FreeBSDでBBルータを作ろう互助会 2Mbps

高い金出して最近のへぼなブロードバンドルータ買うより全然いいと思うぞ。
「PPPoEの方法」
「NATにする方法」
「NICを2枚使う方法」
「ファイヤーウォール設定・セキュリティ対策」
その他なんでもいいからここで質問＆アドバイスして輪を広げてこう。
悪質ブロードバンドルーター製品逝ってよし！

前スレ
　FreeBSDでBBルータを作ろう互助会
　http://pc.2ch.net/test/read.cgi/unix/1038060563/

最近のブロードバンドルータは安くて速いぞ。遅くてヘボいルーター作るなよ。

　　　　　 ∧ ∧　　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　(　ﾟДﾟ) ＜　ムーンウォークで2ｹﾞﾄｰ!!
　　 　 ./ つ　つ　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿
　　〜（＿⌒ヽ　　　　　　(´⌒(´
　　　　 .)ノ ｀J≡≡≡(´⌒;;;≡≡≡
　　　　　　 　 (´⌒(´⌒;;
　　　　ｽﾞｻﾞｰｰｰｰｰｯ

upnp実装お願いしまつ。

あぼーん

乙

>>3
cd /usr/ports/net/linuxigd ; make install

http://plaza.rakuten.co.jp/gobakuomedeto/

rc.confは
network_interfaces="xl0 xl1 lo0"
tcp_extensions="YES"
ifconfig_xl0="media 100baseTX mediaopt full-duplex up"
ifconfig_xl1="inet 192.168.1.1 netmask 255.255.255.0"
gateway_enable="YES"
ipfilter_enable="YES"
ipfilter_rules="/etc/ipf.rules"
ipfilter_flags=""
ipmon_enable="YES"
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"

/etc/ipf.rulesに
pass in all
pass out all
と書いてます。
これでもつながりません。
あとは何がたりないのでしょうか？

>>8
/etc/ipnat.rulesは？

network_interfaces="xl0 xl1 lo0"
に ng0 はいらないんだっけ？

つうか FreeBSD のバージョンは？

あとは、やっぱ ipnat だろうね

>>9
ありがとうございます。
map ng0 192.168.1.0/24 -> 0/32 portmap tcp/udp auto
map ng0 192.168.1.0/24 -> 0/32
を追加したら無事つながりました。

>>11
mssclamp 1414
付けとけ

ipfwとipfilter両方使いたいんだけど、
pseudo-device bpf
っている？

>>13
いらねー… はず。

あちこちのサイトを見てpppでPPPoEルーターを作ってるんだけど、現在は/etc/ppp/ppp.linkup
なしで下のようにtun0の表示がネットワークアドレスになっています。(network_addressの部分)

ifconfig -a
nic0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet host_ip_address netmask 0xfffffff8 broadcast ***.***.***.***
ether **:**:**:**:**:**
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
nic1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether **:**:**:**:**:**
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1454
inet network_address --> provider_side netmask 0xffffffff
Opened by PID **
次に続く

PPPoEルーター製作サイトを見るとppp.linkupについては全く触れていない人もいるが、
ppp.linkupを下のように書いて無理やりtun0にホストIPアドレスをつけている人もいる。
provider:
! ifconfig tun0 delete
! ifconfig tun0 host_ip_address netmask 255.255.255.248 HISADDR
add! default HISADDR

この場合は下のようにnetwork_addressではなくhost_ip_addressになる。
ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1454
inet host_ip_address --> provider_side netmask 0xffffffff
Opened by PID **

動作上はどちらも変わらない見えるが、どちらが良いのだろう。
あるサイトではネットワークアドレスなのが「気持ち悪い」と書いていたが、
nic0とtun0と両方に同じIPアドレスを指定するのも気持ち悪い気がするのだが・・

>>15-16
ならつけなきゃ良いじゃん。

あぼーん

/etc/ipnat.rules
map ng0 from 192.168.1.0/24 ! to 192.168.0.0/16 -> 0/32 proxy port 1720 h323/tcp mssclamp 1414
map ng0 from 192.168.1.0/24 ! to 192.168.0.0/16 -> 0/32 proxy port ftp ftp/tcp mssclamp 1414
map ng0 from 192.168.1.0/24 ! to 192.168.0.0/16 -> 0/32 portmap tcp/udp auto mssclamp 1414
map ng0 from 192.168.1.0/24 ! to 192.168.0.0/16 -> 0/32 mssclamp 1414

うちはこんな感じ。
192.168.x.0/24で別拠点にIPsecトンネルがあったりもする。
0/32は固定IPを書いたりもする。
IPv6も貰っていたりする。

>>13
ではこのへんで感想をひと言だけ述べて挨拶に代えさせていただきます。

「ルータにbpfは入れたくない」

前スレ>>845がbpfいらなくするパッチを作れ。

DHCPやるのに必要なんだよな

いいじゃんBPF。なしてルーターには入れたくない？

�@BPF自体が穴を増やすことになるから
�A他の穴が原因でルータを乗っ取られた場合、BPFがあると悪用されるから

さあ DOTCH？ できれば具体例を知りたい。
それに「ルータに」ということだけど、
「ルータ」であるマシンだから余計に危ないのかどうかも気になる。

FreeBSD-4.8Rでbirdgeがまともに動いた香具師いますか？

このバグがまだ治ってないような気がするのだが、、、
http://home.jp.freebsd.org/cgi-bin/showmail/FreeBSD-users-jp/59520

ipf は設定しなおしても 再起動 (ipf -Fa -Z -f /etc/ipf.rules)させても 、
まぁ今開いてるセッションとじないじゃないですか（当たり前だけど）

でも ipnat のほうは -CF しちゃうと全部切れちゃういますよね

-r で 特定のルールのみ消し、-f だけで重複しないルールだけ読み込
ませればいいのでしょうか？

やってみれば判るといわれりゃソレまでなんですかｗ

>>23
UNIX版でわざわざ機種依存文字を使うのは如何なものかと

>>25 自己レス

できました、重複しても既に有ると文句を言われるだけで今生きてるNATセッション
は切れませんでした

だめだ ipnat で 0.0.0.0/0 でも IPフォワードしてくれない・・・
実値じゃないとダメなのか

>>28 調べ方
・tcpdumpしてNATしてるか調べる。
・ipfilterでブロックしたものは全部ログる。

>>29 うーんそれ以前にipnat -l でルールとして認識されてないんですよ・・・
前スレ >904 に加筆

FreeBSD 4.8R + mpd + ipfilter(+ipnat)
(A)rdr ng0 0.0.0.0/32 port XXXX -> 192.168.0.3 port XXXX tcp
(A)rdr ng0 0.0.0.0/24 port XXXX -> 192.168.0.3 port XXXX tcp
(A)rdr ng0 0.0.0.0/0 port XXXX -> 192.168.0.3 port XXXX tcp
(B)rdr ng0 0/32 port XXXX -> 192.168.0.3 port XXXX tcp
(B)rdr ng0 0/24 port XXXX -> 192.168.0.3 port XXXX tcp
(B)rdr ng0 0/0 port XXXX -> 192.168.0.3 port XXXX tcp
(C)rdr ng0 (※）/32 port XXXX -> 192.168.0.3 port XXXX tcp
※ mpdを実行して割り当てられた動的IPを設定して、-CFオプションでipnatを再起動

と(C)の方法でしかNATが有効になりません

ipnat -l で見ても、 C のときしか有効ルールに認識されません（泣きが入ってます）

でもCの設定の時はちゃんとうまくルールに認識されるしIPフォワードされてるんです
もうなんか暑いしこれだけで夏ばてしちゃいそうですｗ

ちなみに、もう最悪の対処方法ですが rc.network の ipnat を -CF で呼び出す所の前に
NG0_IP=`/sbin/ifconifg ng0 | awk '{if($1=="inet")print $2}'`
/usr/bin/sed -e "s/NNGG00/$NG0_IP/" /etc/ipnat.def > /etc/ipnat.rules
※ /etc/ipnat.def は "rdr ng0 NNGG00/32 port XXXX -> 192.168.0.3 port XXXX tcp"
なんてことをしてます・・・（非常に泥臭いですｗ）

>>30
まだやってたのか

rdr ng0 0/0 port XXXX -> 192.168.0.3 port XXXX tcp

の一行だけ書いた/etc/ipnat.rulesで、ipnat -CF -f /etc/ipnat.rules
実行したらどうなるわけ? 問題切り分けろよ

>>30
登録できて、NATされてる。
# echo 'rdr ng0 0.0.0.0/0 port 21 -> 192.168.0.3 port 21 tcp' | ipnat -f -
# ipnat -l |grep rdr
rdr ng0 0.0.0.0/0 port 21 -> 192.168.0.3 port 21 tcp
した後、pcflank(195.131.4.164)からftpにコネクトしてみる。外からのftpへの接続要求はブロックしてるからipfilterで引っかかる。

Aug 13 13:43:26 xxx ipmon[58]: 13:43:25.239185 ng0 @0:16 b 195.131.4.164,3357 -> 192.168.0.3,21 PR tcp len 20 60 -S I

>>31 はい、それだと　ルール 0 になります
当然、NATなんかできるわけ無いですよね

>32 そうですよね・・・そうならなきゃいけないんです

ちなみに、FTPですがPASVでしか駄目ですよね
ルーター自身がFTP鯖ではなく、ルーター下のPC-FTP鯖では？

>>33
32のようにechoでSTDINから入力しても登録されないの? なんだそれ
ifconfig ng0は? ちなみにmapは正しく登録されて動作するの?

>>34 map の方も 0/0.0.0.0 は駄目ですね
FTTHで2セッションでこのPCルーター＋専用ルーター
で外から回ってFTP鯖のモニターでみてますが
0.0.0.0のほうでは外には出ますがNATが働いてません
グローバルIPをCの方法で割り当てると、モニターにNATされて
いるのが確認できるんですけど

とにもかくにも 0 に関してはなにをやっても駄目な状態です・・・

ipfilter を最新にしてみたほうがいいのかな？

やっぱカーネルにネットグラフいれたのがまずいのだろうか
なんか疑心暗鬼になってきてましてｗ

4.8Rクリーンインストール＋mpdのみでやり直したほうがいいかな

>>35
mapは0/0使わないだろう? で、ifconfigは?

4.8-RELEASEてことは3.4.31だろ、最新ではないけど別に問題ない

あぁぁ、前スレ保存しそこなった。うｐ希望

>>35 お前mapとrdrの違いわかってる?
外に出るのを変換するのがmap
外から入ってくるのを変換するのがrdr

まず
echo 'rdr ng0 0.0.0.0/0 port 21 -> 192.168.0.3 port 21 tcp' | ipnat -f -
ipnat -l |grep rdr
の結果を貼れ。

>>36 それなにか関係あります？　実値で成功してるんですよ？
ng0が生きてなければipnatどころかipfilterも動かないと思うけど

>>36 あの・・・わかりました 結果は張るけどちょっとまてください
　　　（生きてるセッション閉じるのは相手に断らないと・・・）

map/rdr つまり　NATとIPマスカレード（IPフォワーディング）の
違いは当然理解しているつもりです

mapで ftp などを NATで外に出したりしませんか？

LocalPC[192.168.0.3] --- [Router] GlobalIP ---- ISP

の場合、FTPが1台だけなら map で 192.168.0.3 にGlobalIP
を割り当てたりしないの？

map ng0 192.168.0.3/32 -> 0.0.0.0/32 proxy port ftp ftp/tcp
本当は 0.0.0.0/32 は ng0 のグローバルIPになってほしいがそ
ういう設定はできないのが今の環境の現状です・・・

今はCの方法なんで、実GlobalIPを入れているから、FTPを
受けるモニター側ではGlobalIPが見えるけど、0.0.0.0/0or24or32
ではNATが無効なようでモニターで見ると 192.168.0.3 とLocalIPが
見える

なんで外に出れるかというと
map ng0 192.168.0.0/24 -> 0.0.0.0/32
が一応効いてるからだと思う（NAT変換してないが・・・）

rc.conf に

ipmon_enable="YES"
ipmon_flags="-D /var/log/ipf.log"

の2行を追加してLOGを出してるんですが
途中で出力をやめてしまいました

ps -ax でみると

52 ?? Ss 0:00.07 /sbin/ipmon -D /var/log/ipf.log

といるんですがlogファイルが増えていきません
なにかほかに設定がいるんでしょうか？

環境は mpd+IPF+IPNATです

>>39
/etc/syslog.confにて、

local0.* /var/log/ipf.log
#
*.err;kern.debug;auth.notice;mail.crit;local0.none /dev/console
*.notice;kern.debug;lpr.info;mail.crit;news.err;local0.none /var/log/message
s
security.* /var/log/security
auth.info;authpriv.info /var/log/auth.log
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
cron.* /var/log/cron
*.err;local0.none root
*.notice;news.err;local0.none root
*.alert;local0.none root

こんな感じでかけば出力される。

ずっと単発質問スレだと思って無視してたんだけど、結構情報集まってたみたいね。
すまんが誰か過去ログ持ってない?

p2のログでもっているけど。
どっかにアップロードするところある?
html形式であげるよ。

sysctl変数にはnet.inet.ip.fastforwardingというのがあります。
inet(4)によれば、ルーティングの際のチェックを簡略化してスループット向上を図るが
ipfwなどの処理は行われないと書いてあります。
私はipfw使いなのでわからないのですが、IP Filterでもfastforwardingは
使えないのでしょうか。使えるのであればますますIP Filterに魅力を感じる。

natにnatdを使ってらっしゃる方が多いようですが、
ppp_natと比較してどっちのスループットがいいでしょうか？

>>41
まとめサイトっぽくして はってみた
http://f17.aaacafe.ne.jp/~bsdevent/pukiwiki.php?FreeBSD%A4%C7BB%A5%EB%A1%BC%A5%BF%A4%F2%BA%EE%A4%ED%A4%A6%B8%DF%BD%F5%B2%F1

ipnatを使ってるのですが
現在のセッションを維持したまま新しくルールを追加したい場合どのようにすれば良いのでしょうか？

あぼーん

>>42,45
サンクス。見てみます。
実はウチのルータはNetBSDなんだけど、ノウハウが重なってる部分は多いよね。

mpd-3.14 に上げた人，特に問題なく動いてますか？特にマルチセッションまわり．
失敗すると何もできなくなるから恐くて上げられない…．

>>49
mpdなんて/usr/local/bin/mpd一個だけなんだから保存しときゃいいだろ。
駄目だったら、戻して、前スレ>>845にパッチ作ってもらえ。

前のportsツリーでmake packageしておいて、しくじったらpkg_add -fで戻す。
これで最新版追随は万全。
portsclean -Pしちゃうと消えるのでhomeに待避しておくとか工夫する。

pkg_create -b mpd-3.13
して今のを取っておけばいい。

>>46 -CF 入れないで -f でルールファイル読み込ませればいい
既存のルールは無視される
>37 のパイプつかう方法もある
すきにしな

mpd+ipf+ipnatでunnumbered、つまり固定8IPとかに対応できるん？

しつこいのぉ
公開したけりゃ勝手にしろよ
完全にスルーされたのがそんなに悔しかったのか？

>>55
自作自演なら、お前が作って公開しちまえば黙るだろ。
自作自演じゃ無くて、本当に欲しがってるなら、お前が作ってやれ。

あぼーん

あぼーん

今、LinuxのIPnutsっていうﾃﾞｨｽﾄﾘﾋﾞｭｰｼｮﾝでルーター作ってるんですが、
FreeBSDのほうがスループットはいいでしょうか？

>>59
試すよろし

>>54
それ俺も知りたい。正確には
mpd+ipf+ipnatでPPPoE認証でネットワーク構成がunnunbered接続で途中経路がmss=1414bytesな環境に合わせた運用ができるか、
だな。
ipf/ipnatは使ったことがないのでよくわからんのだがtcpmssfix相当のことをしつつ
NATしないというのはできるのかな？

manよめですかそうですか

ipfilter+ipnat のNATの有効期間の設定は

FreeBSD hat einige zuaetzliche IPF- spezifische sysctl- Variablen:

net.inet.ipf.fr_flags: 0
net.inet.ipf.fr_pass: 514
net.inet.ipf.fr_active: 0
net.inet.ipf.fr_tcpidletimeout: 864000
net.inet.ipf.fr_tcpclosewait: 60
net.inet.ipf.fr_tcplastack: 20
net.inet.ipf.fr_tcptimeout: 120
net.inet.ipf.fr_tcpclosed: 1
net.inet.ipf.fr_udptimeout: 120
net.inet.ipf.fr_icmptimeout: 120
net.inet.ipf.fr_defnatage: 1200
net.inet.ipf.fr_ipfrttl: 120
net.inet.ipf.ipl_unreach: 13
net.inet.ipf.ipl_inited: 1
net.inet.ipf.fr_authsize: 32
net.inet.ipf.fr_authused: 0
net.inet.ipf.fr_defaultauthage: 600

の net.inet.ipf.fr_tcptimeout: 120 のあたりのパラメーターでいいのでしょうか？
それとも closeの方かな・・・　ようわからんｗ
ソース追っかけるしかないのかな・・・

>>61
前スレ845が、ひねくれもののパッチ作者の機嫌を甚く損ねたため、unnumberedにできるパッチはお蔵入りにしました。
前スレ845が言うには「誰かが作る」らしいです。「オレが作る」ならスルーしたんですけどねぇ。
natせずにmssfixは... できないような気がする。

まあ機嫌を損なわなかったとしても、得られるものが
捨て台詞から逃げ台詞に変わっただけで大勢に影響はなかったとは思うが

54が何も言わないということは自演だったつーことですか？
56もお前が作れってわけのわからんこと言ってるし、これも同一人物ですか？

あぼーん

あぼーん

まぁ、数行のパッチで済むんで、修正できる人には関係ないですがね。
>>64のように他人を頼らないと出来ない人は前スレ845を怨んでください。
パッチつくっても、流すと>>65のような馬鹿が、自演と決め付けるのでうざいから
流さないほうが良いですよ。

>>64
ホントだ。

>>69
必死だな、カス。

てか、脳内パッチ作者様：
あなたのパッチは要らないので、どうか消えてください。邪魔かつ迷惑です。

前スレ721で「すげぇ！どうすんの？教えてくれ！」
みたいなレスをキドキしながら待ってのに、
完全に放置されて拗ねちゃったんだよね？
その気持ちはみんなもうよーくわかったよ。
だから、粘着なんかしないで消えてね。>>68

2ch名物自作自演が見られるスレはここですか?

>>72
いや、浮かせたアドレスどう使うかネタ募集だったんだが、お前らみたいな馬鹿しか常駐してなかったんで意味がわからなかったんだね。
ヤフオクで入手したYAMAHAのVoIPなルーターに、グローバルアドレス振ってIP電話使うことにしたんで、もういいよ。
UPnP使わずに済むんで、これでいいや。

やっと成仏したか

ipnatのセッション数が増えるとどうも遅延します・・・
2000越えた辺りから
なんかパフォーマンス上げる方法ないですかねぇ


セレ1GHz メモリ256 Intel100+ x2

テーブル保持期間短くしたら？

>>77 それってどこで設定すればいいのでしょう
過去ログみてるけど >62 のですか？
tcptimeout？

フレッツADSLモア24に変更したので、早速モデムをつけかえたんですけど、
FreeBSDなルータ経由だとモデムのウィザードアクセスできなくなるんですが、
何かいいほうほうないでしょうか？
モデムのIPアドレスが192.168.116.1になってて、LAN側のIPは192.168.1.*という感じになってます。
モデムはMS3がきました。

よろしくお願いします。

なんか闘ってるようですが、結局mpdでunnumberedな接続は出来るんですか?

>>80
普通にできると思うんだが、できないと言っている人の根拠は何なの？

PCルータ経由でモデムの情報が見れない・・
とりあえずモデムの設定は、モデムのIPを192.168.0.1、DHCPを無効にさせて、
WAN側のNICのIPを192.168.0.2、LAN側のNICを192.168.1.1に設定してるんだけど、
192.168.1.*からぶら下がってるPCから192.168.0.1へアクセスしようとしてもサーバが見つからないって出るんだけど、
何かいい方法ない？

>>82
自宅鯖板へGo
http://pc2.2ch.net/mysv/

>>83
ここでもいいと思うけど・・・

>>82
LAN側のPCのルーティングテーブルとモデムのルーティングテーブルは設定済み？

>>76 mpd の プライオリティーを上げるとどうなります？

>>85
とりあえず、netstat -rで確認してみたら、
---
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 133.160.191.106 UGSc 28 190158 tun0
localhost localhost UH 2 282 lo0
133.160.191.106 nthygo****.hygo. UH 33 0 tun0
192.168.0 link#1 UC 2 0 xl0
192.168.0.2 00:10:4b:9b:21:ba UHLW 0 4 lo0
192.168.0.255 ff:ff:ff:ff:ff:ff UHLWb 3 44 xl0
192.168.1 link#2 UC 5 0 fxp0
ns 00:a0:c9:5b:d1:e0 UHLW 1 499 lo0
EF210 00:80:ad:78:2a:59 UHLW 3 73538 fxp0 1106
EF200 00:90:99:ed:08:47 UHLW 3 2559 fxp0 1038
dhcp250 00:07:40:19:6f:ca UHLW 0 134 fxp0 964
192.168.1.255 ff:ff:ff:ff:ff:ff UHLWb 2 67 fxp0
---
てな感じになってます。

>>87
それはルータのだろ？
そうでなくて…
多分問題はモデムのルーティングテーブルかルータのフィルタリングの設定だと思うのだが
つうわけで　モデムの説明書ひっくり返してみてモデムにルーティングが設定できるか調べれ

>>79 整理しろよ・・・　あんたの投稿を並べるとこうなる

WAN
↑

ISP
　|　133.160.191.106
　|　
　|　192.168.116.1　←コレもよくわからん
[モデム]　　 デフォルトゲートウェイ [PPPoE]　　スタティックルート 192.168.1/24 → 192.168.0.2
　|　192.168.1.*　　 ←ココもダメだろ？
　|
　|　192.168.0.2
[PCルータ]　デフォルトゲートウェイ [モデム]　　スタティックルート 普通はなしだが 192.168.116.1 はなに？
　|　192.168.1.1
　|　
　|　192.168.1.*
[PC]　　　　　 　デフォルトゲートウェイ [PCルーター]

↓
LAN

※サブネットマスクは 255.255.255.0 だよな？

もう一回 WAN と LAN のアドレスを整理して書きな
ここは正確にキッチリ書け

>>89
ん？
モデムじゃなくてルータがPPPoEしてるんでしょ？

192.168.1.0/24　　　　192.168.1.0/24
LAN --------ルータ-----モデム
1 │ 2 　 1
　　　　　　　　　　　└The Internet

って感じでしょ？

ぐはぁ　ズレた失礼

>>87
"ppp -nat" + IPFW な自分はこんな漢字。
1. natd を "-n xl0" 尽きで軌道
2. IPFW のルールに医科を対化
　　divert natd ip from any to any via xl0
　　allow ip from any to any via xl0

xl0 がモデム側だよね？

ISP
|
|
[モデム]モデムに192.168.0.1を与えてる。
|
|
[PCルータ]WAN側->192.168.0.2、LAN側192.168.1.1
|
|
[クライアント]
自分のPCは固定IP。(192.168.1.*)
他のPCはDHCPDで勝手にしてもらってる。(192.168.1.253〜200)

ちなみにモデムのDHCP機能はオフにしてます。
自分にはこのくらいしかわからない状態。。

これ以上は時間の無駄だな。[PCルータ]からアクセスするんだね。

ということは、WAN側NICのIPアドレスをなしにして、
モデムのIPアドレスを192.168.1.254とかにしておけばアクセスできるかな？

>>96 そのモデムに
・自分のネットワーク（セグメント）からしかWEB設定させない
っていうセキュリティーが入ってんじゃないの？

BBモデム（ルーター）ならそういう初期設定多いと思うけど？

現時点で一番パフォーマンスを期待できそうな構成って何ですか？
NICの性能やらkernelやらpppやら結構影響ありそうだけど。
皆さんのベストをきかせてくらはい。

MR-NWGOPT90

>>99
PCルータは無駄ってことか。

>>98
IntelチップセットM/B+IntelCPU 600MHz以上+メモリ128MB以上 NIC:Intel100 x2
FreeBSD 4.8 (非GUI) mpd+ipf+ipnat (DEVICE_POLLINGは不要)

>>101
device polling 不要なんだ…なるほど。
ipfあたりでどうにでも変わりそうですがスループットどれくらい出ますか？

>>102 101氏では無いけど　ASUS P3-BF P3 700MHZmem256MB
NIC dc rl vr 各1(何を刺したか覚えてない＾＾；全て廃品利用品)
で36Mbps前後です。実験環境だとほぼワイヤードスピードまで出るけど
PPPoeのオーバーヘットとＢフレの地域ＩＰ網がヘタレなので
機器の性能より地域ＩＰ網をなんとかして欲しいです。

>>99 同時に張れるセッション数が違いすぎなので比較出来ないよ。
個人で使う分には気にならないかも知れないけど・・。
sshのセキュアシェルツールとか使うとレスポンスが全然違う。
(使ってる香具師少なさそう・・)

ipfは以外にルールを複雑化しても速度低下しないです。
気になるならquickオプション入れましょう〜。

>>102 うんポーリングの有無は関係ないですね、そもそもポーリングであまり
変わらないほどハードスペックが高いという意味もあると思うけどね

別にLinuxでもFreeBSDでもPPPつかっても、NICとCPUさえある程度よければ
・ルーターが原因の速度遅延はない
と思っていいでしょう

NATセッションについても15000ぐらいではなんともありません
（それ以上あんま見たことないｗ）

市販のルーターでは2000ぐらいでもうアップアップでしょうが、PCルーターはど
んなにいい加減につくっても今時手に入るハードなら、さすがに１・２万円のルー
ターに負けることはないでしょう

あぼーん

スレ違いかもしれないけど、FreeBSDでルータを作成するのにPC上ではなく
なんらかの組込み環境で実現している人はいないですかー？

>>106
embedded は NetBSD のほうが多いのでは？

ところで、このスレも mpd+ipf が主流になってきてあまり FreeBSD 依存でもないので、
次は「*BSD で… 」でいいような気がする今日この頃。

>>106
そーゆー人はそれでごはんを食べている場合が多いのでたぶん応えないと思いまつ。
選択肢も FreeBSD ではなく NetBSD あたりでしょうな。
CQの雑誌でも読んでみてわ？

>>107-108
…やっぱNetBSDのほうにいっちゃいますか。
どうもです。
おとなしくアレな雑誌を漁ってみます。

PPPoEでBフレッツルーターならNetBSDはFreeBSDに比べたらやたらと楽じゃん。
普通に設定すればワイヤードスピードだし。
FreeBSDはppp.confがアレなのがここまでこのスレが盛り上がった理由だし。

拗ねてないでNetBSDの互助会スレでも立てたら？

>>101
それで現実にどれくらい出るよ?

815E + セレ800 + メモリ512
NIC dc,sis
FreeBSD-4.8 mpd+ipf+ipnat+ipfw
で90Mぐらい。

>>109
昔FreeBSDベースのNAT箱あった。
開発時はFreeBSDはブート廻りのPCアーキテクチャ依存が強いので
どこまでハード／ソフトをi386のPCベースから省略できるかの見極めで
苦労したようです。このあたりは企業ノウハウですな。
NetBSDでSHやARMだとこのあたりはいいんですが、FreBSDでは
PCでプロトタイプ作ってほぼそのまんま製品という感じにできるので
開発サイクルが速いという利点がありますね。
i386使う限りはNetBSDやLinuxでも同じ感じですが。
FreeBSDベースでやるならpicobsdのbuildまわりをいじってROMDISK
ブートにするのが簡単そうな気がする。

80,81>>
　それ、私が確認すますた。
　ipf+ipnat+mpdでは、mpdの仕様のせいで、unnumbered接続は
できません。設定しても、DMZのインターフェースに同じアドレスが
割当られているからだめと、mpdがすぐにコネクションを切断して
しまいまつ。
　pppでのunnumberd接続は、一旦、IPCPでネットワークアドレスの
IPアドレスが割り当てられた後、ppp.linkupで強制的にtun0にアドレ
スを振り直しています。

もちろんファイアウォール関係はSPIなんだろうな。まず最初に。

FreeBSD base のFirewall箱と言えばNokia を忘れるな。

>>113
natで90Mbpsなら立派だね。

で、mpdでなくてpppならどのくらい出るよ? > pppの人

>>118　・・・立派って　何を競わせたいんだよ？
もう、UNIXルーター作る時点でんなつまらない競争は終わってるんだよ
そんな見かけのカタログ値がきになるなら専用ルーター飼ってろ・・・

pppでもCPU次第、最近新品で手に入るCPUならmpdと大して変わらんよ

>何を競わせたいんだよ？
ppp派とmpd派

あぼーん

UNIX使いはいい意味で愛着をもたないし、新しいソフトを試験としてなら
結構気楽に試す、おまけにmpd<>pppでは設定の仕方がまったく違うとか
いうわけでもないので、競う前に両方試すと思われるので、争うような事に
はならないと思うが
使ってない奴にはわからんのだろうけどな・・・

あぼーん

>>122
愛着持たないか？
OS何かでは宗教論争をよく繰り広げているではないか;p;p

まぁmpdとppp程度じゃ派閥は出来ないと思うがな

なんか、このスレ
カチュで見れなくなった・・・
壊れた？

>>126
ログいったん消して再読み込み。
>>123が壊れてるそうな。

NetBSDではunnumberedにできるのですか？

あぼーん

FreeBSD4.8 mpd+ipf+ipnat
でng0がちゃんと作成されIPアドレスも割り当てできipf+ipnatも正常に動くのですが

Aug 20 02:41:30 ppp routed[78]: IP_ADD_MEMBERSHIP ALLHOSTS: Can't assign request
Aug 20 02:41:30 ppp routed[78]: setsockopt(IP_ADD_MEMBERSHIP RIP): Can't assign
※ppp はマシン名です

というエラーが必ずでますlanカードはintelのLowprofじゃない頃の100+を2枚使ってます
ちゃんと動くんですがなんか気になります

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1454
inet ***.***.***.*** --> ***.***.***.*** netmask 0xffffffff
inet6 xxxx:xxxx:xxxx:xxxx%ng0 prefixlen 64 scopeid 0x5

>>81
単に MTU=1500 の環境で　PPPoE を mpd に任せるだけ、
であれば unnumbered 接続できそうなのだが、
日本で PPPoE を使うたいていの環境である NTT 地域IP網の環境では
MTU=1454 なわけで PPPoE 周りに tcpmssfix 機能が必須となる。
mpd には userland ppp の PPPoE 実装にある tcpmssfix 相当の機能がない。
ipf/ipnat にその機能があるので NAT に ipf/ipnat を使うことで実現できる。
巷に溢れるいわゆる「ぶろぅどばんどるぅたぁ」と同じ機能を求めるならそれでいいのだが、
俺がほしいのは PPPoE + NAT 箱ではなく PPPoE 機能のあるローカルルータなのでこれでは却下。
PPP側にIPアドレスをたくさんふり,LAN側にプライベートアドレスをふり,
逆NATをかけてやることで見かけ上のIPunnumbered環境は実現できるのかもしれないがこれも却下。
要は「NATしねえでどうにかならんのか」ということ。

mpdが持っているスペックから逆算して mpd+ipf+ipnat では IP unnumbered 環境での運用は不可能
と判断した。ただ実際にやったわけではないので実例を求めている。
すでに DNS とか MTA とか走らせちゃってるんで早々止められないんだ。

>>130　んーとね・・・たしかうる覚えだけど
ipnat の map とかで 0.0.0.0/32 → 0/32 にしたらなおった気がする

すこし追加、動的IPのISPでPPPoEで割り当てられるIPを使うとき

map 0/32
rdr 0.0.0.0/0

なんで覚えておくと良いよ

たぶん、そのエラーでてるとipmonも失敗してるでしょ？
マルチキャスト失敗するとモニターできないからね

>>131
　はげしく勘違いしているかも。論旨の展開がMTUに偏っている。

　mpdにpppのtcpmssfix相当の機能がないからといって、それが理由で、
unnumberd接続ができないという理由にならない。

　mpdがunnumberd接続できない原因は、

mpdでは、IPアドレスがIPCPで必ず割り当てられ、それを仮想
インターフェースであるng*にそのIPアドレスを設定し、仮想イン
ターフェースにはIPアドレスがついているはず

という前提で設計されているから、無理にng*から割当IPアドレスを
外そうとすると、PPPoEも切断される。
　userland pppは「仮想インターフェースにはIPアドレスがない時
もある」ということも想定されて設計されているから、unnumberd接続
ができる。

　MTUやMSSサイズの調整機能はunnumberd接続ができないのとは
まったく関係ない。

　実際に試した訳ではないのでわからんけど、
>>131のやりたいことは、FreeBSD箱をブリッジで設定すればできるん
じゃないの？
　

みなさん、スマソ。

　mpd+ipf+ipnatのPPPoE接続によるunnumberd接続ができないという
報告ですが、少し間違った情報がありました。
　前スレで、PPPoEの接続が切れると報告しましたが間違いですた。
PPPoEの接続は切れません。ただし、PPPoEインターフェースのng*には、
ISPからIPCPで割り当てられたネットワークアドレス(1.1.1.8/29とか)に
なりますた。
　例をあげると、下記のようなNAT箱を設定したとします。

ｒｌ0:　PPPoEのインターフェース
rl1:　192.168.1.1/24
rl2: 1.1.1.9/29
ISPからは、PPPoEに1.1.1.8/29が割り当てられる

として、ifconfigでインターフェースをUPして、IPアドレスをrl1,rl2に
設定し、mpdをrl0で走らせると、次のようになります(続く)

(続き)

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether 00:90:cc:20:76:a1
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:90:cc:20:a6:03
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 1.1.1.9 netmask 0xfffffff8 broadcast 1.1.1.15
ether 00:c0:26:26:ea:5a
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1454
inet 1.1.1.8 --> 2.2.2.2 netmask 0xffffffff

(続く)

(続き)

# netstat -rn -f inet
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 2.2.2.2 UGSc 3 94 ng0
127.0.0.1 127.0.0.1 UH 1 8 lo0
192.168.1 link#2 UC 2 0 rl1
1.1.1.8 lo0 UHS 0 0 lo0 =>
1.1.1.8/29 link#3 UC 3 0 rl2
2.2.2.2 1.1.1.8 UH 1 0 ng0
192.168.1 link#2 UC 2 0 rl1

です。つまり、ルーティングテーブル上ではrl 2が1.1.1.3と認識されず、
1.1.1.2/29とネットワークアドレスで認識されるのでつ。

unnumberd接続はできませんが、PPPoEの接続は切れません。
間違った情報流して、スマソ。

あげ

このスレみてmpd+ipf+ipnatでルータ作ってみた．ちゃんと動いてるけど，routing table見てみると，

casper# netstat -rnf inet
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 10.60.21.13 UGSc 2 1385 ng1
10.60.21.13 10.180.202.196 UH 3 2 ng1
10.180.202.196 lo0 UHS 0 2 lo0

みたいに，最終的にgatewayがlo0に向いてる．mpdのコンソール出力見ると

[flets] exec: /sbin/route add 10.180.202.196 -iface lo0

なんてことをやってるんだけど，これって正しい挙動?

>>139　問題ないね

纏まった情報が無いようなので緊急アンケートです。

皆さんどのくらいのスループットでていますか？

できればルータの単体性能を教えていただきたい
のですが対向のPPPoE鯖建てるのも大変だと思い
ますので、フレッツスクェア等での計測値を教え
てください。
ISP経由での測定は他の影響が大きいので無しで。

ある程度情報が集まれば、スペックとの性能の
関係や有効性が見えてくるのではないかと。

fwルールは環境依存が強いのであえて無視でお願い
します。

以下サンプル。

スループット : 98Mbps
計測条件 : BふれBASIC+フレッツスクエア計測サイト
CPU : P-III 800MHz
MEM : 256MB
OS : FreeBSD
Version : ?.?R-p?
IPFilter : ipfilter/ipfw
PPPoE : mpd/ppp
IPマスカレード: natd/No
コメント : なし

ご協力をお願いします。

「IPマスカレード」ってあーた…

FreeBSD標準のpppからmpdに乗り換えました．これといったトラブルもなく移行できたと思いきや，
標準pppの時は一度つながってしまえばIPアドレスが変わることはほとんどなかったのに，mpdに
変えたとたん，ちょうど1時間に1回のペースでWAN側のIPアドレスが変わってしまいます．

mpd.confはこんな感じで書いてます．どこがおかしいんでしょう?

default:
load nifty

nifty:
new -i ng0 nifty PPPoE0
set iface route default
set bundle authname himitsu
set iface up-script /usr/local/etc/mpd/mpd.linkup
set iface down-script /usr/local/etc/mpd/mpd.linkdown
load client_standard

client_standard:
set iface disable on-demand
set iface idle 0
set bundle disable multilink
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set link mtu 1454
set link mru 1454
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface

>>143
そんな物PPPoEが切れたり繋がったりしているとしか考えられない。
と言うわけでいつもの台詞で。
「ログは？」

>>141 だ・か・ら　専用ルーターみたいにそんなスループットなんて意味ないの・・・
・ISPの限界まででる
わかったか？

いいなおそうか？
・ルーターのロスは考慮しなくいい

わ　か　っ　た　か　？

PC-9801ですけどなにか？　とかじゃない限りな・・・

>>144
mpdのログはこんな感じ．マルチセッションで接続してるんですが，Fletsの方が切れて，それにひきずられて
ISPの方も切れている??

(略)
Aug 30 01:26:36 hoge mpd: [nifty] IFACE: Up event
Aug 30 02:26:33 hoge mpd: [PPPoE1] LCP: rec'd Terminate Request #1 link 0 (Ope
ned)
Aug 30 02:26:33 hoge mpd: [PPPoE1] LCP: state change Opened --> Stopping
Aug 30 02:26:33 hoge mpd: [PPPoE1] LCP: phase shift NETWORK --> TERMINATE
Aug 30 02:26:33 hoge mpd: [flets] setting interface ng1 MTU to 1500 bytes
Aug 30 02:26:33 hoge mpd: [flets] up: 0 links, total bandwidth 9600 bps
Aug 30 02:26:33 hoge mpd: [flets] IPCP: Down event
Aug 30 02:26:33 hoge mpd: [flets] IPCP: state change Opened --> Starting
Aug 30 02:26:33 hoge mpd: [flets] IPCP: LayerDown
Aug 30 02:26:33 hoge mpd: [flets] IFACE: Down event
Aug 30 02:26:33 hoge mpd: [flets] exec: /usr/local/etc/mpd/mpd.linkdown ng1 in
et
Aug 30 02:26:33 hoge mpd: [flets] exec: /sbin/route delete 10.0.0.0 10.60.21.1
4 -netmask 0xff000000
Aug 30 02:26:33 hoge mpd: [flets] exec: /sbin/route delete 10.180.209.57 -ifac
e lo0
Aug 30 02:26:33 hoge mpd: [flets] exec: /sbin/ifconfig ng1 down delete -link0
Aug 30 02:26:33 hoge mpd: [PPPoE1] LCP: SendTerminateAck #5
Aug 30 02:26:33 hoge mpd: [PPPoE1] LCP: LayerDown
Aug 30 02:26:33 hoge mpd: [PPPoE1] LCP: rec'd Terminate Request #139 link 0 (S
topping)
(略)

FreeBSD標準のpppでつないでいたときのログを掘り返してみたら，
どうやら前からFlets側は1時間に1回切れていたらしい．

ということで，過去ログにあった(気がする)，「マルチセッション下において，
1つのリンクが切断したときに，他リンクもまきぞえを食って切断してしまう」
というmpdのバグ?のせいのようですね．

C3で500MhzとかPentium 300MHzだったらpppとmpdの有意な差がでるかも。
まぁやっぱりkernelモードPPPoEになるのでdnetcを走らせたりとかIPsecで3desかませたりとか出来るのがmpdのいいところかもね。

>>143

前スレ(dat落ちしてるが)で，ver.3.13に対するパッチを作ってくれた人がいて，
公式のsourceforgeにアップされてる．

が，このpatchはver.3.14にはrejが出ちゃって当たらない．
漏れはソースみてもちんぷんかんぷんな厨なんで，3.13のまま使ってるが．
3.14対応に誰か書き直してくれないかなぁ．

>>24
同じ機器でRedHat9を導入したんだけど、Bridgeがマトモに動きマスタ。
FreeBSDのBridgeは腐ってます。

誰かデバッグして〜

>>149
http://sourceforge.net/tracker/index.php?func=detail&aid=746554&group_id=14145&atid=314145
dat落ちしてるらしいんでアドレス張っておこ

>>147
西？
俺は東でフレッツ使ってるけどそんな症状にはなってないなぁ
LOG見てうちも切れてるようなら直そうと思ったけど自分の所で症状出てないとやる気がしない:-)
#見ても判らん可能性も高いけどな

>>148
Pentium200MHzで普通のppp使ってます

>>151
これだったら、内容理解していなくても直せるじゃん。がんがれー

>>153
まぁpatch見た感じだとそうなんだけどな
検証できる環境には無いから…
だから 143がんばれ〜(w

>>154
((149 == 151) && (151 == 154)) だよね？
3.13 使用中なんだろ？

>>155
それは偽だ
151==154　ではあるが 151==149　では無い

ふっう〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜ん

4.8-RELEASEを新規インストールして
mpd+ipf+ipnat をportsからmake install

ipnat.rule に
map ng0 192.168.0.0/24 -> 0/32 portmap tcp/udp auto mssclamp 1414
map ng0 192.168.0.0/24 -> 0/32 mssclamp 1414
と書いてルータにしたのだけど

どうもpath MTU　blackholeに引っかかるみたい
クライアントのwinやFreeBSD 両方とも引っかかるときがある。

mpdやめてpppならうまく行く。　けど、やぱちと遅い。

dmesgでは
Aug 30 19:15:05 fmv166 /kernel: IP Filter: v3.4.31 initialized.
となってるんで、mssclampキクと思うんだけど
情報きぼーん。

あと、mssclamp効いてるときipfstat とか、ログとかに表示されるの？
それらしきものが見当たらないんで、効いてるのか判断できない。

ipnat -l
は?
あとipnat -CF -f /etc/ipnat.rulesしてリセットしてみたりとか。

>>158
tcpdump汁

>>149
うちは、mpd-3.13+sourceforgeのパッチでipnat動いているけど、
mssclampは動いている。コンフィグも同じ。

　MTU blackholeだけど、おれは手っ取りばやく確認するとき、

ttp://www.nifty.com/

で確認している。
　ところで、ipnatのmssclamp相当の機能が、次のバージョン当たりに
mpdに取り込まれそう。この前、MLにパッチが流れた。これを試して
みたら？

間違った。

s/149/158/ ね。

みなさまありが�d

158の訂正から

×mpd+ipf+ipnat をportsからmake install
○mpd をportsからmake install
ipf+ipnatはカーネル構築だった

fmv166# cat /etc/ipnat.rules
map ng0 192.168.0.0/24 -> 0/32 portmap tcp/udp auto mssclamp 1414
map ng0 192.168.0.0/24 -> 0/32 mssclamp 1414

fmv166# mpd -b
fmv166# ipf -y
filter sync'd
fmv166# ipnat -CF -f /etc/ipnat.rules
0 entries flushed from NAT table
2 entries flushed from NAT list
fmv166# ipnat -l
List of active MAP/Redirect filters:
map ng0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp auto
map ng0 192.168.0.0/24 -> 0.0.0.0/32

List of active sessions:

となってます　mssclamp出てこないけど正常なのかな？

続きです

FreeBSDクライアント から nifty.comへwgetしたとき

fmv166# tcpdump -i ng0
tcpdump: listening on ng0
01:26:22.674066 my.addr.6193 > 202.248.141.68.http: S 3512041356:3512041356(0) win 16384 <mss 1460> (DF)
01:26:22.690622 202.248.141.68.http > my.addr.6193: S 3723672484:3723672484(0) ack 3512041357 win 64240 <mss 1460> (DF)

ここで、mss 1460になってるのを、ipnatが1414に変えてくれる、
と言うのがpath MTU 問題の解決、だと思ってますが違うのかな？

FreeBSDクライアントからは、www.nifty.comはwget出来ないし、
fetchmailもメールが多いと止まります。
クライアントサイドでmssいぢるとか、ルータでwgetとかfetchmailしる、
とかは無しの方向で、引き続き情報よろ

>> 145
すばらしい！

FreeBSDでルータ建てれば、電力系光だろうがBフレBASICだろうが余裕であると。
pppdとかmpdとかの話題はもっとハイレベルな100MBps以上の実効値での話であると。
そこにはCPUスピードは関係なく、ただPC/AT互換機かNEC PC98シリーズかの違い
のみであると。

つまり、昔流行ったセレ300Aとかを流用しても100MBps以上でるが、PC98では1GHz
以上でも無理だと。

すばらしい！(w

フィーリングで語るな。数値で語れ。厨房が。

# これ以上はゴミになると思われますので自主退席します。(ｺﾚﾓｺﾞﾐﾃﾞｽｶﾞ
# 他の常識的な方々、スレ汚しｽﾏ。

>>165
犬板へかえってください

(´-`).｡ｏＯ(壮絶な意図的誤読だな…)

>>164
そりゃおかしいね、ちゃんと効いてればこうなる

03:56:15.988710 my.addr.30665 > 202.248.20.68.http: S 1161074939:1161074939(0) win 65535 <mss 1414,nop,wscale 1,nop,nop,timestamp 156879740 0> (DF)
03:56:16.007334 202.248.20.68.http > my.addr.30665: S 1030522798:1030522798(0) ack 1161074940 win 65535 <nop,nop,timestamp 446729412 156879740,nop,wscale 2,mss 1414> (DF)

ifconfigとかmpd.conf晒してみ
ipnat -lでmssclampが出てこないのは正常

>>145
これってホント?

>>169 過去レスよめよ
最近の互換機でまともはNIC使えばその通り
DESチップはつんでないからVPNは専用機に負けると思うが
大きさと静穏性以外のポタンシャルで専用機に負ける要素が全く無いしな・・・

>165 ワザとやってるんだろ、孵れよ

古いマシンでどれくらい出るか調べるなら意味はあるな。

>>170
> 最近の互換機でまともはNIC使えばその通り
あ、そういうことね。
その辺の前提すっとばして書いたら
煽られてもしかたがないかと。

どうも日本人はスペックに弱いよね・・・
車でも家電でもＰＣでもなんでもカタログ値を鵜呑みにして・・・

UNIX使いはある意味泥臭く「書いてることなんか自分で試さない限り信じない」
ってスタンスが多いので、その手の「スペック教えてぇ」とかイライラするんだよ
ほんのすこし環境変えただけで同じ結果にはならないし・・・

そもそも、ISPのPPPoEなんて場所・時間・目的・相手
どれ一つとっても不確定要素ばかりで XXMbps でたよ！！

なんていわれても　「だから？」でおしまい

それに用途に合わせて毎度毎度設定かえるんで、ベンチマークのタメに組ん
でるわけじゃないんでね・・・

わざわざデカイ・五月蝿い・高い・面倒なPCルーター組んでるのはそういった
スペック馬鹿を無視したいからなんだけど・・・

どうも馬鹿は何時までたっても馬鹿のままらしい

まだ夏ですな。
釣れますか?

FreeBSD 4.xで
http://support.microsoft.com/default.aspx?scid=kb;ja;813122
このように一時ポートを制限できますか？

ipnatをICQ用に
rdr ng0 0.0.0.0/0 port 3000- 3100 -> 192.168.1.2 port 3000 tcp mssclamp 1408
としてあるのすが、この範囲に鯖が使おうとするとエラーに成ってしまいます
これを回避したいのですが

よろしくお願いします

>>175
% sysctl net.inet.ip.portrange
net.inet.ip.portrange.lowfirst: 1023
net.inet.ip.portrange.lowlast: 600
net.inet.ip.portrange.first: 1024
net.inet.ip.portrange.last: 5000
net.inet.ip.portrange.hifirst: 49152
net.inet.ip.portrange.hilast: 65535


% sysctl net.inet.ip.portrange
net.inet.ip.portrange.lowfirst: 1023
net.inet.ip.portrange.lowlast: 600
net.inet.ip.portrange.first: 1024
net.inet.ip.portrange.last: 5000
net.inet.ip.portrange.hifirst: 49152
net.inet.ip.portrange.hilast: 65535

>>176
ありがとうございました

>>175 ICQのバージョンが分からないけど
確か2000以降はNAT対応だった筈？
ipfの設定で
pass in quick proto tcp from any port = 4000 to any
とかで初期値のICQもMirandaICQも使えてるよ。
(3クライアントICQ同時稼働してますが無問題)

>>178
メッセージは出来るけど
それだとファイルの送受信が出来なかった気が…

まぁ問題は解決してるので良しとします

FreeBSDでBBルータつくろうと思っているのですが、どんな構成のPCを買おうか迷っています。
省電力でBフレッツで50〜60MbpsのスループットがでるPCを探してます。
Edenなんて良さそうですが、皆さんはどんなPCをBBルータにしていますか？

>>180
そもそもお前のところのBフレの実効速度はどうよ？

これから新品を買うのであれば今普通に売ってるのなら正直なんでもいい。
無理して非常識に低スペックのものを買うのでなければ。
拡張性の低いの買うんだったらFreeBSDが認識しないへんな部品の
付いてるのは買うなよ。

BフレのPPPoEで蟹とIntelのNICの違い比べた人いませんかね。？
どんなもんでしょ。

>>183
それを EES-3610 でやってた人がいた。スループットの差は

単なるルーター＞ＮＡＴボックス＞ＰＰＰｏＥルータ

という順で効いてくるらしい。その人の考察によれば
右側のものほど、もともとＣＰＵ負荷が高いので
蟹とＩｎｔｅｌの差が相対的に薄れるからとのこと。

家は蟹で、8.8MBpsだけど、これが
Intelにすると10MBpsになったりするわけ？
正直ありえねーと思うんだが...

>>185
ファミリー？
ならありえねー
にゅーふぁみ　とか10Mbps以上の環境の話だろ
もしくはCPUが遅いとか

>>185
8.8MBps、10MBps。
Bをわざわざ大文字にするのには意味があったりするわけ？
ところで、もしかするとわかってないんじゃないかと思うんだが
184が言っているのは当然CPUがボトルネックになっている場合の話だろ。
回線がボトルネックになっているなら折れだってありえねーと思うぞ。

>>149

ちゃんと読む時間もなかったので
気合いでやっただけですが、どうぞ。

http://www.wotax.net/pppoe.diff

一応うちのところでは正常に動いているように見えます

>>183
ドライバに書いてある文章(*1)の感じからして
32Bytes単位ではないデータをやり取りする必要があるときには
RealTekのLANカードは性能が出ないだろうね。
あとはよっぽどCPUが忙しくない限りは最近のCPUは早いのでbus-master DMAを
活かせなくてもそんなにスループットは悪くならないんじゃないかな。

(*1) /usr/src/sys/pci/if_rl.c
* For transmission, the chip offers a series of four TX descriptor
* registers. Each transmit frame must be in a contiguous buffer, aligned
* on a longword (32-bit) boundary. This means we almost always have to
(snip)
* It's impossible given this rotten design to really achieve decent
* performance at 100Mbps, unless you happen to have a 400Mhz PII or
* some equally overmuscled CPU to drive it.

>>183
>>189

サーバー兼ルーターとして使ってる環境でのお話ですが
load average が二桁下がりました。
転送速度そのものはそんなに変わってないと思います。

IPFilterで非固定のグローバルIP指定するときどうしてます？
自分はグローバルIP書くところをPPPIPとしておいた
/etc/ipf.rules.defaultを作っておいて
/etc/start_if.ng0内でipnat, ipfを初期化する前に

pppip=`ifconfig ng0 | grep 'inet ' | awk -F' ' '{ print $2; }'`
cat /etc/ipf.rules.default | sed s/PPPIP/$pppip/ >/etc/ipf.rules

みたいなのかまして書き換えてますけど
なんかもっとスマートな方法ないですかね。

>>191 >133

>>192
0/32 って表記はipnatでは使ってたのですが
ipfでもいけるんですね。試してみます。
ありがとうございます。

4.7ReleaseからL2TPをサポートしたとリリースノートに書いてある
のですが設定方法がどうにも分かりません。
試してみた人いませんか。設定例をぜひアドバイスいただきたく
参考になるサイトの紹介でも結構ですのでお願いします。

PCxN台-----LAC(FreeBSD)-----[Internet]-----LNS(FreeBSD)---サーバ
　　　　　　　　　　　　　　　　　　　　　radius

というような形で特定のPCだけid与えてアクセスを許すのをPPPoE+L2TP
で構成したいのです。

LACとLNSそれぞれの場合のFreeBSDでの設定方法が知りたいところです。
他でいろいろ聞いてもだめなのでもうここしかないかと。
よろしくお願いします。

ppp.logで、ADSLのリンクが切れているかの
ログを出すには、何か特別な設定が必要でしょうか？
現在の設定では、ログにリンク切れが起こっているのか
出力してくれません。
ちなみに、syslogには、ログ出力するようには設定されています。

現在のシステムは、FreeBSD4.8Stableで、ppp+ipfilter+ipnat
な構成で、固定IPサービスを利用してます。
よろしくお願いします。

次の書き込みに、ppp.confと、ppp.linkupを書きます。

先ほどの続きです。ppp.confと、ppp.linkupです。

## ppp.conf

default:
set device PPPoE:fxp0
set MRU 1454
set MTU 1454
set speed sync
set log Phase Chat tun command
add default HISADDR # Add a (sticky) default route
accept chap
set timeout 0

# ident user-ppp VERSION (built COMPILATIONDATE)

ISP:
set authname [email protected]
set authkey xxxxxxx
nat enable no


## ppp.linkup
ISP:
! ifconfig tun0 delete
! ifconfig tun0 xx.xx.xx.xx netmask 255.255.255.255 HISADDR
add! default HISADDR

GreenHouseの新製品、GH-EL100BB、最近では珍しい
蟹以外を搭載した格安NICです。BroadCom　BCM4401です。

http://www.green-house.co.jp/news/3r0822a.html
http://www.green-house.co.jp/houdou/media/jpg/EL100BB.jpg

ドライバあるみたいなんですが、

http://unix.derkeiler.com/Mailing-Lists/FreeBSD/current/2003-06/1767.html
　http://people.freebsd.org/~dmlb/

FreeBSD5系用みたいなんですよね。FreeBSD-4系に移植きぼんぬ。また
5系で使われた方がいましたら、報告きぼんぬ。

つーか、FreeBSD4系のドライバがあると勘違いして３枚買ってきてしまった
んだよ〜。うえ〜ん。

>>197
/usr/src/sys/dev/bgeの中身だけを最新の4-STABLEのものに置き換えて
カーネルコンパイルし直したらbgeで認識するかも。

>>198
しねーよ、ソース嫁や。

>>198
いや、ホント、(引用元という意味での) ソース嫁や。

L2TPレスないね
誰もやったことないのかな
俺も知りたい

>>200
よかったな。使えないのに３枚も買ったおまえ以上のアホがいて。

>>202
202==198

>>198
よかったな。ソース読まずに脊髄反射するおまえより脊髄反射なやつがいて。

>>204
あおるのが好きな方ですね。よっぽど暇なんですね。
荒れるからもうおやめになってください。

>>205
だまってればいいのに。

bfe(4) かぁ、へぇー

ガンダム見ようとして狼狽えたのは洩れだけではないはずにゃ

Flet'sスクウェア(NTT東)のIPアドレス・サブネットが11日から急に変わった。
単に変わるだけならいいんだけど、サブネットが1つではなく
コマ切れに11個も作りやがった。
http://routing.flets/routing.html
おかげでルーティングテーブルとDNS逆引きの設定が非常にウザくなった。
まあ逆引きはなくてもいいけどさ。

しかもなんでグローバルIPアドレスなわけ？
(↓その一部のサブネット)
ttp://whois.nic.ad.jp/cgi-bin/whois_gw?key=220.216.128.0-220.216.255.0

市販のマルチセッション対応ルータはどういうふうに対応してるんだろうか。
RIPか何かでルーティング情報を受け取っているのか。
PPPでは自分のIPアドレス、対向IPアドレス、あとDNSサーバアドレス
は受け取れてもルーティング情報は受け取れないよな。

なんだこの改悪は？
担当責任者は二度氏ね

>>210
自己レスだが、こんなしょーもない不具合
ttp://www.ntt-east.co.jp/ced/support/news/contents/700_barhg.html
を起こしているところをみるとRIPとかは使えないと思われ。
推測だけど市販のマルチセッション対応ルータは単に指定ドメインが.fltesかどうかで
判断している気がする。ルータ内のDNSサーバとルーティングテーブルが連携していて
.flets宛のクエリがあったらその回答(IPアドレス)をルーティングテーブルに書き込み、
フレッツスクウェア側のセッションへ誘導する、っちゅー事をやってるんじゃないか。
(もしそうならフレッツスクウェア鯖のIPアドレスを直に指定してのアクセスは失敗するはず。)

やれやれ、こんな事(DNSとルーティングテーブルの連携)のできるソフトってあるのかなー。

mpdな人は
set iface route 220.210.194.0/25
set iface route 220.210.195.0/26
set iface route 220.210.195.64/27
set iface route 220.210.196.0/24
set iface route 220.210.197.0/26
set iface route 220.210.197.64/27
set iface route 220.210.197.96/27
set iface route 220.210.198.0/26
set iface route 220.210.199.0/27
set iface route 172.25.0.0/16
set iface route 172.27.0.0/16

グローバルな固定IPを8個割当てるサービスがありますが、固定IP1個の場合と比べてどんなメリットがあるのでしょうか？
Webサーバ、Mailサーバ、DNSサーバを別々のPCで構築する場合でも、宛先ポートによって転送すればいいわけですよね？
グローバルIPで構築するDMZとプライベートIPで構築するLANという風に、セグメントをわけられなくなるぐらいでしょうか？

逆引きの委譲ができる。

>>214
１．複数のWebサーバ、複数のMailサーバ…
　　というように同じポートを使う鯖を複数立てる場合に必要。
２．FTP PASSIVEモードのように接続待ち受けに使うポートが動的決まるアプリに必要。
　　(まあ、FTPの場合は使用範囲を指定できるけど。)
３．VPNを使う場合、ポート変換がパケット改竄として不正扱いされてしまう。
　　その固定IP1個を割り当てられたPCがVPN処理も行うならよいが、
　　それができない場合(またはそうしたくない場合)、やっぱり必要。

H.323とかPlayOnlineみたいな、やたらと広いレンジでポート番号を使うソフトにも複数IPが有るとありがたいね。

>>2808-213
やはり、みんなはまっていたのね。吾だけでなく良かった。
みかか死んでくれ！！

ipfilter使っているけど、ルールも変更しなきゃだめじゃん。まぁ、
フレッツスクエア-用なので、省略してもいいかもしれんけど、
キモイので入れておく。

つか
Pacific Ocean Blue とっとと出せ

FreeBSD4.8で
Bフレッツ+OCN光IP8のルーターにしてたのを
K-OPTIのeoオフィスファイバーIP8に変えたら
動作上は何の問題も無い様に使えているのに
PPP接続直後に　session in wrong state と表示されるのはなぜか
わかる人　教えてください。

>>213
ppp+ipnatでやっているんだが、
/etc/ppp/ppp.confにFlets網に流すStaticなテーブルと
add 220.210.0.0/12 HISADDR
をいれないとうまくいかない。

これっておかしいですよね？

>>221
> Flets網に流すStaticなテーブル
そんなもん流すなよ。

>>222
流す「ため」のテーブルです。

>>221
　当然かと。既出だけど、PPPのIPCPにはルーティングテーブルを
クライアントには渡さんから、リンクされた時点で、ルーティングテーブル
を追加しないとならんでしょう。
　また、>>213はmpdの話で、pppとは直接関係ないのでは？　mpdと
同様のルーティング渡してみれば？

>>221
つながった後、netstat -rn -f inetして見れ。

>>221
220.210.0.0/12ということは220.208.0.0/12と同じ事だが、
WHOISを見ると 220.208.0.0 - 220.223.255.255 つまり220.208.0.0/12は
単にJPNICが持っているというだけで、NTT東Flet'sはその中の
220.210.192.0 - 220.210.223.255 つまり220.210.192.0/19を割り当てられてるだけ。
従って220.210.0.0/12では範囲が広すぎて、220.210.192.0/19とすべきでは。

>>224
>>226さんのとおりで、余りに広い範囲をFlets網に向けすぎていないか？
ということです。

いま220.210.192.0/19をいれてみたんですが、220.208.0.0/12を入れない場合と
同じでtun1のインターフェースに割り当てられたIPアドレスへのpingがとおりません。
これがそもそもおかしいと思うのですが。

>>227
172.26.0.0/16の時代からそうだけど、Flet'sスクウェアにあるサーバ群は
基本的にpingに応答してくれないぞ。応答してくれるのは
HISADDR、つまりゲートウェイとなるホストだけだと思う。

>>227
だからnetstat -rn -f inetしてみれって。
IPをルーティングするのはpppやmpdじゃ無いんだから、ルーティング(かパケットフィルター)がおかしいんだろ。
mpdは32個までスタティックルート登録できるけど、pppは最後の奴しか有効じゃないとか…
ppp触ったこと無いのであてずっぽうだが。

>>228
www.flets(以前は答えなかった)も答えるし、DNSもちゃんと答えてるが。

>>229
>IPをルーティングするのはpppやmpdじゃ無いんだから、ルーティング(かパケットフィルター)がおかしいんだろ。
それはわかっていますが、tun1のインターフェースにpingを打つとデフォルトルートに
流れてしまっています（tcpdumpで確認）

ただそのときに、>>213のようにFlets網へのルーティングを設定した上で、
Fletsが割り当てられるtun1のIPアドレスの範囲を220.208.0.0/12するのは
大きすぎて気持ち悪いので、>>226のとおりにtun1に割り当てられそうな
220.210.192.0/19としてみましたが、うまくいかない、ということです。

netstat -rn -f inet を見る限り、
　Flets網のルーティングのGatewayはtun1の対向のIPアドレス
　その対向のIPアドレスがDestinationの場合はtun1に割り振られたIPアドレスに
になっているのでルーティング自体は正しくありませんか？

ながながとすみません。

>>230
ところで、誰が220.208.0.0/12も向けろって言ってんの?
>>213はhttp://www.flets.com/square/con_abbr.htmlからリンクされてる
http://routing.flets/routing.htmlをmpd用に書き直しただけなんだが。
220.210.192.0/19を追加しても何の問題も無いし…

netstat -rn -f inet|grep ng2
172.25 220.210.195.80 UGSc 0 0 ng2
172.27 220.210.195.80 UGSc 0 0 ng2
220.210.192/19 220.210.195.80 UGSc 0 0 ng2
220.210.194/25 220.210.195.80 UGSc 1 750 ng2
220.210.195/26 220.210.195.80 UGSc 0 0 ng2
220.210.195.64/27 220.210.195.80 UGSc 0 0 ng2
220.210.195.80 220.216.154.21 UH 13 2 ng2
220.210.196 220.210.195.80 UGSc 0 0 ng2
220.210.197/26 220.210.195.80 UGSc 0 0 ng2
220.210.197.64/27 220.210.195.80 UGSc 0 0 ng2
220.210.197.96/27 220.210.195.80 UGSc 0 0 ng2
220.210.198/26 220.210.195.80 UGSc 0 0 ng2
220.210.199/27 220.210.195.80 UGSc 0 0 ng2

>>229
あてずっぽうでものを言うな、カス。

pppで東Flet'sに繋ごうとしている諸君は以下をppp.confに追加すればよい。
もちろん 172.26.0.0/16 だった頃の記述があったらそれを消してそこに挿入するんだが。
add 220.210.194.0/25 HISADDR
add 220.210.195.0/26 HISADDR
add 220.210.195.64/27 HISADDR
add 220.210.196.0/24 HISADDR
add 220.210.197.0/26 HISADDR
add 220.210.197.64/27 HISADDR
add 220.210.197.96/27 HISADDR
add 220.210.198.0/26 HISADDR
add 220.210.199.0/27 HISADDR
add 172.25.0.0/16 HISADDR
add 172.27.0.0/16 HISADDR
pppの場合、切断時にはちゃんとルーティングテーブルから消してくれる。
mpdはどうなのか知らんので何も言わんよ。

これはいったい。。。

a. [IPネットワークアドレス] 220.210.196.0
b. [ネットワーク名] NBROAD-NET
f. [組織名] ぷらっとホーム株式会社
g. [Organization] Plat'Home CO.,LTD

a. [IPネットワークアドレス] 220.210.197.0/26
b. [ネットワーク名] NTT-BIZLINK
f. [組織名] エヌ・ティ・ティ・ビズリンク株式会社
g. [Organization] NTT Bizlink, Inc

a. [IPネットワークアドレス] 220.210.197.64/27
b. [ネットワーク名] NTT-BIZLINK
f. [組織名] エヌ・ティ・ティ・ビズリンク株式会社
g. [Organization] NTT Bizlink, Inc

a. [IPネットワークアドレス] 220.210.197.96/27
b. [ネットワーク名] NTT-BIZLINK
f. [組織名] エヌ・ティ・ティ・ビズリンク株式会社
g. [Organization] NTT Bizlink, Inc

a. [IPネットワークアドレス] 220.210.198.0/26
b. [ネットワーク名] DWONDERLAND
f. [組織名] 株式会社ディーワンダーランド
g. [Organization] D Wonderland Inc.

a. [IPネットワークアドレス] 220.210.199.0/27
b. [ネットワーク名] DISNEY-BB
f. [組織名] ウォルト・ディズニー・ジャパン株式会社
g. [Organization] WALT DISNEY COMPANY JAPAN Ltd.

>>233
ぷらっとほーむは知らんけど、少なくともDisneyに関してはフレッツスクエアにDisneyBBとかあるので不思議ではない。

>>231
うちでは>>213だけでは>>230のようになるので、
220.208.0.0/12をtun1のGatewayに向けるようにした、ということです。

>>233
まったく同じなんですが・・・

>>235
　まぁ、なんだ。もっと適確なリプライを期待するなら、きちんと自分の
情報をさらしたらということだわな。
　正直、235のこれまでのレスをみる限り、あまり詳しくなそうだわな。
最低、

netstat -rn -f inet
ifconfig -a
ping　xxxxx
cat /var/log/ppp.log

の結果を出してみたら？　そうしたら、もう少し適確な答えがえられるん
じゃない？

>>235
何かtun1のアドレスにこだわっているようだが、
tun1のアドレスを含むブロックをルーティングする必要はかならずしもないよ。
最低220.210.194.0/25だけ追加すればフレッツスクエアのネームサーバやwebサイトにはつながる。
tun1がpingに反応する必要はない。

うちの環境だと、11個のアドレスブロックを全部ルーティングしたら
その中にtun1のアドレスも含まれるので、結果としては君が考えてのと同じことになるけど。

とても恥ずかしい間違いを犯していたのに気がついて、出て来れないんだろうな。

>>237
220.208.0.0/12をはずしても、tun1の対向のGatewayにpingをうつと
tun1を通っていることは確認していますし問題はないといえばないんです。
ただ、テーブル自体は正しく設定されているにもかかわらず、interfaceへの
pingが通らない理由がよく分かりませんね。
とりあえず、このぐらいにしておきます。ありがとうございました。

net-jp でちらっと話題になっていた，

|内蔵にこだわらなければ、最近の FreeBSD は IEEE802.1Q Tagging VLAN を
|サポートしてますので、PC 側の物理的な口は1つにして、それを Tag VLAN
|機能のあるスイッチで好きな数だけ分ける、という方法もあるかと思います。
|Melco の LSM10/100-8W だと、100M 8port で 3万くらい?

てな方法で擬似マルチホームな pppoe ルータ運用している人います？

ONUにタグVLANで分けるの?

>>241
いや，さすがに ONU がタグVLANにはは対応してないのでわ．
インタフェース2枚差すかわりに，VLAN 対応ハブを一段入れてインタフェース
分けるって感じかな．

いや，一枚で出入りを両方裁いてもいいんだろうけど，なんとなく嫌なんで2枚
差してるんだけど，拡張バスが足りなくなってきたので節約したいなと．

よく考えたらマルチホームは関係なかったっすね．

>>240
俺なら、そんだけの理由だったら中古のノート買うな。

>>243
ノートは熱対策が以外と面倒だったり．蓋閉めて夏に数日放置してたらディスクが逝っ
て以来恐くて使ってません。

>>244
ひでー、何それ。どこの機種？

アルミの食器トレーの上にふた開けて置いておくのがノートルーターの正しい姿。

>>245
ThinkPad560無印．2年ぐらいは無事で動いてたんだけど，夏に長期間留守にした時に
お亡くなりになりました．まぁ，しゃぁないかなと．ふたは開けておいたほうがいい
みたいです．はい．

単にハードディスクの寿命では？

かなり恥ずかしいことを言ってたらごめんなさい。
FreeBSDをほとんど使った事を無い身ですが
金銭的な問題と勉強を含めて
BBルータを作ろうと思ってます。
(ＰＣ自体は余ってるもんで
その時このFreeBSD自体は外部から
乗っ取られたりしないものなのでしょうか？

普通のFreeBSDで構築したWebサーバーとかよりは安全につくれるんじゃないかな。
PPPoEルーターとしてだけ機能させて、sshdすら立ち上げなければ。

>>249
勉強を兼ねるという意気込みがあるならばいろいろなことをやってみるべし。
一番いかんのは面倒臭くなって放置してしまうこと。
構築したルータなりサーバなりをいつも監視できるのなら
乗っ取られることはそれほど恐れなくていいと思う。
普段から監視してればもし乗っ取られてもすぐ気付けるからね。

>>249
ポートの空け方に気を配るのと、使ってるサービスのセキュリティホールの
情報をちゃんと仕入れてパッチをすぐ当てるとかやってれば大丈夫かと。
>>251の言うとおり、放置が一番イクナイ。

保守

ついで。mpd3.14+ipf+ipnatでNTT西のフレッツとマルチセッション環境を
作ったら、１時間おきに切れて困っていた。
ぐぐっても情報探しきらんかった。>>143付近と>>188に感謝感謝

age

age

FreeBSD　5.1で、IPFilter＋NATでゲートウェイを作ろうとして、
# options IPFILTER
# options IPFILTER_LOG
# options IPFILTER_DEFAULT_BLOCK
# options PFIL_HOOKS　　　　　<<-FreeBSD5.1ではここにこの1行を追加しました
でカーネルを再構築して、
rc.confに、
map rl1 192.168.100.0/24 -> 0/32 portmap tcp/udp auto
map rl1 192.168.100.0/24 -> 0/32
とし、
rc.confに
ipnat_enable="YES"
ipnat_rules="/etcipnat.rules"
gateway_enable="YES"
として、
ipl.koを
# kldload ipl
# ipnat -CF -f /etc/ipnat.rules
で、再起動しましたが、
どうしても、
kldload iplがエラーになります。
だれか対処法を教えていただけないでしょうか？

それとも5.1ではIPFILTERは使えないのでしょうか？

↑訂正
ipnat_rules="etc/ipnatrules"

またまた訂正
rc.confに、
map rl1 192.168.100.0/24 -> 0/32 portmap tcp/udp auto
map rl1 192.168.100.0/24 -> 0/32
は、ipnat.rulesです。
どなたか、原因知りませんか？

>>256
kldload ipl で出力されたエラーメッセージくらい書けよ.

> # options IPFILTER
> # options IPFILTER_LOG
> # options IPFILTER_DEFAULT_BLOCK
> # options PFIL_HOOKS

このままが config ファイルに記述されてるんだったら, コメント
アウトされてるじゃん.

kldload ipl.ko するのならば, PHIL_HOOKS は有効になっていない
と「pfil_head_get(だったと思う)が見つからない」ってなエラー
で ipl.ko のロードに失敗.
IPFILTER* が有効な場合, すでに kernel 内に組み込まれているの
で, 「ipl はもうロードされてるよ」ってな内容のエラーが出るは
ず.

>>256
それに、ipfilterをカーネルに組み込むのかモジュールで組み込むのかわかんないなあ。
options IPFILTER を有効にしたカーネルならipl.koを組み込む必要はない（当然エラーになる）が。

options PFIL_HOOKS
だけ、指定してカーネル作る。以上

256です。
>>259,260
options IPFILTERの前の#は、付けてく
GENERICをコピーした新しい名前のカーネルに書き込みました。
実際書き込んだときには#は付けてなくコメントアウトしてないです。
どうもすいません。
> kldload ipl.ko するのならば, PHIL_HOOKS は有効になっていない
> と「pfil_head_get(だったと思う)が見つからない」ってなエラー
> で ipl.ko のロードに失敗.
> IPFILTER* が有効な場合, すでに kernel 内に組み込まれているの
> で, 「ipl はもうロードされてるよ」ってな内容のエラーが出るはず.
多分そのようなメッセージが出てきたと思います。

256です。
>>261
options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK
の３行はいらないってことですかね？、
options PFIL_HOOKSの１行だけで試してみますね。

あと再起動したときに、
Starting local daemons:module_register:module IP Filter:v3.4.31already exists!
Module IP Filter:v3.4.31failed to register 17
IP Filter:already initialized
IP Filter:v3.4.31unloaded
module_register_init MOD_LOAD(IP Filter:v3.4.31 0xc1??????,0)error16　
/dev/ipnat:open:
No Such file or directory
とこのような感じで言われました。

256です。
>>259,260,261のみなさん
親切にありがとうございます。
もういちど言われたとおりやってみたいと思います。

久しぶりに4.8Rでppp+ipfw+natd+namedなルータを組んでみたのですが、
どうも色々と忘れてる所が多くて難航中…
natdってホントに必要なんでしたっけ？
pppに任せる場合と比べたメリットとは？

256です。
FreeBSD 5.1でIPFilter+NATでやっとルーターができました。
>>259,260,261さんどうもありがとうございました。

＞＞２６５
デバッグしやすいくらいじゃない。
もれはそういう構成だけれど。

256です。
IPFilter＋NATでルーターが出来たことはできたのですが、
新たな問題が・・・
付けてからしばらくたつと、原因不明で再起動してしまいます。
同じこと経験された方いますか？
わかるかたいますか？

>>268
過去ログにないか・・？

256です。
/var/log/のどこを・・チェックすれば・・いいでしょうか？

5.1Rは意味不明のフリーズとかpanicとかしてくれるね。
X使ってる俺が悪いのか?

>>268
panicしたときにデバッガーに落ちるようにしといてバックトレースをcurrentに投げれば、なおるかも。

>>271
あのー271さんもFreeBSD 5.1Rでフリーズとかしましたか？
僕の場合は、フリーズとか、rebootがあって、、もうお手上げです。

最終的には、再起動を何回もすると、
syncing disks,buffers remaining ...... 169 169 169 169 169 169 169 169 169 169 169 169.......
giving up on 166 buffers
Uptime 20s
Terminate ACPI
Automatic Reboot in 15 Seconds - Press a key on the console to abort
と表れ、どれかキーを押すと
->Press a key on the console to reboot
->or switch off the system now.
となって、再起動してもまた同じことになり最終的に電源を切ることになりました。

>>271
もちFreeBSD5.1Rなんですけど、他には、
ad0: WRITE command timeout tag=0 serv=0- resetting
ata0 : resetting devices
done
ad0 : UDMA ICRC error cmd=write fsbn 1365807 0f 1365807-1365838 retrying
などなど表れ。
フリーズしました。。。

これはFreeBSD　5.1Rだからなんでしょうか？
それとも私のハードが壊れたのでしょうか・・
他のバージョンのBSDも入れてもう一回近いうちに再構築しようとは思ってはいるのですが・・
他にも同じ経験された方はいらっしゃるのでしょうか？

>>274
> ad0: WRITE command timeout tag=0 serv=0- resetting
> ata0 : resetting devices
> done
> ad0 : UDMA ICRC error cmd=write fsbn 1365807 0f 1365807-1365838 retrying
> などなど

これって「ディスクが死にかけてる」ってゆわないか, 普通...

>>275
激しく同意。

>>272
kernel dump imageは1GB程度になるのであれなんだけれど、
KDBGでbtしたらUFSまわりでエラーだしてるっぽかったね。
namei実行後にプールを参照して参照できずにpanicとかいう
感じだったかと。
月に1回あるかないかなので再現はかなり難しいのよ。
再現したらまた書きますね。
再現したときには周りのネットワークを混乱に陥れるので
それもそれで困るんですが。

それにしても、日立が作ってるLKSTのFreeBSD版がほしいな。
あったらFKSTとかBKSTなんだろうけれど。

ハードディスクドライブを交換して試してみたら？

>>273
まずこのあたりかな。
echo kern.sync_on_panic=0 >> /etc/sysctl.conf
echo fsck_y_enable=YES >> /etc/rc.conf
shutdown -r now

>>274
PIOモードで使っても同じようなエラーが出る?
echo hw.ata.ata_dma=0 >> /boot/loader.conf
shutdown -r now

ところで、↓でpanicする人いますか?
sh
mkdir foo; cd foo
i=0; while :; do echo $i > $i; i=$(($i+1)); done

>>278
はい！　近いうちにハードディスクを買い換えますね。
ありがとうございました。

今日はれてブロードバンドに
なることができました。

さっそくFreeBSDでBBルータに
挑戦しようと思うんですが、

FreeBSDはいろいろなバージョンが
あるようですがやはり最新のバージョンを
使用するのが良いのでしょうか？

>>281
今日はれて FreeBSD ユーザになったの？
もしそうなら時期尚早だと思うし、そうでないなら答は自分で持っていると思うが。

>>281
もし君の質問がネタじゃないとすれば、
素直に市販のルータ買ってくることをおすすめします。

>>283
ルーター作るだけなら市販のルーターのほうが電気代も安いしね。
特殊なことするのでなければルーターをさせるためだけにPC一台使うのは無駄。

>>283-284
藻前らこのスレの趣旨わかってんのか？
とりあえず>>1を嫁。

ヘボなルータを作らせないのが趣旨ならヘボなルータしか作れなさそうな方々に
ヘボなルータを作らせないよう事前に予防線を張っておくのもアリかと。

>>285
Handbookすら読まずにこんなところで質問しているやつは
どうせセキュリティーぼろぼろのへぼルーターしか作らないだろうから。

作るのは楽しいけれど作ったものを保守するのは根気と忍耐が要るからねぇ。

皆様　貴重な意見ありがとうございました。
とりあえず速度・性能はどうであれBBルータ買うことにします。
今月いっぱいはフレッツ接続ツール使って凌ぎます・・・

ありがとうございました。

あーぁ

いいじゃん。
それぞれの力量にあった選択肢だと思うが。

ipfwのポート設定は1024-65535のように範囲指定が可能ですが、それに対応するnatd.confの
redirect_portの記述はポートひとつごとに何行も書いていかなげればならないのでしょうか？

>>291
http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man=natd&dir=jpman-5.1.0%2Fman§=0

MTU MRU の値に付いて　NTTフレッツの場合は　1454　でと　NTTの資料に
明記されていますが。

K-OPTI の場合その様な資料が全くネット上に見当たらないのですが
やっぱ　1492 でいいのかな？　確かめる方法は？

>>293
# ping -c2 -s1419 www.yahoo.co.jp
PING www.yahoo.co.jp (203.141.35.113): 1419 data bytes
1427 bytes from 203.141.35.113: icmp_seq=0 ttl=248 time=7.893 ms
1427 bytes from 203.141.35.113: icmp_seq=1 ttl=248 time=17.547 ms

--- www.yahoo.co.jp ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 7.893/12.720/17.547/4.827 ms

# ping -c2 -s1420 www.yahoo.co.jp
PING www.yahoo.co.jp (210.81.150.5): 1420 data bytes

--- www.yahoo.co.jp ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss

こんな感じで
上の例だと
-s1419 でping が通って -s1420 だと駄目だから
1419+8 で 1427となる

で良いんだっけか

良くないし
mssは更に20足して 1447だね

>>295
これも違う気がする
ごめん　逝ってくる

# ping -c2 -s1500 yahoo.co.jp
PING yahoo.co.jp (211.14.15.5): 1500 data bytes
1508 bytes from 211.14.15.5: icmp_seq=0 ttl=238 time=17.594 ms
1508 bytes from 211.14.15.5: icmp_seq=1 ttl=238 time=14.417 ms

--- yahoo.co.jp ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 14.417/16.006/17.594/1.588 ms

いくらでも通る

>>293
> K-OPTI の場合その様な資料が全くネット上に見当たらないのですが
> やっぱ　1492 でいいのかな？　確かめる方法は？
1492 で動かしてるけど、特に支障ない。
まあ、最適な値は別にあるのかもしれないが。

>>298
ありがとう　
メールサーバを置いてるんだけど、この前まで、フレッツから乗り換えた時のまま　1454　にしてたら
相手によっては、接続はできるがDATA以降がスムーズに流れずタイムアウトするまでそのまんま、
なんてことになってたので、真剣に最高値まで上げたくって　ブラックホールルーター　の問題って
いろんなケースがあるね。

>>298
K-OPTI って夜間　パケロス　多くない？
いつもこれ以降の時間は　1％から5％　は　ロスするけどそんなこと無い？

http://www.yas.mu/network/fletsq/
ここを参考にマルチセッション環境を作ってみたんだけど、どうもうまくない。
下流のWindows機でぁゃιぃソフトがいまいち動作不良・・・・というわけで
よーく調べてみたら、起動スクリプトがちょっとアレだったのね。

この作者さん、P2Pとかやならいのかな（ｗ

>>297
フラグメントはおこしてないか？
念のためipfw add deny ip from any to any fragとかして実験してみそ。
#引数とかでDF設定できたような気がするけど忘れた・・・・

久しぶりにフレッツスクエアに接続したけど、
もしや172.20.x.xから　IP 変わったの？
なんかグローバルもってきてるし。

named.conf, ipfw など等書き換えないと。

>>303
>>209 ぐらいから〜

>>304
サンクス。漏れは1ヵ月以上も遅れてるいるのか。
過去ログあさらずにすまんかった。

www.flets.の名前解決をdjbdnsでするには、/var/service/dnscache/env/FORWARDONLYを1
でroot/server/fletsにdnsのIP設定じゃないと駄目っぽい?
/etc/hostsに静的に指定したらルーターからは行けたけど。
squidはinternal-dnsがhostsを解釈しないから駄目だった。
127.0.0.1でbind使えってことかなぁ。

>>299
そういえば、tcp_extensions="NO" しとかないと、
うまく繋がらないサイトがあるからそうしてる。
フレッツ使ってるとこでも同じ現象出るから、関係ないとは思うんだけど。

>>306
FORWARDONLYにしたdnscacheを一個立てる。*.fletsはフレッツのサーバーに向ける。
その他は、FORWARDONLYじゃないdnscacheをもう一個立てといてそっちに向ける。
resolv.confではFORWARDONLYの方を参照する。

>>302 どうも　これはMTUの最適値の調べ方についてでしょうか？

>>307 tcp_extensions="YES" にしないとつながらないサイトがあるとQ&Aには
あったけどDefaultでそうなってるし、　"NO"にするんですか？

う〜ん、ちょっと設定いじってみようと思ったら4.9が明日にでも出そうなのね…

ここの方がVPNスレよりmpdユーザが多そうなので．

mpdでBBルータしつつ，同時にmpdでPPTPサーバ上げてる人っている?
固定IPじゃないので，うまくいかないのだが．．．

固定IPアドレスならまだしも
固定IPって・・・

飛べない伝書鳩が物理層なんだよきっと。

>>311 固定 IP じゃないからうまくいかないって…。
何がどううまくいかないのか説明する気はないのか?

三点リーダーのバリエーションを披露するスレはここですか？

>>311
　まぁ、固定IPなんて、今時、1000円/月でできるんだから、固定にしたら？
　IPsecのVPNでも、固定IPの方が簡単だよ？

固定IPのISP
ttp://www.flatray.com/static-ip/index.html

　もし、mpdでやるなら、

1)IPアドレスの変更を検知するデーモンを動かす
2)IPアドレスが変更されたら、mpd.confを変更して、mpdを再起動

するようにするんだろうね。ダイナミックDNSクライアント関連で探してみれば？

だから固定IPとかだめな単語使わないで下さいね
プロトコルに固定も糞もないだろと

バージョンが固定なんだよ。

だから、BBルータはﾙｰﾃｨﾝｸﾞやらないんだから
ルータじゃないって。

BBなっとますぃーん

なんか未だにケータイって単語を許せない老人の寝言を聞いてるみたいだな。

単語は省略して言われる傾向があるけれど、もともとどういう言葉なのかをわからずに省略した名称のみを覚えている人がいると話が通らずに困る。
あと、省略した名称を使うことで話し相手の混乱を生むということも考慮すべきだね。
ということで自分は略称は仲良しグループの中で話すときぐらいしか使ったらいかんと思うけれどね。
Shell scriptをshellと言われたときには一瞬何の話しをしているかわからなかったりするし。

最近の　老人は　カンが　わるいんだね　前後の流れで　わかれっての

僕RedHatLinux9でBBルータ作ることにするよ！
猛虎のスレは・・・

固定IPと聞いただけで大混乱する人間が集まるスレはここですか？

むしろ固定IPアドレスと聞いただけで大混乱する人間が集結してるようだが

どっちもどっちだな

>>321 なんか未だにケータイって単語を許せない老人の寝言を聞いてるみたいだな。
>>232 最近の　老人は　カンが　わるいんだね　前後の流れで　わかれっての

でもさ、それって質問する人間の態度じゃないよね。

教えてあげる側ならいいけど、教えて欲しいなら、解る範囲で
正しい用語を使うべきだよ。それができないなら自分で調べな。

だよね。

そもそも自分が教えを乞う立場であるという認識が皆無なんだろう。あるいは
あるにしても認めたくないか。典型的なDQNの思考パターンだな。

放置できないあたりが俺も含めてかなりDQN（藁

初心者です。
固定ＩＰでｉｎｔｅｒｎｅｔやりたいんですけど
それについて詳しい情報のあるＨＰを教えてください。

もちろんこのスレ。

>>331
釣りだな

ここは作文講座スレでもなければ釣りテクニック養成講座スレでもありませぬ

>>331さんに質問です。
ＵＮＩＸやってみたくて最近リナックスを始めました。
私はＭＳ−ＷＩＮＤＯＷＳしかやったことなかったんですが
友達がリナックスにはＸーＷＩＮＤＯＷＳというのがあるから
ワードやエクセルのでデータも見れるので大丈夫だと言ってました。
それでその友達にインストールをやってもらったんですが、
マイネットワークにそのリナックスＰＣが無くてファイルが送れないので開けません。
サンバというソフトをインストールしてあるから見えるはずだと言うんですがうまくいきません。
何がいけないんでしょうか？それともリナックスはやっぱりダメなんでしょうか。

　　　　　　　　　　　 , -ー,
　　　　　　　　 　 ／　　 |
　　 ／⌒ヽ　　／　　　　|
　　/　=゜ω゜)／.　　 　 　 |
　　|　　つ'@　 　　　 　　|
　 〜＿`)｀).　　　　　　　|
￣￣￣しU　　　　　　 　 |
　　　　　|　　　　　　　 　 |
〜〜〜〜〜〜〜〜〜〜〜〜

　　　　　　｜　Hit!!
　　　　　　｜
　　　　　　｜
　　 ぱくっ｜
　　　　　／V＼
　　　　/◎;;;,;,,,,ヽこんなエサで
　＿　ﾑ::::(,,ﾟДﾟ)::| 俺様が釣られると思ってんのか!!
ヽﾂ.（ﾉ:::::::::.:::::.:..|）
　 ヾソ:::::::::::::::::.:ﾉ
　　 ｀ ー U'"U'

糞ばっかり

4.9-Releaseまだー?
とっくに予定日過ぎてるんだけど。

>>339
ほらよ。
http://lists.freebsd.org/pipermail/freebsd-stable/2003-October/004600.html

> If everything goes well we can release 4.9 on Monday.
ってことだから、日本時間で28日16:00までには出るだろう。

26日から、PST だ罠

>>341
ｽﾏｿ忘れてた。

てことで>>340は
> 日本時間で28日17:00までには出るだろう。
に修正。

>>340
Thx

本家FTP鯖に4.9-RELEASEディレクトリ
ｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!
正式公開はもはや時間の問題だな…

なんで4.Xなんて使うの？

>>345
５系はまだ使い物にならん。

>>346
そうか？
うちは -current に xl x 3 なルータが元気に
動いているが...

うちでは大丈夫って言われてもなぁ

>>347
そうか？ウチでは fxp x2で
optionsPMAP_SHPGPERPROC=1000
optionsNMBCLUSTERS=8192
optionsDUMMYNET
optionsIPFIREWALL
optionsIPFIREWALL_VERBOSE
optionsIPFIREWALL_FORWARD
optionsIPFIREWALL_DEFAULT_TO_ACCEPT
optionsIPDIVERT
options"CPU_WT_ALLOC"
optionsTCP_DROP_SYNFIN
optionsNETATALK
なカーネルの -CURRENTが動いてるが、よくpanicするぞ。

>>345
5.xはまだSTABLEでないから。

もれの生活マシンには5.1Rを入れてるのがあるが理不尽なフリーズやpanicをする。
だからまだサーバーとして安定運用させるのは待ちだと思ってる。
traceしてUFS関連のバグらしいのはわかってるけれど。

使い物にならんというてるやしたちは
回りの意見を伝言ゲームしてるだけで
実際使ったこと無いのが大半

うちは

options PFIL_HOOKS
options DEVICE_POLLING

と, /boot/loader.conf に

ipl_load="YES"

して, ipf/ipnat で mpd が動いてるだけだが,
ぜんぜん panic しないけど...

>>349
なんでそんなコトするの？
/boot/loader.conf に
kern.ipc.nmbclusters=8192
でいいじゃん。mbufなんか増やしたいなら
ken.ipc.maxusersも増やさなきゃ駄目だし、だいたい
8192なんて接続端末が多い環境じゃぁいかにも少なすぎ。

ぶっちゃけ、4.xと5.xでどっちがパフォーマンスいいの？　
俺的には5.xはIPsecのハードウェアアクセラレーションがIPv6に対応していそうなところ
が素敵なぐらいだけど、他にファイアーウォール兼VPNGWとして、なんか5.xでこれだと
いうのあるかな？

安定性としては、枯れている4.xがいいのはみんな同意だと思う。

俺はまだ、4.x使っている。さっき、4.9-Rにcvsupで上げて、ルータ機で試験運用中。

>>351
少なくともここに書いている人は自分も含めて使ったことがある人なんでないの?
FreeBSDのCURRENTはCURRENTなのになかなか不安定にならないと定評が
あるのは事実だから一概に不安定ともいえないかもしれんけれど。

>>354
4.7Rにはmbuf clusterの消費量が確保していた値を超えるとまったく外部と通信できなくなる
問題があるけれど、5.1Rではそれが解消されていると思う。
だから負荷をかけたときの性能は5.xかな。
通常時の動作は5.0Rと4.7Rでは4.7Rの方が機敏だった記憶がある。
5.xは5.0Rから5.1Rになったときにかなり性能が改善されてると思うので多分今は5.x。
ベンチマークとか動かしてないんで詳しいことはわからんけど。

4.9-Rｷﾀｰ!!

なんか4.8と大して変わらないっぽい感じだなぁ。
結局はセキュリティアップデートが最大の目玉か？
あとPAEとか。

>>357
> あとPAEとか。
だけだろ?

4.xを大きく変えてもらう必要も意味もないと思われ

>>357-358
IP Filter使いなら関係無いだろうがipfwがちょこちょこっと機能追加してるぞ。
BBルータスレなら外せないネタだ。

FreeBSD 4.9-RELEASEのipfw構文には
コ　メ　ン　ト　が　持　た　せ　ら　れ　る。

実際に、やってみた…
# ipfw add // 面倒臭いから全部通しちゃえ
# ipfw add pass all from any to any
# ipfw show
　　　　:
(ＣＭの後、驚きの結果に満へぇ続出！？)

お前ら、さぁ何へぇだ？

で、4.9使うの？
5.1使うの？

あたまに　#　付いてるんだが

>>362
rootのpromptでは？

どういう目的で使うんだろう……

ttyrecで人に見せる。

ぷろんぷとならコメントイラネ

ipfw(4) ルールに、C++ 風のコメントが書けるようになりました。各コメントはルールと同じ場所に格納され、 ipfw(8) show コマンドでルールと一緒に表示させることができます。
ってやつね。
それにしてもipfwの変更がいくつか入ってるな。

カーネルメモリーにコメント格納しとくなんて、勿体無いお化けがでるぞ。

おー、そういうことか。

やってみた
# ipfw add //ほんとに？
ipfw: invalid action //ほんとに？

だめだった。
-CURRENTのipfw2には入っていなかった。

　Ciscoやヤマハなんかのコンフィグにはコメントいれることができる。
それと同じことしようとしたんじゃない？

[email protected] RELEASEでルータを構築したのですが、
LAN内のPCからNAT経由でネットにアクセスすると(フレッツ東　モア2)
モデム直結時に比べ速度が非常に落ちます。(350KBps -> 100KBps)

また、BSD上でwgetを用いてAnonymousFTPサーバからDLした場合は
ほぼ最大値350KBpsが出るのですが、LAN内から同じファイルをDLした場合
せいぜい100KBpsが限界です。

しかし、これ以前に http://richlab.org/frame.html こちらを参考にして
[email protected]でルータとしていたときには
LAN内PCからでも300KBps台の速度でDLできていました。

カーネルモードで動かす分ipf+ipnat+mpdの方が速度が出ると
期待していたのですが、何か原因に心当たりありませんでしょうか。

# cat /etc/ipnat.rules
map ng0 192.168.3.0/16 -> 0/32 portmap tcp/udp auto mssclamp 1414
map ng0 192.168.3.0/16 -> 0/32 mssclamp 1414

皆さんいつもご指導ありがとう御座います
mpd3.14+ipfilterでＮＴＴ東マルチセッションを利用している厨です
フレッツスクエアが緊急メンテ！とかになるとプロバイダの方のリンクも切れて
しまいまつ
ダメもとでソースを眺めていますが･･･ワカラン！終了・・・
どなたかパッチを晒して頂けませんか？
よろしくおながいしまつ

>>372
>>188

>>373
ご親切にありがとう御座います
誠に恐縮では御座いますがファイル未検出になってしまいます
お手持ちに御座いましたら御手数ですがよろしくお願い致します

>>374
消えてるのね
手元には有るけど…
アプロダ紹介してくれるか、Base64でエンコードしたので良ければ貼り付けるかする？

>>375
本当にご親切にして頂き恐縮です
http://x68k.net/bbs/
↑こちらの使用許可を得ておりますのでよろしくお願い致します。

>>376
圧縮しなおすの面倒だからサフィックスは直しておいて

>>377
早速のアップロードありがとう御座いました！

IPSecを光同士でやってみたんだがルータの
スペックがそれほどでもない(ｾﾚ800とK6-400)ため
ｽﾙﾌﾟﾄが1MBあたりで頭打ち。
専用ルータとFreeBSDで、組んでみるともっと速度でたり
しますかね？。相互接続事例とかこのルータは止めとけ
とかあったらｷﾎﾞﾝﾇ。

>>379
P5-100同士の3DES-MD5のIPsecで通信しても、1.5Mbpsはでる。
　もし、１MByte=8Mbitsなら、周波数からしてそんなもの。Netscreen-5XTは2.5MBps=20Mbps
だぞ。スループットいうときは、MByteは紛らわしいから使わん方がいい。Mbitを使う汁。

　ハードウェア暗号すると、かるーーーく、4-50Mbpsでるから、暗号ボード買う汁。暗号ボード
にも松竹梅あるから、梅($200-500)でも4-50Mbpsでる。竹($1000)なら100Mbpsはいくかな。
松($2000)は300Mbps以上で。日本代理店通すと倍になるから、通販。

　Bフレッツの通信帯域(異ISP間)は、平日昼間で2-30Mbps、夜間で10Mbpsぐらいだから、
これを基準に必要性能のものを買えばいいんじゃない？　同ISP間なら、もう少し出るかも。

　IPsecルータの相互接続はあんまりお薦めせん。障害時の切り分けが大変。FreeBSD同士
、同IPsecルータの方が楽。専用ルータは、暗号ASIC(ハードウェア暗号)使っているから、早い。

　また、IPSecの記述は萎え。一時期、IPSEC、IPSec、IPsecの表記が混乱していたが、最近は
IPsecにほぼ固まったから、注意汁。

はじめまして　質問させてください。
USBのLANアダプタってBSDで使えますでしょうか？
よろしくお願いします。

>>381
http://www.google.com/search?hl=ja&inlang=ja&ie=Shift_JIS&q=USB+LAN+BSD&lr=lang_ja

>>381
こういう丸投げの香具師には>>382の答えでいいと思うが、
お決まりの突込みをしたくなる。

BSDが動くアーキテクチャであるVAXにUSBのコネクタをさす口なんかありません。
だからBSDでは使えません。

>>381へ
「BSDでは使えない」とかほざいてる>>383は無視してください。

>>383はムカつくんなら無視しすりゃいいだろ。ウソは言うな。ドライバ作ってる人に失礼だ。

>>383は嘘は書いてないと思うぞ。

>>385
これでも「BSDでは使えません。」が嘘ではないというのか。
http://home.jp.freebsd.org/cgi-bin/showmail/FreeBSD-users-jp/73959
http://home.jp.freebsd.org/cgi-bin/showmail/FreeBSD-users-jp/72451

>>386 わかってねーな。>>383を良く読めよ。お前は間抜け。俺は野暮。

>>386
それはFreeBSDの話であってBSDの話ではないですよ？ :-)

>>381
こんなに釣れてよかったね。

>>383
QBUSのUSBボードを自作した物好きがいない事を証明してくれ。

とりあえず３８２の通り検索したら発見できました。
ありがとうございます。

釣るつもりは無かったんだけれど、>>384=>>386が釣れた。
>>387や>>388が書いている通り、FreeBSDではなくBSDについて話をしたまで。

>>390
Googleさんで見てみたらそういう神がいるかもしれないと思った。
というわけで、「USBが無い」は間違いかもしれんです。
BSD作ってたメンバーは解散しちゃったからさすがにCSRGによる
USBドライバは無いと思う。

昔、作曲家の「武満徹」のことをずっと
「たけ　まんてつ」だと思ってたことがある。
「ほら、ノヴェンバーステップスのたけだよ、たけ！」とやって
死ぬほど恥をかいたほろ苦い記憶。

もう少しまじめにやりなさい
先生　いい加減に怒りますよ！？

IP Filter のルールの設定について　教えてください。

いろんなサイトを見ましたが
ttp://www.tac.tsukuba.ac.jp/~hiromi/ipf4.html
をもとに書かれたものが多いようでした、ここで紹介されている
設定例 の解釈でわからない部分があるんですが

# 外部への出力（グループ 200）
pass out proto tcp all flags A/A group 200
pass out from any to any port = 53 group 200
pass out proto tcp all flags S/SA group 200
pass out proto udp from any to any port = 123 group 200
block out proto icmp all group 200
pass out proto icmp all icmp-type 8 group 200

ここの部分は無くてもあっても、pass されるように思うのですが？
どうでしょうか？

>>395
そのサイトの説明は、カーネルに
options IPFILTER_DEFAULT_BLOCK
してるのが前提なので、明示的にpassしなければ
フィルタリングされるはず。

君の環境でpassになるのは、ipfilterが
デフォルトでIPFILTER_DEFAULT_PASSだからでは？

>>395
ipfは「options IPFILTER_DEFAULT_BLOCK」をつけてコンパイル
しないとblockルールをexplicitに指定しない限りpassしてしまうわけだが

>>396-397
ありがとう　目からうろこでした
カーネルを作り直さなくても　/etc/rc.conf だけで有効になった様に見えたので
いろいろ試す中で悩んでいました。

今のままで　ルールの先頭に　何か1行　記述して　デフォルトでブロックすればOKでしょうか？
素人考えですが？　アドバイスください　すみません。

まぁ、完全に同じ結果とはいかないが
(group追加してそれへの定義がもれてた時とかね)

ルール定義ファイルの行末に
block in all group 100
block out all group 200
block in all group 300
block out all group 400
とでも、書いておけば良いかな。

group追加したらそれも行末に追加してね。

あ、最後に
block in all
block out all
を忘れた。だから言わんこっちゃない(W

>>399-400
上の行で　quick　をつけていないのなら
最後にマッチしたものが適用されると学んだのですが

最終行に
block out all group 200
すると　上の　pass が全部通らないような気がしますが？

>>396-397
ますます　わからないようになってきました。

pass out on xl0 all head 200

block out from 127.0.0.0/8 to any group 200
block out from any to 127.0.0.0/8 group 200
block out from any to 1.2.3.4/32 group 200
block out from any to 10.0.0.0/8 group 200
block out from any to 172.16.0.0/12 group 200
block out from any to 192.168.0.0/16 group 200
block out from any to 0.0.0.0/8 group 200
block out from any to 169.254.0.0/16 group 200
block out from any to 192.0.2.0/24 group 200
block out from any to 224.0.0.0/4 group 200
block out from any to 240.0.0.0/4 group 200
block out from any port 136 >< 140 to any group 200
block out from any to any port 136 >< 140 group 200

pass out proto tcp all flags A/A group 200
pass out from any to any port = 53 group 200
pass out proto tcp all flags S/SA group 200
pass out proto udp from any to any port = 123 group 200
block out proto icmp all group 200
pass out proto icmp all icmp-type 8 group 200

明示的に pass しなければ　デフォルトのブロックになるなら
上の見本の前半の　block は全部無駄な記述になりませんか？

>>402
それはつまり>>395で自分で飲尿したページに書いてある内容を
理解していない、ってことだね。

そうなんです　理解できていないから　教えてほしいのです

例のサイトの様にカーネルでデフォルトを block にすると
2行目以降のblockが必要で無い気がします、1行目でこのグループの
すべてが pass あつかいになるのなら　2行目以降のblockが必要な意味は
わかるがそうすると　pass out proto tcp all flags A/A group 200
以降の pass は必要なさげなきがするんです。



　

>>404
| pass out on xl0 all head 200

これはネットワークインタフェイスを指定していて、

|block out from 127.0.0.0/8 to any group 200
|block out from any to 127.0.0.0/8 group 200
         :
|pass out proto tcp all flags A/A group 200
|pass out from any to any port = 53 group 200

これらはそうでないことには気づいていますか?

passルールより先に書いてあるblockルールは外部から来たパケットの
うちsource IP addressをあなたのネットワークの内側であるかのように
偽ったものをはじくためのものです。

http://www.jp.freebsd.org/cgi/mroff.cgi?sect=5&cmd=&lc=1&subdir=man&dir=jpman-4.7.0%2Fman&subdir=man&man=ipf
によると

グループの「頭 (head)」 を
作成するところから、グループを開始します。パケットがグルー
プの「頭」のルールにマッチする場合、フィルタ処理はそのグル
ープに切り替わり、そのルールをそのグループのデフォルトとし
て使用します。

と書いてあるので私は　1行目の
pass out on xl0 all head 200
は
xl0から出て行くすべてを通すルール　が　このグループのデフォルトになり
カーネルの　DEFAULT_BLOCK　を上書きし
その後の　block で　アドレスの偽装をブロックしている
その block にマッチしなかったものは通過するので
その後の　pass out proto tcp all flags A/A group 200 以降の
ルールは明示的に書かなくても　pass するのではありませんかと思ってるのです

ちなみにカーネルをご指示のとおりにして　見ましたが　やはり最初に
私が　>>395 で書いたのと　同じ　pass の行はコメントにしても　pass 出来ます。
私のマシンは変ですか？

dmesg にも　きちんと　
IP Filter: v3.4.31 initialized. Default = block all, Logging = enabled
になりました

ですから　>>396-397 は少し違う気がしまして、すみませんがよろしくお願いします。

>>406 テストはどのマシンからやっていますか?

どのマシンと言いますと？
FreeBSD4.8のローカル側につないだWindowsからです
インターネット側のインターフェースに上のような設定をして

pass out on xl0 all head 200

block out from 127.0.0.0/8 to any group 200
block out from any to 127.0.0.0/8 group 200
block out from any to 1.2.3.4/32 group 200
block out from any to 10.0.0.0/8 group 200
block out from any to 172.16.0.0/12 group 200
block out from any to 192.168.0.0/16 group 200
block out from any to 0.0.0.0/8 group 200
block out from any to 169.254.0.0/16 group 200
block out from any to 192.0.2.0/24 group 200
block out from any to 224.0.0.0/4 group 200
block out from any to 240.0.0.0/4 group 200
block out from any port 136 >< 140 to any group 200
block out from any to any port 136 >< 140 group 200

#pass out proto tcp all flags A/A group 200
#pass out from any to any port = 53 group 200
#pass out proto tcp all flags S/SA group 200
#pass out proto udp from any to any port = 123 group 200
block out proto icmp all group 200
#pass out proto icmp all icmp-type 8 group 200

でも　WindowsからゲートウエイにしたこのFreeBSDを通過して外部へ
どんなアクセスも出来ます。

NTT東日本 Flets ADSL 8M だと接続できて
NTT東日本 Flets ADSLモアII 24Mだと接続できないんですが
そう言う方、おられます？
接続場所は違うんですが、設定ファイルは同じモノをコピーしました。
起動時にPPPを実行するんですが認証で弾かれます。

当然ですが、IDとパスワードは別のものです。
IDとパスワードが間違ってるってことは無いはずですが…
モアII特有の現象とかあるんでしょうか？

情報お願いします。


以下、設定ファイルの写しです。

つづき
FreeBSD 4.9 RELASE

rc.conf
--------------------------------
gateway_enable="YES"
defaultrouter="192.168.0.1"
hostname="hoge"
network_interfaces="rl0 dc0 lo0"
ifconfig_rl0="inet 192.168.0.1 netmask="255.255.255.0"
ifconfig_dc0"tun0"
inet_enable="NO"
kern_securelevel_enable="NO"
nfs_reserved_port_only="YES"
sendmail_enable="NO"
sshd_enable="NO"
usbd_enable="NO"
# add PPPoE
portmap_enable="NO"
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="provider"
ppp_nat="NO"
firewall_enable="YES"
firewall_script="/etc/ipfw.conf"
natd_enable="YES"
natd_flags="-dynamic"
natd_interface=tun0"
dcp_drop_synfin="YES"

ppp.conf
--------------------------------
default:
set log Phase Chat LCP IPCP CCP tun command
set device PPPoE:dc0
set speed sync
set MRU 1454
set MTU 1454
add default HISADDR
set chap
set pap

papchap:
set phone PHONE_NUM
set authname USERNAME
set authkey PASSWORD
set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.0 0.0.0.0
add default HISADDR

provider:
set authname hoge@hoge
set authkey *********
nat enable no

/usr/src/sys/i386/conf/ROUTER
--------------------------------
options IPDIVERT
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=20000
options IPFIREWALL_FORWARD
options TCP_DROP_SYSFIN
#pseudo-device bpf


resolv.conf
--------------------------------
domain hoge
nameserver hoge.hoge

>>410
ifconfig_dc0"tun0" # =が抜けてる？

でも同じファイルならこの場合関係ないか…

いやそりゃ編集ミスだろ。明らかにおかしい。

>>408
ipftest -v を使ってルールのテストをすると、どのルールでpassする?

mpd-3.15キター

>416
pppoe.c は手付かずだよね
マルチセッションで片方が落ちてもう片方を道連れに両方のセッションが落ちてしまう問題
を直したパッチ送ったほうが良くない？
と思った洩れがやるべき？

>>417
> と思った洩れがやるべき？
そ、言い出しっぺの法則。

>>415
やっぱり初めにマッチする
pass out on xl0 all head 200
で通過している

だから　>>395 で私が書いたのが正解で
引用しているサイトの記述が間違っているんでしょう

例の設定例を正しく設定するんならグループ200の最後の行に
上のpassでマッチしなかったものをすべてblockするルールを
追加しないといけないんだと思います

付け加えて
もちろん　pass は pass quick になおして....

でもそこまでするなら　設定例を根本的に見直したほうが良さそうだけど

>>419
395には間違いが一つ。ないと一部のマルチキャストやプライベートアドレスへ向けたパケットが出れなくなります。（笑
＃最後にマッチが有効
デフォルトブロックにするならhead行をblockに変更。アドレス見てblockにquick指定。
あとは好みでpass

>>421
ハハ、そうですね、でも設定例の作者の意思とは違う設定になっていますね
しかし、検索で引っ掛かったページいろいろ見ましたがどこの例も、少しづつ間違ってて
これだってのは無かったです、やっぱ　マニュアルをしっかり読む　が正解ですね

天下のOCNさんの設定例でも間違ってるもんね
ttp://www.ocn.ad.jp/security/bsd/001.html
この例だと　
pass in proto tcp from any to 192.168.0.2/32 flags A/A group 100
を入れないと外から何もつながらんし

pass in quick proto udp from any to 192.168.0.2/32 port = 53 flags S/SA
group 100
の行は
UDP　に　flags S/SA　は間違いですよね。

>418
と思ってその前にリポジトリを確認するのが情好きだとオモタので素人ながら頑張って
http://cvs.sourceforge.net/viewcvs.py/mpd/mpd/src/pppoe.c
を見たりしたら今回の3.15では含まれなかったけど次回で含まれそうな雰囲気満点
なので洩れは何もしなくて大丈夫そうだポン乙

バージョンアップとサイトリニューアルしてまつた。
少なからず設定の例が追加されてまつた。

ttp://www.floppy-1.com/cf2/

>>422
>この例だと　
>pass in proto tcp from any to 192.168.0.2/32 flags A/A group 100
>を入れないと外から何もつながらんし
proto tcpの各行にkeep stateを入れるのもいいかも?

こういうページで顔文字も珍しいな。(^^;

Intel Pro/1000 MT Desktop Adapter のﾊﾟﾁﾓﾝが一部で出回ってます。

http://pc3.2ch.net/test/read.cgi/hard/1068131711/

ipfwの設定で煮えています。
　 +-------------+ 　 　 　 +--------------+
　 | ipfw 　 　 　 　 　| 　 　 　｜SMTP 　 　 　 　 | A: 221.xxx.xxx.xxx(Global固定)
　 | FreeBSD Box　| 　 　 　 ｜ 　 　サーバ　 　｜ B: 172.16.xxx.xxx
A + 　 　 　 　 　 　 + B---C + 　 　 　 　 　 　 　 | C: 172.16.xxx.yyy
　 +-------------+ 　 　 　 +--------------+
上の図のように、FreeBSD BoxでNATして、SMTPサーバを外部に公開しています。
しかし、FreeBSD Boxのipfwの設定が詰められません。
サンプル(/etc/rc.firewall)のOPENだと、外部の他のホストからから25/tcpが見えますが、SIMPLEだと見えません。
${fwcmd} add pass tcp from any to any 25
${fwcmd} add pass tcp from any 25 to any
を試しても、外部からSMTPサーバの25/tcpが叩けません。
${fwcmd} add divert natd all from any to any via ${natd_interface} は入っていますが、他に何が必要なのでしょうか…。
私が何を勘違いしてるのか、どうかお教えください。

>>427 delegateでマウントして逃げる・・・楽だよ(；・∀・)

>>427
add divertのすぐ上のコメントを読めば分かると思うけど、
/etc/rc.firewallを編集してdivertルールをRFC1918チェックより
上の方に持ってくるか、

# ipfw l | sed 's/^/add /' > /etc/ipfw.rules
# echo 'firewall_type="/etc/ipfw.rules"' >> /etc/rc.conf
# /etc/rc.d/ipfw restart

みたいな感じにするとか。

>>429
5.1-Rのrc.firewallのことを言っているなら、NATはあの位置が
正解だと思うのだけど。
上に持って行ったら、まともなパケットまでdenyされますよね。

>>427
基本的なことですまないけど、確認です。
(1) Aでstatic NAT(redirection)はできていますよね。
(1') 外から見えてるのはNAT box上のMTAじゃないですよね。
(2) A〜B間のIP forwardingはできていますよね。

今まで UNIX系のOSといえば Linux しか使ったこと無かったけど、
このスレ見たのがきっかけで FreeBSD をインストールしますた。

いい。ほんとにいい。
Linux みたいな、Windowsっぽさ(←うまく説明できん)がないのが
凄く気に入った。

特に Ports(←読みはポーツで良い?) の完成度が凄い。
もう rpm なんて、怖くて使えないかも。
最近の赤帽などにあきれてたんで、縁を切る良い機会になるかも。

いま、NIC 3枚挿し(ADSL用 + DMZ用 + LAN用)に挑戦してるけど、
概ね良好っぽい。

しかし、なんでこのOSは利用者が少ないんだろう?
きっと、マスコット人形が悪いんだ。(なんていったら、叩かれる??)

>>431
えー、デーモン人形かわいいやん。

>>431
FreeBSDに好意を持ってくれる人がいるのはうれしいけれど、
ここのテーマとずれているのでスレッド誘導。

FreeBSDを語ろう・モア
http://pc.2ch.net/test/read.cgi/unix/1039789225/

訴訟があったからとかマーケティングがうまい人がいなかったからとか
GPLブームに乗らなかったからとかいろいろ理由はありそうね。

引退署名スレじゃないのね(･∀･)

ここのスレタイ見て、FreeBSDでブルータ作ると2Mbpsが上限なのかと思った。
はやく、100Mbps になるといいね☆

自分はこのスレで
おまえはFreeBSD使わない方がいいとか
BBルータ買えとか
言われた訳だが

>>436=何番??
結局どうしたの?

これか? >>281
自分で何も調べずに、こういう質問してちゃ、言われて当然だな。

どこのルータ買ったのか気になるなり

結局は4.8をNAT BOXにしてるだけ・・
BBルータを買う予算が出なかったもんで

ま、日記はうざがられるのでこの辺で

ports/net/mpdが3.15にアップグレードされたのだけど。
話題にする権利があるのはこのスレだけだぞ!

>>435
user pppでBふれっつに繋いでぴったり100Mbpsが出てるという人が
知り合いにいたけれどありえるのかな...
もちろん、NAT使わずに測定したみたいだけど。

>>440
結果オーライ。

>>428さん、そーいう逃げ道があるんですね。
>>429さん、RFC1918はすべてコメントアウトしてみましたが、状況が変わりませんでした。
>>430さん、1,1',2はできています。
firewall_type="OPEN"
では、問題なくSMTP箱の25/tcpを叩けています。
SIMPLEの状態で、外からSMTP(を5回)叩いたときのipfw showをdiffしたところ、

-02400 0 0 deny log logamount 100 tcp from any to any in recv fxp0 setup
+02400 5 300 deny log logamount 100 tcp from any to any in recv fxp0 setup

ってのが出ました。
これって
# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from any to any in via ${oif} setup
これ？と思ってコメントアウトしたところ、外からNAT内のSMTPが見えるようになりました。
# って中身のコメントのまんまじゃん。コメントくらい嫁＞ヲレ
telnet 25した後、反応があるまでちょうど80秒かかりました。
smtpdが名前でも引きに行ってタイムアウトしてるのでしょうね。
>>428,>>429,>>430さん、ありがとうございました。

申し遅れましたが、私は>>427です。

>>442
ありえない
100MB/s の間違いじゃ？

>>436
全部このスレで聞こうとするのは間違ってるだろ
自分で調べて判らないことを聞きに来るなら歓迎

訂正はお早めに…

>>443
いや、それはコメントアウトすべきではなくて・・・
きちんとNAT&forwardingできているなら、divert行より後ろ、
その行より前に、Cのポート25へのアクセスをpassする行が
必要なんです。
5.1のrc.firewallならAのポート25を許可する行があるので、
それをCに書き換えるか、別途１行追加すればok。なお、
${fwcmd} add pass tcp from any 25 to any
は意味不明だし、不要です。

>>447
ようわからんがすてーとふるな防火壁で無い場合、外(25)→内をあけとかないと
ちとまずい場合が有松のぅ
あと113も無いとだめなシトもいまつ

>>445
800Mbps とゆーことでつか？

>>449
あ〜ごめんなさい
寝ぼけてました

実際問題100Mbpsなんて速度は出せるのかねぇ
自宅の鯖とクライアントのPC間でも
10.45MB/s=83Mbpsぐらいダターヨ(httpでファイルダウンロード)

mpdにしちゃうとipfwで帯域制限できないよね？
ppp使うしかないのかな〜

>>448
FreeBSDスレなので、ipfwのスペックは前提にしていいかなと。
最初期のリリースでもフラグは検査できた(と思う)し、現行のは
ダイナミックルールすら使えるわけですから。
ザルと知りつつ、事情があって使うのは否定しませんけどね。

>>452
そんなことは無い。
mpd ipfwで検索してみ。

>>454
よく読んで自分が勘違いしてたことに気が付きました
＿|￣|○
mpd使います(汗

BBルーターではないのですが、他にルーターに関して書き込む良いところがなかったので、
ここで質問させてください。

今回、はじめてFreeBSDでルーターを作成中なのですが、
うまくいかず困っております。

とりあえず、外には接続しないでローカルでホスト1台ルーター1台で
テストしているのですが、お互いからPingも打てない状態です。

設定はルーターのrc.confが
--------略----------------
gateway_enable="yes"
ifconfig_de0="192.168.0.1 netmask 255.255.255.0"
--------略----------------

ホストのrc.confが
--------略----------------
ifconfig_fxp0="192.168.0.2 netmask 255.255.255.0"
defaultrouter="192.168.0.1"
--------略----------------
です。
この状態でお互いにPingを打ってもしばらくたってからHost is down
と表示されます。

ヒントでもよいので提示していただければうれしいです。

環境はFreeBSD4.8です。
宜しくお願いします。

>>456
恐らく次の三つのどれか
・ケーブルが抜けている。ケーブルが間違っている(クロスとストレート)。
・HUBが腐っている。
・NICが死んでいる。正しく装着されていない。

調べるところ:
・NICのリンクLEDは点灯しているか?
・両方でifconfig実行してNIC, mediaが正しく認識されてるか。

ifconfig -a はご存じ?

実はhubを介さないで直接ストレートケーブルで繋いでいるとかだったりして。

>457
>458
早速のレスありがとうございます。
457さんがご指摘された辺りを調べなおしたところ、
自作のクロスケーブルが駄目になってたようでした。

いまでは快調に動作しています。
ありがとうございました。

よく電気製品の説明書に「修理に出す前に」と銘打って
「コンセントが抜けていませんか？」「電源は入っていますか？」とかあって
バカにするな！と思ったもんだが、こうして見るとそうバカにも出来んな…

>>460
しかたないよ。実際そうなんだから。

先日上司にPalmが動かなくなったので診てくれといわれたので
調べたら電池の極性が間違ってたよ。

>>461
いや、Palmじゃなかったかも。あれなんだっけ？電子メモ帳のたぐい。

ざーるす?

遅レス失礼です。
>>430
> いや、それはコメントアウトすべきではなくて・・・

うー、そうなんですか…。
${fwcmd} add pass tcp from any to ${oip} 25 setup
${fwcmd} add deny log tcp from any to any in via ${oif} setup

と並べてみたら、やはり通らなくなってしまいました。
また、中から外(C→A経由で外)も通りません。
うー、なんかヲレ、根本的にわかってない感…。

三国人フィルターだって。
ttp://www.dayomon.net/fw/

>>465
大量の三国人相手にlog付きはいかがなものかと・・

ipfw + natd の構成でどうしてもポートが開けられないので質問します。

# ipfw list
00100 divert 8668 ip from any to any via fxp1
00200 allow tcp from any to me 7144
00300 allow tcp from any to me 7743
00310 allow tcp from any to me 18080
00400 allow tcp from any to any setup
00500 reset tcp from any to any 113 in recv fxp1
65534 allow ip from any to any
65535 deny ip from any to any

(続く)

# cat /etc/natd.conf
dynamic yes
#log yes
log no
verbose no
deny_incoming no
log_denied yes
log_facility security
use_sockets yes
same_ports yes
unregistered_only yes
punch_fw 1000:100
# MSNm file transfer
redirect_port tcp 192.168.1.2:6891-6900 6891-6900
# PeerCast
redirect_port tcp 192.168.1.2:7144 7144
# Winny
redirect_port tcp 192.168.1.2:7743 7743
# http-alt
redirect_port tcp 192.168.1.2:18080 18080
# SSTP
redirect_port tcp 192.168.1.2:9801 9801

こういう設定で natd を再起動しても PeerCast や Winny は外部から接続できるのですが、
18080 の httpd(AN HTTPd) には繋がりません。
なぜ 18080 だと駄目なのでしょうか？ また、 SSTP も繋がりませんでした。

>>464
結局5.1-Rのrc.firewall(SIMPLE)前提でいいのかな？要するに、
${fwcmd} add pass tcp from any to 172.16.xxx.yyy 25 setup
を266行目に足す必要がありそうってことです。他は触らない。
内→外のTCPは279＆259行目でpassされるので、繋がらないのは
他に問題があるんでしょう、きっと。$natd_interfaceとか。

ipfwとnatdの設定がどうなってるか分からないし、想像で語るのも
疲れたので、443氏には素のrc.firewall＋NAT box上で中継MTA
(あるいはdelegate等)の構成を勧めます。ギブ。

もうこのすれだめだな

過度の一般化(･Ａ･)ｲｸﾅｲ!!

471>>
御意。ここ最近のipfw関連はつまらん。もっと、とんがれ

　ということで、ネタ出しでつが、IPv6はみんなどうよ。

うちのところは、ISPはヘタレなんで、6to4で接続してまつ。とりあえず、これにて、踊るカメさんが
拝見できていまつ。

つまらないしくだらないのでしょうけど、私にはどうしても解決できないのです。

>>467-468 のあと試しに 7743 ポートで httpd を待ち受けさせたら繋がりました。
けれどポートの番号以外同じように設定しているのに 18080 や 8080 でだと駄目なのです。

自分のできうる限り八方手を尽くしたと思っています。それでも解決できません。
どなたかヒントだけでもいただけないでしょうか？

>>473
おいらも6to4.jp。
つーか、クライアントサイドなら6to4で充分だし
IPV4/V6デュアルスタックサービスはどこのISPも
割高で、費用対効果の説明を求められると予算が
通らないのよ。

広域イーサのインターネットアクセスでIPV6トンネリング
オプションが約2万/月って安くならんもんかな？＞某ISP

>>474
ﾏｼﾞつまんね。tcpdumpしてどこでパケット落とされてるか調べろよ。

>>474
馬鹿がサーバー立てないようにport 21,80を閉じているプロバイダーがあると聞いたことがあるな。
お前のところのプロバイダーもそういう制限かけてるんじゃないの?
馬鹿が公開プロ串作らないように制限かけてるとか。

>>476-477
申し訳ありません。
kill -HUP `cat /var/run/natd.pid `
で natd を再起動したのですが、何か駄目だったようで、
マシンごと再起動したら無事繋がるようになりました。
情けない結果で申し訳ないです……

>>478
natdってたしかHUPシグナルではうまく再起動しないんじゃない？

>>479
そうそう。
natdではHUPをトラップしていないからHUP送ったら終了するはず。

まあ、パケットを処理中のときはSIGKILL送っても死んでくれんけど。

>>480
死ぬよ。
SIGKILL受け取ったユーザプログラムが死ななけりゃ、カーネルのバグ。
4.2BSDな頃はttyで刺さるとそういう状況になってたなあ。

>>481
>SIGKILL受け取ったユーザプログラムが死ななけりゃ、カーネルのバグ。
じゃぁゾンビプロセスが残るのもカーネルのバグだと？
もうnatdとは関係無い話だが・・・

>>482
どこが「じゃぁ」なんだよ。全然関係ない。

disk I/O中のプロセスは何やったって死なないよ。
uninterruptable hard mountしたNFSが刺さると一生刺さったままだろ?

というのは関係ない話でございますので
何事もなかったように次の方どうぞ。

SIGKILLでnatdは必ず死ぬわけではない。
>>481は逝ってよし。

という結論でおけ？

>>485
残念ながらnatdはdiskio行わない。

っと。設定ファイル読んだ後はと書いておかないと。
>>484のような、つまらないレスつける奴がでてくるな。

とりあえず>>480は死なない根拠を持ってくるまで発言に及ばず。
では何事もなかったように次の話題をどうぞ。

「すぐに死なない」ことを「死ぬ」というやつと「死なない」というやつに
分かれてるだけなんじゃねーの？

>>489
憶測で戯言いうな、ソース見ろ。
kill `cat /car/run/natd.pid`で、すぐ死なないのはシグナルハンドラ中で10秒後に
死ぬように作られているから。SIGKILLはプログラムでトラップできないから即死する。

>>490
ありがとう。ソース解説してくれるお前のようなのを釣っただけだよ。

>>487
socket I/O中のプロセスはSIGKILLで死ぬの?

>>490
そうすると結局もれがSIGTERMとSIGKILLの動作を見間違えてただけぽ。
すまそ。

>>491
本当かガセかは自分でソース見るまでわからない罠。

IPFWについて質問させてください。m(_ _)m
外部からTCPでいきなりsyn以外のパケットがきた場合、パケットを破棄するようにする為
jman ipfw を参考に tcpflags !syn と書いたのですがこの場合だと[syn+hoge]がきた場合[rst]等で返答してしまいます。

> 断片化されたパケットに関するマッチについての詳細は frag オプションを参照してください。

と記述があったのでfragをみると、

> パケットが断片 (フラグメント) 化されたデータグラムの一部で、
> かつデータグラムの先頭の断片でない場合にマッチします。
> frag を、 tcpflags や TCP/UDP ポート指定と共に使用することはできません。

とあったので以下のような記述を加えたのですがこれであっていますでしょうか？

ipfw add deny all from any to any frag

# 色んなサイトでよく上記を pass で通すようにしてる記述を見るんですが意図は何なのでしょうか？

>>494
そもそもフラグメントって何かわかってる?

まあIPv6が普及すればフラグメントは昔話になるわけだけれど。

>>494
ダイナミックルール使わないのはどういう理由?

お前ら！ mpd 3.15でtcpmssfixを使えている方は使い方教えて下さい。

マニュアルには書いて歩けどうまく行かないのよね。mpd.confの中に
set iface enable tcpmssfix
って書いておけばいいと思ったんだが違うのだろうか。

ほら、BBルータを買えば良いと思うよ

>>497
doc/trouble.sgmlの更新分に
For TCP connections it's possible enabling the TCP-MSS-Fix:
?A<tt>set iface enable tcpmssfix</tt> (available since mpd-3.15).
って書いてある。

５００

最近はBBルータは安くなったので、このスレは役目終わったか。
自作BBルータは市販品に比べて手間は100倍だからな。

>>501
DummynetとかAltqとか市販のルーターでサポートしていないような機能がほしい場合は
FreeBSDでルーター作ってもいいんでないかな。

そういえば、市販のルーターの処理力ってどれくらいあるんだろう。

IPv6とかはまだまだ自作BBルーターが有利

ログ取りもｼﾞｻｶｰのが有利。
リモートメンテもｼﾞｻｶｰのが有利。

でも消費電力は自作が不利

でもんなこと気にしませんよね

もったいない気もしなくもないがCentrinoでルータ組んだら
消費電力は大分下がるんじゃない。市販ブルータに比べてどうかは
知らんが。

>>505
えぇ、高機能と消費電力はトレードオフですから〜。
でも最近のGHzマシンは絶対いらないと思う。

消費電力は気にしてないけど、大きさは気になる。できればOpenBlockSぐらいにはしたい。
今はminiITXのeden533で使ってるけど、nanoITXが出たら乗り換えようかとちょっと考えてる

eden533ってPPP喋らしたらちと苦しくない？
どうも、高クロックで動かしているマシンはPPPの負荷を考えた上
での選択らしいが。

電気代は大体月500円くらいだから、年間6000円。
ログ機能や本格的なフィルタ機能を搭載したルーターとなると5万から10万はする。
FreeBSDルーターは安いと思うよ。
きっちり運用できる腕があれば。

TRONのミカン大の奴を

VPNでワイヤスピードほすぃ…無理

そんなにトラフィックないから気にしてなかったけど、mrtgのログを見るかぎりでは、
PPPoE で 500Kbytes/s ぐらい出してるときに、uptime が 0.3 ぐらいだった。
たしかに、光で100Mbps とかやってるとちょっとつらそうだ…

uptimeいうな

ｽﾏｿ
uptimeじゃなくてload ave.ですね
呆けてた

>>512

暗号化ボード載せれば、ワイヤースピードは簡単にでるよ。
でも、暗号化ボードが高いけど。だいたい、５−１０万ぐらい。

今、FreeBSDでブロードバンドルータ作成を調べてるのですが、わからないことがあって困ってます。<br>
私はかなりの無知な初心者なのであほなこと言ってるかもしれませんがよろしくお願いします。<br>
<br><br>

やりたいこと：<br>
・FreeBSD(4.7)をADSLルータ(モデム＋ルータ)と同じように動作させて置き換えたい。<br>
<br><br>

状況：<br>
・現在、家でインターネットにつなぐ時はプロバイダから借りているルータ(ＡＤＳＬモデム＋ルータ)にＰＣをつないでＡＤＳＬで接続しています。<br>
・ＡＤＳＬルータと電話線間は、家の電話線からスプリッタを通してスプリッタのモデムインターフェイスとＡＤＳＬルータのＬＩＮＥインターフェイス間をつないでおります。<br>
<br><br>

質問：<br>
・借りているルータ(モデム＋ルータ)の代わりにFreeBSDをルータ(モデム＋ルータ)として動作させたいのですが、<br>
電話線とＰＣは繋げるんですか？以前モデムを使用してインターネットに接続していたのでモデムボードはありますが。。。<br>
・プロバイダ⇔ＡＤＳＬモデム⇔FreeBSDルータ⇔ＰＣでないとできないのでしょうか？<br>
<br>
また、私がやってること考えていることはやろうとしていることに対してあってるのでしょうか？まちがってるのでしょうか？<br>
<br><br>

だれかわかる人教えてください。よろしくお願いします。<br>

>>517
とりあえず、HTMLタグはいりません。

実際やるならこんな感じで繋げるのが一般的かと
(=→LANケーブル -→電話線)
|スプリッタ|---|ADSLモデム|===|FreeBSD|===ハブとか...

そういやADSLモデムボードってないのかなぁ？
ISDNのTAボードってのは見たことあったが

普通のアナログモデムとADSLモデムは全くの別物なので
できません。

ルータを置き換えることは可能です。いじょ。

nanoitxはいつ出るのよ？
クリスマス商戦までに間に合わせるんじゃなかったの？

>>520
100Mbpsクラスだと処理できないヨカーン。
フィルタリング処理にこだわるとどんどんツラくなる…>CPU

最近mpdを3.15から3.16にあげたら、
PPPoEで接続できなくなっちゃったんだけれど、
誰か同じような症状の人いる？

いません。

3.16のChangeLogはどこだ?

ありません。

docのmpd5.htmlに有りました。

>>522
>Changes since version 3.15:
> Implemented PPPoE server functionality
これの絡みで、設定の記述がかわったのかもな。
とにかく設定晒すことをすすめるよ。

IPFW2とIPFilterとPFの3つでどれが一番性能が出るか書いてあるページとかご存じないですか?

ipfwとipfilterを比べるものやipfilterとpfを比べるものは見つけたのですが、
ipfwとpfを比べているものやipfwとしてIPFW2を使って比較しているものが見当たらないもので。

>>522
とりあえず他にもいるということだけ。
522ではないですが、設定を晒してみる。

flets:
new -i ng1 flets PPPoE1
# ルーティング設定省略
set iface up-script /usr/local/etc/mpd/flets.sh
set iface down-script /usr/local/etc/mpd/flets.sh
set bundle authname foo # 隠すのに意味は無いけど
set bundle password bar # 一応隠しておく
load client_standard

client_standard:
set iface disable on-demand
set iface idle 0
set bundle disable multilink
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set link mtu 1454
set link mru 1454
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface

パスワードをmpd.secretに書いてchmod 400しているかどうかで、mpd.confを書くのに参考にした資料が分かりそうだな。
yggdrasilを参考にしているかBSD Magazineか。とか。

>>522
http://emotd.com/2003/12/25.html

Some netgraph string length constants have been changed.
ってことなんで、mpdを作り直す必要があるそうだ。

http://triaez.kaisei.org/~kaoru/diary/?200401b#200401133
/usr/local/etc/mpd/mpd.linksに
set pppoe service "hoge"
set pppoe disable incoming
set pppoe enable originate
を追加

>>532
それで解決。
サンプルぐらい読め＞俺

こんなサイト見つけたんだけど
http://www.geocities.jp/hamdah3502213/osugi/osg.htm

mpd.confは
set link mtu 1448
set link mru 1448

ipnat.rulesは
mssclamp 1408

にしたほうが効率いいのかな？

Bフレッツベーシックだから知らね

広末もBBルータ使ってるって本当ですか?

本当です。


広末陽一郎さん(42・農業)ですが。

5.2Rでてたのな。今気づいた

routerに関係しそうなねたってipfwまわりの修正、変更だけかな。
あとは使えるNICが増えたくらいか。

pfも最近ちょっぴり新しくなってなかった？

今まで当たり前のように静的ルーティングだったんだけど、動的ルーティング
もやってみたいと思っています。
自宅のネットワークにRIPやOSPFを使ってブイブイいわせてる方いますか？

ブイブイ

私が>>542をブイブイ言わせた者です。

ほらあんた、掃除のジャマなんだからいつまでも寝っ転がってないで
鷄モモと生姜買って来てちょうだい！

>>541
何に使うの?
複数のセグメントが同居してない限りあまりやくにはたたんと思うが

>>540
そうなの?
pfって/usr/ports/security/pfのことだよね?
OpenBSD 3.4に入ったOS fingerprint機能のことかな?

>>544
実用するというよりは、使ってみたいという感じです。
２セグメントしかありませんが・・・

Release5系でのtag vlan(802.1q)インターフェースの設定方法教えてください。
Release4ではカーネルコンフィグに、

>pseudo-device vlan 4

とか書いてカーネル再構築すればvlanインターフェースが4つ使えるように
なったのにRelease5ではこれやってもうまくいきません。
仕様が変わったようです・・・・・

>>547
> 仕様が変わったようです・・・・・
そうですか。













man vlanぐらいしてみたのか?

PC9821C233/Vに仕込もうとおもったんだが、98唯一の430TX機のおかげで
BSD本体のインスコすら巧くいかねぇ．．

発売当時はDVDはみれるは、TVはうつるはで超ハイエンドだったのに
いまはゴミだな．．ｶﾞｸｰﾘ

>>549
IRQとか手打ちしてもだめ？

# ifconfig vlan0 create
# ifconfig vlan0 vlan 101 vlandev ed1
# ifconfig vlan0 inet 172.16.0.1 netmask 255.255.255.0

FreeBSDで、ウィルス対策をしたいのですが、
無料のお薦めのアンチウィルスソフトはありますか？

>>552
特に無料に限ったウィルス対策ソフトの紹介ではないが、次を紹介しておく。
Postfixで使えるウィルス対策ソフト: http://www.kobitosan.net/postfix/ML/arc.4/msg00850.html
Antivirusスレ: http://pc.2ch.net/test/read.cgi/unix/1046547211/

個人使用などの条件なしで無料のがほしかったらclamavというのが/usr/ports/security/clamav/に入ってる。
それをメールサービスに適応するには/usr/ports/security/amavisなどがある。
clamavはメジャーなものにはちゃんと対応するのでライセンスが気になるならこれを使ったがいいね。

>>553
さっそくの返答ありがとうございます。
このようなVirusソフトもあったのですね。
できれば、無償の方がありがたいです。


あの〜>>553さんの後半に書いてある内容ですが、
それってFreeBSDのportsで無償のアンチウィルスソフトがあるってことですか？


あと、いろいろ検索して今捜しているんですけど、
http://www.f-prot.com/download/home_user/download_fpbsd.html
↑これもそうでしょうか？　使っている方とかいらっしゃいますか？

cd /usr/ports して make search key="virus" するとずらずら出てくるけど

Port: f-prot-4.3.3
Path: /usr/ports/security/f-prot
Info: F-Prot Antivirus for BSD Workstations

clamavをqmail-scannerで使っているよ。
とりあえずMyDoomっぼいメールは除去できている。
警告メールをsenderに送らずにrecips,adminだけに設定を書き直す必要があるけど。

>>554
F-protは「Postfixで使えるウィルス対策ソフト」の中で紹介されていたはずだが。
もしかして読んでないのか?
「無料に限ったわけではない」というのは「無料のものもあるけど、有料のものも登場するよ」という意味で
使っていたんだが。
「無償のほうがありがたいです」などととぼけたことを言っているんだから読んでないんだろうけどな。
なんか教えがいが無いな。

clamavの話題もF-PROTの話題も「Postfixで使えるウィルス対策ソフト」で紹介されてるよ。
それを読んでなお疑問があったら聞きなさいな。

スレッドという意味がわからんかったのかもしれないな。
http://www.kobitosan.net/postfix/ML/arc.4/thrd9.html#00850
のページの「[postfix-jp:0xxxx] RAV Antivirusの代替品」という青文字をすべてクリックして読むべし。
ちなみに、xxxxのとこは数字が入る。

ひさしぶりにアキバを徘徊してきまつた。

そんで、Matroxのi5299が4つ載った4ポート10/100のPCIのLANカード
を\9,800(新品)で保護してきますた。まだ、レジの奥に10枚ぐらいある
ようです。店の名前は、忘れましたが昌平童夢館のそばのOttoの系列
点で、NW機器とか、PCサーバとかを置いてあるサーバ系のジャンク屋
です。
　これと、EdenのMini-ITXでDMZのOKな静音ファイアーウォールを作り
たいと思いまつ。

　とりあえず、自宅の開発PC(MSI　６９５DAIR)にいれてみた。FreeBSD　4.9-p2
だけど、きちんと認識した。dmesgはこんな感じ。

pcib3: <DEC 21152 PCI-PCI bridge> at device 16.0 on pci0
pci2: <PCI bus> on pcib3
fxp0: <Intel 82559ER Embedded 10/100 Ethernet> port 0xa000-0xa03f mem 0xdf000000
-0xdf01ffff,0xdf083000-0xdf083fff irq 11 at device 4.0 on pci2
fxp0: Ethernet address 00:20:fc:1e:d3:b0
inphy0: <i82555 10/100 media interface> on miibus2
inphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
fxp1: <Intel 82559ER Embedded 10/100 Ethernet> port 0xa400-0xa43f mem 0xdf020000
-0xdf03ffff,0xdf081000-0xdf081fff irq 9 at device 5.0 on pci2
fxp1: Ethernet address 00:20:fc:1e:d3:b1
inphy1: <i82555 10/100 media interface> on miibus3
inphy1: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
fxp2: <Intel 82559ER Embedded 10/100 Ethernet> port 0xa800-0xa83f mem 0xdf040000
-0xdf05ffff,0xdf080000-0xdf080fff irq 5 at device 6.0 on pci2
fxp2: Ethernet address 00:20:fc:1e:d3:b2
inphy2: <i82555 10/100 media interface> on miibus4
inphy2: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
fxp3: <Intel 82559ER Embedded 10/100 Ethernet> port 0xac00-0xac3f mem 0xdf060000
-0xdf07ffff,0xdf082000-0xdf082fff irq 10 at device 7.0 on pci2
fxp3: Ethernet address 00:20:fc:1e:d3:b3
inphy3: <i82555 10/100 media interface> on miibus5
inphy3: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto

きちんと、4ポート認識した。これ、PCIx6のマザーに指したら、24ポートの
最強ルータできるね。なんに使うかわからんが。

#　最近、ネタがないようなので、振ってみた

お、
NIC 8枚目
http://pc3.2ch.net/test/read.cgi/jisaku/1068045331/
のひとだね。

AHA6944Aが売っていたころはやった？ので、ちょっと懐かしい4portNICねた。
当初はdigital2115xPCI-PCIブリッジが使えなくてはまっていたみたい。
Adaptecのはdeだったけど、今回のはfxpということでいいなーといってみたり。

#でも4ポートも何に使っていいのかわかんない。

久々のカキコだー

外、鯖用、自分用、家族用で4つやねw

ルータ機と鯖ってやっぱり別のマシンでやった方がいいのかな？

sage忘れた。ｽﾏｿ

>>564
別の方が望ましいんじゃない？
うちは一緒
中とってjailとかが良いかもな

セキュリティとかのこと考えると分けた方がいいと思うけど
場所のこととか電気代のこととか考えると一緒ってのもありかと
うちはデーモンをjailに放り込んでルータと外向けの鯖で１台

4.6だとjailで運用はちとやりにくいけど
今はだいぶやりやすくなったようで
4.9にしたいなぁ

jailって複数サービスは別々のchroot環境・IPアドレスにしてますか? 一緒?

俺は、NIC2枚挿して、一方をハブに繋ぐというやり方でルーター化したが、
やはり4ポートのNICに、直接各PCのNICをケーブルで繋いだほうが、
パフォーマンスは上がる？

>>569
微々たる（ｒｙ

!(>>566 || >>566)だけど、
もれは別構成にしてる。
互いが別マシンという構成がいいなら当然そうなりそうだけど...

ちなみに、実装上の問題でsyslogdとPostfixは同一のchroot空間、IPアドレスだけど
別のjail空間を使ってる。
こんなふうにしてるもんで。
jail /jaildir/mail mailhost 10.0.0.1 syslogd -s
jail /jaildir/mail mailhost 10.0.0.1 postfix start
互いに相手を停止できないからちょっと安全かと思ってみたり。

まあ、jailしててもDoSには無力だけどね。

>>564
きちんと設定しとけば、一緒でも別でもセキュリティレベルは一緒。
分けてたってルータがやられれば、そこから鯖にも入られるんだからね。
分けるかどうかは別の要因で決めればいい。

>>569
PC-PCの通信が多いなら、真ん中にルータがあるより、スイッチで繋がってる方が速い。

>>571
postfix空間がやられたときに、syslogd空間だけやられずに残ってることに、どのくらい意味があるのかだな。
あるなら、いいけど。

>>572
もちろん信用度が
jail>>>ルータ機能>サーバ
って条件下での話でしょ

攻撃できる条件を下げる意味とか、被害が広がらないって意味もあるし
メインの空間が残ってれば復旧が楽って話もあるな
無いよりは有った方が良いじゃね？

まぁ組み合わせ技ってのもあるから、出来るだけjailで分離しておいておくのは同居させるよりはマシだよね。

>>574
jailの中でpostfixとsyslogdを起動するスクリプトを書くのがまんどくさかったので
あんなふうにしてるだけ。
rc使うと余計なものまであがってしまうしね。
そういう手抜きだけど、少しは意味があるようにも思う。

psしてもsyslogdの存在が見えないからscript kittyの教科書通りの攻略法が
使えなくなるという利点はあるだろうね。
本体に飛ばしてるので/var/log/消しても足跡は残るし。
syslogd止められないのでログは出るし。

これからやろうとしているのは、NIC1枚のみでの、ど根性BBルータを、
リピータハブと組み合わせたもので・・・ｳｯ,.

保守age

mpd 4.0b1 release age

メールスキャンgate wayつかうと --->
This version of AntiVir is licensed for private and non-commercial use.
AntiVir has detected the following in a mail sent through your server:
Worm/NetSky.Q wormWorm/NetSky.Q worm (x2)
The mail was not delivered.AntiVir for UNIX

Copyright (C) 1994-2002 by H+BEDV Datentechnik GmbH. All rights reserved.
For more information see http://www.antivir.de/ or http://www.hbedv.com/

upnpはいいかげんportsがアップデートしないなぁー。
Cで書き直した版が使いたい。

send-prしてみればぁ〜

>>582
書き直した版って何ですか？

このへん参照
ttp://sourceforge.net/project/shownotes.php?release_id=139920

send-prしてください　おながいします

iptablesをipnatに書き換えるfiles/patch-aaを書いてくれればsend-prを考える

1.2.1は去年の4/5 にcommitされて、4/14にbackoutされております。

linux-igdの対応待ち->Microsoftの対応待ち では？
http://linux-igd.sourceforge.net/
お手伝いするなら、こちらの方へ♪

しかし、早く 1.2.1 が使えるようにならないかな。
NeBSDのpkgsrcを作ってみたら、Makefileのパッチが大変。

mpd 3.18にアップグレードしたら5分くらいごとに一瞬プチプチ切れるようになってしまいました。
他にこのような症状になった方おられますか？どうすれば直るのでしょうか？

特に問題無いよ。
4.9R-p7

mpd.confとmpd.linksを貼ってみたら?

ああ、Cで書き直した版ってlinuxigdのほうだった。
どうりでChangeLogに見当たらないわけだ。

TEPCO光が来たんでついでに Pentium200MHz 96MB から
Celeron667MHz 512MB のマシンに換えて、FreeBSD5.2.1R をいれて
ルータにしてみますた。

最初今まで通り、ipfw+natd+mpd でやったら 30Mbps 前後しか出ない...
top で見てると natd の負荷がトラフィックとともにぐんぐん上がっていく...
ためしに ipfilter+ipnat+mpd にしたら 80Mbps 前後、ほぼ直結と
同じ速度が出た...

natd はもうお役ごめんか...
ipfw から ipfilter に移行するのは面倒なんだけど、
ipfw も同時利用できるんだよね？だったら ipfw で詰めた設定を
そのまま使うだけでいいかな？それとも ipfilter でやった方が
軽くなる？

両方同時に使っているよ。
ipfwとipfの開発者が顔をつき合わせたときも、そんな結論になったような。

>>594
そうでつか。
ipfw でフィルタ設定してしまおうかと思います。

何方か助言頂けませんか。
今日から光ﾕｰｻﾞｰに成長したんで、それまでのCATV向け設定を変更してPPPoE
出来るようにしている最中です。

とりあえずpppのnatを使った設定で問題なく動くところまできています。

で、次にppp+ipfw2+natdで動かそうとして詰まっています。
pppのnatを無効にした上で

>ipfw -f flush
>ipfw 10000 divert natd all from any to any via tun0

と直接加えると一切外(DNSとかGWとか）と繋がらなくなってしまいます。
とりあえず一番簡単にnatdを動かすならこれでいいと思ったんですが、何か
勘違いしていますでしょうか？

FreeBSD5.2.1

pppでnatできるならば、natdを使う意味は全く無い。

とりあえずこのスレひととおり読んでみたほうが

>>596
ipfw list
すると
65535 deny ip from any to any
になってないか？

>>597
いや、dummynet使う必要があるんで。

×いや、dummynet使う必要があるんで。
○dummynet使う際にどうせipfw2使うから、一緒にnatdにしようかと。

すみません、凄い厨っぽい質問で・・・
FreeBSD 5.2.1 + mpd 3.18 を試しているんですが一向に接続できません。

[PPPoE] ppp node is "mpd504-PPPoE"
[PPPoE] using interface ng0
[PPPoE] IPCP: peer address cannot be zero
[PPPoE] IFACE: Open event
[PPPoE] IPCP: Open event
[PPPoE] IPCP: state change Initial --> Starting
[PPPoE] IPCP: LayerStart
[PPPoE:PPPoE] [PPPoE] bundle: OPEN event in state CLOSED
[PPPoE] opening link "PPPoE"...
[PPPoE] link: OPEN event
[PPPoE] LCP: Open event
[PPPoE] LCP: state change Initial --> Starting
[PPPoE] LCP: LayerStart
[PPPoE] device: OPEN event in state DOWN
[PPPoE] PPPoE originate option is not enabled
[PPPoE] device is now in state OPENING
[PPPoE] device: DOWN event in state OPENING
[PPPoE] device is now in state DOWN
[PPPoE] link: DOWN event
[PPPoE] LCP: Down event

これが延々と繰り返されます。

ｶｰﾈﾙｵﾌﾟｼｮﾝにもnetgraph関連の例の４つを加えてコンパイルしてあります。
何方かｱﾄﾞｳﾞｧｲｽいただけませんでしょうか？

mpd.confとmpd.linksです

---
default:
load PPPoE

PPPoE:
new -i ng0 PPPoE PPPoE
set iface addrs 1.1.1.1 2.2.2.2
set iface route default
set iface disable on-demand
set iface idle 0
set iface mtu 1454
set bundle disable multilink
set bundle authname [email protected]
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set link mtu 1454
set link mru 1454
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface

---
PPPoE:
set link type pppoe
set pppoe iface fxp1
set pppoe service "whatever"

>>603
>set iface addrs 1.1.1.1 2.2.2.2

の行が無い以外全く同じ設定で tepco 光 point に繋がってます。
set iface up-script /usr/local/etc/mpd/mpd.linkup
の行もあるけど内容は ipf, ipnat のリフレッシュだけ。

#!/bin/sh
/sbin/ipf -y
/sbin/ipnat -CF -f /etc/ipnat.rules

たぶん同じところからのこぴぺだな...

そんなことより漏れは mpd のログが出なくて困ってます。
/usr/local/etc/rc.d/mpd.sh のコマンドラインに
-s "daemon" をつけて
syslog.conf に daemon.* /var/log/mpd/log
たら一瞬出たんだけど、mpd.sh restart させたら
また出なくなっちゃった...

>>596
natdは動いているか?

10000を通るパケットはすべてnatdが待ち受けているportに転送されるから
そこで待ち受けてくれるプログラム(natdなど)が居ないとそこでパケットが
先に進めなくなってるぞ。

natdが動いているなら>>599を疑ったりgateway_enable="YES"になってるか確認したり
というのがあるが。
まあ、有益な助言がほしいならipfw -a listとps -ax|grep natdをさらせ。


...そういえばALTqってまだFreeBSDのcvs treeに入ってないんだっけ?

>>596
あんまり本質的な部分ではないけど、/etc/serviceに

natd 8668/divert # Network Address Translation

なんて定義が書いてあるわけで、わざわざ10000とかにするよりはnatdとか8868とか
書いておいたほうが判りやすいような。そうでないとnatdのほうの設定も変えなきゃ
ならないし。

>>606
10000 はポート番号じゃなくて ipfw のフィルタ番号だろ？
ってよく見たら add が抜けてるね。
>ipfw 10000 divert natd all from any to any via tun0
単なる書き間違い？

ｱﾄﾞｳﾞｧｲｽ下さった皆様、ありがとうございます。
605氏の言うとおり、natdをage忘れてますた・・・ ○|￣|＿ ｵﾚｯﾃ,ﾀﾞﾒｽｷﾞ
逝ってきます

ルーターなんて1万も出せば買えるじゃん。

もれも逝ってくる… y=ｰ( ﾟдﾟ)･∵.　ﾀｰﾝ

１万のルーターだとHDDで起動しないからまんどくさい

>>609
一万円のrooterで
・IPv6トンネル対応
・SNMP対応
・IP unnumbered対応
のものがあるなら紹介してくれ。いやまぢで。

>>611
HDDは無い方が良いんじゃねーの？
信頼度はメモリの方が上だろ

HDDが無いと50G byteぐらいの雑多なファイルとかが置けない。p2のログだけど。
dtcpsも使いたいし。

ipnatについてちょっとｱﾄﾞｳﾞｧｲｽ頂けませんか。

ipnat.rulesに次の１行を書いています

rdr ng0 0/0 port 9999 -> 192.168.0.1 port 9999 tcp

この状態で 'ipnat -l' で見ると

RDR 192.168.0.1 9999 <- -> 192.168.0.1 9999 [221.yyy.yyy.yyy 4290]
RDR 192.168.0.1 9999 <- -> 210.xxx.xxx.103 9999 [220.zzz.zzz.zzz 1853]

このような結果を返す事があります。この時の状態は

[Client](192.168.0.1)--(192.168.0.254)[鯖](210.xxx.xxx.103)--(aaa.bbb.ccc.ddd)[ISP]

となっています。

１行目の、変換前後のアドレスがどっちもｸﾗｲｱﾝﾄを指しているのが気になるんですが
ipnatってこれで正常な挙動なんでしょうか？

まずはOSのバージョンとpppoeのバージョンぐらいだそうよ。
FreeBSDのnetgraph経由でmpd使ってることぐらいは推測
出来るけどさ。

>616
あぁ、すみません。質問の基本でした。FreeBSD4.8+mpd3.18, ipnatやipfilterは4.8付属のままです。
というかひたすら延々と試行錯誤してるけど、もう挫けそう・・・素直にmpd+ipfw+natdにしようかな・・・

質問ばっかで申し訳ないんですが、誰かとどめを刺してください。
ipfilter+ipnat+ipfw(&dummynet)で帯域制限って、inとoutを別々に制限出来ない？
（というか、片方しか制限出来ない？）

ipnatよりipfwが先に処理されるならin側の制限が出来ず、ipfwよりipnatが先に処理されるなら
out側の処理が出来ない気がするんですが。

>>602
手元のログでは ppp node is "....." の次の行に
exec: /sbin/ifconfig fxp0 up
というのが入ってる。 PPPoEを乗せるインターフェースはfxp1で合ってる？

あと、mpd.linksに
　set pppoe disable incoming
　set pppoe enable originate
を追加してみるとどうよ。

一時は閑古鳥スレでしたが、最近は盛況ですね。

ちょいと、調べて見た。

2003.08 -175
2003.09 -251
2003.10 -378
2003.11 -500
2003.12 -520
2004.01 -546
2004.02 -562
2004.03 -578
2004.04 -579
2004.05 -620(5/16時点)

ネタ振りがあった２件がほとんどだね。

mpdで接続はできるもののエラーが出て外部に全く出れません…お手上げ状態です

[hoge] ppp node is "mpd758-hoge"
[hoge] exec: /sbin/ifconfig fxp0 up
[hoge] using interface ng0
[hoge] IPCP: peer address cannot be zero
[hoge] IFACE: Open event
[hoge] IPCP: Open event
[hoge] IPCP: state change Initial --> Starting
[hoge] IPCP: LayerStart
[hoge:PPPoE] [hoge] bundle: OPEN event in state CLOSED
[hoge] opening link "PPPoE"...
[PPPoE] link: OPEN event
[PPPoE] LCP: Open event
[PPPoE] LCP: state change Initial --> Starting
[PPPoE] LCP: LayerStart
[PPPoE] device: OPEN event in state DOWN
[PPPoE] device is now in state OPENING
session in wrong state 　　　　　　　　　　　　　　←ここでエラー
[PPPoE] rec'd ACNAME "hoge_foo1"
[PPPoE] PPPoE connection successful
[PPPoE] device: UP event in state OPENING
以下略…

接続自体には成功してng0にIPアドレスが割り振られているんですがmpdを動かしているPCからhttp、ftpは通らない
dnsは引けないと全く外部に出れない状況です
netstat -r ではng0がdefaultになっているものの、なぜか表示されるのに30秒くらい時間がかかります
一応ipfilterはipf -Dで切ってあり、環境はFreeBSD5.2.1+mpd3.18です
mpd.confとmpd.linksを晒します

default:
load hoge

hoge:
new -i ng0 hoge PPPoE
set iface addrs 1.1.1.1 2.2.2.2
set iface route default
set iface disable on-demand
set iface idle 0
set iface mtu 1454
set bundle disable multilink
set bundle authname [email protected]
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set link mtu 1454
set link mru 1454
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface

#mpd.links
PPPoE:
set link type pppoe
set pppoe iface fxp0
set pppoe service "whatever"
set pppoe disable incoming
set pppoe enable originate

アドバイスきぼんぬ…

使用するデバイスをfxp0からxl0に変えたらsession in wrong stateは出なくなりました
ppp接続には成功してる模様？
しかしまだ外部に出れない…相変わらずnetstat -rは表示されるのに一分近くかかります
くだ質行った方がいいのかな…

名前解決のタイムアウトで時間が掛かっているんだろ。netstat -rn

単にDNSが引けてなかったみたいです
resolv.confにnameserver直接指定してやったら解決…
DNSは自動割り当てされるはずだから大丈夫だと思ってましたorz
今までDNSのことなんか気にしたことなかったですし(´･ω･`)
自動的にDNSアドレスを受けとって設定してくれるようなオプションはないんでしょうか？

mpdには（まだ？）ない

ルーティングの話だから多分ここであってると思うので質問です。
接続先IPアドレスに応じてrouteを変えるのはそれこそrouteコマンドですぐできるのですが、
接続元IPアドレスに応じてrouteを変えたいときって、どうすればいいのでしょう？

google "FreeBSD マルチホーム"

>>628
マルチホームといえば、基本は BGP。アドホックには ipf/pf/ipfw でソース
ルーティングだと思うのだけれど、v6 とかでもうちょっと格好良い解決法を
使ってる人とかいません？

>>627
ポリシールーティングってやつ?

>>629
pfでtraffic load balancingとか？

IP電話導入でちと分からないところがあるんで質問させて下さい。

IP電話対応ルータにする為にはUPnPに対応させる必要があるっつー事で、FreeBSDで
作る場合の常套手段が

ipfilter + ipnat + upnpd

であることは分かったんだけど、UPnPって誤解を覚悟で言うなれば

「接続機器の要求に応えて、自動的に壁に穴をあけてリダイレクトの設定を行う」

為の規格だと思ってるんだが。だったらupnpd入れなくても自分で手で設定するのじゃ
駄目？それとも、IP電話用アダプタがどのポートを使うかがランダムだったりして、
手では設定不可能とか？

ipnatは、自動的にNATしてくれるが、ipfilterは穴をあけて
くれなかったとおもったんだけど、どう？

追伸
あと、upnp使うのは、SIPプロトコルが自分のグローバルアドレスを
知るためだと思ったよ。だから絶対必要。
他に方法あればいいけどね。

>>632
linuxigdをインスコ

ぷららフォンのVoIPならx68k.net/diary/とかが詳しい。

くだらん質問でｽﾏｿ
DNSを自動で割り振るのにはnamedが必要？みたいだけど
市販ルータも内部ではnamedが動いてるのかな？
http://buffalo.melcoinc.co.jp/download/driver/lan/linux_whr.html#WLA-T1
それ関係のパッケージが見あたらないけど…

必ずしもBINDを使ってるとは限らない罠

特にBINDに限定したわけでなくDNSを扱うパッケージが見あたらなかったから変だなと思っただけだす
↑のソフトウェアだけであの機能が実現できてるのかなと

>>638
実際に何を使っているかは知らないけど、
bind は GPL じゃないからソース公開義務はないよ。

そうだったんですか…
根拠もなくGPLだと思いこんでました
スレ汚し失礼しましたorz

BINDのBはBSDのB

>>640
かなり脳みそがGPLに侵されてますな。
ApacheとかEclipseとかはそれを基にした商用ソフトウェアをスポンサーが
作りたいのでソースコード公開の義務がもっとゆるいライセンスが使われてるよ。
むしろ、ソフトウェアを売って金をもうけている会社と無縁のプロジェクトでないと
GPLは使わないでしょう。つうか、使えないでしょう。

>>641
違うぞ。
BINDはBerkeley Internet Name Domainの略だ。
確かにBSDのBとBINDのBは同じBerkeleyをあらわすけどね。

そういえば、BINDのライセンスって改定BSDLと同じレベルの制限なんだっけ?

>>642
>>641の言いたいことはそのことと思われ(Bの略が一緒)
なんの話のつながりもないが・・・

というか
>DNSを自動で割り振るのにはnamedが必要
に誰も突っ込まないのか。
スタブリゾルバの話し?
それともDHCPでDNSサーバーのアドレスを割り振るってことか?

もう一度質問させて頂きます。すいません。
mpd 3.18にアップグレードした頃から30分くらいごとにプチプチ切れるようになってしまいました。
他にこのような症状になった方おられますか？どうすれば直るのでしょうか？

mpd.conf
default:
load ASAHI-NET
ASAHI-NET:
new -i ng0 ASAHI-NET PPPoE0
set iface addrs 1.1.1.1 2.2.2.2
set iface route default
set iface disable on-demand
set iface up-script /usr/local/etc/mpd/mpd.linkup
set iface idle 0
set iface mtu 1454
set bundle disable multilink
set bundle authname hoge@hoge
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set link mtu 1454
set link mru 1454
set link keep-alive 10 60
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface

mpd.links
PPPoE0:
set link type pppoe
set pppoe iface fxp0
set pppoe service "ASAHI-NET"
set pppoe disable incoming
set pppoe enable originate

こんな感じの設定ファイルです。5.2.1Rでmpd+ipf+ipnat使ってます。
一応繋がるのですが切れなくする対処法みたいなのないでしょうか。

>他にこのような症状になった方おられますか？
うちはそんな症状は無い。

645>> どのバージョンからバージョンアップしたかわからんが、
change history に以下の記述があるが、なにか関係あるのかな？
ちなみに、俺はまったく意味がわからん。
識者のかたよろしく。

Changes since version 3.16:
BugFix: keep-alives were b0rked, and every other function wich relys on valid link-stats.

ちなみに、俺が3.18にバージョンアップしてはまったのは、
（どのバージョンからアップしたかは、忘れてしまった。）
up-scriptとdown-scriptから呼び出された時の、引数の数の変化。
それぞれ、4→5 、2→3

WindowsマシンからPPPoE接続してもプチプチ切れました。
恐らく光ファイバーの断線が原因だと思われます…
mpdばっかり疑ってました。すいません。
NTT呼んで直して貰うの金かかるんかなぁ…

>>649
光ファイバーの曲げの部分で断線しているならば、無償で直してくれるかもよ。

# NIC が死んでいるってことはない？

今からルータ作るなら5.2.1入れたほうがいいのかな？
メインマシンがまだ4系列だから5はまだ使ったことがなくて不安なんだけど。

使いかたにもよるだろうけど、5系列にしかない機能が必要なければ
4系列にしといたほうが無難だろうよ。

5.2.1Rと4.9Rを比較したら、若干4.9のほうがパフォーマンスが良い気がする。
でも5系列のほうが設定がしやすいしpfも使えるから個人的には5.2.1Rを使いつつ5.3R待ち。

すんません　教えてください
OCNの光IP8で実験してます、4.10R+元からついてるPPPでPPPoEしてます
割り振られるIPアドレスを仮に　xxx.yyy.zzz.0 から　xxx.yyy.zzz.7 まで
としてます。
fxp0 と　rl0 を実装していて　fxp0 をPPPに使用して接続すると
tun0 には　xxx.yyy.zzz.0 のネットワークアドレスが割り当てられるので
rl0　を　xxx.yyy.zzz.1 に設定してそれからHUBを経由して
xxx.yyy.zzz.2 から　xxx.yyy.zzz.6 の5台のマシンをmailやwwwサーバーとして
使用できる状態は確認できました。
しかし、PPPしているマシンから外部へ接続するときに　xxx.yyy.zzz.0 を
つけて出てしまうので、ttp://w3.itoh.net/pppoe2.html　を見つけて
PPPするマシンの　tun0 が　xxx.yyy.zzz.1　になるようにすると、
rl0 が　xxx.yyy.zzz.2　で　ハブ以下のマシンの数がひとつ減ってしまいます
そこで、こんな場合になにかよい方法はありませんか？

望みは　PPPするマシンが市販のルーターのように　xxx.yyy.zzz.1　で
中にも外にもひとつに見える、配下に　xxx.yyy.zzz.2 から　xxx.yyy.zzz.6
の5台のマシンをmailやwwwサーバーとして使用できるです。

ちなみに以前使った事のあるK-OPTIの場合は　xxx.yyy.zzz.1　をtun0に振ってくるので
はじめから、ひとつアドレスが損した気分です。
どちらの場合も6台使いたいのですが？ネットワークアドレスで外部に出ることに
問題の無いCクラスの中間のアドレスなら7台使えそうかなとも思っているのですが？
よろしくお願いします。

>>654
/29 だったら 5台しかノードは繋げないと思え
設定方法は ttp://www.ish.org/PPPoE/PPPoE.html でも見ろ

帯域制限を掛けたいのだが、ipfw + DummyNet 以外の方法ってあるの？

>>656
pf+altq

>>655
数千円で/29でもIPアドレス6つが有効になるルーターはいくらでも売ってる
>>654
はそんな事をいってるんだろう、

7つも使えるよな。

ipfwから、ipfilterに移行すべくipf.rules書きましたが、うまく動きません。
単なる置き換えではなく、statefulなものを目指しましたが…
コメントお願いします。

pass in all
pass out all

は動きました。

pass in quick on lo0 all
pass out quick on lo0 all

block in on rl0 all head 100
block in log quick from any to any with ipopts group 100
block in log quick from any to any with short group 100
block in quick from 10.0.0.0/8 to any group 100
block in quick from 192.168.0.0/16 to any group 100
block in quick from 172.16.0.0/12 to any group 100
block in quick from 127.0.0.0/8 to any group 100
block in quick from any to 127.0.0.0/8 group 100
pass in quick proto esp from 99.88.77.0/24 to any group 100
pass in quick proto udp from 99.88.77.0/24 port = isakmp to any port = isakmp group 100
pass in quick proto tcp from 99.88.77.0/24 to any port = ssh flags S keep state group 100
pass in quick proto udp from any to 11.22.33.44 port = domain keep state group 100
pass in quick proto tcp from any to 11.22.33.44 port = smtp flags S keep state group 100
pass in quick proto udp from any port = ntp to any keep state group 100
pass in quick proto tcp from any to 11.22.33.44 port = 443 flags S keep state keep frags group 100
pass in quick proto tcp from any to 11.22.33.44 port = 80 flags S keep state keep frags group 100
block in quick proto tcp from any to any port 135 >< 140 group 100
block in quick proto tcp from any to any port = 445 group 100
pass in quick proto icmp all icmp-type 0 group 100
pass in quick proto icmp all icmp-type 3 group 100

block out on rl0 all head 200
block out quick from 10.0.0.0/8 to any group 200
block out quick from 192.168.0.0/16 to any group 200
block out quick from 172.16.0.0/12 to any group 200
pass out quick proto tcp from any to any flags S keep state keep frags group 200
pass out quick proto esp from any to 99.88.77.0/24 group 200
pass out quick proto udp from any port = isakmp to 99.88.77.0/24 port = isakmp group 200
pass out quick proto tcp from any to 99.88.77.0/24 port = ssh flags S keep state group 200
pass out quick from any any port = domain keep state group 200
pass out quick proto tcp from any to any port = smtp flags S keep state group 200
pass out quick proto udp from any to any port = ntp keep state group 200
pass out quick proto tcp from any to any port = 443 flags S keep state keep frags group 200
pass out quick proto tcp from any to any port = 80 flags S keep state keep frags group 200
pass out quick proto icmp all icmp-type 8 keep state group 200
pass out quick proto icmp all icmp-type 3 group 200
pass out proto udp from any to any port 33434 >< 33690 keep state group 200

pass in on dc0 all head 300
pass out on dc0 all head 400
block in quick from 127.0.0.0/8 to any group 300
block in quick from any to 127.0.0.0/8 group 300

>>659 どうしたいのに、どうなるのか、書いてよ
ポリシーの説明もなしに、660-661を読んでくれってのは無しだなあ。

>>662
「どうしたい」は、普通にfirewall。”普通に”がまたあれですが。
どうなるは、mail server,httpd,proxy等が糞詰まり、かな。

多分、DNSが引けてないような。

DNSの構成は、
11.22.33.44(rl0)で、bindが
192.168.0.254(dc0)でdnscashe
192.168.0,253(dc0)で、tinydns
が動いていて、

resolv.confは、192.168.0.254ということになってます。

で参考にした資料のurlとか書籍名は?

>>663
「普通に」もわからんし「糞詰まり」もわからん。

> 多分、DNSが引けてないような。
多分って言われてもな。
そのくらいちゃんと切り分けしてくれよ。

>>663 ipmon使えばipf.rulesのどの行でパケットが落とされてるのかわかるよ。

>>659
ここで聞いても日本語の理解出来るやつはいないし
どこかのサイトに書いてあるとこを知ったかぶりで偉そうに
かたるやつしかいないから、ちゃんとしたメーリングリストにでも
流して聞くことをお勧めするよ。

-----BEGIN PGP MESSAGE-----

qANQR1DDDQQJAwJOo6ElmOlZjWDJLRBssqvQCRdRds+ucpxD5Kn2f01YEIle9Eb6
XQVSMHbHVXLptEFKC2WMhicedw==
=puLN
-----END PGP MESSAGE-----

test

>>667
やなことあったの? >>666以上に親切に教えてくれるMLが存在するなら教えてくれ。

>>666
ipmon -Ds
ではlog指定してあるのしか出ていませんでした。
ipmonではなにもでないし、
ipmon -vでなんとはなく、見当をたてました。

>>667
が、解決しました。
block out quick from 192.168.0.0/16 to any group 200

でした。ipnatに行く前に叩き落されていました。DNSも引けていませんでした。
private　addressとは、注意不足…

皆様どうもありがとうございました。

>>664
　man 5 ipf

ipftestを教えないのは、わざとですか

この場合ipftestは遠回りじゃね？ ぜんぜん見当付いてなかったみたいだし

現在FreeBSDマシンでルータ作りに挑戦してます。
うまくいかない部分があるので助言頂ければと思います
構成は以下のような感じです。
YahooBB12M
　｜
モデム
　｜
　｜219.32.***.***
PCルータ
　｜192.168.0.1
　｜　　　192.168.0.3
［ハブ］----[PC]
　｜
　｜192.168.0.2
[PC]

PCルータはNAT＋IPFWで
WAN側はDHCPでLAN側は直接IPを指定しています

ローカルPCではdefaultgatewayをPCルータ（192.168.0.1）とし
DNSはPCルータがDHCPで降りてきたDNSサーバのアドレスを直接指定しています

このような状況でローカルPCにおいて問題なく外を見れているのですが
PCルータからローカルPCへPingが飛びません。

PCルータからのルーティング（という表現でいいのでしょうか）辺りが
怪しい気がするのですが、どうも原因がわかりません。
アドバイス頂けませんでしょうか。

FWとか使ってないか？

>>675
がぁぁぁぁん！Σ（￣□￣！！
おっしゃる通りでした＿|￣|○
もうてっきりPCルータ側の設定が足りないものとばかり思っていて
まったく盲点でした
私の2日間は一体・・・＝□○＿
どうもありがとうございましたｍ（＿　＿）ｍ

ﾜﾛﾀ

最近盛り上がらないスレを盛り上げるための、>>674==>>675の自作自演ネタだよな。
それ以外にありえない。

FreeBSDに限った話じゃないのですが、OSがFreeBSDなのでここで質問させて下さい。
外部から内部に接続するための設定なのですが、natdで
redirect_port tcp 192.168.1.100:80 80
redirect_port tcp 192.168.1.100:443 443

として、外部から内部のWebサーバに接続しています。
また、この192.168.1.100はルータ(natdが動いているマシン)でjailを使って動かして
います。
この状況で外部からの接続をすると、httpは普通に使えるのですが、httpsが接続
を試みている間に拒否されましたと、メッセージが出ます。
ちなみに内部ネットワークからは問題なくつながるので、Apacheの設定ではないと
思います。

空けるポートが間違っているのでしょうか、httpsに関する情報が少なく行き詰まり
ましたので、解決策を教えていただけないでしょうか。

>>679
NATがTLS(SSL)にパケット改竄とみなされているんではなかろうか

AHじゃないんだから。。。

>>679
/var/log/httpd-error.log あたりに何かアヤしいメッセージがでいないか?
俺ならこういう場合、まずそれを見る。

>>682
確認してみたけど特にメッセージは出てないです。
なんで動かないんだろうか・・・

/var/log/httpd-ssl-error.logとか
ls -al /var/log/httpd*
して確認してみよう。

>>684
スマソ、全部見てもエラーどころかメッセージ自体がでてないです。
おなじような構成の人、結構いそうなんだけどなぁ

ログレベルを変えてみればいいのか、今内部ネットなので明日試してみます。
#今はwarnになってます

>>679
>この状況で外部からの接続をすると、httpは普通に使えるのですが、httpsが接続
>を試みている間に拒否されましたと、メッセージが出ます。
本当に「拒否されました」(日本語)が出るなら、
それは実際に繋ぎに行くIPアドレスとそこで鯖が名乗るIPアドレスとが違うことに
疑念を抱いたブラウザ側が勝手に拒否しているとか???
とにかく、そのメッセージをそっくりそのまま書いてみてくれ。

>>686
確認してる環境の関係でそっくりそのままは無理です・・・
でも、日本語で「接続を試みてる間に拒否されました。」と出ます。
＃ちなみにブラウザ画面ではなく、エラーウィンドウっぽい感じで出ます。
あと、やっぱりエラーは出ないです。
また、今日別のサーバだけど、ほとんど同じ環境でルータを外部の市販品で構築してみると
アクセスできたので、おそらくnatdの問題じゃなかろうかと思ってみます。
あとは>>686さんの言うようにクライアントで勝手に拒否してるとかですかね。
もしかして、ルータマシンのTCP Wrapperなんて関係ないですよね？
また、色々試してみます。解決したら報告します。

FreeBSD 5.2.1p8 WAN側　ng0　LAN側　fxp0
portsからupnp linuxigdｲﾝｽｺ
route add 239.0.0.0/8 -interface fxp0
upnpd ng0 fxp0
LAN内の通信はNetBios以外全通し。WAN側はudp&incomingの5060、5090、5091をipfで開けてみた
MSNメッセのオプション->接続を見ると　非UPnPファイアウォールを経由して〜
…うまく動いてない＿|￣|○
実際ipnat -lしても何も追加されてない
ipfをinもoutも全通しにするとMSNメッセはUPnPポート制限つきNATを経由して〜になる
また、ｸﾗｲｱﾝﾄのWinXPからlinuigdのゲートウェイは見えるもののプロパティから設定を覗こうとすると
「インターネット接続の共有のコンピュータはネットワークユーザが共有インターネット接続を制御したりできるように設定されていません」
と刎ねられるorz
何がダメなんじゃろ(´･ω･`)

前半部分だけ。
うちは NetBSD でやってるけど、MSN Messenger は最初にUPnPの機能を調べる時には
38354 ポートを使ってるように見えます。
こいつも開けてみちゃどうじゃろ？

後半はうちには WinXP がないから、うちでもできるかどうかわからん。

あ、38354開けても、最初のチェックを通るだけで、
あとは広範囲のポートを使って通信しようとするので、だめですね。

ポートリダイレクトすると同時に、穴も開ける様にするのがいいのはわかってるんですが…。

最近のlinuxigdってちゃんと動作している？
去年9月に作ったpackagesを大事に取っておいて使っている。

ずーっと、たいした変更は入ってないようですが?

linux-igd の 1.0 がリリースされるまでは大丈夫じゃないの？

WindowsMessengerだとうまくいった…のかな？ゲートウェイの設定も見れたし…。
接続設定見るとファイアウォールなしの直接接続〜と表示されるのが謎ですが。
MSNメッセだとダメな理由もよくわからない…
ipnat -lで
rdr ng0 210.173.XXX.XX/32 port 2788 -> 192.168.1.2 port 9632 udp
rdr lo0 210.173.XXX.XX/32 port 2788 -> 192.168.1.2 port 9632 udp
rdr ng0 210.173.XXX.XX/32 port 33504 -> 192.168.1.2 port 8488 tcp
rdr lo0 210.173.XXX.XX/32 port 33504 -> 192.168.1.2 port 8488 tcp
が増えてました（開けてないポートが使われてますが…
UPnPについて勉強しなおしてきます(´A`)

UPnP
Windows Messenger は OS で
MSN Messenger は DirectX で
じゃなかっただろうか?
DirectXのバージョンが古いとか?
ダメなバージョンもあったはず。

んでlinuxigdに付いてちょっと検索したり調べたりしてみた。

SoftwareDesignで去年の暮れあたりに「メモリリークがあるからcvs版を持ってきてビルドしろ」みたいなことが書いてあって。
portsのは0.92のリリース版だからその修正が入っていなかったらしいのだけど。
最近はメモリリークの修正が入っているらしいのだがバージョンは0.92のまんまだとか。
本当か?

メモリリーク云々って記述はcommit logには見当たらないようだが
ttp://www.freebsd.org/cgi/cvsweb.cgi/ports/net/linuxigd/

gateway-0.75.tgzとlinuxigd-0.92.tgzのdiffを取ってみないとそうともいえない。
ちなみに探したらSoftwareDesignの2003年9月号だったよ。

gateway-0.75って何よ？

今、linux-igd は cvs から最新を取ってきたら、upnp sdk は 1.2.1 の方が必要。

メモリーリークはこれで何とかならんかのぅ。
begin 644 patch-gate.cpp
M+2TM(&=A=&4N8W!P+F]R:6<)5'5E($IA;B`Q-"`P-CHP-#HS,"`R,#`S"BLK
M*R!G871E+F-P<`E-;VX@2G5N(#(Q(#$S.C4Q.C`Y(#(P,#0*0$`@+3$R-"PY
M("LQ,C0L,3$@0$`*(`E["B`)"7-Y<VQO9RA,3T=?15)2+"`B1&5V:6-E4W1A
M=&5486)L94EN:70@+2T@17)R;W(@4&%R<VEN9R`E<UQN(BP@1&5S8T1O8U52
M3"D["B`)"7)E="`]55!.4%]%7TE.5D%,241?1$530SL*+0E]"BL)?2!E;'-E
M('L*(`H@"6=A=&5?=61N(#T@4V%M<&QE571I;%]'971&:7)S=$1O8W5M96YT
M271E;2A$97-C1&]C+"`B541.(BD["BL)?0HK"6EF*$1E<V-$;V,I(%5P;G!$
M;V-U;65N=%]F<F5E*$1E<V-$;V,I.PH@"B`)<F5T=7)N("AR970I.PH@?0I`
M0"`M,S,T+#<@*S,S-BPW($!`"B!["B`)8VAA<B!R97-U;'1?<W1R6S4P,%T[
M"B`)8VAA<B!D979;,35=.PHM("`@("`@("!C:&%R("II9F%C93L**R`@("`@
M("`@8VAA<B`J:69A8V4]3E5,3#L*("`@("`@("`@1DE,12`J<W1R96%M.PH@
M("`@("`@("!U;G-I9VYE9"!L;VYG(&)Y=&5S/3`L=&]T86P],#L*(`I`0"`M
M,S<T+#<@*S,W-BPW($!`"B!["B`)8VAA<B!R97-U;'1?<W1R6S4P,%T["B`)
M8VAA<B!D979;,35=.PHM("`@("`@("!C:&%R("II9F%C93L**R`@("`@("`@
M8VAA<B`J:69A8V4]3E5,3#L*("`@("`@("`@1DE,12`J<W1R96%M.PH@("`@
M("`@("!U;G-I9VYE9"!L;VYG('!K=#TP+"!T;W1A;#TP.PH@"D!`("TT,3(L
M-R`K-#$T+#<@0$`*('L*(`EC:&%R(')E<W5L=%]S=');-3`P73L*(`EC:&%R
M(&1E=ELQ-5T["BT@("`@("`@(&-H87(@*FEF86-E.PHK("`@("`@("!C:&%R
M("II9F%C93U.54Q,.PH@("`@("`@("!&24Q%("IS=')E86T["B`@("`@("`@
M('5N<VEG;F5D(&QO;F<@<&MT/3`L('1O=&%L/3`["B`*0$`@+38V.2PV("LV
M-S$L.2!`0`H@"0EC85]E=F5N="T^06-T:6]N4F5S=6QT(#T@3E5,3#L*(`E]
M"B`)"BL):68H<')O=&\I(&1E;&5T92!;72!P<F]T;SL**PEI9BAE>'1?<&]R
M="D@9&5L971E(%M=(&5X=%]P;W)T.PHK"B`)<F5T=7)N("AC85]E=F5N="T^
/17)R0V]D92D["B!]"B`*
`
end

>>698
net/linuxigd/distinfo,vのdiff -u -p -r1.1 -r1.2参照
日付はThu Jan 23 02:13:38 2003 UTCだ。

0.92にメモリーリークがあるって話なので、その前と比較しても無意味。

いやだから何度も書くけど、cvs版で対策されたメモリリーク対処がマージされたのに、なぜか0.92というVersionのまんまなんだよ。
という話があるということ。

Linux板のほうの自作ルータスレ（http://pc5.2ch.net/test/read.cgi/linux/1019046005/600）にも書いたけど、
ギガビット(WAN x1, LAN x4)のブロードバンドルータ発売ですよ

マイクロ総研、ギガビットルータ「SuperOPT-GFive」を発売
http://bb.watch.impress.co.jp/cda/news/5641.html

・オープンプライスで、店頭販売価格は32,000円前後となる見込み
・Jumbo Freme対応 （受信時で最大13,000バイト、送信時で最大7,000バイト）
・スループットは、ローカルルータ使用時のFTP計測値で約240Mbps（公称値）
・最大5グループまでのポートベースVLAN機能
・LANポートごとの送受信速度設定機能
・ポートベースQoS、IEEE 802.1q QoSタグから優先度を判別するタグベースQoS
・同時2セッションまでのPPPoEマルチセッション
・UPnP、IP Unnumberd、VPNパススルー（PPTPマルチ/IPSec）、
　IPフィルタリング、DMZホスト機能、SYSLOG機能

製品情報
http://www.mrl.co.jp/catalog/nw/mr-optg5.htm
カタログPDFファイル
http://www.mrl.co.jp/catalog/pdf/OPTG5-catalog.pdf

ニュース速報板
http://news12.2ch.net/test/read.cgi/news/1087809680/
ハードウェア板
【マイクロ総研は】NetGenesisOPT port10【ネ申】
http://pc5.2ch.net/test/read.cgi/hard/1087667832/99-

>>702
いや、だからその、「メモリリーク対処がマージされた」っていう根拠は？
sf 上の linux-igd の cvs 履歴を見た感じ、
0.92(Release_0_92)以降、UPnP SDK 1.2.1対応まで(End_Of_Road)で
メモリーリーク対処は >>699 の部分だと思うのだが。

誰が何処でそんなことを言ってるのさ？

>誰が何処でそんなことを言ってるのさ？
http://search.luky.org/vine-users.6/msg01932.html
ここ

それは、CVS上ソースは0.92以降更新されてるけど、起動時に出力する
バージョン番号が変わってってないって話でしょ？
配布されている0.92にFIXが含まれているという話ではない。

なるほど。
おさわがせしました。トホホ…

RegnessemのUPnP-NTが動いたーヽ(´ー｀)ﾉｼ
しかもポート指定ができる
まだファイル転送とかしてないから実際にどうなるかはわからないけど。
Regnessemの問題で動かない可能性もアリだしね

一昨日cvsupした5-currentを使ってます。
portupgradeでlinuxigdを0.92_2に上げた所、

Fatal error 'Spinlock called when not threaded.' at line 83 in file /usr/src/lib/libpthread/thread/thr_spinlock.c (errno = 0)
Abort trap (core dumped)

と出てしまいます。どうすれば動くようになるでしょうか？

-currentを捨てる

やっぱり…

>>709
freebsd-current, -ports, -threadsなどで何度も何度も繰り返し
質問されているFAQも検索できないようでは、-currentを使う資格なし。

FreeBSDのnatdで内部にあるFTPサーバに外部からアクセスできるようにするにはどうしたらいいですか？
パッシブを許可させようとすると、外部から内部への1024-65535番への接続を許可しなければ
いけないのでしたくないのです。
何方か教えていただけないでしょうか？
お願いします。

>>713
/usr/libexec/ftpd を使っているのなら、sysctl(8)で
net.inet.ip.portrange.hifirst
net.inet.ip.portrange.hilast
をいじれ。詳しくは man ftpd

>>714
ごめんなさい、言葉足らずでした。
WAN - FreeBSDルーター - Solaris FTPサーバー
という構成になっております。
FreeBSDルーターのほうではipfw+natdを使っており、
Solaris FTPサーバーではProftpdを使っています。

>>715
ProFTPDなら"PassivePorts"。
例えば、10000〜10099 の100個を開けるとするなら
proftpd.confの中に
PassivePorts 10000 10099
と書けばおけ。

>>716
おおっ
できました。
ありがとうございました。

すみません、質問ばかりで恐縮なのですが、FreeBSDのnatdで、
redirect_portによる転送をすると、外部から内部への転送はされるのですが、
内部から内部への転送をするにはどうするのでしょうか？
例えば、ルータのWAN側アドレスがxxx.xxx.xxx.xxxだとして、内部のサーバがyyy.yyy.yyy.yyyだとします。
ルータの外の人がxxx.xxx.xxx.xxxにアクセスするとyyy.yyy.yyy.yyyに転送されるのですが、
内部の人がxxx.xxx.xxx.xxxに向かってアクセスすると転送がされないのです。
お願いします。

>>718
そういう時は内部向け DNS を作るべしと教えてもらったよ。
けど、内部側のインターフェイスに対しても natd をかけたら転送してくれたりして。
漏れは内部向け DNS を作って解決した。

>>713-6
最近はnatdも賢いのね。
昔はFTP clientのIP address書き換えはしてくれたけどその逆は無かった気がしたので。

>>719
ありがとうございました。
DNSサーバー立てることにして、それまではhostsファイルで凌ぐことにします。

特定のマシンや特定のプロトコルのみ、他のとは別のISPを使いたいけどどうするの？
YAMAHAのルータだと簡単に設定できるんだが。

ipfw fwd じゃないかな

ipfw + ppp (PPPOE) + ipsec + racoonでbootすると、スルーで、繋がるのに、
ipfilter + ppp + ipsec + racoon でboot時
ppp　セッションで、しばし黙り込んで1,2分待たされてしまいます。

そういうものなのでしょうか？

なお、5.2.1-p8/RealteKです。

cat /var/log/ppp.log

>>725
logは、phase,ccp,ipcpだけですが、logが始まって一秒も経過しない間に繋がって
います。

RealteKってブランドだけで石を特定できたら

　　　　　　　　　　　ネ申

>>727
rl0: <RealTek 8139 10/100BaseTX> port 0xec00-0xecff mem 0xdf122000-0xdf1220ff ir
q 11 at device 19.0 on pci0

です。

なお、もう一方は

ｆxp0: <Intel 82559 Pro/100 Ethernet> port 0xd400-0xd43f mem 0xdf000000-0xdf0ffff
f,0xdf120000-0xdf120fff irq 11 at device 10.0 on pci0

>>728追加です

acpiは、kernelにも入っていませんし、


kldstat
Id Refs Address Size Name
1 1 0xc0400000 3325e4 kernel

です。

netgraphは
87 netgraph
88 ng_ether
89 ng_pppoe
　　　　　　　　90 ng_socket
です。

dmesg -aのpppの前後はどうなっている？

>>730
mount:
/dev/ccd0c
:
No such file or directory
mount:
/dev/ccd1c
:
No such file or directory
Mounting /etc/fstab filesystems failed, startup aborted
kern.maxfilesperproc:
612
->
14745

kern.maxfiles:
680
->
16348

kern.ipc.somaxconn:
128
->
4096

kern.ipc.maxsockbuf:
262144
->
1048576

>>731つづき
vfs.write_behind:
1
->
2
vm.pageout_algorithm:
0
->
1
net.inet.ip.stealth:
0
->
1
net.inet.tcp.sendspace:
32768
->
65536
net.inet.raw.maxdgram:
8192
->
65536
net.inet.raw.recvspace:
8192
->
65536

>>732つづき
net.inet.tcp.rfc1644:
0
->
1
net.inet.tcp.blackhole:
0
->
1
net.inet.udp.blackhole:
0
->
1
Setting hostname: ほげ
Starting ipmon.
Enabling ipfilter.
ioctl(SIOCIPFL6): Invalid argument
Installing NAT rules.
0 entries flushed from NAT table
0 entries flushed from NAT list
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 172.xx.yy.1 netmask 0xffffff00 broadcast 172.xx.yy.255
inet 172.xx..yy.253 netmask 0xffffffff broadcast 172.xx.yy.253
inet 172.xx.yy.254 netmask 0xffffffff broadcast 172.xx.yy.254
ether foo:bar:foo:bar
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000

>>733最後
filter sync'd
Starting ppp as "root"
filter sync'd
Additional routing options:
ignore ICMP redirect=YES
log ICMP redirect=YES
IP gateway=YES
drop SYN+FIN packets=YES
.
hw.bus.devctl_disable:
0
->
1


こんなもので？

Mounting /etc/fstab filesystems failed, startup aborted
か？

>>735
これは、ｆｓｔａｂに/dev/ccd0c,/dev/ccd1ｃがあるだけで、ｃをとれば動く取り合えであろう
から取りあえず、ほっぽってあります。（古いｄｉｓｋです）

ｉｐｆｗでも、同様のものが出ますがスルー動くのでｉｐｆｉｌｔｅｒでちょっと詰まるというのとは
関係がないのでは？現に、sysctl.ｃｏｎｆを設定しているでしょう。

ｆｓｔａｂのｍｏｕｎｔ中に異常が生じたという意味では、ないでしょうか。

>>736
動く取り合えであろう ×
動くであろう ○

>これは、ｆｓｔａｂに/dev/ccd0c,/dev/ccd1ｃがあるだけで、ｃをとれば動く取り合えであろう
>から取りあえず、ほっぽってあります。（古いｄｉｓｋです）
なんでほっぽっているの？　気持ち悪くないか

mpd-3.18のtcpmssfixって機能してます?
pppから移行したら、繋がらないサイトが出てきたんですが。

まだipnatでmssclampしないと駄目だとおもう。

mpdのバージョンが上がった気がするけど、確認してない上げ
上がってなかったらすまん

>>739
うちもなんかだめっぽい。
3.15から対応してるってドキュメントには書いてるのに…。

うちんとこでは全然問題ないわけだが・・・
具体的にどこに繋がらない?

>>743
今は mpd も FreeBSD も使ってないから試せないが、使ってて mssclamp してなかった時は、
オーロラプロジェクトの通販ページに行けなかった。

オーロラでお勧めのやつ教えてください。

オーロラは見れたけど、DDIポケットが見られないんだよなぁ

>>746
たしか pic@nic も行けなかった。
見に行く人いないと思って書かなかったんだが。

今 --clamp-mss-to-pmtu なしでオーロラ行ってみた。見れるようになってるな。
Pic@nic は駄目だった。

ごめん
めっちゃ言葉足らず
mssclamp 1408
してる状態でDDIポケットが表示出来ない
pic@nicは表示できる

ちゃんと原因探そうと思いつつ1年以上放置してるんだよなぁ

おいおい、オーロラプロジェクトぐぐってびっくらこいたぞw

FreeBSD 5.2.1-RELEASE + mpd-3.17 (set iface enable tcpmssfix あり) で
オーロラプロジェクト、DDIポケット、Pic@nic、全部繋がったよ。
(mssclamp設定なし)

Pic@nicログイン画面つながんね。
http://allabout.co.jp/ もだめぽ。

FreeBSD 4.10-RELEASE
mpd-3.18 で set iface enable tcpmssfix してます。

ん? Allabout Japan 繋がったかな? サイトが重いだけか?(^^;

www.amazon.co.jp がダメだ…＿|￣|○

>>750
オーロラプロジェクトの連中ってあからさまに技術なさそうだけど、
うまいことやってるよね。

>>754
具体的に説明きぼんぬ