FreeBSDでBBルータを作ろう互助会 2Mbps

947 名前：ここ壊れてます[] 投稿日：

> pflog_enable="NO"# Set to YES to enable packet filter logging
いかがなものか

ipfilter+ipnat から pf に乗り換えたいけど、設定書くのが面倒で放置しっぱなし。
同じような理由の人も多いはず。
どっかにpf.confのテンプレ置いてあるサイトない？

>>954
大量にあるから、ちったぁぐぐれ、バカ。

ipfilter記法互換でもあるし

あの〜、5.3Rにしてから、
upnp,linuxigdが調子悪いんだけど・・・・うちだけ、

NTTのVoIPアダプタのipnatが中途半端にしか張れないの。
Port5060だけで、5090,5091がだめなの・・なんでだろう

>>923 これは?
ttp://cvs.sourceforge.net/viewcvs.py/mpd/mpd/src/log.c?r1=1.5&r2=1.6&sortby=date&diff_format=u

ねえったら

>>954
OpenBSDのサイトにあるFAQでもわかんないの？あんなに丁寧なのに。

わかんないんじゃなくて、書くのが億劫なの。
それにしてもpfの文法って綺麗だねぇ。

>>961
新しく作られたソフトだけにipfwやipfilterの嫌なところは十分見ただろうしね。
だから、それらよりもシンプルで使いやすいルールになってて当然だね。

そういえば、pfのNATルールはどこで適応されるんだろうね。

5.3Rp2でamd64マシンでIPSEC使えない

>>961
お前がバカなのはよくわかったから、消えろ

よし俺がカレーに961GET

>>962
nat(translation)ルールとfilterルールの評価順を気にしてる？

PF: OpenBSD パケットフィルター
http://www.openbsd.org/faq/pf/ja/index.html

このドキュメントで十分ですよ。

>>962
ttp://www.openbsd.org/faq/pf/ja/nat.html
ここにある通りだと思うけど。
>>961
だから ttp://www.openbsd.org/faq/pf/ja/index.html にテンプレも含まれてるだろうが。
足りない部分はipf.confからコピペすればいいだろ？
それも億劫？じゃあ息するのも億劫だろ？

>>966
うん。気にしてる。
ipfwだとdivertするところでNATがされていることがわかってたけれど、
pfだとNATルールをfilterの間にかけないからどうなるのか気になる。

と思ったら>>968の投稿があった。
ちょっと読んでみます。

>>968
　 　　　　　 _, ,_ ∩　　　ﾔﾀﾞﾔﾀﾞ
　　　　　（#`Д´）ﾉ
　　　　⊂l⌒i　 /　　　　ｼﾞﾀｼﾞﾀ
　　　　　（＿） )　 ☆
　　　　　((（＿）☆ 　ﾄﾞﾝﾄﾞﾝ

ipfwからipfへの乗り換えの時もそうだったけど、
テストランする度に回線が切れたりとかで、その間なにかと不便だったりするじゃん。
# つーか息するのも億劫。氏ぬか…。

>>971
コメント外せよ

FreeBSD-5.3Rを使っています。
GENERICに追記
opsions NETGRAPH
opsions IPFILTER
opsions IPFILTER_LOG
opsions IPFILTER_DEFFAULT_BLOCK
opsions TCP_DROP_SYNFIN
(opsions PFIL_HOOKSを有効にするとGENERIC unkown opsions PFIL_HOOKSと言われちゃいました）
rc.confに追記
ipfilter_enable="YES"
ipfilter_rules="/etc/ipf.rules"
ipfilter_flags""
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"
ipmon_enable="YES"
ipmon_flags="-D /var/log/ipf.log"
ipf.rulesは
pass in all
pass out all
ipnat.rulesは
map rl0 aaa.bbb.ccc.0/24 -> 0/32
rdr rl0 0.0.0.0/0 port 80 aaa.bbb.ccc.ddd ports 80
上記のように設定してみましたが、外部NATしていないみたいです。
どのあたりを修正すればいいでしょうか？
ご教授お願いいたします。

rl0はどこにつながっているのさ。
ifconfig貼りなされ。

>>974
すいません。
WAN側　rl0
LAN側　fxl0=aaa.bbb.ccc.xxx
rl0を利用してPPPoE接続しています。

>>973
PFIL_HOOKSについては、
>20040922:
> PFIL_HOOKS are a fixed part of the network stack now and do not
> need to be specified in the kernel configuration file anymore.
> Remove 'options PFIL_HOOKS' from your kernel config file.
ということだ

>>976
ありがとうございます。
するとIPfilterを有効にする時は、モジュールで読み込みさせてもいいわけですね。
肝心の記述が・・・

>>973map ng0 aaa.bbb.ccc.0/24 -> 0/32rdr ng0 0.0.0.0/0 port 80 aaa.bbb.ccc.ddd ports 80

>>978
userland-pppだったらng0でなくてtun0になるんじゃない?
どちらと質問している椰子が書いていないのがよくないが。

つまり、
PPPoEしているわけだからWANのIPアドレスはtun0かng0についてるわけで、
そういうのがついているのをNATの時は指定しないといけないということだ。
これはipfilterに限らずipfwでもpfでも同じことだけどね。

>>979
ありがとうございます。
WANのIPアドレスはtun0に出ております。
rl0をtun0に換えてみてもwebは見ることが出来ませんでした。

defaultrouterって指定しなきゃいけないって事ないですよね？

教えてください。PRO/100 + とPRO/100 Sが一枚ずつ在ります。
一枚だけ指すとどちらもfxp0として認識しますが、二枚目を指しても二枚目は認識しません。
デバイスの追加等必要なのでしょうか？
/dev/net には fxp0というディレクトリは在るのですが fxp1は無いです。
OSは5.3です。

>>982
fxp1は、どのバージョンにも存在しないと思います。

>981
まさかBGP+でフルルートもってるのか？
覚えておこう。
フルルートを持っていないホストは、必ずdefaultrouteを設定すべし。

例外が無いわけではないが、973の環境ではWAN側にdefaultrouteが必要。
というかtun0で接続したときにroute add defaultしてない？

はあ? BGP言ってみたかっただけちゃうんかアホ。

久しぶりに見たらクソ書き込みが増えたなぁ。

>>986
おめぇみてぇのをクソ書き込みって言うんだよ
犬板に帰れ

>>982
cat /var/run/dmesg.boot |egrep '(fxp|inphy|pci)' した結果を貼ってみ。
ifconfig -aの結果も忘れないように。

/dev/net/というのがdevfsになってから生まれたのね。


>>983
2枚挿せば2枚目をfxp1として認識する。
いい加減なこというな。

>>980
NATを提供してるホストから外のWebページは見えてるわけ?
そこが駄目だったらいくらNATの設定をこねくり回しても何も変わらんと思うが。

NATを提供しているホストがOkだったら、
NAT配下のホストがNAT提供ホストと通信できるかを調べるべきだよね。

その上で
gateway_enable="YES"をしているか
firewallで接続を拒否していることはないか
を調べるよね。

なんか、NATをするとかそいうこと以前の問題が解決されていない気がする。

>>989
ありがとうどざいます。
NATを提供しているホストから外部への接続されています。（cvsup等を使ってportsを更新出来ています）
また、単なるゲートウェイとして、接続したクライアントからwebは見えます。

>>988
認識はするのと存在するのは別ものでしょ？
両方にケーブルを差し込んで/stand/sysinstallで設定（接続）
ifconfig -aで見てみたら良いのでは？

>>990
tcpdump -ni tun0してみたまえ。

>>991
普通、「認識する」は「attachに成功する」だなあ。
あげ足取るの楽しいか?
それに、mediaの検出とinterfaceのattachは無関係だし。
(attach失敗すりゃ当然mediaの検出はしないけどな)

>>988
長いのでちょっと端折ります。
# cat /var/run/dmesg.boot |egrep '(fxp|inphy|pci)'
（出てきた行 pcib0:pci0:isab0:atapci0:ata0:ata1: uhci0: pci0:
fxp0: <Intel 82550 Pro/100 Ethernet> port 0xff00-0xff3f mem 0xfff40000-0xfff5ffff,0xfff7f000-0xfff7ffff irq 10 at device 19.0 on pci0
miibus0: <MII bus> on fxp0
inphy0: <i82555 10/100 media interface> on miibus0
inphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
fxp0: Ethernet address: AA:AA:AA:AA:AA:AA
# ifconfig -a
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet 192.168.1.41 netmask 0xffffff00 broadcast 192.168.101.255
inet6 fe80::202:b3ff:fe8d:5572%fxp0 prefixlen 64 scopeid 0x1
inet6 2001:*:*:*:*:*:*:* prefixlen 64 autoconf
ether AA:AA:AA:AA:AA:AA
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: 〜略〜 lo0: 〜略〜 tun0: 〜略〜

fdxp0しか出てきません。。。ちゃんと認識できなくて代わりに inphy0 で認識してしまったのかと思いましたが、
チップは２枚とも82550か82559（刻印が読み取りにくい）で、一枚刺しの時もinphy0は存在しました。
/stand/sysinstall -> config -> Networking -> Interfaces でも、fxpはfxp0しか出てきませんでした。
普通は２枚目のPRO/100刺せばfxp1として認識するものなんでしょうか。
長々すんません。。。とりあえず、今一旦BIOSクリアしたらbootしなくなったのでそっちの対応してきます。。。

>>994
両方ともfxp0で認識されると思うよ。
アドレスを割り振ったら
fxp0: flags=8843〜〜
　　　〜〜
　　　inet 192.168.1.41 netmask〜
inet xxx.xxx.xxx.xxx netmask〜
こんな形で表示されるんじゃ〜ない？
　頭の悪い私は同じdeviceのは使わないようにしてるけど、

ついでに、頭の悪い私は新しいスレッドはよう立ち上げません。
どなたか、お願いいたします。

fxp1認識しました。。。
結局最後まで原因はわからず。
BIOSクリア→立ち上がらなくなる→NIC２枚とも抜く→一枚刺す→Boot成功→二枚目刺す→boot成功、fxp1認識

といった感じでした。
アドバイスをくれた皆さん、ありがとうデス。
お礼に次スレたてようと思ったらホスト規制中でした orz

ＩＳＰ変えてたててみました。。。


FreeBSDでBBルータを作ろう互助会 3Gbps
http://pc5.2ch.net/test/read.cgi/unix/1102740133/

その次は 4Tbps になるのか。

>>996
FreeBSDのPCIバスナンバー割り当てが腐っている。
今はたまたまPCIBIOSがうまく割り当てているのだろう。

1000

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。