp /usr/src/sys/i386/conf/GENERIC /usr/src/sys/i386/conf/PCROUTER
# ee /usr/src/sys/i386/conf/PCROUTER
# cd /usr/src
# make buildkernel installkernel KERNCONF=PCROUTER
で
http://www.yggdrasil.jp/ygg14.html このサイトの通りに組んだのですが、
mpd -b とやった段階で
#module_register: module netgraph already exists!
linker_file_sysinit "netgraph.ko" failed to register! 17
って出てしまいます。
何が原因なのでしょうか?
どうもです。
pppを光対応してほしいなぁ。 ppp+ipfw+natdっていう構成になれちまったから、 今からmpd+ipf+ipnatっていう構成になれるのは・・・ mpd+ipfw+natdっていう構成ができればいいんだけどなぁ。
>>944 でもtcpmssd通さないとだめっしょ?
948 :
名無しさん@お腹いっぱい。 :03/08/10 19:50
>>950 ハァ?
tcpmssd.rc start|stop iface
ほそ○わさんmpdでも実験してplz-
紹介料の事で頭がイパーイでそんな余裕ありませーん
954 :
名無しさん@お腹いっぱい。 :03/08/10 21:42
質問です。 FreeBSD7.2でmpd+ipfilter+ipnatでルーター組もうと思ってるのですが カーネルオプションでbpf殺すとエラー出ません? 回避できた人居ますか?
>>954 mpdがパケットの交通整理にbpf使うから必要。.koをロードしても良いが。
>>845 bpf使わなくても済むパッチ作れ。
必死にmpd+ipfw+natdな構成作ってまつ。
>>954 エラーでてもべつにいいじゃん
通信できれば
>>958 のような無責任なこと言う人はカスです。
エラーを放置しておくことは、ネットワーク上では
他人に迷惑を掛け続けることになる可能性がある
ということをなぜ理解できないのでしょうか。
いや、、エラーってのはカーネルをmake出来ないって事で・・・
機種依存文字使うような天カスに「他人に迷惑」とか言われたくねーよな。
!= 958 じゃ
>>959 問題はエラーの種類を理解した上でそれが仕様上問題なければ
良いという意味だと思うが・・・
0か1しかないのかよ・・・おまえには
ルーター組もうとしてたらFreeBSDがバグった・・・ ifconfigでIP取れてるのにping送れない オマケにrc.confの内容が各項目2つずつかかれてて、しかも"YES"と"NO"両方書かれてるw なんなんだw
>>964 > ifconfigでIP取れてるのにping送れない
エラー内容は?
ipf か ipfw の設定っぽいが
> オマケにrc.confの内容が各項目2つずつかかれてて、しかも"YES"と"NO"両方書かれてるw
下側が有効(上書きされる)
>ifconfigでIP取れてるのにping送れない 1)ICMPは全部通してみる 2)デフォルトルートを確認
pppのスループットをあげてくれないかなぁ。 やっぱりpppの方がお手軽で楽だし。