FreeBSDでBBルータを作ろう互助会 3Gbps

高い金出して最近のへぼなブロードバンドルータ買うより全然いいと思うぞ。
「PPPoEの方法」
「NATにする方法」
「NICを2枚使う方法」
「ファイヤーウォール設定・セキュリティ対策」
その他なんでもいいからここで質問＆アドバイスして輪を広げてこう。
悪質ブロードバンドルーター製品逝ってよし！

最近のブロードバンドルータは安くて速いぞ。遅くてヘボいルーター作るなよ。

前スレ
　FreeBSDでBBルータを作ろう互助会
　http://pc.2ch.net/test/read.cgi/unix/1038060563/
FreeBSDでBBルータを作ろう互助会 2Mbps
http://pc5.2ch.net/test/read.cgi/unix/1060660932/

関連サイト
pf:http://www.openbsd.org/faq/pf/ja/index.html

不細工なテンプレですいません。。。

スレタイ、*BSDだったらうれしかった…　　　

FreeBSDユーザってのはルータ作るにも人に相談しないとできないんですか？
それか、あれかFreeBSDってのはものすごくネットワーク関係が弱いOSなのかな？

例の人が戻ってきちゃったか。

PCに56kモデムをつないだら、IP電話ができるんじゃない？
って考えてしまいました。

やっぱり物理的に無理っすよね？

SLIP とか PPP とかあるよ。

こんどはギガかよ！
次スレはテラかよ！

>>5
OpenBSDスレには14:00台に出没してた

>>6
できるかできないか、だと出来そう。
昔isdnでボイスチャットしてたし。そのころも遅延は酷かったけど、PCの性能も低かった。Pen2-333とかでやってたし。

ただまぁ、遅延とか品質面で実用的では無いと思うけど。

１乙

>>1
乙
ARMボードを入手したのでNetBSD研究中
>>3と同じく*BSDだったらよかったな。

>>1乙
ツギは容量UPよりマルチスレッド対応って事で・・

週末で退院できるから。

>>14
ま、内容にまともに反論できないからそういうつまらん妄想（２ちゃんねつにおいて
相手の素性を想像する）しかできんのだろうな。正直でよろし。

まともな反論が来ると何の返答もしないで退散する例の人。

>>6
...盗聴対策?
拠点間を>>7が書いているようにPPPやSLIPで接続してIPによる通信ができるように
すると、IPの時みたいにできるんじゃないの?
まあ、DNSが動いていないのとインターネットには繋がっていないのとを考慮して
P2PでIP電話としての機能を十分に果たせるソフトでやらないと駄目だろうけれど。

>>16
うそつけ。まともな反論なぞ一切ないぞ。引用するかポインタ示せ。

FreeBSDユーザってのはルータ作るにも人に相談しないとできないんですか？
それか、あれかFreeBSDってのはものすごくネットワーク関係が弱いOSなのかな？

(´-`).｡ｏO(……)

(´-`).｡ｏO(そのうちWindowsのように青画面でフリーズするOSになるんで)

(　´д)ﾋｿ(´д｀)ﾋｿ(д｀　)

ルーターのマルチスレッドってなんの事？マルチホーミングとは別？

>>23
聞いたことないねぇ。その言葉の初出はどこ？

釣りじゃなくて本当に知りたいなら通信技術板の「物凄い勢いで質問に答えるスレ」できいてみたら？

>>24
> その言葉の初出はどこ？

>>13

煩い。
五月蠅い。
うるさーい。

煽りとか吊りとか吊られとかそういうのへの意見や反論は他所でやれ。
特に反論とか意見とか書いてる間抜け！
えさ与えるな！いじるな！さわるな！脂を注ぐな！

>>4 >>5 >>9 >>14->>16 >>18->>25よ
お前ら板間違えてんじゃねえのか?
続きはこっちでやってもらえないか？
http://human5.2ch.net/uwasa/

>>26
こうやるんだ。覚えておきなさい。

>>14-16 >>18-25

DragonFlyのCPUの数だけコネクションはれるというのは高負荷ルーターに向いているのかなぁ？

>>26が>>23-25を含める理由が分からず、恥ずかしかったのかと想像してみる

>>29^H^H26
言い訳はやめなさい。

>>28
どっちかというとウェブサーバとか、ネットワークゲームサーバとかの、
ユーザからのコネクションを受け付けるためのフロントエンドマシン向けじゃないかな？
あるいはファイルサーバとかもそうか。

PC(10Mbase)-A(10/100base)pc(10/100base)B-HAB(10/100base)
上のような構成のとき、
Aは10Mbaseで認識されると思うけど、Bは10？100？

100だと思う。
レイヤー２だから、PCのこっちとそっちは別って考えていいから。

ちょっと亀レスだが >>6 は、アナログモデムに電話機を繋いで、それをIP電話の端末にしたい、
ってことじゃないのか?

モデムに留守番電話機能があるなら、回線エミュレータを通して電話機に繋ぐことで、
機能的には電話機をPCの端末にできそうだが…回りくどいなぁ…

>>32
HUBで特殊な設定をしない限りは100BaseTで認識するはずだけれど、
HUBがおばかさんだとたまに10BaseTで認識してくれるというのは
聞いたことがある。
幸い、自分はそういうのには出くわしたことは無いけれど。

>>34
なるほど。
それは面白い。
留守番電話機能というのはどういう機能なの?
アナログモデムに繋いだ電話で音楽を聞いたりできるのかな?

>>32 >>35
ありがとうございました。
原因はずっと10/100baseと思っていたNICが10Mでした。

mpd+ipf+ipnat なんだけれど・・FTPやP2Pでの通信で　繁盛に受信が切れる　FTPの場合は送信も切断されたりとか・・

console画面見てみると　パケットがながーいとか書いてあったり　いったいどうすればいいんでしょう　教えてえらい人！

まさかPASVしていないとかじゃないよな？
あとMTUというかmssclampとか確認。

mssclamp 1414 MTU はping値元に最適値に・・・　PASVです＞FTP

追記 最適値うんぬんはReceiveWindowの方が意味合い強いです　MTUは回線がNTTなんで1454に

連書きｽﾏｿ　受信切れる問題ですけが、相手にMTUのサイズを下げて貰うように乞うしかないんでしょうか
windowsでルーティングさせている環境ですと、こういった接続が切れるっていう現象に見舞われたことがないんで　何かしら解決の糸口はあると思うのですが・・

繁盛にってのは意味不明だが、頻繁と書きたかったんか?

「パケットが長い」というログが出るということは、そのマシンまでは、
その「長いパケット」は届いているということになるよね？

誰から誰宛のパケットが長いと言われてるのか、よくチェックしてみては？
相手に何かしてもらうというより、自分の設定を疑ったほうがよさそうに聞こえる。

繁盛ﾜﾗﾀ

37は「頻繁」という字が読めないんだろうな…

どうやって変換したのか

日本人じゃないとか…英和辞書引いてがんばったとか？

外人だとしてもeducatedならあんなの書かないよ。

句読点使わないのは特徴を出すため？
>>41ではつい使ってしまっているみたいだが。

マジレスすると>>41
41に書いてある通り、パケットが長いんですよ。
対応しましょう。
対処でも可ｗ

>>37
意訳せずにエラーメッセージをそのまま貼り付けるほうが吉。

「〜るほうが吉」
というより
「〜ないでオレ流解釈してるとマトモに相手されないので注意」
のほうが適切かも

pfでupnp使えるようにならないかなぁ・・・

linux-igdの
pmlist.cppの
sprintf(command,"/usr/sbin/iptables -t nat -A PREROUTING -p %s -d %s --dport %d -j DNAT --to %s:%d", Proto, ExtIP, ExtPort, IntIP, IntPort);
system(command);

これを、pfに書き換えればOK？

>53
/usr/ports/net/linuxigd/files/patch-pmlist.cpp
を書き換えたほうが良い。

ついでに言うと
.if defined(WITH_PF)
EXTRA_PATCHES+= ${PATCHDIR}/patch-pmlist_pf.cpp
.endif
みたいな感じでknobにできるとみんな幸せ。
${OSVERSION}を見てRUN_DEPENDしないといけないだろうけど。

>>53
OpenBSDはUPnPに非常に冷淡なので、pfがUPnPに対応するのはなさげな雰囲気

>55
んなこたーねぇだろ。
rdrすりゃすむだけの話。

knob
【＠】ナッブ、ノッブ、ノブ、【変化】《複》knobs、
【名-1】ノブ、取っ手、つまみ、こぶ、握り玉
【名-2】ペニス
【名-3】ばか、あほ、とんま、間抜け、能なし、愚か者、鈍い奴、うすのろ
【他動】〜に＾ノブ［取っ手］を付ける

pfでUPNPだと、こんな感じ？

+FILE *ipnat = popen("/sbin/pfctl -f -", "w");
+if (ipnat == NULL)
+return 0;
+sprintf(command, "rdr %s %s/32 port %d -> %s port %d %s\n",
+ExtIf, ExtIP, ExtPort, IntIP, IntPort, Proto);
+fprintf(ipnat, command);
+sprintf(command, "rdr lo0 %s/32 port %d -> %s port %d %s\n",
+ExtIP, ExtPort, IntIP, IntPort, Proto);
+fprintf(ipnat, command);
+pclose(ipnat);

+FILE *ipnat = popen("/sbin/pfctl -rf -", "w");
+if (ipnat == NULL)
+return 0;
+sprintf(command, "rdr %s %s/32 port %d -> %s port %d %s\n",
+ExtIf, ExtIP, ExtPort, IntIP, IntPort, Proto);
+fprintf(ipnat, command);
+sprintf(command, "rdr lo0 %s/32 port %d -> %s port %d %s\n",
+ExtIP, ExtPort, IntIP, IntPort, Proto);
+fprintf(ipnat, command);
+pclose(ipnat);

駄目っぽいな・・・
追加は構わないだろうけど、削除が・・・
ipnatだと、-rで指定のルールを削除できたんだけど、pfだと-rは別のオプションだな・・・
で、man pfctlしてみたけど、削除系のオプションが見当たらない・・・
pf.confに追加/grepで該当箇所を削除し、pf.confを読み込ませる方式じゃないと無理かな？

>>56
ん? pf単体でのUPnP対応の話をしたんだけど、お前は日本語を理解できないようだな。

単にOpenBSDでUPnP使う(当然、pfを使う)というのなら、
ttp://www.tateoka.org/%7Etate/doc/openbsd-upnp.html
なんて方法がある。

>>59
-sprintf(command,"/usr/sbin/iptables -t nat -A PREROUTING -p %s -d %s --dport %d -j DNAT --to %s:%d", Proto, ExtIP, ExtPort, IntIP, IntPort);
-system(command);
+//FILE *ipnat = popen("/sbin/pfctl -f -", "w");
+//if (ipnat == NULL)
+//return 0;
+snprintf(command, sizeof(command), "echo rdr pass on %s proto %s from any to %s port %d '->' %s port %d | /sbin/pfctl -a upnpd/%s-%s-%s-%d-%s-%d -f -",
+ExtIf, Proto, ExtIP, ExtPort, IntIP, IntPort,ExtIf, Proto, ExtIP, ExtPort, IntIP, IntPort);
+//fprintf(ipnat, command);
+//sprintf(command, "rdr lo0 %s/32 port %d -> %s port %d %s\n",
+//ExtIP, ExtPort, IntIP, IntPort, Proto);
+syslog(LOG_DEBUG, "%s", command);
+system(command);

+//FILE *ipnat = popen("/sbin/pfctl -rf -", "w");
+//if (ipnat == NULL)
+//return 0;
+sprintf(command,"/sbin/pfctl -a upnpd/%s-%s-%d-%s-%d-%s -F all", ExtIf, ExtIP, ExtPort, IntIP, IntPort, Proto);
+//ExtIf, ExtIP, ExtPort, IntIP, IntPort, Proto);
+//fprintf(ipnat, command);
+//sprintf(command, "rdr lo0 %s/32 port %d -> %s port %d %s\n",
+//ExtIP, ExtPort, IntIP, IntPort, Proto);
+//fprintf(ipnat, command);
+system(command);

-sprintf(command, "/usr/sbin/iptables -t nat -D PREROUTING -p %s -d %s --dport %d -j DNAT --to %s:%d", Proto, ExtIP, ExtPort, IntIP, IntPort);
-system(command);
こんな感じでパッチを書き換えてﾐｿ。

>>61のパッチでmakeは出来たんですが・・・

が、どうもうちでは上手く行きません。

linuxigd.sh.sampleの内容を自分のインターフェース用に書き換えて
linuxigd.shにリネームしたんですが
確かにその状態でリブートして、MSN Messangerのオプションを見ると、UPNP対称型シンメトリックNATとなってます。
で、FreeBSD側で見ても確かにupnpdのProcessは動いてます。
ただ、どうもLinux-igdが上手く動いてないのか、全くテーブルにルールが追加されません。

他に修正すべき所があるのでしょうか？

勿論、pf.confに
rdr-anthor "upnpd/*"
を追加してますし、
/var/log/debug.log
の内容では、

Dec 23 15:50:31 root upnpd: echo rdr pass on tun0 proto TCP from any to 私のGlobalIPアドレス port 36811 '->' 192.168.1.2 port 2597 | /sbin/pfctl -a upnpd/tun0-TCP-私のGlobalIPアドレス-36811-192.168.1.2-2597 -f -
Dec 23 15:50:31 root upnpd: AddPortMap: RemoteHost: (null) Prot: 6 ExtPort: 36811 Int: 192.168.1.2.2597
Dec 23 15:51:17 root upnpd: DeletePortMap: Proto:TCP Port:36811

と、正常に動いてるように見えます。

>55
linuxigdの話題である53にアンカーしておいて、ツッコミいれられると
「pf単体でのUPnP対応の話をしたんだけど」か。

だったら53にアンカーはるな。

>>63
> echo rdr pass on tun0 proto TCP from any to 私のGlobalIPアドレス port 36811 '->' 192.168.1.2 port 2597 | /sbin/pfctl -a upnpd/tun0-TCP-私のGlobalIPアドレス-36811-192.168.1.2-2597 -f -
をピーコしてシェル上で実行すると動かない原因がわかる。
んじゃ、おやすみ。

>>64
消えろ言語障害者。

>>61だと
pfctl: anchor name 'upnpd/ng1-TCP-xxx.xxx.xxx.xxx-xxxxx-xxx.xxx.xxx.xxx-xxx' too long
という事なので、作り直した。
begin 644 patch-pmlist.cpp
M+2TM('=O<FLO;&EN=7@M:6=D+W!M;&ES="YC<'`N;W)I9PE&<FD@2F%N("`S
M(#`T.C$T.C(T(#(P,#,**RLK('=O<FLO;&EN=7@M:6=D+W!M;&ES="YC<'`)
M1G)I($1E8R`R-"`R,3HR-CHS."`R,#`T"D!`("TS,2PV("LS,2PX($!`"B`C
M:6YC;'5D92`\=6YI<W1D+F@^"B`C:6YC;'5D92`\:6]S=')E86T^"B`**V5X
M=&5R;B!C:&%R("I%>'1)9CL**PH@4&]R=$UA<$QI<W0Z.E!O<G1-87!,:7-T
M*"D*('L*(`I`0"`M,3@R+#<@*S$X-"PQ,"!`0`H@>PH@"6-H87(@8V]M;6%N
M9%LR-35=.PH@"BT)<W!R:6YT9BAC;VUM86YD+"(O=7-R+W-B:6XO:7!T86)L
M97,@+70@;F%T("U!(%!215)/551)3D<@+7`@)7,@+60@)7,@+2UD<&]R="`E
M9"`M:B!$3D%4("TM=&\@)7,Z)60B+"!0<F]T;RP@17AT25`L($5X=%!O<G0L
M($EN=$E0+"!);G10;W)T*3L**PES;G!R:6YT9BAC;VUM86YD+"!S:7IE;V8H
M8V]M;6%N9"DL(")E8VAO(')D<B!P87-S(&]N("5S('!R;W1O("5S(&9R;VT@
M86YY('1O("5S('!O<G0@)60@)RT^)R`E<R!P;W)T("5D('P@+W-B:6XO<&9C
M=&P@+6$@=7!N<&0Z)7,M)7,M)60@+68@+2(L"BL)"2!%>'1)9BP@4')O=&\L
M($5X=$E0+"!%>'10;W)T+"!);G1)4"P@26YT4&]R="P@17AT268L(%!R;W1O
M+"!%>'10;W)T*3L**PHK"7-Y<VQO9RA,3T=?1$5"54<L("(E<R(L(&-O;6UA
M;F0I.PH@"7-Y<W1E;2AC;VUM86YD*3L*(`H@"7)E='5R;B`H,2D["D!`("TR
M,[email protected]`K,C(S+#D@0$`*('L*(`EC:&%R(&-O;6UA;F1;,C4U73L*(`D*+0HM
M"7-P<FEN=&8H8V]M;6%N9"P@(B]U<W(O<V)I;B]I<'1A8FQE<R`M="!N870@
M+40@4%)%4D]55$E.1R`M<"`E<R`M9"`E<R`M+61P;W)T("5D("UJ($1.050@
M+2UT;R`E<SHE9"(L(%!R;W1O+"!%>'1)4"P@17AT4&]R="P@26YT25`L($EN
M=%!O<G0I.PHM"7-Y<W1E;2AC;VUM86YD*3L)"BL)<VYP<FEN=&8H8V]M;6%N
M9"P@<VEZ96]F*&-O;6UA;F0I+"`B+W-B:6XO<&9C=&P@+6$@=7!N<&0Z)7,M
M)7,M)60@+48@86QL(BP@17AT268L(%!R;W1O+"!%>'10;W)T*3L**PES>7-L
M;V<H3$]'7T1%0E5'+"`B)7,B+"!C;VUM86YD*3L**PES>7-T96TH8V]M;6%N
79"D["B`)<F5T=7)N("@Q*3L*('T*(`H`
`
end

あっれ・・
パッチ充てるのに失敗しますね。

#sudo make
===> Vulnerability check disabled, database not found
===> Extracting for linuxigd-0.92_2
>> Checksum OK for linuxigd-0.92.tgz.
===> Patching for linuxigd-0.92_2
===> Applying FreeBSD patches for linuxigd-0.92_2
File to patch: /usr/ports/net/linuxigd/files/patch-pmlist.cpp←ここで何故か場所もとめらるので入力。
3 out of 3 hunks failed--saving rejects to /usr/ports/net/linuxigd/files/patch-p
mlist.cpp.rej
>> Patch patch-pmlist.cpp failed to apply cleanly.
>> Patch(es) patch-Makefile patch-gateway.cpp patch-gateway.h patch-ipcon.cpp ap
plied cleanly.
*** Error code 1

パッチディレクトリが間違ってたの更に作り直し。
begin 644 patch-pmlist.cpp
M+2TM('!M;&ES="YC<'`N;W)I9PE&<FD@2F%N("`S(#`T.C$T.C(T(#(P,#,*
M*RLK('!M;&ES="YC<'`)1G)I($1E8R`R-"`R,3HR-CHS."`R,#`T"D!`("TS
M,2PV("LS,2PX($!`"B`C:6YC;'5D92`\=6YI<W1D+F@^"B`C:6YC;'5D92`\
M:6]S=')E86T^"B`**V5X=&5R;B!C:&%R("I%>'1)9CL**PH@4&]R=$UA<$QI
M<W0Z.E!O<G1-87!,:7-T*"D*('L*(`I`0"`M,3@R+#<@*S$X-"PQ,"!`0`H@
M>PH@"6-H87(@8V]M;6%N9%LR-35=.PH@"BT)<W!R:6YT9BAC;VUM86YD+"(O
M=7-R+W-B:6XO:7!T86)L97,@+70@;F%T("U!(%!215)/551)3D<@+7`@)7,@
M+60@)7,@+2UD<&]R="`E9"`M:B!$3D%4("TM=&\@)7,Z)60B+"!0<F]T;RP@
M17AT25`L($5X=%!O<G0L($EN=$E0+"!);G10;W)T*3L**PES;G!R:6YT9BAC
M;VUM86YD+"!S:7IE;V8H8V]M;6%N9"DL(")E8VAO(')D<B!P87-S(&]N("5S
M('!R;W1O("5S(&9R;VT@86YY('1O("5S('!O<G0@)60@)RT^)R`E<R!P;W)T
M("5D('P@+W-B:6XO<&9C=&P@+6$@=7!N<&0Z)7,M)7,M)60@+68@+2(L"BL)
M"2!%>'1)9BP@4')O=&\L($5X=$E0+"!%>'10;W)T+"!);G1)4"P@26YT4&]R
M="P@17AT268L(%!R;W1O+"!%>'10;W)T*3L**PHK"7-Y<VQO9RA,3T=?1$5"
M54<L("(E<R(L(&-O;6UA;F0I.PH@"7-Y<W1E;2AC;VUM86YD*3L*(`H@"7)E
M='5R;B`H,2D["D!`("TR,[email protected]`K,C(S+#D@0$`*('L*(`EC:&%R(&-O;6UA
M;F1;,C4U73L*(`D*+0HM"7-P<FEN=&8H8V]M;6%N9"P@(B]U<W(O<V)I;B]I
M<'1A8FQE<R`M="!N870@+40@4%)%4D]55$E.1R`M<"`E<R`M9"`E<R`M+61P
M;W)T("5D("UJ($1.050@+2UT;R`E<SHE9"(L(%!R;W1O+"!%>'1)4"P@17AT
M4&]R="P@26YT25`L($EN=%!O<G0I.PHM"7-Y<W1E;2AC;VUM86YD*3L)"BL)
M<VYP<FEN=&8H8V]M;6%N9"P@<VEZ96]F*&-O;6UA;F0I+"`B+W-B:6XO<&9C
M=&P@+6$@=7!N<&0Z)7,M)7,M)60@+48@86QL(BP@17AT268L(%!R;W1O+"!%
M>'10;W)T*3L**PES>7-L;V<H3$]'7T1%0E5'+"`B)7,B+"!C;VUM86YD*3L*
F*PES>7-T96TH8V]M;6%N9"D["B`)<F5T=7)N("@Q*3L*('T*(`H`
`
end

先程、FreeBSD初心者の方に書いたのですが、こちらの方が適切かと思い、
より詳しくこちらに書きます。よろしくお願いします。

接続環境：YBB-ADSL。PC直接つなぎ。
さらにそのPCがルータになり、NATで複数のPCがつながっている。
IPFとIPNATを使っている。
OSは FreeBSD 5.3-RELEASE-p2

一昨日、5.2.1からこのバージョンにあげた。ルールファイルは同じものを使っている。

ipf.rulesは主な所は以下。

#  For In-stream from the Internet.
block in log on fxp0 all head 100
pass in quick proto tcp from any to any port = 22 group 100
pass in quick proto tcp from any to any port = 25 group 100
pass in quick proto tcp from any to any port = 80 group 100

#  For Out-stream to the Internet.
pass out on fxp0 all head 200
pass out proto tcp all keep state group 200
pass out proto udp all keep state group 200
pass out proto icmp all keep state group 200

遠隔地にあるホストから、ここのweb(port80)にアクセスしようとすると。
ipfが無効になっているときは、普通にうまくいく。

ipf有効のときは、タイムアウトになる。
そのときのパケットんダンプ。

15:41:09.426804 IP BBB.BBB.BBB.BBB.54227 > AAA.AAA.AAA.AAA.80: S 43405276:43405276(0) win 24820 <nop,nop,sackOK,mss 1460>
15:41:09.426964 IP AAA.AAA.AAA.AAA.80 > BBB.BBB.BBB.BBB.54227: S 2461156861:2461156861(0) ack 43405277 win 65535 <mss 1460,nop,nop,sackOK>
15:41:09.447801 IP BBB.BBB.BBB.BBB.54227 > AAA.AAA.AAA.AAA.80: . ack 1 win 24820
15:41:09.448859 IP BBB.BBB.BBB.BBB.54227 > AAA.AAA.AAA.AAA.80: P 1:268(267) ack 1 win 24820
15:41:12.809725 IP BBB.BBB.BBB.BBB.54227 > AAA.AAA.AAA.AAA.80: P 1:268(267) ack 1 win 24820
15:41:19.559932 IP BBB.BBB.BBB.BBB.54227 > AAA.AAA.AAA.AAA.80: P 1:268(267) ack 1 win 24820

syn, syn/ack は通るのにそのあとが通らないっぽい。

うまくいきました。
各エントリにkeep state を追加しました。
pass in quick proto tcp from any to any port = 80 flags S keep state group 100

つーかＹＢＢなんて使ってて恥ずかしくない神経が理解できん

>>74
消えろ

>>75
黙れ。ハゲ。

俺もYBB

俺は野田社長派。

おれはディアナスキー

フレッツもマイラインさせてくれと思うこのごろ。
Yahoo!BBみたいにEthernetのケーブルを繋いだらDHCPでIPアドレス割り当てて
くれるとかなり運用が楽になるんだよね。
計算機の知識が無い両親にも設定、利用が簡単になるし。
それに、userlandでPPPoEしているとアプリケーション層で処理したのをIP層に落として
処理することになるから無駄が大きいし。mpd使えばこれは解消されるけど。

/usr/sbin/pppを使っています。
NATはpppに内蔵されているものを利用していますが
静的IPアドレス変換（ポートフォワーディング）の設定をする書式がわかりません。
なにかしらの記述を/etc/ppp/ppp.confにしてやればいいことは覚えているのですが。
port Xへの接続をローカルIPアドレスAに振るような設定例をいただけませんでしょうか？

less /usr/src/usr.sbin/ppp/README.nat
あとポートフォワーディングてのは別の用語なんて混用しないように。

ありがとうございます。
ひとつぎもんがあるのですが,ポートは一つ一つしか指定できないのでしょうか？
できれば範囲で指定をしたいと思いますが。

man ppp

保守あげ

ageってないよ

>>85
おまえ、うっちーだろ？

すいませんちょっと保守しますよ

Atherosチップのカードとhostapd使ってWPA対応の無線APとかしてる人いますか？

同じ板内のルータスレにコピペよろ

●● 時刻同期ソフトを使ってる人々へ ●●
同期先のNTPサーバに福岡大学(clock.nc.fukuoka-u.ac.jp)のを使ってる人、
同大学の管理者が過負荷で困ってるから、至急他のサーバに設定を変更するように。

福岡大のNTPサーバがアクセス集中で悲鳴
http://www.itmedia.co.jp/news/articles/0501/21/news059.html
http://headlines.yahoo.co.jp/hl?a=20050121-00000039-zdn_n-sci
http://news19.2ch.net/test/read.cgi/news/1106301899/l50

記事の元になった管理者の悲鳴
http://pc5.2ch.net/test/read.cgi/linux/1008318869/500n

プロバイダ別NTPサーバリスト
http://www.wikiroom.com/?%A5%D7%A5%ED%A5%D0%A5%A4%A5%C0%CA%CCNTP%A5%B5%A1%BC%A5%D0%A5%EA%A5%B9%A5%C8

FreeBSDユーザーはほうぼうに迷惑かけてるんだな。困ったものだ。

>>91
ハァ？

>>91
(ﾟДﾟ)ﾊｧ?

>>92,93
ﾊｧﾊｧ

>>92-93
しかも気づいてないし。

>>91,>>95
と、いうことにしたいんですね。(プ

うんそうそう。
迷惑かけてるってことでいいよ。

>>91-97
スレ違い。
そういうネタはこっちでやれ。
http://etc3.2ch.net/denpa/

FreeBSDで作ったBBルータにpoptopを入れ，PPTPでVPNして家庭内LAN
にアクセスしています．

BBルータでは内側向けにftpd，httpd，sambaをサービスしているんですが，
VPN経由でこれらを使ってBBルータ内のファイルをダウンロードすると，
samba(Windows共有)ではftp，httpを使ったときに比べて，1/10にまで
ファイル転送速度が遅くなってしまいます(ftp/httpでは10Mbps以上出る
のにsambaでは1Mbps前後)．

sambaはftp，httpに比べると効率が悪いとは聞きますが，これほどまで
差が出るものなのでしょうか?

>>99
この辺の話かな？
http://www.dd.iij4u.or.jp/%7Eokuyamak/Documents/tuning.japanese.html

>>100
2.0.x の頃の話だね。
2.2.x では、no problem.
3.0.x は知らない。

ja-sambaにおけるsmb.confで，

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

がdefaultだったんでそのまま使ってましたが，ためしにTCP_NODELAY
だけ指定してみたら，VPN越しでもそこそこスピードが出るように
なりました．もうちょっとSO_RCVBUF，SO_SNDBUFの最適値を探ってみます．

age

mssclamp使う方法が一般的となってるけども
ipnatを潜らない通信の場合は無意味じゃないの？

>>104
そうだよ

だからこそmpd自身でMSS調整をしてくれるパッチというのが神だったはずなのだが
前スレの阿呆のために潰れた

>>104
set iface enable tcpmssfix って使えないのか？
これが実装される前に FreeBSD 止めたから使ったことないんだけど。

>>106
それ使っても効かない。＠3.18

http://sourceforge.net/tracker/download.php?group_id=14145&atid=314145&file_id=60456&aid=799492
このパッチってどうなのよ？

って、portsのmpd-3.18_2はちゃんとパッチが当たってる模様。

ipfw + ipfilter + ipnat な環境から PF に一本化した。かなりいい感じ。

>104
そんなあなたに PF の scrub。

scrub on $ext_if all max-mss 1414

よぉーし、パパもPFしちゃうぞぉ。

ところでPFってPhoton Factory?

>>111
ﾂﾏﾝﾈ

つくばの穴蔵へ（・∀・）ｶｴﾚ!

それより、どう「いい感じ」なのか、もうひと言頼むよ。
pfにチャレンジして成功したから機嫌がいい、ってだけじゃないんでしょ？

>>114
/var/log/pflog が pcap 形式だから tcpdump や ethereal に
食わせていろいろできる。

それだけかよ orz

>>114うるせー、必要性感じていないんだったら使うな

>114
個人的に一番良いと思ったのは↓
ttp://www.openbsd.org/faq/pf/ja/queueing.html

IPFW2では、ACK を最優先で返すとか、ここまで細かく制御できなかったから。

あと、前述の scrub でIFを通過するパケット全部を簡単にMSS調整できるのも良かった。
最後発だけあって、定義ファイルの書き方が洗練されてる感じがした。

でも、PFのログ周りは、syslogに出力しようとしたらまだまだ貧弱。
ttp://www.openbsd.org/faq/pf/ja/logging.html#syslog

>>118
すると mpd に PPPoE を喋らせつつ、
PF でパケットフィルタリング/MSS 調整すれば
unnumbered 環境で mpd を使おうとしたときにあった各種問題が解決、
という理解で良いのかな?

> でも、PFのログ周りは、syslogに出力しようとしたらまだまだ貧弱。
むしろ pcap だから(･∀･)ｲｲ!!んでない

>119
Yes
うちのunnumbered環境では何の問題もなし

>120
そういう人もいるだろうね。
でも自分は IPFW2 のようにリアルタイムに syslog に出力されるほうが好み。
(結局、リアルタイムにファイルに書くperlスクリプトを自分で書いてしまった)

>>121
常時
> リアルタイムにファイルに
書く必要はないのでは?
つか, 必要なのは log 解析時点で`
`何残ってる''
なんで...
syslog って, システム＊混みまくる＊と, messages こぼすけど
その辺は?

>>122
cronとか使って定期的に入れ替えるという実装がいいということ？
出力先の変更をやってくれるようなソフトが要りそうだけど...
syslogdだったらそういうのはsyslogdが面倒を見てくれるけれど、
pflogの場合はそこんところどうしてるの？

mpdってpppみたいにセクションごとに切断することってできないの？

>>124
セクションってなに? session のことか?

だったら, mpd -b -c <port#> で起動して, <port#> で telent かければ
以下のように制御できる.
[flets:PPPoE1] bundle
Defined bundles:
Bundle Links
------ -----
ocn PPPoE0[Opened/UP]
flets PPPoE1[Opened/UP]
[flets:PPPoE1] bundle ocn
[ocn:PPPoE0] close
[ocn] IFACE: Close event
...
[PPPoE0] LCP: phase shift ESTABLISH --> DEAD
<< なぜか改行しないとプロンプトが出ない.
<< このままでもコマンドは受け付けるが...
[ocn:PPPoE0] open
[ocn] IFACE: Open event
...
[ocn] IFACE: Up event

125は124の答えになっているのか？

まあ、なってないな

なぜFreeBSDおたくはこんな単発質問スレを連発するのですか？

単発質問スレには見えないけどな。
それとも誤爆か？

ああ、釣りか。じゃやられたよ、わっはっは。

>>128
その2スレができている時点で単発質問スレじゃないだろ。

なぜ>>128はスレとまったく関係ない質問を行うのですか？

相手にしないように

>>1
糞スレ建てんなｳﾞｫｹ

ここは良スレだよ。
ルータがらみの話をしたくなったときに、もしあっちの質問スレでやらなきゃならないとしたら嫌になっちゃう。

KittyにかまうのもKitty

>>128に対する有効な反論きぼんぬ。

反論
「単発質問スレではない」

以上。

断髪スレ断固反対！！

相撲かよ

相模だよ

FreeBSDってルータ作るにもスレが必要なくらい糞なの？

そうそう。
スレ立ったころはそうだったそうだった。
natdとpppからipnatとmpdへの過渡期だったし。
IPFilterもバージョンアップ中だったし。

>>140 君がいないところで話をしたいってことさ。わかったら去ってくれ。ﾊﾞｲﾊﾞｲ

140がIPnuts以上の使いやすさでインスコ一発で使えるようなものを作ってくれるスレだろう？

IPnutsって使ったこと無いんだけど、
手間かけずに作るならFreeBSDより楽かな？
偏見なしの意見がほしい

>>144
m0n0wall http://m0n0.ch/wall/ というのがあるので使ってみるがよろし。

>>140
単にユーザーのレベルが低いだけ。

>>143
インスコ一発が目的ならFreeBSDなんて使う必要ないんじゃないかな。
WindowsとかLinuxのほうがよっぽど便利だよ。

>>147
いや、インスコ一発でやりたいなら市販のBBルーターだろ。
わざわざPCにやらせて問題をややこしくしたり潜在的なセキュリティーホールを
作ったりすることは無い。PCルーターに比べて電気代も安くつくだけでなく、
設定もOSインストールやルーターソフトのインストールおよび設定に比べて
簡単だからね。

x68k.netのラキッの人がFreeBSDルーターのメリットを日記に書いていたから読め。
要約すると「何でも全部いりサーバーが作れる」みたいな。

>>149
これのこと？
http://x68k.net/diary/?200307a&to=200307091#200307091

もれはFreeBSDルーターを否定するつもりは無いよ。
市販のルーターでは初心者に使いやすくするために
様々な機能をどうやって実現しているかというのがブラックボックス化されていて
想定外のトラブルが起きたときに修復することはマズできないのに対して、
FreeBSDルーターだとソースコードを読めて根気さえあれば自分で解決できるから。
また、帯域制限など市販の安いルーターでは実現されていない機能をサポートするにも
FreeBSDルーターがよいと考えている。

しかしながら、そういったいい部分を使うにはそれなりの知識と技術が必要なわけで
それを身につけるつもりが無いなら市販のBBルーターを使うのが最良だと思う。
技術や知識無しにそういった部分を使えるようにするというのは可能だろうけれど、
それで変な設定をしてしまうリスクが増えてかえって利用者を不幸にするんじゃないの？

>>150を読んで思ったけど、FreeBSD(Linuxでもいいけどさ)を
使ってそういう市販の安いルータなみに簡単なインタフェースで
なおかつ高機能なものを作るようなプロジェクトってsourceforgeにあったり
しないのかね。特にsf.jpにいるような人はそういうの好きそうな気がするけど。

ここもIPnuts厨の巣窟になるのか？
そういうのがお前の望みか？

出て行け。

>151
floppy-1
monowall

test

ヤフーとかCATVとかWAN側がDHCPの回線使ってる人。
natd+ipfwで rc.firewall の SIMPLE の雛型使ってる人。

out側のここ

onet="192.0.2.0"
omask="255.255.255.240"
oip="192.0.2.1"

なんて書いてます？

今ざっと見たらspoofing防止と http/dnsあたりを通すためだけみたいだから
湖面と会うとしちゃえば？

rc.firewallはシェルスクリプトだから、onet,omask,oipはifconfigの出力から生成してやればいいのではないか。
けど、/etc/rc.d/を見ると、dhclientより先にipfwが起動されるようなので、うまく順番を変えてやる必要があるようだ。

>>155
以前dhclinet起動時にkickするスクリプト中でipfwの設定をしている人を見たことがある。

　質問でつ。portsでmpdをインストールしたけど、PPTPサーバ機能
使えている人います？
　久しぶりにOSを上げて、4.11-Rにし、mpdもports経由でアップデート
したけど、mpdのPPPoEはOKだけど、PPTPは使えなくなった。
　カーネルのnetgraph周辺がアップデートされたのが影響しているみたい
だけど、だれか解決できた人いませんか？。　または、ポインターだけでも
教えてくれると助かります。

FreeBSDユーザーってルータ構築するのにいちいち人に聞かないと
できないの？

FreeBSDでBBルータを作ろう互助会
http://pc.2ch.net/test/read.cgi/unix/1038060563/
この最初のｽﾚのdatちょうだい

>161
http://makimo.to/2ch/

検索ぐらいしましょう。

datに変換してよ

>163
素材は他にもあるんだから自分でしましょう

>>163
できるっしょ。

FreeBSDに特化した質問でもないんですけど。

FreeBSD鯖にNICが3枚刺さってて、うち1枚は外と繋がってます。
で、あとの2枚が中（ｲﾝﾄﾗ側）となってるんですが、2枚のIFに同じﾈｯﾄﾜｰｸのIPを割り当てては
ダメなんでしょうか？ｸﾞｸﾞって調べても、必ずといって良いほど違うネットワークになるようにIP
が振られているので。

右側---192.168.0.0/24----(192.168.0.253)[鯖](192.168.0.254)----192.168.0.0/24---左側

としてはダメ？

言ってることがよくわか欄のだが。
ifconfig_fxp0="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig_fxp1="inet 192.168.0.2 netmask 255.255.255.0"
ifconfig_fxp2="inet 192.168.0.3 netmask 255.255.255.0"
は当然できる。
ifconfig_fxp0="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig_fxp1="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig_fxp2="inet 192.168.0.1 netmask 255.255.255.0"
はできない。

>>166
そーゆー構成にしたい場合は鯖をブリッジにする

>>167
その場合

右側---192.168.0.0/24----(192.168.0.1)[FreeBSD鯖](192.168.0.2)----192.168.0.0/24---左側

右側にぶら下がっているマシンから左側にぶら下がっているマシンへパケットを飛ばしたい場合、
鯖に何も設定しなくても良きに計らってくれるんでしょうか？（右側も左側も同一ﾈｯﾄﾜｰｸだから
設定不要？）


>>168
えと、ブリッジ、とはちょっと目的が違うので。
単に

外---[鯖]---[HUB]====[PC数台]

で済む所を、HUBのﾎﾟｰﾄが足りなかったのでHUBを買いなおす代わりに鯖にNICをもう１枚追
加しただけなんで・・・なのでネットワークを分けるとかそういう意図は全然ないんです。

>>169
> 鯖に何も設定しなくても良きに計らってくれるんでしょうか？

良きに計らってはくれませんので、ブリッジの設定が必要です。
そうでないと左右のネットワーク間でARPパケットが到達できません。

つーか、試せるならとりあえずいろいろ試してみればいいかと。
これ以上はスレ違いな気がしないでもないが。

>>170
Thanks
FreeBSDに特化した話じゃなくなってきたので適切ｽﾚに移動します。ｱﾄﾞｳﾞｧｲｽｻﾝｸｽ！

LAN側が4portのスヰッチになっているブロードバンドルータの様なことをさせたいってことなんで、すれ違いでもないかも。

うちはWAN側にem0、LAN側にre0,re1,re2があって、re0,re1,re2はブリッジ設定だ。

--- sysctl.conf
net.link.ether.bridge.config=re0,re1,re2
net.link.ether.bridge.ipf=1
net.link.ether.bridge.enable=1

--- start_if.re0
ifconfig re0 up

--- start_if.re1
ifconfig re1 inet 192.168.12.1 netmask 0xffffff00

--- start_if.re2
ifconfig re2 up

ってな感じ。

さらにここにath0を足して無線アクポにしようとした。一応機能するんだが、不安定でイライラしたので外してある。

>>172
な、なるほどぉぉぉッッッッ！！
そういう設定にすればいいのかぁぁぁァッ！！！

re0, re1, re2 は同一ネットワークだからIPもre1のみに振れば良いと言うわけですね。
早速試して見ます。アドバイスありがとうございます。

ipfwのmanを見るとﾏｯﾁ条件をorで繋ぐ記述はあるのですがandで繋ぐ記述がありません.
ﾏｯﾁ条件に

port 5000-9999 のうち、port 8888を除いた全て

という指定は出来ないのでしょうか？

ipfw add 100 deny tcp from any to me {5000-9999 and not 8888}

だとエラーになってしまうんですが・・・

# {5000-8887 or 8889-9999} という記述は無しで

dhcpでwan側グローバルアドレスを動的に取得しているので
ifconfigの出力かなんかからシェルで
・アドレス
・ネットワークアドレスを
・ネットマスク
を取得してipfwの設定に渡したいんですけどね。

ifconfigの出力にはアドレス、ネットマスクはあるけど
ネットワークアドレスはないですね。
ブロードキャストアドレスはあるけど・・・

ネットマスクの値をゲットするのにどうやってます？

>>175
pf使ってるから、そのあたりの面倒なことで苦労しなくて済んでる。

>>174
ファーストマッチなんだから
port 8888の処理
port 5000-9999の処理
とかじゃだめ？

>>175
ifconfigの出力をPerlなどで切り出す。
アドレスとネットマスクのandを計算すればネットワークアドレスも得られるし
そんなに難しいか？

>178

perlを使えばそりゃ簡単。
シェルだけでできないかっつー質問

>>179
ｱﾎ?
そんぐらいシェルでも余裕だけど。ｱﾎ?

>>179
そんなことどこにも書いてないぞ、という突っ込みはおいておいて。
Perlを使えない理由は？
まあ、awkとsedを駆使すればPerlは要らないけど、Perlの方が書きやすい。

WAN--(FreeBSD+pf)-- client
　　　　　　　　　　└ ftp server
firefoxのbookmarks synchronizerがftpのPASVと非PASVを選択できないせいで
clientからftp serverに接続しようとするとFreeBSDのWAN側のアドレスを返されてしまうので
当然のごとく接続できません
pfでうまくリダイレクトできないものかと考えてみたもののいい方法が思いつかない。
何かいい方法ないでしょうか

ftp serverはどこにあるの？ WAN側？
よくわからないが、FreeBSD boxにftp proxyを置くのはどうか。
/usr/ports/ftp/ftpproxyとか。

>>183
ftpserverはclientと同じLAN内です。FreeBSDにぶらさがってます
ftp-proxy(8)試してみました。inetd.confとpf.confにそれぞれ
ftp stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy
rdr on fxp0 inet proto tcp from 192.168.0.0/16 to (ng0) port = ftp -> 127.0.0.1
としましたが、rdrはされているものの(pf -ssで確認
$ ftp XXXXXXXXX
Connected to XXXXXXXXX
421 Service not available, remote server has closed connection
正直ftp-proxyのことよくわかってません。
あとはftpserver側でPASVに使うポートを制限しておいてから最初からng0に接続しにいって
connection portもdata portも両方FreeBSD boxのinetdでncしてみたり。
これだとログインはできるもののPASV接続に使うポートを全てinetd.confに書かないといけない…

>>182
以前、Daemon Newsでそういうネタを見たことがあるけれど、
次のような構造にしてWANからFTPができるようにしてたね。
WAN-NAT1-(LAN)-NAT2-ftpserver
ftpserverにはWAN側のIPアドレスがつけてあって、
外からの接続はNAT1でprivate IPアドレスへの変換、NAT2でglobal IPアドレスへの
変換を行う。

ここで、ftpserverにはglobalなIPアドレスがついているのでPASVの時には
それについているglobalなIPアドレスを返し、WAN側に居るクライアントと通信ができる。

PPPoEを高速化したくてmpdでやってみようとしたのですが、
mpd -b を実行するとコンソールにこんなメッセージが出て
ppp が動いてくれませぬ・・・

module_register: module netgraph already exists!
linker_file_sysinit "netgraph.ko" failed to register! 17

カーネルには
options NETGRAPH
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
を加えて再構築してます

外せ

カーネルコンフィグに NETGRAPH を追加する必要はないってこと？

っていうかにくちゃんねるで過去ログ読んで。
懐かしい話題だから。

525 名前：名無しさん＠お腹いっぱい。[] 投稿日：03/06/01(日) 05:04
ppp+ipfw+natd から ppp+ipf+ipnat にして、さらに mpd なるものを知って
mpd+ipf+ipnat にしてみたところ

module_register: module netgraph already exists!
linker_file_sysinit "netgraph.ko" failed to register! 17

こんなエラーが出て接続出来ません。
ちなみに FreeBSD4.8-stable でカーネルコンフィグファイルに

options NETGRAPH
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
options NETGRAPH_ETHER

を加えて再構築しました。
どうすれば解決出来ますでしょうか？
533 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：03/06/01(日) 10:34
>>525>>528

そのエラーメッセージは、カーネルにNETGRAPHが組み込まれているのに
さらに動的モジュール版のNETGRAPHをロードしようとして、同じ物が既にあるから
ロードに失敗したということを示している。
従ってこれはウザい警告なだけであって、その後の動作には影響ない。

pppを使う場合もNETGRAPHを使うけど、この場合はコンフィグにそれらを追加しても
しなくてもよい。ただし、それら4つのうち例えばNETGRAPHだけなどのように
中途半端な追加をするとやはり同じメッセージが出る。たぶん足りない他の3つを
ロードする際にNETGRAPHもロードしようとしてしまうからだと思う。
まあいずれにしてもその後の動作に影響はないけどね。

影響がないならばなぜmpdが動かないのかな・・・

原因が別だから

options NETGRAPH
options NETGRAPH_BPF
options NETGRAPH_ETHER
options NETGRAPH_IFACE
options NETGRAPH_PPP
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
options NETGRAPH_VJC
してみれ。

更にPPPoEがCPU食い過ぎの場合
options MSGBUF_SIZE=65536
を追加するとレスポンスが上がりました

mpd+pf+altq使おうとしてpfctl: ng0: driver does not support altqってエラーに遭遇した後
man altqしてみたらサポートしてるDeviceにngが無い・・・
もしかしなくてもmpdでaltqって使えない・・・？

mpdとpfの起動順番のってみなさんどうしてます？
/etc/rc.confにpfの設定しても、pf起動時にng0がなくて怒られるし。

/etc/start_if.fxp0
とかにmpdの起動スクリプトを書いている。

mpd.confに
set iface up-script /usr/local/libexec/mpd.linkup
って書いてその中で起動してる。pfじゃなくてipf使ってるけど。

/etc/rc.d/pf の REQUIRE に mpd を加えたんじゃ駄目？

FreeBSD 5-STABLE で、pf, mpd 使ってますが、tcpdump -n -e -tttt -i pflog0 で
日本時間で表示されるのはどうやるのでしょうか？

>>200
BBルータ作ってないユーザですが、RELENG_5 の tcpdump.c で
if (tflag > 0)
thiszone = gmt2local(0);
というそれっぽい行があったので、 "tflag tcpdump" でぐぐったところ
http://www.tcpdump.org/lists/workers/2004/06/msg00034.html
これが引っかかったよ。
net/tcpdump のほうはビルドできないね orz

pf2xml
http://www.monkey.org/~jose/software/pf2xml/
というのもあった(awk スクリプト)

http://www.freebsd.org/send-pr.html
なぜか貼っておきますw

http://cvs.tcpdump.org/cgi-bin/cvsweb/tcpdump/tcpdump.c?rev=1.253.2.1
もう本家 3.9 alpha で反映されてますた。

http://www.freebsd.org/cgi/query-pr.cgi?pr=bin/71619
本家で直ってるし、こういう場合 FreeBSD send-pr しないほうがいいのか。
スマソ

202 = 201 です。 ○|￣|＿

>>201, 202, 203
ｻﾝｸｽ

kernel pppoeとpf+altqが使える環境は無いのか･･･

NICの2枚挿しルータでNATトラバーサルのIPSecを通してやりたいのだが
ipfwのルールで次の書いてやっても通りませぬぅ・・・

${fwcmd} add pass udp from ${inet}:${imask} to any 500
${fwcmd} add pass udp from any 500 to ${inet}:${imask}
${fwcmd} add pass udp from ${inet}:${imask} to any 10000
${fwcmd} add pass udp from any 10000 to ${inet}:${imask}

このIPsecのisakmpはudpのport 500、実通信はudpの port 10000 という仕様なのは
確認してるのだが。
isakmpはdst,srcともにportは500なんだけど、ひよっとして1023より小さい
port番号のパケットは通さないとかあったりします？

ipfw show

03600 12 7444 allow udp from 192.168.1.0/24 to any 500
03700 0 0 allow udp from any 500 to 192.168.1.0/24
03800 0 0 allow udp from 192.168.1.0/24 to any 10000
03900 0 0 allow udp from any 10000 to 192.168.1.0/24

LAN(192.168.1.0/24)からWANへ抜けていかないのでisakmp(port 500)の
パケットが返りも来ない状態です。WAN側、LAN側を同時にtcpdumpして
確認もしてます。

${fwcmd} add pass udp from any to any 500
${fwcmd} add pass udp from any 500 to any
${fwcmd} add pass udp from any to any 10000
${fwcmd} add pass udp from any 10000 to any
これで抜けない？。

通りました。
しかしinside側のプライベートセグメントはNAT変換されるから
指定しても無意味ってことでしょうか。。

NAT 通った後なら既にアドレスは変換された状態になってるはず。
気持ち悪ければ NAT 通る前にあらかじめ対象外のパケットを落としちゃえば？
もっとも既に他のルールで落ちちゃってるかもしれないけど。

# mpd
[PPPoE] ppp node is "mpd80015-PPPoE"
[PPPoE] using interface ng0
[PPPoE] IPCP: peer address cannot be zero
[PPPoE] IFACE: Open event
[PPPoE] IPCP: Open event
[PPPoE] IPCP: state change Initial --> Starting
[PPPoE] IPCP: LayerStart
[PPPoE:PPPoE] [PPPoE] bundle: OPEN event in state CLOSED
[PPPoE] opening link "PPPoE"...
[PPPoE] link: OPEN event
[PPPoE] LCP: Open event
[PPPoE] LCP: state change Initial --> Starting
[PPPoE] LCP: LayerStart
[PPPoE] device: OPEN event in state DOWN
[PPPoE] PPPoE originate option is not enabled
[PPPoE] device is now in state OPENING
[PPPoE] device: DOWN event in state OPENING
[PPPoE] device is now in state DOWN
[PPPoE] link: DOWN event
[PPPoE] LCP: Down event
[PPPoE] device: OPEN event in state DOWN
[PPPoE] pausing 4 seconds before open
[PPPoE] device is now in state DOWN
[PPPoE] device: OPEN event in state DOWN
[PPPoE] pausing 2 seconds before open
[PPPoE] device is now in state DOWN

と繰り返します。何が悪いのか・・・

mpd.conf晒せ

# cat /usr/local/etc/mpd/mpd.conf
default:
load PPPoE

PPPoE:
new -i ng0 PPPoE PPPoE
set iface route default
set iface disable on-demand
set iface idle 0
set iface mtu 1492
set bundle disable multilink
set bundle authname [email protected]
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set link mtu 1492
set link mru 1492
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface

>>214
ユーザID晒すのはあんまりよろしくねぇ行為だなｗ

set iface mtu 1454
じゃないの？

フレッツじゃないから MTU は 1454 でなくても大丈夫なんじゃないか？

PPPoEのヘッダは8Byteだから1492は正解と思われ

>>212
なんかうちと同じ症状かも
pppの設定してpppで一旦ダイアルしてからだったら上手くいったりしない？

>>212 >>214
mpd.linksで
　set pppoe enable originate
が入ってないのなら入れてみたら？またはわざわざdisableしてるとか。
> [PPPoE] PPPoE originate option is not enabled
PPPoEのサーバ側(?)をやってるわけでない以上、これがなんか変なので。

あと、
> set ipcp yes vjcomp
は、PPPoEの場合noにした方が帯域は出るかも。
yesにしてても相手が蹴るだけかもしれないけど。

現在pfを使ってルータを作っているのですがうまくいきません。
どなたか教えてください。

WAN---BBルータ---FreeBSD---client

FreeBSDの稼動サービス
named,dhcp,ssh,http

BBルータ内側 192.168.1.1
FreeBSD外側 192.168.1.216
FreeBSD内側 192.168.10.1
client 192.168.10.2

FreeBSDから外部へのping,digともに問題ありません。
clinetは外部へのdigの結果は返ってくるもののpingを打つと戻ってこず、
tracerouteすると"1 * * *"となっています。
clientからFreeBSDへのpingは応答があります。

pfの設定は、ほぼレファレンスどおりです

# macros
int_if = "sk0"
ext_if = "sk1"

tcp_services = "{ 22, 53, 113 }"
icmp_types = "echoreq"

priv_nets = "{ 127.0.0.0/8, 172.16.0.0/12, 10.0.0.0/8 }"

# options
set block-policy return
set loginterface $ext_if

# scrub
scrub in all
scrub out all max-mms 1414

# nat/rdr
nat on $ext_if from $int_if:network to any -> ($ext_if)
#rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 \
port 8021

続きです

# filter rules
#block all

pass quick on lo0 all

#block drop in quick on $ext_if from $priv_nets to any
#block drop out quick on $ext_if from any to $priv_nets

pass in on $ext_if inet proto tcp from any to ($ext_if) \
port $tcp_services flags S/SA keep state

pass in inet proto icmp all icmp-type $icmp_types keep state

pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state

pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state

長々となりましたが、どこがおかしいか教えてください。

>>220
pf以前の問題でそもそもforwardingしていないとか。

あげてしまっていました。すみません。

>>223
そのとおりですた。ありがとう。

厨っぽい質問ですみません。5.4R + mpd が動いてくれません。mpdを起動させると

server# mpd
Multi-link PPP for FreeBSD, by Archie L. Cobbs.
Based on iij-ppp, by Toshiharu OHNO.
mpd: pid 570, version 3.18 ([email protected] 20:22 14-May-2005)
[PPPoE] ppp node is "mpd570-PPPoE"
[PPPoE] exec: /sbin/ifconfig fxp0 up
[PPPoE] Cannot send a netgraph message: fxp0::No such file or directory
[PPPoE] Error in creation ng_pppoe node on fxp0:
(略)

と出ます。`ifconfig -a`でng0がいないのが原因じゃないかとは思うのですが、以下の4行を追加して
kernelを再構築してｲﾝｽｺ→rebootすればとりあえずng0って出来ませんでしたっけ？
4.xではこれでよかった気がするんですが・・・

options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET

server# kldstat
Id Refs Address Size Name
(略)
4 1 0xc23c1000 5000 ng_socket.ko
5 5 0xc23d6000 12000 netgraph.ko
6 1 0xc23ec000 4000 ng_iface.ko
7 1 0xc23f9000 8000 ng_ppp.ko
8 1 0xc2401000 4000 ng_bpf.ko
9 1 0xc2405000 5000 ng_vjc.ko

>>225
GENERICでやってみそ

>>225
それでできるのはmpdじゃなくてuserland-pppによるPPPoEの場合だと思うな。
mpdの場合はkldstatしてもわかるようにもっと色んなものをkernelに組み込まないと
いけないのでその部分ですでに入っているものとkldloadしたものとで競合が起きて
うまくいかないのではないかと思う。

ちゃんと調べて自分で全部入れるかnetgraph関係をはずして完全に自動でやってもらうか
どちらかだな。

>>226
試して見ました。全く変わりません。kldstatで見るとちゃんとng_*.koは読み込まれてる
んですけど、それでも "Cannot send a netgraph message: fxp0〜" と言われます。


>>227
すみません、書き方が足りなかったです。
既にmpdで通信できているFreeBSD 4.10R鯖があって、これと並行試験をするために
今回別途5.4R鯖を立てて、4.10Rのときと全く同じ手順でmpdを導入しようとしてハマッ
ている最中なのです。4.10Rの時は上記の手順でmpdが動きました。

fxp0は生えてるの？

解決しますた。

>>229
生えてます。

という訳でこんなページを見つけたので、↓

ttp://lists.freebsd.org/pipermail/freebsd-questions/2003-June/008570.html

mpd起動前にあらかじめkldloadで "ng_ether.ko" を手動で読み込ませておいてからmpdを起動
させたら問題なく動くようになりました。4.xではこんなことは必要なかったような・・・
5.xでnetgraphの仕様が変わった事に対してmpdが追従できてない？とかなんでしょうか。

とりあえず根本的な解決法ではないかもしれませんが、しばらくこれで運用してみます。

mpd + natd + ipfw な構成で 自宅PPPoEルータを4.8releaseで作ってます。
tcpmssdなんですが、

# tcpmssd -p **** -m 1454

の **** の数値って何にすればいいんでしょう。
/etc/servicesの中のnatdの8668にしくのがいいんですかね？
ぐぐってみると1234とか適当につけてる例も出てるし

もう一つ。

速度を上げたいので mpd + ipf に変えようかと思ったら
カーネルで bpf を外せとのこと。
LAN側はdhcpサーバ動かしたいし、時にはtcpdumpしたい
こともあるんで bpf は外したくないんだけどそれって
mpd + ipf では無理なんですかね。

外さなくてok

# tcpmssd -p 8668 -m 1492
tcpmssd: can't bind divert socket: Address already in use

となる。natdが既に動いているから8668にしてはダメってことか。
しかし -p 1234 とかやっても windows update に接続できないし
mss書き換えてくれない。どうしたもんだろー

>>231
-p で指定したポートで tcpmssd を待ち受けさせて
ipfw の divert でそこに流し込むという使い方じゃなかったっけか

4.11 とか使えば tcpmssd はもう要らなかったと思うが

正直、mpd, pf のがよくね？

# tcpmssd -p 8669 -m 1492
を実行して、
/etc/rc.firewallに
${fwcmd} add divert 8669 tcp from any to any out recv ${oif} xmit ${iif} tcpflags syn
を追加してみましたが、
mssの書き換えを実施してくれませんでした。

一応 /etc/servicesに、
tcpmssd 8669/divert
と追加もしてみましたが(これは関係ないか・・・)。

>>237
mssの値ってISDNなら1000でADSLなら1454じゃないっけ？

というのはさておき、
firewallの設定はまず大域的にやってそれから高速化を目指して限定的にやる
というアプローチがいいと思います。
つまり、これくらいのルールでまずやってみて、それから限定していったほうが
よいかとおもいます。
${fwcmd} add divert 8669 tcp from any to any
これだと出て行く場合も入ってくる場合もtcpmssdに飛ばされますけれど。

tcpflags synとついているのでsynパケットだけtcpmssdに渡されて
正規化されて、他のパケットは渡されないからsynは通るけれど他が通ってない
ということだとおもう。
あと、recv ${oif} xmit ${iif}ってほんと？$oifから来て、${iif}に行くパケットを
正規化しても仕方が無いと思うんだけど、oifというのは内側のNICを指しているんだろうか？

すみません。またつまずいてしまいました。
今度はWANからclientの80番に接続できずにいます。

WAN---FreeBSD---client

FreeBSD内側 192.168.10.1
client 192.168.10.2

WANからつないで見るとタイムアウトしているような感じです。
pfの設定はこうなってます。

# macros
ext_if = "sk0"
int0_if = "sk1"

tcp_services = "{ ssh }"
icmp_types = "{echoreq, unreach, squench, timex}"

priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"
local_nets = "192.168.0.0/16"

# options
set block-policy return
set loginterface $ext_if

# scrub
scrub in all
scrub out all max-mss 1414

続きです

# nat/rdr
nat on $ext_if from $local_nets to any -> ($ext_if)
rdr on $int0_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021

# filter rules
block all

pass quick on lo0 all

block drop in quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets

pass in quick on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services \
flags S/SA keep state

pass in inet proto icmp all icmp-type $icmp_types keep state

pass out quick on $ext_if proto tcp all modulate state flags S/SA
pass out quick on $ext_if proto { udp, icmp } all keep state

pass quick on $int0_if all

すみません。またあげてしまいました。orz
239 = 220です。

とりあえず

# macros
ext_if = "sk0"
int0_if = "sk1"
local_nets = "192.168.10.0/24"
# options
set block-policy return
set loginterface $ext_if
# scrub
scrub in all
scrub out all max-mss 1414
# nat/rdr
nat on $ext_if from $local_nets to any -> ($ext_if)
rdr on $int0_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
rdr on $ext_if proto tcp from any to ($ext_if) port 80 -> 192.168.10.2 port 80

これでは届くようになりました。
後はフィルタリングをうまくすればいいようです。

pfの評価の順番がフィルタリング→フォワーディングなんですね。
逆だと思っていました。これで解決します。

>>243
自分のやったところだと逆にリダイレクト->フィルタリングだった。
総合して考えて、
quickフィルタリングルール->リダイレクト->普通のフィルタリングルール

quickの方が高速なんだけれど、quick無しのほうが処理時間が一定になるね。

ほとんどレファレンスと一緒なんですが微妙な違いに悩まされました。
最終的にはこうなりました。

# macros
ext_if = "sk0"
int_if = "sk1"
tcp_services = "{ ssh, http }"
icmp_types = "{echoreq, unreach, squench, timex}"
priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"
# options
set block-policy return
set loginterface $ext_if
# scrub
scrub in all
scrub out all max-mss 1414
# nat/rdr
nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
rdr on $ext_if proto tcp from any to ($ext_if) port http -> 192.168.10.2 port http
# filter rules
block all
pass quick on lo0 all
block drop in quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets
pass in quick on $ext_if proto tcp from any to any port $tcp_services flags S/SA \ modulate state
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in quick on $int_if from $int_if:network to any keep state
pass out quick on $int_if from any to $int_if:network keep state
pass out quick on $ext_if proto tcp all modulate state
pass out quick on $ext_if proto { udp, icmp } all keep state

誰かの参考になればと思います

4.11ipfw+ipfilter 5.4+pfにしたら無茶区茶はまった
１０年早かったかorz....ｶﾞﾝｶﾞﾛ...

初めてFreeBSD5.4とpfでブリッジ作ろうとしたらはまった。

int_if = "sis1"
ext_if = "sis0"
priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"
int_nets = "{ 内側ネットワークのIPアドレス群 }"
tcp_services = "{ ssh, domain }"
udp_services = "{ domain, ntp }"
icmp_types = "{echoreq, unreach, squench, timex}"
set block-policy return
set loginterface $ext_if
scrub in all
# filter rules
block log all
pass quick on lo all
block drop in quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets
pass in on $ext_if inet proto tcp from any to $ext_if \
port $tcp_services flags S/SA keep state
pass in on $ext_if inet proto udp from any to $ext_if \
port $udp_services
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in on $int_if from $int_nets to any keep state
pass out on $int_if from any to $int_nets keep state
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state

上記だと内側ネットワークの端末からTCP通信が出来なかった(UDP,ICMPは可能)
下から二行目のmodulateをkeepに変えたら通信できるようになった。
PF: OpenBSD パケットフィルタに載っていたとおり書いたつもりだったんだけど・・・
何が原因なのか、現状の設定で問題ないか、教えてエロい人!

>下から二行目のmodulateをkeepに変えたら通信できるようになった。
flags S/SAも消してました・・・

保守

ふがいない管理者のせいでドメイン落としてしまいました。
全然更新していませんが、いまだに参考にしてくれている人もいるみたいなので
新しいURLをはっておきます。
ttp://www.daily-labo.com/ygg14.html

>>250
乙

>>250
週末探してました。ありがとう。

>>250
もれもmpd使うときは参考にしたよ。
でも、もれはipfilterの人嫌いだからpf使ったよ。
pfの場合はscrub max-mssでやるね。
ちなみにinだけ設定すれば十分。

＞もれはipfilterの人嫌いだからpf使ったよ。
喧嘩売ってますか？

>>254
表現が誤解を生んだね。すまん。
もれはTheo教なのでipfilterの作者を嫌いなんです。
ipfilterの利用者にはなんとも思ってません。

りょうかい

おまいら、Flet'sと使ってるプロバイダの両方に繋いでいるときの
ルーティングはどうしてますか？

ちなみに、もれはdefault routeをプロバイダにしてFlet's側として見つかったものを
whoisしてnetmaskを求め、一つ一つmpd.confに加えてる。
でも、書いてないものはルーティングされないし、そもそもいちいち設定するのが
面倒くさいので何とかしたいのだが。

>>257
ttp://www.flets.com/square/routing.html

>>258
Thx!

FreeBSD 4-STABLEでipfwを使っています。
/var/log/auth.log を見ると短時間に数百から数千の
不正アクセスを試みている形跡が山盛りあるのですが
こういうアクセスを遮断する、おおげさでない良い方法はありますか？

今は/var/log/auth.logを１０分おきに調べて不正アクセス
が多いものを自動でipfw add denyするようにしています。

>>260
ipfw add 1 dny from any to any

こういう事書きながら、typoしてると痛いな

>>260
攻撃がssh経由のログインなら、sshdを外へのインタフェースアドレスに
bind(2)しないように設定するとか？
sshd_config(5)のListenAddressの説明が参考になるかも。

外からログインしたい場合はこれじゃダメだけど。
自分は外へのインタフェースに対してはポート番号を22以外にしたりしてる。

>>263
ありがとうございます。

> 自分は外へのインタフェースに対してはポート番号を22以外にしたりしてる。

やっぱそうするしかないですかね。
友人のサーバのDNS使ってDDNSでおうちADSLにアクセスできるように
してるので、外からも不特定多数がssh経由でloginしてくるため、
なるべくportは変更したくなかったんですが。

>>264
ttp://www.nic.ad.jp/ja/dns/jp-addr-block.html
ttp://www.nic.ad.jp/ja/dns/ap-addr-block.html
このリストにあるIPアドレスからだけ要求を受け付けるとかはだめなのか？
yahooBBだとこのAPNIC直で取ってるから、だめだけど

>>260
うちのauth.logにもかなりログインをがんばった形跡がありますね。
まあ、自分の場合は5段くらいで防御しているので全然気になりませんが。
1段目: sshdをjail内部で動作
2段目: jail内部のsshdとしてportable sshを使用
3段目: sshログイン可能なグループを制限
4段目: 認証として使えるのはPublic Key認証のみ
5段目: jail内部のssh_configの設定によりknown_hostsをhashして保存

利用者がアクセスする可能性があるIPアドレスのみをhosts.allowに記述するのが
最も基本的で効果があるアプローチだとは思いますが、いろんな出先から使うことが
多いので自分は上記のようにしてます。OpenSSHのMLを購読してますから
情報は速いですしね。

ちなみに、アクセスのトップ3はroot, admin, testですが、rootはログインできるグループ
に属していませんし、admin, testというユーザーは存在しません。

>>264
ssh でのアクセスということなら、アクセスして来る人はそれなりの知識がある
人という前提を考慮してもよさそうな気がします。
Web コンテンツの編集ということなら、ふつーの人向けでありがちなのは FTP か
WebDAV でしょうし。
そう考えると、ポート番号を変えるというのは十分ありな気がします。

あなたにとって本当に不特定多数の人に対して、シェルを使える権限を与えると
いうのはいささか危険だと思います。

管理者当人や毎日使うユーザはいいけれど、そうでない人間は
往々にして忘れてしまいがちだと思う >port変更。本質的じゃないし。
まあpublic key認証限定なら.ssh/configに書いときゃいいけどさ。

>>267
portを変えたらscript kiddleからの攻撃は防げるだろうけれど、
それで失われる利便性がその防御力に見合うかは疑問ですね。
sshdが動いてるportに繋ぐとsshdのシグニチャが出るわけで、
portscanすればsshdのポートを容易に発見できます。
逆に、利用者はおのおののホストごとにport番号を覚えないといけない状況になって、
煩雑さが増しますね。

また、sshの利用者がportの概念があるかは疑問です。
というのも、ほとんどのソフトウェアはsshを含めてそのようなportの変更無しに
利用できますから。

brutesshしてんのはスクリプトキディが大半だからポート変えるだけでok

スクリプトキディごときにroot取られるようなら鯖立てるのヤメレ！
やつらの辞書に日本人の名前はsatouとsuzukiくらいしかないらしく、
実際のログイン名を当てたのはrootやmysqlなどのdaemonの名前くらいしかない。
んで、sshd_configに最初に書く設定はPermitRootLogin noで、
daemon系はホームディレクトリも無く、お星様だから、やっても無駄なんだよ！！

うちは swatch で sshd のログを監視させてる
(swatch の threshold の仕様が変? で本体に patch 当てて使ってるけど)

今度 Bフレッツ+OCN で, 固定 IP 運用することになったんだが,
mpd で unnumberd ってどうすりゃいいのさ?

linkup スクリプト辺りで delete して別のインターフェースに
つけ変えればいいのかな?

# 16 IP でルータに IP ふると IP の数が足りないので,
# 適当な FreeBSD-box がルータを兼用する事になった.

>>273
とりあえず標準のpppを使うことがお勧め。

>>274
同意。
pppにNATをやらせれば、FreeBSDはNATつきルータにぶら下げてる感覚で使えるよ。
パフォーマンス的に厳しくなったらmpdを考えればよいかと。

# ルータを「兼用」ならunnumberedにする必然性はないのでは……

どこに質問しようか迷ったんですが目的がルータなんでここに。
もっと適切なスレなどありましたら誘導お願いします。

今、FreeBSD 5.4-RELEASE でルータを作ろうとしています。
手元にあった USB 接続の LAN アダプタ２本、
指すだけで認識して使えたのですが、
困ったことにどちらも aue ドライバで、
認識の順で aue0 aue1 が決まってしまいます。

そのために、LAN の外側内側が決めうち出来なくて困ってるんですが、
何とかインターフェース名を固定できないでしょうか？

ちなみに、LANアダプタは、IO-DATA 製 USB-ET/TX-S と、
PCI 製 UE-200TX です。
外側は、DHCP で IP 等取得します。

>>275
> pppにNATをやらせれば
その手があったか...
なら, うちでやってるのと同じ mpd + pf でも OK だな.

>>276
認識の順番は不確定なの?
boot時から刺していたら若い番号から順に認識が始まりそうな気がするけど。

USBだけとはノートパソコンにルーターをさせようとしているんだろうか？
高温を与え続けるとノートパソコンのバッテリーの寿命ってどんどん縮むから
ノートパソコンにルーターさせるのってあんまりお勧めできないけどね。

>>278
少なくとも指す場所で変わることは確認しました。
ただ、構成を私以外がいじることがあるので、
指す場所に依存とかいうのは極力避けたいのです。

>ノートPC云々
お察しのとおりです。
ただ、バッテリー内蔵なので、UPS 不要な利点があるかと。
たいした回線帯域もないですし…
甘すぎるでしょうか？

スクリプト組んだら？

ノートのバッテリは連続稼動しているとすぐ死ぬよ
素直にUPS導入すべき

http://www.misnet.co.jp/new1230.htm
http://pc.watch.impress.co.jp/docs/2005/0615/amd.htm
自作板Geodeスレで紹介されてたんだけど、これどうかな。
HDD ありなしが考えられるので、CD/CF/FDとMFS使ってACアダプタでいけたらなあと。

>>279
>>280さんが言うようにメーカーが違えばシグニチャが違うと思うからその情報を
つかって振り分けるようなスクリプトを書くか、dhclientを実行してタイムアウトするまでに
IPアドレスがあたらなかったら逆のI/Fを試すようなスクリプトを書くかしか無いだろうね。

>ノートPC
自分はノートPCルーターをかつて使ってたけれど、熱にやられたのか気づいたときには
バッテリーが駄目になっててバッテリー駆動で1分と持たなくなってた。
自分の心の中には「バッテリーがあるから大丈夫」という過信があっただけに
その症状を見たときはかなりびっくりしたけど。
だから、回線帯域云々より前にUPSの代わりをノートPCのバッテリーにさせるのは
間違っている。通信速度とCPUのスペックの関係はよくわからんけどね。

MAC addr.

自己フォロー

>>273
> 今度 Bフレッツ+OCN で, 固定 IP 運用することになったんだが,
> mpd で unnumberd ってどうすりゃいいのさ?

unnumbered だと
o OCN 側は, network-address を割り当てようとする.
o そのまま使うと FreeBSD は 割り当てられた IP を喋ろうとする.
ので...

PPPoE 側(通常 ng0)の if と switch 側の if に同じ address
(OCN は network-address + 1 を router として期待している)を
割り当てる.
この時 PPPoE 側は netmask 32bit, switch 側は契約した netmask
mpd で設定された default route を delete し, PPPoE の OCN 側
の address または PPPoE 用の if(ng0) に設定してやる.

上記の処理を linkup スクリプトに書けば OK だった.
# PPP 使ってもやるべき処理は似たようなものであろう.

ここで疑問.
unnumbered って, プロバイダに限らず network-address を割り当て
ようとするのであろうか?

× プロバイダに限らず...
〇 OCN に限らず他のプロバイダも...

>>286

InfoSphere IP8契約ですが、OCNと同じ挙動です。

>>286
KDDIのイーサエコノミーとDSLエコノミーも同じだね。

>>283
なるほど…バッテリーをUPS代わりに考えるのは危険なんですね…
それならデスクトップを一台、どこかから拾ってきてそれで組むことにします。

みなさまありがとうございました。

>>285
便乗質問で申し訳ないのですが、

> PPPoE 側(通常 ng0)の if と switch 側の if に同じ address
> (OCN は network-address + 1 を router として期待している)を
> 割り当てる.
> この時 PPPoE 側は netmask 32bit, switch 側は契約した netmask
> mpd で設定された default route を delete し, PPPoE の OCN 側
> の address または PPPoE 用の if(ng0) に設定してやる.

というのは、もしプロバイダーからaaa.bbb.ccc.240/29というアドレスが割り振られていた場合、
mpd.confで

set ipcp ranges aaa.bbb.ccc.241/32 0.0.0.0/0

を指定して、swaitch側にはaaa.bbb.ccc.241/29を指定するという理解であっていますでしょうか？

>>290
> set ipcp ranges aaa.bbb.ccc.241/32 0.0.0.0/0
>
> を指定して、swaitch側にはaaa.bbb.ccc.241/29を指定するという理解であっていますでしょうか？

その手があったか...
少なくとも, OCN では OK のようですね.

>>291
ありがとうございます。
無事、KDDIイーサエコノミーでunnumbered接続をすることができました。
今までpppだったので、かなり速くなりました。

rtprioは試したのか?

>>290

> プロバイダーからaaa.bbb.ccc.240/29というアドレスが割り振られていた場合
OCNですが、set ipcp ranges を設定してないうちだと、aaa.bbb.ccc.240 が設定される。

そして、PPPoEを受けるfxp0 に向かって
ifconfig fxp0 inet aaa.bbb.ccc.241 netmask 0xffffffff
ifconfig fxp0 inet aaa.bbb.ccc.242 netmask 0xffffffff alias
ifconfig fxp0 inet aaa.bbb.ccc.243 netmask 0xffffffff alias
ifconfig fxp0 inet aaa.bbb.ccc.244 netmask 0xffffffff alias
ifconfig fxp0 inet aaa.bbb.ccc.245 netmask 0xffffffff alias
ifconfig fxp0 inet aaa.bbb.ccc.246 netmask 0xffffffff alias
ifconfig fxp0 inet aaa.bbb.ccc.247 netmask 0xffffffff alias
こっち側では /29 というネットワークとしては使わずIPを /32 * 8 で設定する。
使えるIPが2つ増えてかなりお得。あとはNATなりプロキシなりでなんとか汁。

RELENG_6にしたらmpdが動かなくなったよ。ウワーン。
今はuserland-pppでしのぎ中。

>>295
options NETGRAPH_ETHER か kldload ng_ether はやったかい?

>>296
まさにそれだった(--;;;;;;
GENERICにすべて入っていると思い込んでたよ。

おかげで今は快適6-BETA1生活中。
そういえば、mpdの開発って終わってしまったのか近頃は全然更新されてないですね。
純粋に開発者が忙しいだけかも知れんけど。

> そういえば、mpdの開発って終わってしまったのか近頃は全然更新されてないですね。
> 純粋に開発者が忙しいだけかも知れんけど。

やっぱり忙しいのかな。
新しくできた ng_tcpmss への対応も、1カ月以上音沙汰なしだし。
ttp://docs.freebsd.org/cgi/mid.cgi?200506100802.j5A82Yqp028321

>>297
> GENERICにすべて入っていると思い込んでたよ。
PPPoE にひっぱられて load 去れてたみたいなんだが,
今年の 2月あたりから依存関係が切れてしまったようだ.

> 純粋に開発者が忙しいだけかも知れんけど。
ML のアーカイブ見ると,
Q ports は, なんでいつまで立っても 3.18_2 なんだ?
A 4 にはバグが残ってるからなのよん.
忙しくてバグフィックスができねぇ.
近いうちに何とかする.
ってな事が書いてあった.

>>298
もれはpfにやらせてるからそれはあんまり要らないですね。
ipfwを使っている人には必需品でしょうけれど.....

保守

お勧めのipfwテンプレとか無いですか？
これだけはrc.comfに書いとけみたいな感じで。

そういうのがあったとすると、テンプレに頼り切りで何も考えないアブナイ設定とか
自分の環境に合わない設定をするやつが出てくるんじゃないかなあ。

まあそういう奴は今でも、Webによくあるインストール日記とかからコピペしてるのかも
しれないけど。

>>302,303

テンプレはあってもいいんじゃないかな？
/etc/hosts.allowみたいに。

ttp://www.tac.tsukuba.ac.jp/~hiromi/index.php?Firewall%2Fipfw4c

なんかいいんじゃない？

おれは1minおきにcronでauth.logチェックしてipfwのリスト
生成してexexしなおしてるよん。まぁ１分以内にクラックされたら
アウトだけど。

>>304
それ、ステートレスな設定なのでお勧めしない。

>>306
ステートレスって、以下の行があるからいいんじゃないの？

# 接続の確立した TCP パケットを許可
${fwcmd} add pass tcp from any to any established

どこがお勧めじゃなくて、どうすればよいのかご指南くださいませ。

pfを使い始めてからは完全にpfに移行しちゃったからipfwのルールは
あまり覚えてないけれど、TCPはそれでいい気がする。
stateful inspectionを無駄に使うとメモリーを消費するし、上限に達したら
通信できなくなっちゃうからね。まあ、気にするほどは使わないからkeep stateでも
いいと思うけど。
逆に、statefulにやらないとUDPはがら空きになってしまうのでUDPはkeep stateして
書いたほうがいいと思う。

${fwcmd} add deny udp from any to me 123
${fwcmd} add pass udp from me to any 123 keep state

>>308
サンクスです。

ここはルータスレでしたな。

>>302
/etc/rc.firewallはだめ？
あれこそすばらしいテンプレだと思うのだけれど。
pfにも/etc/pf.confがあるしさ。

FreeBSDっていいドキュメントが自分のマシンの中に豊富に入ってるんだよね。
検索エンジンがこんな普及する前から使われていたOSだけにさ。

>>310
気が付きませんでした。orz
rc.firewallの使い方もよく分からないです。

英語が苦手で中一程度の英語力しかないので。
日本語訳があれば良いのですが・・・

ネット上の日本語訳された4.x時代の古い情報を頼りに試行錯誤してるのが
現状です。

翻訳エンジンがOSにインストールされていれば良いんですけどね。
あるいはports。
なんて贅沢を言ってみる。

売り物ほど精度が高くなくていいんですけど。英和辞書レベルで。
これなら最新のドキュメントとかも読めるし、場合によってはソースの
コメントも訳して読めるし。コピペなんかして。
manの管理コストも多少削減されるのではないかと。
jman化されていないportsのmanが読めたりとか。

だったらgoogleでもそこらのポータルサイトの機械翻訳でも、
使えるものは色々あるじゃんか。
なに努力もしないでクレクレばっか言ってるんだ。

もう一台PC買ってwindowsとロボワードか何かを入れれば尚更ハッピーになれるだろ。
知恵もない、努力もしない奴は金でカバーしろ。
それも嫌なら諦めるしかないな。英語を勉強しなかった自分を恨め。

>>311
stardictを使ってみれば？常駐時に単語をなぞるとその意味が出るよ。
で、portsの探し方はこうだったよね？
% cd /usr/ports
% make search key=stardict

あとは>>311氏が言うとおり、exciteなどテキストを貼り付けて翻訳をしてくれるサイトを
利用するというのがあるけれど、PCで初心者がやらないようなことをやろうとしているのに
英語が中一レベルというのは致命的だな。今からでも遅くないから勉強しなおしたほうが
いい。漏れが思うに、大抵は英語が読めないのではなくて英語を読まないんだと
思うから、まずはその心構えから変えていかんといかんよね。

>>312
騙ろうスレに爆撃されたようで(藁

リアルで中一という可能性。

あ、誤植が(--;
s/>>311氏/>>312氏/g

>>314
それならがんばって英語の勉強するか、怪しい機械翻訳に我慢してがんばってそれを
解読するか、諦めるかだな。
中学校の今頃はbe動詞の文章をやっと習った程度だろうから一般動詞が続出する
技術文書を読むのはかなりしんどいかも知れんけど、中学くらいに本気でやれば
英語はかなりものになるからがんばれ。

安全なfirewallを作るためのポリシーみたいのはどっかにまとまってるんかな？
具体的にipfwの命令、ってんじゃなくて。

オライリーのファイアウォール構築はどう？

IPv4-IPv6 NATとかってないよね。
IPv6環境を手に入れたけどjailはIPv4しか使えないからしょぼーん。

>>316 firewall(7)以外でってこと?

ほす兼ねて

このあいだ急にHDDすっとんで再起不能になっちまったんで
(FreeBSD5.2R+ mpd3.15 + ipf + ipnat　だった)
FreeBSD 5.3R#8 (ちと古くてｽﾏｿ) + mpd3.18(ports) + pf で０から再構築。

しんどかった＿|￣|○
予備の通信環境を整えてからやんないと、つまづいたとき復旧がめんどすぎた。
まぁ備えが足りない香具師なんで、自業自得なんだが。

mpdのmpd.linksの
set pppoe service "whatever"
set pppoe disable incoming
set pppoe enable originate
とか山ですた。つーか、なんで3.15と同じじゃだめなのか理解できず
めげそうになってたよ…先達者に感謝。
pfはぐぐったところをそのままぱくって終わり、(*-ω人)感謝

>>320
> set pppoe service "whatever"
これはマルチセッション対応か何かだったような...
> set pppoe disable incoming
> set pppoe enable originate
こっちが変わった理由はよく覚えていない.

なぜ5.4Rにしないの？

家のマシンいまだに5.0Rだ
いまさらあげれん

>>322
言われると思ったから、ちと古いってコメントしておいたんだがｗ
つーか、回線が切れた状態であったverが5.3R#8だった訳で。
一応途中の段階で5.4Rにしようかと思って(接続が可能になった段階で)
ftp get 開始してたんだけど、回線(環境)復旧にエネルギーかけてたから
時間なかったというオチ。
またverあがると手間が増えるって罠もあるから、運用に様子みてから
上げるつもりではいるけど。
323ではないけど、なかなかOSのverって上げられないってのも事実だし
(穴とかについてはふさいでるつもりだけど)壊れる前の環境が5.2Rで不便
なかったってことがあるんであえて上げるかどうか微妙ではあるけど。

んでもってmpd+pfでいいぐあいになってるっぽいので
5.4Rを落としてみたので後日うぷでーとしてみまつ。


なんかｷﾋﾞｷﾋﾞしていいぐあいになってますよ(ｏ＾∇＾ｏ)ノ
同じ環境とは思えない感じ（いいすぎかもしれずｗ）だが
ADSLでこれならBﾌﾚならもっと実感できるﾖｶｰﾝ…光来てないから
どうにもなんだが…雷多発地域＋中〜遠距離なところから先に
光化すべきだよな＿|￣|○つーかしてくれヨン様

5.3Rと5.4Rだと結構パフォーマンス差があるという印象。

(｡'．'｡)ﾎｫﾎｫ

んじゃちょっとがんばってｳﾌﾟﾃﾞｰﾄしてみますかねーｗ
ありが�d>>326

>>325
フレッツISDNも来ない地域の人限定スレ２
http://pc8.2ch.net/test/read.cgi/isp/1080955615/


この人たちに比べれば...

悲しいお知らせです_|￣|○

新しくインスコしたHDDが御昇天めされますた


いまやっと5.4Rでppp(IIJ)が動いたところです…

|出口| λ...............ﾄﾎﾞﾄﾎﾞ

ところで…

mpdにしないでppp(IIJ)のみで、やたら速いんすが_|￣|○
mpdにしたら爆速？ｗ

なるほど、5.4Rに汁って意味がわかったような気がする

一段落しました(´ー`*)ﾌｩ

326ｻﾝのおかげで、HDDすっとんだのもありますがまた０からやり直しまして
無事5.4Rになりますた。

回線は同じ(ADSLで遅い筈)なのに、なんでこう違うかなっていう位快適に
なりますた。(*-ω人)感謝

続く時は続くってことで、豆なバックアップを心がけようかとおもいまつ

やばい、電気代が２人暮らしなのに１万になって
彼女に疑いの目を向けられた・・

最大本体90W、どうしよん

FreeBSD 5.4-RELEASE-p6で
↓
http://dynabook.com/pc/catalog/oldpc/equium/64057450.htm
のCeleron400、メモリ128、HDD80G/7200

HDDの回転止めるのとかできないかねぇ？多少なりとも効果でない？
それか、同じぐらいの性能でもっと省エネの小型デスクトップPCない？

>>333
FreeBSDじゃなくなっちゃうけど、玄箱とかどう？

一人暮らしだけど、毎月２万くらいは電気代かかってますけどｗ

>>333
小型省エネベアボーンを買ってきて自作汁。
もれは「省エネ　ベアボーン」でぐぐってそれっぽいのをハケーン。
ノートパソコンは一般に省電力だけれど、連続稼動にはあまり向かないのですよ。

HDDを止めたいという話なんだけれど、
昔、フラッシュROMにカーネルなどを書き込み、メモリファイルシステムでNetBSDを
動かしている人の話は聞いたことがあるな。市販のルーターみたいにおかしくなったら
ぶっちりやるとよいと同居人に話していたそうで。
あとはFreeSBIEみたいなことをするとHDDなしのルーターくらい作れそうだけど...
まあ、1FDルーターとやっとることは変わらんと思うのでガンガレ。

それにしても、FreeBSDルータ稼動費ってそんな高いかねぇ...
もれはAPCのUPS使ってるけど+2千円くらいだとおもふ。

タワー形サーバー連続稼働なら1万超えるだろ。

>>334-336
とりあえず、↓のエコワットっての買って計ってみることにしたよ。
http://www.butsuyoku.net/review/ecowatt/
http://hp.vector.co.jp/authors/VA008536/data/ecowatt.html

シスコのルータを越えるルータを作りたいです

>>336
もれは省エネ設計に気をつけるたちなのでタワーでもそこまでいっていない希ガス。
電源電卓(http://takaman.jp/D/)で計算したらうちのは高々250Wなので、
東京電力電気代ページ(http://www.tepco.co.jp/life/custom/ratesimu/index-j.html)
で計算して3500円らしい。

120Wh以上の場合に間違ってるけれど、概算にはこれが便利。
http://www.setuyaku-kakeibo.com/1_2_setuyaku/denki006.htm

>>338
どう超えるものが欲しいの？

>>339
> >>338
> どう超えるものが欲しいの？
流れからいくと、消費電力

省エネをうたっているキューブ型ベアボーンで作ってみるくらいしか
思いつかないですな。
キューブ型ベアボーンは一概に80W未満なので普通のPCにくらべてかなり
消費電力を落とせるからね。
あとはクロックダウンとか。

GeodeNXでFreeBSDを動かすとか

つ http://pcweb.mycom.co.jp/special/2005/geodenx/

...今月の電気使用量186kWhだったよ。
Cool and Quietの勝利だな。

>>341
「電源容量＝実消費電力」ではない。
一度クランプメータを使って実電流を計ってみなよ。
80W キューブと 300W ミドルタワーで、同じ CPU かつ同じ HDD なら、消費電力にほとんど差がなかったりする。

消費電力はCPUとHDDに依存するの？

じゃあ昔の低クロックなCPUにHDDなしってのはかなりよさげ？

消費電力の絶対値という観点では、とてもよさげ

でも、portsとかmake worldなんかがとんでもなく遅いことが(´･ω･`)

コンパイル作業には爆速マッシーンを別に用意しとけ

CPUの電圧とクロックにも依存するからな。
ま、Cool'n'Quietさまさまってこった。

エコワット届いたので、つなげてみました。しばらく測ってみます。
とりあえずいまのところ、１０分で0.01Kwhでした
PC本体(最大90W)＋VDSL100M（約10W以下）＋コードレス電話(約2.9W)

>>345
Squidとか、ファイル置き場とかでやっぱHDDは欲しいです。


>>342-343
GeodeNX興味ありますが、↓なんてどだろとか思ったり
CardBusでLAN追加
http://dynabook.com/pc/catalog/equium/011025eq/sp_s5010.htm

>>347-348
おいらも、以前は、速いマシンにnfsしたりしてたよ。

>>350
悪くは無いけど、EdenとGeodeNXの前では高消費電力だな。

>>351
具体的な市販製品ないですか？
自作とかめんどくさいし高くつくから避けたいし、
できれば、小型省スペースマシンって、ないかねぇ〜

>>352
> 自作とかめんどくさいし高くつくから避けたいし、
人によっては面倒臭いだろうけど、高くつくかどうかは組合せ次第だろ？
正直意味分かんね

>>352
NXでなくGeodeLXだが、来月辺りにはこんなのが出るかも知れない。
ｈttp://www.pinon-pc.co.jp/news/index.htm
蟹さんだけどなー('A`)

世にも奇妙な掲示板群が完成しました。。。

http://jetabbs.org/

人は少ないですが、知識では他の掲示板群の上をいっています。
今のうちに居付けば、おもしろいことが発見できるかも。。

>>354
こうゆうののコンセプトは好きだな
ぷらっとホームのOpenBlockとか興味はあるけど
量産できないからか、価格がねぇ・・

>>332
http://www.soekris.com/net4801.htm

>>354
蟹さんを使っているという情報は見つけられなかったけれど、
低クロックで蟹さんはきついなぁ....

高クロックだと蟹さんを使うことによるペナルティーをかなり抑えられるというのは
蟹のドライバのコメントから予測できるし、経験的にも裏付けているのだけど。
それでも32bitアラインを激しく破るようなサイズの通信を大量にすると
インテルと明確な差が生まれるけどね。

>>358
ttp://www.pinon-pc.co.jp/products/systempc/index.htm
> ”Ｒａｎａ”＋ＣＰＵモジュール
ttp://www.pinon-pc.co.jp/products/board/baseboard/pnirna/index.htm
↑蟹さん蟹さん躍り食い
つー事です。ここが蟹さんで製品が他ってのは無いだろうなぁ……

いつのまにか
ng_ipfw, ng_nat...

もれはpfだから関係ないぽ。

pfヽ(ﾟдﾟヽ)ﾄｯ!!(ﾉﾟДﾟ)ﾉﾃﾓ!!ヽ(ﾟ∀ﾟ)ﾉｲｲ!!

>>359
そのホームページをみると、Gemini ってマザーと PNM-SC1、2ってCPU ボードがあるぞ。
見たところ PCI 拡張スロットが使えそうだから、それに intel の NIC だとかを使えば良いんじゃないか。
そうすれば、蟹の悪夢から解放されそうだ。

蟹でもｷﾆｼﾅｲ（AA略

(･ε･)

光プレミアムでFreeBSDルータ使うことできないかなぁ…

今、フレッツADSL8Mをペンタ133の（わけあって）FreeBSD(98) 4.5Rでルーティングしてるのだけど、
アパートに光が来たのでBフレッツにしようかという段階です。
スレの流れ読んだ感じでは、やっぱり5.4にした方がいいんですかね。

5.4でmpdでpfだと幸せかも。
P-133じゃBﾌﾚは厳しいんじゃないかなぁ
P3-500位最低ないと厳しいかも

P3-500かあ。それなら専用ルーター買った方が早いな。
一応K6-2/400までなら載せられますけど。

光で帯域を上の方まで使いたいってことなら
P3-500以上ないとつらそうって意味ね。
実際計ってないけど、経験的にそんなかんじ。
１Gもあればおつりくるくらい、色々他のサービスさせて。

K6-2/0.4G くらいだと、30Mbps位でルータ性能の上限に
来そうな予感もするが…まぁ感覚的な感じではｗ

K6-2/400でどこまでいけるかが見てみたいという傍観者モードになってみる。

371が良いこと言ったｗ

Bﾌﾚでそのスペックでルーターのチューンして
どこまでいけるか選手権をｗ

ていうかP5-133でどうなるかとまず観測してみよう。

5.4ってそんなに良いの?
5.2.1でpppとipfwだから移行がめんどい＿|￣|○

K6-2/466で75Mbpsまで出たことがある。
FreeBSD(98)4.10 + mpd + ipf の組み合わせ。

5.4がいいというよりも、mpdがいい。

というかLinuxでもそのくらい出るぜぃ

pfがいいよね。他の環境が馬鹿に思えるくらい非常に設定がしやすい。
まあ、pfはまだチューンがされていないらしく若干遅いらしいから高速性が求められる
用途には向かんかも知れんけど。

あのね、世の中にはその pf さえ却下して、FireWall-1 とか入れ
なきゃいけないところがあるらしいっす。なんでかってきいたら、
「GUI がないから」なんだと。
# でもって、FW1 の設定が穴だらけでクラックされまくってるのは
# 内緒

うちでの実績。
Pentium3 600MHzで88Mbps出てるのを、450MHzにしても同じだけ出た。300MHzにしたら60Mbps台に落ちた。
mpd+ipf&ipnat, mpd+pfどちらでもだいたい同じ。OSは5.3の頃。

>>379
GUIでの設定なんてダルくてやってられんのにねえ。
家庭やSOHOクラスならまだいいけど。

>>379
ipfwはそういうツールがあった気がする。pfは新しいので多分無いと思うけど。
あるいは、Webminで設定できるようにしたらいいんかいな？
下手な設定するとwebminの設定を外から変更できるようになっちゃうよ(藁

>>381
GUIにしたところで結局必要な概念ややることは変わらんからGUI至上主義は
どうかと思うけど、GUIの方が簡単だと思っている人が多いのは事実だなぁ。
エディタで編集できないから似たようなルールをたくさん書くときは辛いと思うのだが。
その点、pfにはテーブルやマクロがあるからここら辺は楽なんだよなぁ。

...GUIはついてないが、うちの研究室はCISCOだよ。
設定はそんなに簡単だとは思えないけど、ブランドがあるからかなぁ。

mpdの下にいるnetgraphはカコイイと思う

今から5.4Rにするのなら6.0BETA4でも似たようなもんかも。

まあどちらでもいい。

>>380
速いね、ファミリータイプ？

家は、↓です。

マンションVDSL100Mタイプ
Celeron (400.91-MHz 686-class CPU)
FreeBSD 5.4-RELEASE-p6
mpd-3.18_2＋ipf

フレッツスクエアの計測サイトで45Mbpsぐらいです。

pf 用GUI あるみたいね。security/pfw (R-deps : apache-1.3, php4, sudo など)
http://www.allard.nu/pfw/

ipfw 用 security/qtfw (Qt 3.3.4 ベース)
http://sourceforge.net/projects/qtfw/

>>387
portsに入ってるね。
某所のマシンでちょっちつかってみようかなぁ。
よさそうだったら超低電力マシンルーターを作ってこのフロントエンドをかまして
だれかにルーターとしてプレゼントしてみよう...
まあ、そのときは日本語訳せんといかんけど。

pfwのソースを見てみたけど、テンプレートのての字も無いくらいべた書きだから、
日本語化するには元のソース書き直したほうがよさそう。
多言語化するならcoppermineみたいな多言語化の仕組みを導入すべきだろうけれど、
現行のpfwのソースからはちょっときつい。

1FDルーターの派生版なのですがこういう感じのものを作りたいとおもってます。

・HDDから起動
・RAMDISK構築して必要なファイルを、HDDから全部コピー
・準備がととのったらHDDは停止
・ログはUSBのフラッシュメモリに3時間ごととに記録

こういう運用で使いたいとおもってるのですが、HDDから起動した場合、
HDDを停止したままシステム運用する方法ってあるのでしょうか?
やはりCD-Rに焼きこんで、CD-Rから起動するのが一般的なのでしょうか?

つうかそれ以前にHDD止める方法がわかりません...

BIOSの電源関連設定で、10分たったらHDDを停止さすっていう設定程度じゃ
電源きれませんよね?

acpiconf -s 3とか？

こういうものが。
ports/sysutils/ataidle
http://www.cran.org.uk/bruce/software/ataidle.php
ここみると、router 用途が開発動機らしい。

.if ${OSVERSION} < 501105
IGNORE= "requires ATAng, available in 5.1-CURRENT or newer"
.endif

.if ${OSVERSION} > 600028
BROKEN= "Does not compile on FreeBSD >= 6.0"
.endif

らすぃ…

>>393
これはacpiのファンクションでHDDにスリープかけるものですか?

となると完全に殺してシステムから切り離してしまうのとはまた違うみたいですよね。
ハカーに触られたくないからHDD殺したいのですけども。

umountしてからsleepしたらどうだろう…

>>395
おいおい、マニュアル嫁よ。
そもそも、ACPIって何に使われるかわかってて言ってるか？
止まるのはHDDだけじゃないぞ。

HDDをはずして一生戻せないようにするのってたぶん無理だと思うんだけど。
見かけ上そういうことをしたいなら6.x系を使ってataのkernel moduleをkldunloadする
とかかねぇ。

ハカー対策とか言うならなぜjailを使おうとしない？知らないだけ？
改ざんを難しくするならchflagsとかsecure levelは知ってるか？

>>390
素直にするならCD-R案だが、稼動部があるのが心配だからフラッシュROMから起動
というのが無難だと思うね。read onlyにはできんけど、LOMAC使ってがんばれ。

>>393-394
それ、使ってみたよ・・そしたら↓でまくりorz

kernel:acd0: FAILURE - ATA_IDENTIFY status=51<READY,DSC,ERROR> error=4<ABORTED> LBA=0
kernel: ad0: TIMEOUT - WRITE_DMA retrying (2 retries left) LBA=7224166
kernel: ad0: TIMEOUT - WRITE_DMA retrying (2 retries left) LBA=4471718
　　　　　　　　：


デバイスは↓です。
Device Info:
Model: ST380023A
Serial: 3KB05XXX
Firmware Rev: 3.31
ATA revision: ATA-6
Geometry: 16383 cyls, 16 heads, 63 spt
Capacity: 31GB
SMART Supported: yes
SMART Enabled: yes
APM Supported: no
AAC Supported: yes
AAC Enabled: yes
Current AAC: 1
Vendor Recommends AAC: 1

$ uname -rm
5.4-RELEASE-p7 i386

光でんわどうすればいいの？

>>398
> それ、使ってみたよ・・そしたら↓でまくりorz
swapon してしまってるとか, どっかに cdrom に text がある
process がいるとか...

mpdがamd64でcore dumpしていたのを改善するpatchがcommitされたよ。

age!

portが変わってたのはそれか！

age!

altqはng0には効かない

age.

>>403
知らなかったのかYO!
ルーター代わりに使ってるならもう一方のI/Fでガンガレ！

ちなみに、SNMPでng[0-9]+監視するときは接続を切った瞬間に値がぶっ壊れるから
rrdtoolsやMRTG使うときはそういう値は捨てるよう設定しる。
ちなみに、うちでは無条件に4.0x10^6よりちょっと大目の値がいつも入る。

>>403
>>404
http://www.mail-archive.com/[email protected]/msg16335.html

な、なにーーーー。
しかも、意外に短いソースコードで実現してる。

>>405 GJ!!

MS Officeを動作させる話題の"David"搭載、2年ぶりの待望のメジャーバージョンアップ
新製品「Turbolinux FUJI」発表

2005年11月25日より販売開始

ターボリナックス株式会社


同新製品は、2003年10月にリリースされ、リナックスOS分野で前人未踏の
52週（1年間）連続売上第一位（BCN調べ）を記録し、
数年来国内売上シェア第一位を誇るターボリナックスの
基幹デスクトップ製品「Turbolinux 10 Desktop」（以下10D）
の後継製品にあたり、 国産OSならではの完成された日本語環境はもちろん、
10Dで提唱したWindowsとの互換性をさらに強め、安全性、 安定性に優れた
デスクトップ環境を提供します。Windows環境との共存の強化により、Linux
とWindowsの優位性を融合した ハイブリッド・デスクトップリナックスOSとして、
企業、官公庁、自治体、教育機関などへの導入をより一層スムーズなものとします。
FUJIではOS本体とプラグインという新しいビジネスモデルを展開します。
これにより、ユーザーは基幹OSであるFUJIを入手すれば、
用途に応じてプラグインを足すだけで自分だけに特化したOSを利用することが可能となります。
現時点において、ビジネスユース向けプラグイン、 ホームユース向けプラグインやURLフィル
タリングソフトなど、セキュリティ関連プラグインの提供を予定していますが、都度ユーザー
ニーズを 市場から汲み取り、タイムリーに新しいプラグインを提供することがFUJIの価値を高
めるものと考えています。なお、FUJI発売と同時に プラグイン第一弾としてサイバーリンク社
の「PowerDVD for Linux」が決定しており、これら各種プラグインは新ツール"Turboプラス"経
由で提供し、 ユーザーは簡単に購入、ダウンロード、インストールができるようになります。

http://www.turbolinux.co.jp/cgi-bin/newsrelease/index.cgi?date2=20050920033408&mode=syosai

ここと何の関係があるの？ by リヌ板

あちこちで貼りまくってるからスルー汁

そういえばいつの間にかmpd4のportsがあるけど、
mpd 3.x系列とmpd 4.x系列で何か変わったの？
AMD64で使えない話は3.xのportsではすでに直ってるし。
mssの調整は相変わらず飾りだと思うし。

ほんとだ、mpd4って何が変わってるんだろう？
README見たけど、わからんかった・・・

だれか、教えて

さりげなくpkg-descrに１行追加されてる件

>>413

$ diff mpd/pkg-descr mpd4/pkg-descr
8a9
> EAP authentication

無線LANとかですか。

Changes since version 3 (most of this work was sponsored by SURFnet SURFnet):
Major new features:

Implemented the Extensible Authentication Protocol RFC 2284 (EAP). Currently only EAP-MD5 is supported (client and server side). EAP negotiaton can be enabled at link level.
Implemented OPIE (One-time Passwords In Everything).
Implemented authentication against systems password database master.passwd.
utmp/wtmp logging.

>>415
もしかして、日本の接続環境には無用のものばっかり？
個人的にPPP over TCP/IPとかするときは要るかも知れんけどさ。

doc/mpd5.html

Changes since version 4.0b2:
Added a new startup section to the config-file, wich is loaded once at startup.
Added a new global config space for all the global settings.
Auto-load ng_ether for PPPoE connections; fix default path for undefined service.
Rewrite the console-stuff. Multiple telnet connections are now allowed. There is no input-console anymore, must use telnet instead.

Changes since version 4.0b1: 略

Changes since version 3 (most of this work was sponsored by SURFnet SURFnet):
*Design changes: Mpd uses now a thread-based event system using libpdel, these libpdel parts are now integrated:
typed_mem(3)
pevent(3)
alog(3)
Mpd uses a "Giant Mutex" for protecting its resources.

Major new features: >>415

Rewrites of the authentication subsystem: 詳細略
RADIUS related changes: 詳細略
Added a new option for PPTP links: 詳細略
Added a new commandline option -t for adding ng_tee into the netgraph.
他

二酸化炭素を無駄に撒き散らして環境破壊を推進するスレはここですか？

ちがいますさようなら

Pentium4使ってる>>418に云われたくない

違います。Opteron Quadです。

そしてdnetcをフル回転。

>>418 でぶには言われたくないな。

体重10Kgの差は基礎代謝で100kcalの差があって、
100kcal = 420kJ
これは
100Wh = 360kJ
を上回る。

お前、Pentium4を4個分くらいの熱量余計に消費してるだろ。

6.0リリースおめでとう。
IPnutsスレより。

ガリの方が体温逃げやすいから基礎代謝多いと思ってた。

光ファイバー導入記念ってことで、今で素のPentiumだったルータマシンを
引退させて、ウィンドーズ用だったセレロン１Gのマシンに、FreeBSD 6.0 を
仕込んで、ppp + ipf + ipnat でルータにしたんですが、どーもいまいち
パソコンをじかに繋ぐのより遥かに遅いので、NetBSD 2.1 にしてみたら
さっくり解決してしまいました。
２年ほど前にADSL導入したときは、最初 OpenBSD にしてどーも遅いので、
色々調べたりしたら、当時は、*BSDでは OpenBSDが一番遅くて、僅差で
NetBSDが一番みたいだったんだけど、今日日は、mpdってのつかえば、
FreeBSDが一等賞なんすか？
もー一回OS入れるのめんどくさいんで。。。
おしえてくらさい。

スケジューラは？
pppのプライオリティーは？
pppでやるならULE使ってrtprio 1で動かしてから考えろ。

mpdはカーネル内部でPPPする分だけ速いが、
おぬしのような愚物に扱える代物ではない。

m0n0wallのQoSって何で行われているのでしょう？ALTQで言うところのborrowの設定がなのがしたいのですが無いように見えます。何でQoSをやってるかわかれば調べられるかなと思うのですが。

そこで
http://m0n0wallのアドレス/status.php
ですよ。

>>427

とりあえずデフォルトでは NetBSD に完敗で、
すんげー修行してがんがればそれなりにましになるけど、
残念ながらデフォな NetBSD にはいまいち追いつかない、
ってことでつね。
おしえてくれてありがトン。

はい次ィ

>>426
ネタなのか本気なのか知らんが、比較の仕方がフェアじゃない。
>>427はユーザーランドPPPとカーネル内PPPを比較するなと言いたいと思われ。
お前がやってるのは、PPTPとPPPoE/SSHを比較してPPTPの方が性能がよいと
言っているようなもんだ。

性能比較をしている人くらいいそうだから比較したいPPPoE実現方法を列挙して
ぐぐってみたら？
私見だが、FreeBSDはSMPの場合は並列して動ける時間が多く*BSD系では最速だが、
UPではロックを細かくしているのがあだになってNetBSDに負ける。
FreeBSDはCPUを複数マシンに乗せられる金持ちが高速に動かすためのOSだ。
貧乏人はNetBSDで麦でも食ってなさい。

そろそろpfいってみようっと。

>429
ありがとうございます。こんな素敵な画面があったとはこっち見たほうがずっとわかりやすい。
やっぱりdummynetですね。borrowは使えないと。そもそもCBQじゃないのでborrowは無理なのか。
FreeSBIE辺りでがしがし作るしかないか。どっかに場所とって皆で作るってのはどうでしょうか？

今から作るんなら6.0Rでpf+mpdが基礎になるかなあ。
pfのoverloadがすごく便利なのよね。

あとborrowじゃなくてtraffic shaperではだめなん？

>>435
うちはそういう構成だね。
かつてはuserland-ppp+ipfwだったけど、高速さを求めてmpdを使い、
設定の簡単さとカーネルレベルでのscrubを求めてpf。
pfもPHPべた書きの設定ソフトがあるけど、正直こんなの使うよりは手書きがまし。

all in one FreeBSDルーター化live CDとかあったら欲しい人っているのかね...

pfかあ。。。ちょっとやってみようかなあ。

>436
m0n0wallとかでいいんじゃね？

>>436
とても素敵。欲しいです。m0n0が6.0ベースでpfになるのは当分無さそうだし…

個人的に、ルールの書き方は ipfw が一番分かりやすい
pf は on とか日本人にとって分かりにくい前置詞があって読みにくい

なんて人いませんか？漏れだけかな。(´A`)

>>440
on ネットワークI/F
ってそんなにわかりにくい？
もれにはこのI/F上では○○の設定をして...という発想なのだが。

なれればpfのほうがポテンシャルは上だと思う。

FreeBSDでコネクショントラッキングする方法って
ありますか？

りな某でいうところのconn_trackに相当するものはないと思いますが、おなじことはできますよ。

pfもqueueが絡むとipfwより不便な部分もあるね。

>>444
いやーそれが知りたいんですが、日本語で書かれているページは全く見つかりませんでした。
というか、どういうキーワードで検索すればいいのかすら分からず。。orz
FreeBSDではなんと言うんですか？

ipfw でも pf みたいに、<TABLE> 使える？

>>446
コネクショントラッキングっていまいちわからんけど、pfつかってて、
pfctl -s state
で表示されるようなやつのこと？
ipfwでは...natつかってたらnatd -vでそういうのは出そうだけど...
そういうのを望んでるんじゃないだろうし...ipfwは最近使ってないからわからん。

>>447
それっぽいのはできるらしい。
ipfwも進化したなぁ....でも、まだscrubはできまい。

思いついたけど、ipfwでそういうことをするとしたらallowのときにlogとればいい
気がする。

pppならpunch_fwでipfwへ動的に穴を空けてあげられますよ。これをipfwルールの外からのsetupを棄てるルールの
前に来るように仕掛けてあげれば桶。

ipfwはカーネルレベルでnatができない時点で負けだと思う。

>>451
出来るけど何か?

>>452
へ？natdにdivertしてNATするんじゃなかったっけ？
6.0Rのipfwのマニュアル見てもNATの話は載ってなかったのだが.....
んで、カーネル->ユーザーランド->カーネルのコピーが起きるのでそのオーバーヘッドが
ある文だけpfやipfには勝てないと思う。

NG_NAT(4) FreeBSD Kernel Interfaces Manual NG_NAT(4)

NAME
ng_nat -- NAT netgraph node type
...
SEE ALSO
libalias(3), ng_ipfw(4), natd(8), ngctl(8)

HISTORY
The ng_nat node type was implemented in FreeBSD 6.0.

>>436
pfSenseはどう？
http://www.pfsense.com/

さて、俺もルータ作ってみたいと思いますよ。
セレロン400MHzとかはやめたほうがいいかな...？

要求されるスループット、フィルタリングルールによると思うけど。
ADSLレベルなら十分じゃない？

>>457
ファイルサーバ兼ルータにしたいと思っております
回線は光です
ファイルサーバに関しても
CPUの速度が影響しているのか
思うようにスピードがでないので
もう少しましなスペックにすることにしたいと思う

>>458
topしてみて、通常時でCPUやメモリーをどれくらい使ってる？
もし、CPU使用率が高かったらもっと速いCPUにすると性能が向上しそうだし、
activeなメモリーが物理メモリーのほとんどを占めていたらメモリーを買い足すと
よさそうだけど。

あとはvmstatで見て、割り込み頻度が高すぎるようだったらdevice pollingを試すとかかね。
ま、こういうチューニングネタはtuning(7)のマニュアルでも見て。

Pentium3S 800MHzでBフレッツベーシックなら前々余裕。mpd使用

Celeron400MHz で，Bフレッツハイパーファミリー全然余裕．
mpd + ipfilter + ipnat 使用で，www.flets での速度測定で 80Mbps 近い値が出た．
後はプロバイダ次第だろう．

mpd使い始めてかれこれ3年になるけど、
kernel: no matching session
なるエラーを吐いてセッションが切れた。こんなエラーは始めてで、
この状態に陥ったらmpdを終了、再起動させてもだめ。OSの再起動が必要だった。

エラーメッセージでソースをgrepすれば

ipnatのセッション数が増えない。。。define LARGE_NATして再コンパイルしたんだけどなあ。。。うーん。。。

保守

>>464
この辺は見てみた？
　　ttp://mimori.org/~h/tdiary/20030904.html

今までP3-700 + RELENG_4 + ipfwでがんばってたんですが、
Bフレッツ引いたついでに、新たにPenM PC調達してR6.0入れて
さあ、PFでフィルタリングしてみるかと思たんですが、
>>1にあるOpenBSDのPF日本語FAQが行方不明なんですが、
どこかに保存されてないでしょうか?

http://web.archive.org/web/*/http://www.openbsd.org/faq/pf/ja/

>>468
それだとリンク追うのが面倒なのでこことか＞http://openbsd.bug.it/faq/pf/ja/

FreeBSD and OpenBSD Security イイ！

>>467
つtp://www.pfsense.com/

>>471
これは m0n0wall を pf ベースに作り替えたもの という理解で良いのだろうか

こんばんわ。
mpd で pppoe でぶら下がってるんですが、インターネット側からの
ping に応答しません。なんでかな〜と思って色々見てると、シスログに；

Dec 27 18:11:17 sv mpd: [hogebdl] exec: /sbin/ifconfig ng0 [自分] [相手] netmask 0xffffffff -link0
Dec 27 18:11:17 sv mpd: [hogebdl] exec: /sbin/route add [自分] -iface lo0
Dec 27 18:11:17 sv mpd: [hogebdl] exec: /sbin/route add 0.0.0.0 [相手]

とか、ここで exec してる結果として、netstat -rn で；
Internet:
Destination Gateway Flags Refs Use Netif Expire
[自分] lo0 UHS 0 0 lo0

なぁんてなってるのが関係あるとおもうんですが、
LAN側からpppoe で割り当てられたアドレスに ping すっと返事するのに、
WAN側からだと何にも返事しません。

なんででしょう？出来れば ping に返事をさせたいんですが。。。

>>473
プロバイダがICMPを落としているんじゃねーの？しらないけど。

[ONU]--[HUB]-+-[MPD]
　　　　　　 |
　　　　　　 +- <= WAN側
とかやってたら、死なす。

>>474

いやー tcpdump すっと届いてるから。。。
なんでかなぁ。。。

> Destination Gateway Flags Refs Use Netif Expire
> [自分] lo0 UHS 0 0 lo0
これがあるのは正しい。

>>473
|exec: /sbin/ifconfig ng0 [自分] [相手] netmask 0xffffffff -link0
↑ちゃんとコピペできてる?
|exec: /sbin/route add [自分] -iface lo0
|exec: /sbin/route add 0.0.0.0 [相手]
[相手]って何?

>>473
netstat -rnの結果にdefault routeの結果は入ってる？
入ってるならmpd動かしてるマシンがpfとかのフィルタでパケット捨ててるんじゃないの？

遅レスでしつれい。/etc/ipf.rules がアホウだっただけでした。お騒がせしてすんません。ちょっと言い訳になりますが、
NetBSD 3.0 i386
ipf: IP Filter: v4.1.8 (396)
Kernel: IP Filter: v4.1.8
Running: yes
Log Flags: 0 = none set
Default: pass all, Logging: available
Active list: 0
Feature mask: 0x10a
なマシンから取ってきたフィルタを；
FreeBSD 6.0-STABLE amd64
6.0-STABLE amd64
ipf: IP Filter: v4.1.8 (528)
Kernel: IP Filter: v4.1.8
Running: yes
Log Flags: 0 = none set
Default: pass all, Logging: available
Active list: 0
Feature mask: 0x10f
で使ってたんですが、
pass in quick on <ISPに繋がってるNIC> proto icmp from any to <自分>
pass out on <ISPに繋がってるNIC> all
だとダメで、
pass in quick on <ISPに繋がってるNIC> proto icmp from any to <自分> keep state
だとOKになりますた。。。

過去ログ読んでて、私も>>447-448が出来ないかなと思ってたんですが、
ipfwでpfの<TABLE>みたいな外部ファイルのIPアドレスのみ記載した
ファイルを読み込んでくれ方法ってありますか？

>>481
無理っぽい

>>481
ipfwはプリプロセッサを指定できるから、結構色々できるよ。
例えばm4でマクロを書けば
READ_TABLE_FROM_FILE(1, /etc/iplist)
とするとそのファイルからIPアドレスを読んで
table 1 add 192.168.0.1
table 1 add 192.168.0.2
...
と展開されるようにとかできるよ。ほかにも
SET_RULENO(5000)
OPEN_TCP_SERVICE(myserver,ssh)
OPEN_TCP_SERVICE(myserver,www)
を
add 5000 count log tcp from any to myserver ssh
add 5001 allow tcp from any to myserver ssh setup keep-state
add 5010 count log tcp from any to myserver www
add 5011 allow tcp from any to myserver www setup keep-state
に展開するようにとかも。

こんぬつわ

ようやくBフレッツが開通したので、
今までADSLで利用していた、以下のFreeBSDルータを早速試しました

[ CPU ] EDEN C3 533
[ RAM ] 512M (PC-100)
[LAN] Intel PRO/100 S Server Adapter
[ OS ] FreeBSD 6.0 RELEASE

pf + mpd です

flet'sスクウェアの速度計測で、45Mちょい出ますた
今までADSLで800kしか出ていなかったので感動です
はじめ、無線LAN経由で計測していて、
5〜8Mしか出なくて焦ったのは秘密です

CPUを1G前後のにすればもっとあがるかな？
以上報告ですた

20060112:
The generic netgraph(4) cookie has been changed. If you upgrade
kernel passing this point, you also need to upgrade userland
and netgraph(4) utilities like ports/net/mpd or ports/net/mpd4.

>>484
こういう計算をして考えればいいんじゃない？
たとえば、100Mbpsの転送速度を100MHzの計算機で出そうとすれば次のように
計算され、1clockで1bit処理しないといけない。
100M(bit/s) * 100M(clock/s) = 1bit/1clock

実際は1packetなんかの単位で処理されるから1400bytes単位くらいで考えてよいはずで、
1つのpacketを処理するのに1400clock程度は使えるのだけど、自分の調べだと
firewall無しでも1packet処理するのに1万clock以上かかるんだよね。
だから、packet処理以外の処理も考慮に入れて、1GHz程度あったほうが
性能が出ると思うよ。

>>486
�dクス

近いうちにGeodeNXあたりを買ってきて
再構築してみる予定です

そのときはまた報告しまつ

送受信しているときにtopやsystatをつかってsystemによるCPU使用時間をみると
よいだろうね。これがあまりにも高いようだとCPUの処理能力が足りていないということに
なるだろうから。

>>486
> >>484
> 実際は1packetなんかの単位で処理されるから1400bytes単位くらいで考えてよいはずで、
> 1つのpacketを処理するのに1400clock程度は使えるのだけど

1400 * 8 clock は使えるんでねぇの?
実際には preamble とか MAC address とか FCS とか interframe gap
とかあるからもう少し使えるし...

MMXペンタ233 + interl pro/100 で同一セグメント上ならば 80M(bit/s)
程度のスループットが出ていた記憶がある.
4-current か 4.0-release の頃の話だが...

mpd + pfでルーター作ったんだけど
外部から来るping元のIPアドレスを知りたいんだけど
pflogをダンプしても載ってないです。
どうすれば取れますか？

>>490
options DEV_PFLOG

>>490
block drop in log on ng0 from any to (ng0)
みたいなログに記録するルールは書いてる?

そもそもFreeBSDってルータに向いてるの？
検証してみたら他に向いてるOSが有る悪寒。
リナックスと比べてどうよ？

>>493
じゃぁそのOS使っておけば？

漏れは5.3Rでルータにしてるんだけど、ネットげーとかで「あんたんとこ光？」とか
言われるくらいの反応。ADSLなんだがorz


このスレで他のOSの話題振るならちゃんと名前書くように。

>>493
んじゃ検証してみてよ。

少なくとも、守るにはいいOSだよ。

実際、多くの企業向けｱﾌﾟﾗｲｱﾝｽｻｰﾊﾞでの稼働実績があるわけで。

フリービーエスデーってADSLぐらいまでか。orz
1Gbpsは無理？

アプライアンス鯖って何？
企業ではルータとしては稼働させてないの？

どういう基準かによる>>498

っていうか1Gbpsとかに使うとして、２００MHｚとかのPentium初代系とかでやる気か？



ハードの処理能力とOSのﾎﾟﾃﾝｼｬﾙくらいは区別して考えろよ

>>498
使ってるハードしだいだろ?
少なくとも Linux に BGP を喋らそうとは思わんが、
結構そこらで BGP 喋ってる *BSD は知ってるし。。。

そもそも 1G 越すと、ルーティングしようと思ったら、
ソフトで地道にやってるとまずワイヤースピードは
出ない。
「どこまでハードにオフローディングするか？」
の世界なんだが。。。

ついでに言うと、Linux で snort あたりの IDS 走ら
せると、あからさまに *BSD より処理効率が落ちる。

>>498
つ SEIL

498>>
つ Juniper

＞そもそも 1G 越すと、ルーティングしようと思ったら、
＞ソフトで地道にやってるとまずワイヤースピードは
＞出ない。

良くこんな発言を見るが、大手の企業を除いて、普通企業の出口程度でそんな
煩雑なﾙｰﾃｨﾝｸﾞ発生するもんなの？

大抵の所はstaticでも大丈夫な程度のﾙｰﾃｨﾝｸﾞテーブルの大きさしか無いと
思うが。

動的ﾙｰﾃｨﾝｸﾞするにしても、プロバイダ宛てにstatic、内部向けにRIPでdefault
gateway流してこっち来いと喋るだけでおｋ。

>498
Nokia

SEILやJuniperやNokia買って来てFreeBSDインスコするくらいなら、GSRのほうが楽じゃね？

JuniperやNOKIAは最初からFreeBSDが入っている。SEILってNetBSDじゃなかったっけ？

>>506
NOKIAは BSD/OS じゃなかったけ?

>>507

FreeBSDだよ。営業から聞いたこともあるし、パンフレットにも載っていた。

>>508
507 じゃないんだが...
それ, 最近の話?
3, 4 年前に実際に使ったことがあるんだが,
どぉ見ても BSD/OS だったぞなかみは...
それとも BSDI はすでにないから乗り換えたのか?

そりゃnokiaといえば機械はひとつ、というお話でもないだろうさ。

>>509
少なくともIP380はFreeBSD。先週さわったから間違いない。

>>506
SEILはNetBSDだな

少なくとも >>498 と >>505 は最近知った単語を使ってみたいだけだというのはわかった。

>>505
SEILはパソコンじゃないぞ

それを言ったら全部そうなのでは...

まあ、どっちにしろ>>505がろくに調べもせずに印象批評しているのはわかったけど。

まあそれでもFreeBSDのPCよりはシスコの方がまとも。

FreeBSD+mpd+ipfwでルータを作ったのですが
なぜかMacOSXからアクセスするとブラウザでの通信が
とても遅くなってしまいます。
windowsだと、問題ないのですが
何が原因なんでしょうか？

>>517
MacOS と Windows はルータの内側?
ブラウザでの通信ってのは, 上記, マシンから FreeBSD ルータの外側にある
WEB サーバに接続してコンテンツを取ってくるって意味?
FreeBSD の外側のキャリアはどこ?
接続形式は何?

すみません。情報が足りませんでした。
FreeBSDでルータをやっています。
windowsとMacは内側です。
windowsから、外側、たとえばyahoo.co.jpにアクセスすると
問題なく接続できます。
Macから、接続するとyahoo.co.jpを開くのにすごく時間がかかります。
pingは問題なくMacからでもyahooに対して通るので通信は出来てるようなんですが。

mpdではなく、FreeBSDデフォルトのpppを使うと
問題なく接続できます。

接続形式は、mpdのPPPoEです。

>>519
Macのブラウザは？
safariだと読み込み？時の待ち時間が長いので遅く感じるんだとか
と言う書き込みを見たような気がする。
Firefoxでも試してみたら？

ブラウザはsafariを使ってます。
狐でも試したのですが、症状は変わらず・・・。

ん〜。原因が分からず・・。

解決しました。

OSX側のMTUが1500だったのが問題でした。
MTUを1454にすれば、解決。

でも、なんか嫌なので、もう少し対策を考えてみまふ。
IPFilterにしようかなぁ。

>>522
mpdならset iface mtu 1454とかで設定できない？
tcpmssdを使うのは遅いのでお勧めしないけれど、
これがだめでipfwを使うならtcpmssdしかないね。

ちなみに、うちではpf (Packet Filter) で、こんな風にやってるけど。
scrub out on $ext_if all max-mss 1408

MTUの件は過去ログ嫁。

mpdはまだ無理だからpfかipnatで解決しろ

>>524
そうか？
3.18のiface.cを見た感じだとtcp mssfixに対応しているように見えるが？
これは張子の虎なの？

使うにはset iface enable tcpmssfixせんとだめだけどね。

MTU分割はルータの仕事だからFreeBSD箱の手抜きだな。ICMP通知してないのか、WindowsがICMPなんて見ずに通るように調整する仕様になってるのか。。。

>>526
理解してない奴は黙ってなよ。

tcpmssfixにはバグがあって、動かんらしいです。

俺んとこでは動いてる。3.18/7-current

http://www.phoneboy.com/bin/view.pl/FAQs/WhatIsIPSO
IPSOはFreeBSDベースでおけ。

>522
pf に汁

ext="ng0"
scrub on $ext all max-mss 1414
の指定で解決するはず

pfとipfとipfwとを比較しているいいページって無い？
pfの性能については環境によって違うからそんなのを聞くのはナンセンスだという話が
多いのだけど、だれかベンチマークとかしてないんかいね？

ipfw 使ってる俺が来ましたよ

>532
ベンチマークにこだわるより、速くて消費電力の低いCPUに変えたほうがいいんじゃないの?
今どきだと、わかりやすい記述の pf がいいと思う。

>533
Layer2 (MACアドレス) でフィルタリングしたいときは ipfw 使ってます。

そうか?
ipfwはアドレス変換やステートチェックのタイミングを明示的に
記述できるから、こっちの方がわかりやすいと思うが。

確かにmpd 3.18でもtcpmssfixが壊れているね。
もれも今www.flets.comが表示されないので気づいた。
ちょっち直してやろうと思ってソースコードを見た感じだとbpfでフックをかけて、
パケットが通るごとにmpdを呼び出し、mpdでtcpmssd風の処理をしてから
書き戻すということをしているので、kernelとuserland間のコピーがある分
遅くなりそうな気がする。
つまり、mpdのtcpmssfix機能なんか使わずにkernel内だけでちゃっちゃと使える
pfとかipfとかを使ったほうが良いはず。

>536
ng_tcpmss と言うのが有るんで、そっちに進んだ方が筋が良いんだけど。開発者が……

お前らsyn立ってるパケットを1秒間に何発発射する気なんだ?

>>538
FreeBSDを導入すればいいよ。
FreeBSDならsynを打たれまくったら自動でsyncookiesに移行するから
無問題あるね。

>>539
キミtcpmssfixの動作理解して無いでしょ。

>>540
FreeBSD入れるのは鯖側ね。

>537
というかng_tcpmssがmpdでいずれ使う為にcommitされたみたいなもんだったり

>>541
お前が全然理解していない事はわかったから、もう引っ込んでろ。

tcpmssd.cのソース見てわかった。
正直すまんかった。

tcpmssfixの動作原理はsyn packetのヘッダにあるTCP max segmentフィールドを
書き換え、今後の通信の最大値を教えるということなのね。
mpdの実装もそれを心得ていて、フックされるのはsynだけだからTCPで接続を
張りまくるようなことをしない限りはあまりuserlandとkernelの間を行ったりきたりする
こともなく、性能劣化には結びつかないだろうと。 (ngfunc.c:NgFuncConfigBPF)

しかし、依然として複数のコネクションを張るブラウザがあることや
P2P系のソフトを考えるとsynパケットの処理の速さが
性能の違いに結びつくことは有り得ると思う。

>>542
もうMAINには入っているようで。
http://cvs.sourceforge.net/viewcvs.py/mpd/mpd/src/iface.c?r1=1.33&r2=1.34

最新のportsのmpd4はこの後のベータ版を使っているみたいだからこれが
使えるようですね。人柱になる気はないですが。

synアタックしてみればfbsd稼働か判定可能なのか。
ハカーが喜びそうな実装だな。

>>544
傷口広げるだけだから引っ込んでろって。

TCPコネクションを確立するために3way handshakeを行うから、
kernelとuser landの遷移を大きく上回る遅延が必然的に発生する。
syn floodingの性能を気にする奴以外は問題なし。

>>546
誰もそんなこと言ってない。

>>547
最初からそう書けばいいじゃん？
なに人を罵倒して楽しんでんの？

要はtcpmssがユーザーランドで行われるよりも大きなレイテンシがネットワークの
行き来の所でかかるから気にするなってことね。
また、tcpmssdつかってても外向きのsynのみdivertに流し込むようにしてたら
そんなに性能は落ちないと。

でも、ブラウザはその後の通信が大きいけれど、P2Pの場合は手当たりしだい
接続しまくって、ほとんどの返答がport unreachableとかだからある意味syn flood的な
挙動を示すと思うのだけど。たとえば、数十人要る同居人みんながフリーソフトの収集癖が
あってP2Pソフト動かしまくってるとか。

>>548
傷口広げるだけだから引っ込んでろって。

数十人居る同居人みんながフリーソフトの収集にP2Pソフト動かしまくっても
文句でない性能だったら、mssfixくらい楽勝だろうね。

>>549
傷口に塩を塗ってくるのはもうやめろって。

その状況で文句が出ない性能ということはないだろうけれど、
この場合はmssfixの性能の違いが性能の違いとして現れてくるんじゃない？

「この場合」という特殊な状況で性能の違いが現れなかったら有る意味で怖いよな。
頻度の高い用途にチューニングされていないような気持ち悪さというか。

>>550
無い知恵絞って特殊なケース必死に考えたんだろうけど、残念ながら性能の違いなんぞ出ねーよ。
CPUより先にネットワークがボトルネックになる。

悔しいからといって、想像で出鱈目撒き散らすな。
勝手に読み違えて、見当はずれのsyncookie持ち出して自爆したのはお前だぞ。
しかもFreeBSDスレなのにsyncacheじゃなくsyncookie持ち出してるのは痛すぎる。

>>552
使っているCPUの性能やネットワーク帯域についての考察もせずに
自分が出したような変なケースについて断言できるところがすごいね。
あなたのシステムではカーネルレベルでのPPPやNATなぞ使わなくても
十分性能が出るのでしょう。

それに、FreeBSDスレでsyncookiesの話をしたらまずいの？
sysctlでnet.inet.tcp.syncookies=0にしている場合は違うけれど、
デフォルトだと通常時はsyncacheで動作し、syncacheのエントリの
上限に達したらsyncookiesに移行するわけで、自分はそういう話を
していたのだけど？
See sys/netinet/tcp_syncache.c

だからボトルネックになるのはフリビだからだろ？
シスコとかだとネットワーク処理用のプロセッサ載ってるよ。

いちいち名前変えないでくれないかな。
追っかけるのめんどい。

どっかでもそういうやつ見かけたな。どこだったかな？

パターンだけで追える。

>>553
> 使っているCPUの性能やネットワーク帯域についての考察もせずに
自分が出した変なケース?
p2pを趣味とする数十人の同居人という愉快な設定考え出したのはお前だろうが。ｗｗｗ

分子が増えれば同時に分母も増えるということに思い至らないところが更に痛い。

喧嘩はｲｸﾅｲ!!

ブロードバンド自体ピンキリ。
adslの香具師も居れば、光1Gbpsの香具師も居るのに会話が合う訳が無い。
そういえばATM回線を自宅に引いちまった村井先生のブロードバンドルータってやっぱりシスコ？

>>553
syncookieがダメな理由知らなそうだな。

>>560
('A`)....

上の方ででてたGeode LXやつ入手した。
FreeBSD入れたけどdmesgとか見たいやついる？

>>563
見たい

じゃ貼る。ちなみProの方。

Copyright (c) 1992-2006 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD 6.1-PRERELEASE #0: Wed Feb 22 20:25:04 JST 2006
[email protected]:/usr/obj/usr/src/sys/GENERIC
Timecounter "i8254" frequency 1193182 Hz quality 0
CPU: Geode(TM) Integrated Processor by AMD PCS (498.05-MHz 586-class CPU)
Origin = "AuthenticAMD" Id = 0x5a2 Stepping = 2
Features=0x88a93d<FPU,DE,PSE,TSC,MSR,CX8,SEP,PGE,CMOV,CLFLUSH,MMX>
AMD Features=0xc0400000<MMX+,3DNow+,3DNow>
real memory = 511377408 (487 MB)
avail memory = 491143168 (468 MB)
K6-family MTRR support enabled (2 registers)
npx0: [FAST]
npx0: <math processor> on motherboard
npx0: WARNING: no FPU!
acpi0: <AMD RSDT_000> on motherboard
acpi0: Power Button (fixed)
Timecounter "ACPI-fast" frequency 3579545 Hz quality 1000
acpi_timer0: <32-bit timer at 3.579545MHz> port 0x9c10-0x9c13 on acpi0

cpu0: <ACPI CPU> on acpi0
acpi_throttle0: <ACPI CPU Throttling> on cpu0
acpi_button0: <Sleep Button> on acpi0
acpi_acad0: <AC Adapter> on acpi0
pcib0: <ACPI Host-PCI bridge> port 0xcf8-0xcff on acpi0
pci0: <ACPI PCI bus> on pcib0
pcib0: no PRT entry for 0.10.INTA
pci0: <display, VGA> at device 1.1 (no driver attached)
pci0: <encrypt/decrypt> at device 1.2 (no driver attached)
cbb0: <TI1410 PCI-CardBus Bridge> mem 0xefb00000-0xefb00fff irq 10 at device 10.
0 on pci0
cardbus0: <CardBus bus> on cbb0
pccard0: <16-bit PCCard bus> on cbb0
rl0: <RealTek 8139 10/100BaseTX> port 0xcf00-0xcfff mem 0xefa00000-0xefa000ff ir
q 10 at device 11.0 on pci0
miibus0: <MII bus> on rl0
rlphy0: <RealTek internal media interface> on miibus0
rlphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
rl0: Ethernet address: 00:06:a5:42:01:5a
rl1: <RealTek 8139 10/100BaseTX> port 0xce00-0xceff mem 0xef900000-0xef9000ff ir
q 10 at device 14.0 on pci0
miibus1: <MII bus> on rl1
rlphy1: <RealTek internal media interface> on miibus1
rlphy1: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto

rl1: Ethernet address: 00:06:a5:42:01:59
isab0: <PCI-ISA bridge> port 0x6000-0x6007,0x6100-0x61ff,0x6200-0x623f,0x9d00-0x
9d7f,0x9c00-0x9c3f at device 15.0 on pci0
isa0: <ISA bus> on isab0
atapci0: <AMD 5536 UDMA66 controller> port 0x1f0-0x1f7,0x3f6,0x170-0x177,0x376,0
xeff0-0xefff at device 15.2 on pci0
ata0: <ATA channel 0> on atapci0
ata1: <ATA channel 1> on atapci0
pci0: <multimedia, audio> at device 15.3 (no driver attached)
ohci0: <AMD-5536 USB Controller> mem 0xeff00000-0xeff00fff irq 10 at device 15.4
on pci0
ohci0: [GIANT-LOCKED]
usb0: OHCI version 1.0, legacy support
usb0: SMM does not respond, resetting
usb0: <AMD-5536 USB Controller> on ohci0
usb0: USB revision 1.0
uhub0: AMD OHCI root hub, class 9/0, rev 1.00/1.00, addr 1
uhub0: 4 ports with 4 removable, self powered
sio0: <16550A-compatible COM port> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
sio0: type 16550A, console
pmtimer0 on isa0
orm0: <ISA Option ROMs> at iomem 0xc0000-0xc7fff,0xe9000-0xe9fff on isa
ppc0: parallel port not found.

ppc0: parallel port not found.
sc0: <System console> at flags 0x100 on isa0
sc0: VGA <16 virtual consoles, flags=0x100>
sio1: configured irq 3 not in bitmap of probed irqs 0
sio1: port may not be enabled
vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
Timecounter "TSC" frequency 498054315 Hz quality 800
Timecounters tick every 1.000 msec
ad0: 57231MB <HTS541060G9AT00 MB3OA60A> at ata0-master UDMA66
Trying to mount root from ufs:/dev/ad0s1a

ataとusbは簡単なpatchあててる。

diffきぼんぬ

蟹2枚でルータ？

まあrlでもいいじゃない。
俺コンで79,8のブツかしら。

>>570
蟹一枚でルータやってます orz


rl0とtun0

>>572
玄人志向の GbE-PCI2.
FreeBSD でも NetBSD でも vge で駆動可能で高速低負荷低消費電力。
それでいて値段は1000円。
マジお勧め。

>>571 値段がそれくらいだったからたぶんそれ。

ちなみに昨日のRELENG_6でbuildworldの結果。
/etc/make.confはNO_PROFILE=trueのみ。

10783.383u 1013.890s 3:19:39.29 98.4% -1+-1468k 27962+3473io 1700pf+0w

なんかFPUを認識していないみたいだったり、そのままではかなりしょぼい。
chipsetとcpu向けにいろいろ書いてあげないと性能の評価は無意味かと。
AESのアクセラレータとか載ってるみたいなんで、ちゃんと機能すればいろいろ
できそう。

Linux向けにはAMDがpatch出してるみたいだけど、GPL。Linuxしらないから見て
もわかんないだろうけど。

現状ではFreeBSD入れる場合は開発するのにはいいけど、一般人はまだやめとけ
ってのが個人的な感想。

1枚ルータってなんかおいしいことでもあるんですか？

>>561
知らなかったです。
でも、気になったのでBSDCon '02の論文を読んでみました。
syncookiesはシステムに何の情報も持たないため、攻撃者が何らかの方法で
正しいINSを送れるると3-way hand shakeをすっとばして接続が確立してしまうという
問題があるわけですね。
これは、SYNパケットを落とすことでパケットフィルタリングを実現している場合に
それをすり抜けて接続を確立できてしまうという問題がありますね。

何らかの方法の確率を計算したことあるのか？

>>575
一枚でできる。

確率も何も全部送れば100%でしょ。１回しか送れないなんて制限無いし。

NIC勧める香具師はスマビとかの評価してないの？
せめてnetperfやnttcpとか行ってから言え。

蟹男注意報発令 age

>>575
おれの場合は
PCIバスがひとつ(とISAバスひとつ)しか無いマシンで自宅鯖やってたから
今は違うマシンだけど、HDDとかNICとかそのまま持ってきたから設定もそのまま

小生、国産機の「お仲間」とか、「机力」とかの枯れたHWで
よく作ってますが、NetBSDに浮気しはじめたら、FreeBSDに
戻れなくなりそうです。

　そんなゴミ箱筐体に新しいHDDを積んでルータを作ると
なんか安く感じるのに、結局性能向上を図ろうとして、Intelの
emとかfxpなんかを捜し求めて、お高くつく羽目に。

>>533
他にも、パケットロスが起きると connection 開設中にクライアント側が
ハングしてしまうとか、TCP オプション処理の問題とかがある。

emもfxpも500円くらいで転がってると思うんだが。

500円くらいで転がってるemとかfxpってなんか逝ってる気がｗ

経験則で言うと自分で持ってた奴ですら３年くらい使ってると
固まる症状が出る傾向に。（理由はわからんが）

その経験則はうちには当てはまらないかな。

ああ、500円でemが転がっているのはどこでしょうか？
おしえてくださいませ。

まぁでも500円とかそういうので自分のメインで使ってて原因不明の
状況に陥りたくないじゃん？
せめてvxとかxlとかにしてあげたらいいんｼﾞｬﾏｲｶ。と。

emとfxpよりかは長持ちしてるｗ

fxpだと7とか8だと不調に成る罠が有ったような。

正直xlは3Comがアレだから将来性としてオススメできん。
Bフレッツに繋いでPPPoEやろうとするとドライバのバグ踏むし。

いま手元に有って快調に動いている分にはどうでも良いと思う。

3comは低価格モデルにマーベル使ってるのが有るのでそれはゴミ。
それ以外ならまともだよ。枯れてるからほぼ問題も無いし、いろんなOSで使える。

FreeBSDがサポートしているGbEのNICでコストパフォーマンスがいいのって何でしょ？
100BaseTXだとsisがそういう位置だった印象があるのですが。

そりゃvgeだろうね。
FreeBSDにかぎらずローコストGbEなら一択じゃあないかしらねえ？
ハズレの個体とかあるみたいだけど狭い経験ではあたったことないし。
そのほかではngeとかてに入るならいいかも？
チップもカードもvgeに比べれば大きかったから電力消費とか心配だったけど。

emとbgeしか使っていないな。

100だとfxp

もうジャンクのi82557チップのNICを使い続けて2年ちょい。
まだまだがんばってくれそう。

たとえば、BフレとかTEPCO光とかのルーターには
GbEの安物NICを使うのとi8255[5-7]のNICを使うのと、
どっちがいいんでしょう？

>>593
答えてくれてアリガトン。
GbEではVIAが良いということなんですね。
今度試してみます。

fxpの新品って、そろそろ入手困難っぽい感じになってきてない？

emかbgeでええやん

bgeの安いのっていま何か製品あったっけ
ちょっと前だとGREEN HOUSEから出ていたけどもう廃番だし

場合によっちゃAppleのXServe純正が一番安いかも。ATでも動くし。

emでええやん
Intel PRO/1000 GTのリテール品ですら6000円弱だし

vrでルータにしてたら、負荷がかかると通信が止まっちゃうんだが
vgeなら大丈夫？

どういう理由で止まっているのかわからないけど、
問題を感じたことはないな。
っていうか、なんでvrなんて使っているの？

vrってVIARhineだよね。連続高負荷向きのチップじゃないよ。

VT6122は2枚買ってみてアシスタントのwindows機（1日8時間くらい稼動)では問題
なく使えてるみたいだけど、たいした負荷はかけてないと思うし、BSDでの長期動作
向きかどうかはわかんない（ギ蟹買うよりは良さそうな気はする）。

ただし、チップ自体の性能はともかく、玄人志向のはカードの加工精度が低すぎて
個人的にはおよそ信頼できん。バリ取りすらしてなかったし。
他からもう少し出て欲しいところです。

vrはオンボードで載っていたんで使ってるんだけど、
なんで止まるのかは分からない。大容量のファイルのダウンロードなどをしていると
止まる。

初心者すれでも聞いたんですが、レス貰えずなのでこっちで聞かせて下さい。
FreeBSDで、NATをかける場合、SRCアドレスと、DSTアドレスの両方を
変換することって可能でしょうか？
いわゆる、１対１のNATなんですが。

>>607
natd の -redirect_address オプションを使えば出きるんじゃないの?

>>608
THXです。
natdのマニュアルは読んでたんですが、-redirect_addressと、SRCアドレスの変換が
結び付きませんでした。
やってみます。

>>605
via-rhine はローカルルータに使った時、対向
にして高負荷かけてたらこけまくってたから、
xlに取り替えたことが３〜４年前にあった。
rlも、8019,8129,8139と悪くなる一方だの。

って、*BSD用のNIC談義になりかけてるな、
このスレは。

>>610
8139Cは8139Bや8139Aおよび無印よりはよかった気がする。

>>610
NICもまた選択肢が多いし、スレの本題に深くかかわる構成要素でもあるので、
まあ妥当なんじゃね？

>>612
激しく同意。

rlといえばドライバーに書いてある文句が面白いね。

これか？

* It's impossible given this rotten design to really achieve decent
* performance at 100Mbps, unless you happen to have a 400Mhz PII or
* some equally overmuscled CPU to drive it.

こっちじゃね？

* The RealTek 8139 PCI NIC redefines the meaning of 'low end.' This is
* probably the worst PCI ethernet controller ever made, with the possible
* exception of the FEAST chip made by SMC. The 8139 supports bus-master
* DMA, but it has a terrible interface that nullifies any performance
* gains that bus-master DMA usually offers.

>>615さんの方を言ったつもりだったけど、>>614さんの方ももはや時代錯誤な
感じがして面白い。

昔、i82557と8139Bを使ってAthlon XP 1GHzのマシンで実験した結果では、
read/writeをしたときのスループットの差は特に無かったものの、
send/recvをパディングが必要なサイズで行ったときのレイテンシには
有意な差があった気がする。
やったのは3年近く前なので詳細は覚えていないけど。

こういうエラー(上の２行)が出たけど、わかる人いる？
一応、googleで調べたら、出てきた英語のページでは
無視してもいいみたいなことが書かれてたけど。
(なぜか、usb関連をカーネルから全部外したのに、
これと、同時に下の４行のエラーメッセージも出てきた。
これは、dmesg|grep usbにも書いてある。)

xl0: transmission error: 90
xl0: tx underrun, increasing tx start threshold to 120 bytes
usb1: host controller process error
usb1: host controller halted
usb1: host controller process error
usb1: host controller halted

なお、ハードウェアの設定は、
インターネット側のNICが、xlで
LAN側のNICが、em

>>617
OS のバージョンくらい書け.

> こういうエラー(上の２行)が出たけど、わかる人いる？

送信 FIFO で under run 検出したんで, FIFO にたまった
データが 120 byte になったら送信開始するように設定を
やり直したよ.
とゆってる. それまでは, もっと小さい値だったんだろう.

バスとかハードの構成によって変わって来る部分をダイナ
ミックに再設定しようとしているだけの話だ.
その後, 何もエラー出してなきゃ気にするな.

下の usb の方はしらね.

>>616
ま、　"This is probably the worst PCI ethernet controller ever made" な訳でして。

8139Dぐらいになればだいぶまともになるらしいけど、C以前が混じる事が多いから避けた方が無難。

>>620
> 8139Dぐらいになればだいぶまともになるらしいけど
仕様書読んだけど雀の涙程度

今からFreeBSDでルータを作るとしたら6.x、5.x、4.xのどれがお勧め？

7-current

FreeBSD 1.x
ﾏｼﾞお勧め
マルチタスクじゃない代わりに、シングルだと超軽快

>>622
NetBSD

>>624
本当に? ルータとして使うだけならたぶん6.0の方が速いんじゃないかな。

マルチタスクじゃないFreeBSDとかおもしろいよね。あればの話だけど。

っシングルモード

シングルユーザーﾓｰﾄﾞはシングルタスクじゃないよ。

カーネルは常に非プリエンティブだけどね。
カーネルは全てのプロセスに優先してリソースを占有する事が可能。
だから速度求めるならカーネル埋め込みにする。
でもカーネルでバグると全部あぼーん。

WindowsよりもDOSが爆速でいいと言ってるのと変わらんな。
TCP的には、4.4BSDをマージした以降じゃないと駄目なんでは？

8139Dは大容量バッファ付きなんだけどね(w

ipfwについて質問

インターネットから、FreeBSDルータの特定のポートに来るtcpパケットをLAN上にある特定のパソコン（ポート番号は同じ）に振り向けたい。
例えば、インターネットからポート29999に来るパケットを、IPアドレスが192.168.0.2をもつパソコンのポート29999に振り向けたい。
また、その逆方向も許可したい。
つまり、そのパソコン(192.168.0.2)のポート29999から、インターネット（ポート29999）へ向かうtcpパケットも通過させたい。

下の「Example Ruleset #2:」に書き加えるとしたら、どうすればいい？
（もしかして、natを設定して、設定ファイル/etc/natd.confに　redirect_port tcp 192.168.0.2:29999 29999と書けばいいだけ？）

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
Example Ruleset #2:

>>631
そのテンプレートのルールを/ipfw.rulesにコピーして
支持どおりに使おうとしたら、DNSが使えなくなった。なぜ？
$cmd 020 $skip tcp from any to x.x.x.x 53 out via $pif setup keep-state

もちろん、pif="rl0"は書き換えたし、
x.x.x.xはDNSサーバのIPに書き換えたが。

>>632
DNSはudpも使うんだが、通したか？

>>633
それ、#1には書いてあるよな
$cmd 121 $skip udp from any to xx.168.240.5 53 out via $pif $ks
書いておいたけど、DNS使えない。

>>635
DNSは応答も返ってくるんだが、通したか？

「DNS使えない」ってレベルでしか問題を観察しないんじゃダメだろ。
tcpdumpを使うとかルールにlogを追加するとかして、
落ちてるのはリクエストか応答か、どのルールがブロックしてるかとか調べろよ。

>>635
「keep-state」が書いてあれがいいんではないの？

>>636
まあそれはそうだが、詳しい人に聞くのが手っ取り早いからな。

というか、ハンドブックのテンプレが使えないなんてあり得るのか？

インタフェース名などの環境固有な値をテンプレのまま使ってるとか、
ファイルに書いた記述を有効にするにはどうすればいいか理解してないとか、
マヌケな事態はいくらでもあり得るんじゃないか。

だんだんesperきぼんぬの形相を呈してきたな (w

この手の質問をするならルーターについているI/Fの種類、それらの設定およびipfw、
natdの設定、ネットワーク構成ぐらいは必須だと思うけどそういうのを一部しか
書いてないよね。
それでもお前は質問をしたいのかと小一時間ほど問い詰めたい。

esperきぼんぬ

俺エスパーだけど、これは分からんので勘弁してくれ

>>637で正解が出てるのに何で続くんだ?

>>633
むしろ普通UDP

ルータのOS何使ってる？
俺はFreeBSDの4.11・・・

5.3だたけど、最近6.0にしますた

m0n0wall(FreeBSD 4.11)使ってる。
pfSense(FreeBSD6.x)の正式版が出たらそっちにも手を出そうかと思ってる。

6.0R / amd64
ルーター権サーバーなので。

NetBSD 1.6.2
ごめんなさい。このスレいちゃいけないよね・・・

スループット向上を狙うなら、x86-64でNetBSDにした方が良いのか？

http://www.jraitala.net/comp/articles/2002/pppoe/を見るとそういう気がしてくるけど、
最近のFreeBSDだとどうだろうね。
このレポートは4.7Rで、5.x、6.xという変遷でかなり変わったのではないかと
思うのだけど。
特に、SMPでの利用を考えるとFreeBSDの性能はかなりよくなってたりしないんだろうか。

ま、ぶっちゃけFlet'sの測定ページで工事の人が測定した値が60Mbps前後だったもれは
この結果の通りでもFreeBSD + mpdで十分なのだが。

FreeBSDでのVPNを解説してるページみたいなのないでしょうか…
ググり方が悪いのか中々出てきません

書き忘れていました
プロトコルはL2TPでお願いします

'freebsd l2tp' でぐぐるとそれっぽいものがボロボロ引っ掛かるがそれでは駄目なのか?

>>653
L2TPはmpdを使う方法とsl2tpsを使う方法の2つの方法があるっぽいね。

もれはmpdでPPTPしたことはあるけど、L2TPはないからようわからん。
でも、マニュアルどおりに設定すれば使えるんじゃないの？

FreeBSD6.x利用でportsのdtcpclientでFeel6を使う際のipfwのルールがさっぱり分かりません。
ipfwを全通しにするとipv6のIPアドレスが取得可能です。

add 10 allow ipv6 any to any
add 100 allow tcp from any to any 20200 out via tun0
add 200 allow tcp from 43.244.255.119 20200 to any in via tun0
add 300 allow tcp from 43.244.255.120 20200 to any in via tun0
add 400 allow all from 43.244.255.36 41 to any 41 in via tun0
add 410 allow all from any 41 to 43.244.255.36 41 out via tun0
add 500 allow all from 43.244.255.37 41 to any 41 in via tun0
add 510 allow all from any 41 to 43.244.255.37 41 out via tun0

KDDIの6to4ルータがお亡くなりして国内でISPに関係なく使えるのってここくらいしか思いつかぬ・・・。

tcpdumpしてみたら？
nantoka.comはどう？


...IPv6の使い方が思いつかぬ。

FreeBSD4.11 をルータにしてYBB回線につないでます。
最近、パケットがものすごい勢いで落ちる時間帯があって(90%とか落ちる)
調べていたのですが、
DHCPの以下の情報って、未来の時間じゃなくてよいんでしょうか？

% less /var/db/dhclient.leases
lease {
  (省略)
  renew 4 2006/4/13 06:22:14;
  rebind 4 2006/4/13 08:38:39;
  expire 4 2006/4/13 09:23:39;
}

そもそもパケットが落るってなによ

>>660
最近通信が重くなるときがあるなと思って、
１分毎に30回pingを1hop先のdefault gateway に対してかけた結果。
時間帯によっては90%とかlossするってことです。

Y!BBでは良くあること。

>>659
9時間戻したら未来の時間になったりしない?

質問です
ルーター兼Web鯖にしようと思うのですが
この場合、その他のLANで繋がれたPCとWeb鯖に膨大なアクセスがあればWebに片寄った割り振られ方をされてしまうのでしょうか？

？？？

dummynetやaltqで帯域制御すれば良い。

自己解決しました。

主語が無くてさっぱりわからん。
まあ、自己解決したらしいからいいけど、何の役にも立たないレスだな。

また自己解決厨か

私も質問しようかと思ったのですが、自己解決しました。
どうもご親切にありがとうございました。

おい、おれも自己解決したよ

質問です。
POrTsからmpdを入れようとしたんですが、外部とコネクション貼れてないので落とせません
PPPoEの方は使ったことないんで使い方がわかりません
調べようにもルーターが完成してないのでぐぐれません…
今は携帯です。

という状況なんでsysinstallで導入したいんですがNET以下にmpdがありません…
どこにあるのでしょうか？

セフレ

まずはuserland pppを使ってインターネットに繋いだら？
んで、その上でmpdをインストールすればよいよ。

pppの設定方法はman pppでもすると載っているかもしれない。

最後の行につっこんだら負けのような気がする

最後の行はたぶん韓国語





と、思えば問題なし

韓国語ってやたら腹に力の入った女性が噛み付くように喋って最後に
〜ゲスニダとかつくあれ?

何言ってんの？

ワラタ

FreeBSD 6.0R(p7)にportsのnet/mpd4を突っ込んだんだけど
ifconfigで見ると、ng0デバイスが出来ててちゃんと認証出来てIPアドレスも引けてるのに
なぜかそのマシンからのpingすらできない・・・
IPアドレスに対するpingすらできてないから、根本的に外部への通信が出来てないみたい・・。

もちろん、まだファイヤーウォール系も入れてなくて、mpd入れる前はpppで接続できてたんで、ちゃんとmpd以外は外部に繋がる設定になってるはずなんですけど・・・

自分の感想だけ書かれても分からんよ

pingすら出来ないって、Destination host unreachable なのか
Request timed out なのか
接続した状態の ifconfig -a 貼るなり
mpd.conf の設定部貼るなりまずはせんと

>>680
＞接続した状態の ifconfig -a 貼るなり
それは、本当に繋がっているかと言う意図ででしょうか？
どの範囲が怪しいかまったく検討がつかなくなってしまったので、情報が小出しになってしまうかも知れませんが
現状は、
環境
・モデム側：nve0、内側のHUB側xl0
・素のFreeBSD6.0Rをインストール
・p7のパッチを当てた。
・portsからnet/mpd4を入れた

現状
・ifconfigによるとIPアドレスは引けている。紛れも無く、ISPから配られるグローバルIPアドレスである。
また、nve0、xl0、lo0、ng0がアクティブになっている。
・mpd4を-bオプションを付けずに実行すると、まったくエラーも無くリンクアップしている様子が見れる。
・inetdはOFFにしている。
・pingの結果はRequest timed outである。またnetstatも同様にタイムアウトする。

ppp -ddialを実行すると、同じようにtun0にIPアドレスが引け、
まったく問題なくpingは出来る。

mpd.confの内容は
ttp://www.seichan.org/wiki/index.php?FreeBSD-mpd
のサイトを参考にしたので、デバイス名・アカウント情報以外は全く同じです。
ただし、ふれっつすくえあは繋がないので、それに関する設定は記述していません。

よろしくお願いします。

>>681
kernel の設定は?
GENERIC ならば，必要なカーネルモジュールがロードされているかを確認．
カスタマイズカーネルならば，きちんと kernel config に書かれているかを確認．

どちらにしろ，kldstat の結果もあった方が良いかもね．

とりあえずmpd4はまだ止めとけ。

>>681
この資料はmpd3を使うものだよね？
それなら、認証のところでこけるはずだけど。
mpd3とmpd4はログイン名の設定ががbundleからauthに変更されてるけど、
そこらへんはちゃんとやってるの？

とりあえず、IPアドレスを全部*で消していいからifconfigの結果を張ってみ。
あと、mpdのログの最後の5行くらいもIPアドレス、アカウント名なんかは
(IPアドレス)、(アカウント名)とか書いて隠してよいのでだしてみ。

mpdのログはもしかすると、syslog.confで
!mpd
*.* /var/log/mpd.log
とか書いてsyslogdを再起動しないといけないかもしれないけど。
余談だけど、syslogdを再起動するときは単独でやるよりもOSごとやったほうが面倒が無くていいね。

>>681 デフォルトルートがちゃんと設定できていない

nVIDIAのオンボードNICって、負荷かけると落ちる？
昔、3COM3枚挿しでやってた時はなんてことなかったのだが
ルーター専門で使うのにタワーはオーバースペックだと思って、キューブ型に変えたら
PCIスロットが１つしかなくて、3COMのを1枚挿して、WANをnve0、LANをxl0って感じにしたら
大量のデータの転送を行ったら、突然グローバルIPアドレスが消え、再起動するまで再取得出来ないって症状が出た。

ちなみに、FreeBSD6.0にmpd4とpfを入れた構成だけどね。
nForce2だからかな・・・。3とか4だと直ってるのかな

>>681
俺と同じ構成だね。
IPアドレスが取れてると言う事は、多分authには変えてるだろうけど
rc.confのデフォルトルートを設定してない？
それpppだと大丈夫だけど、うちでは設定するとmpd4では使えなかった。

俺もそんな感じ
たまにIPアドレス残ってるのでpingしてみると
No buffer no spaceとか言われる。
KERNELからALTQ関連を外すと直る・・・

>>686
6.ｘをルータに使うのは、NICの共有メモリ管理が変なときがあって
過負荷の時は難があるね。　去年6.0beta2くらいでローカル
ルータを作ったとき、GbEがたくさん刺さっているマシンでは落ち
まくって泣いた。
　6.0-RELで収まったんだが、なんかいうとエラーがでるし、
6.1-betaでも再発したり、いろいろあるわ。
　使った機材のヘタれ具合に左右されている気がしないでは
ないんだが、普通のサーバ機でもトラブルがでたからなあ。
まあ、そういうときは5-stableで我慢してる。

Bフレッツ・ニューファミリーで
May 4 07:29:59 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 07:42:39 kernel last message repeated 2 times
May 4 08:47:20 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 09:39:46 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 10:21:02 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 10:34:38 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 10:48:53 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 11:12:13 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 11:15:13 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 11:45:14 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 12:54:11 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 14:20:18 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 15:07:29 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 15:27:54 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 15:43:44 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 17:37:32 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 18:55:58 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 19:01:09 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 19:10:34 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 19:18:29 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 21:46:07 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 21:50:02 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 22:18:13 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 22:42:23 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 4 23:21:19 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
May 5 00:45:11 kernel ppp: [PPPoE] LCP: no reply to 1 echo request(s)
むっちゃ安定しないように見えるけど、みんなこんなもの？

ちなみに、千葉でISPはsakura
ONUとの間に200KIが挟まってます

>>689
お前だけ。俺んちはLCPのエラーは全然でてない。

>>691
さんく
NTTつついてみる

LCPだからsakuraが糞ってるんだRO-

>>693
そっか、確かにそうだねぇ
ありがとう

サポート期待できないんだよなぁ。。。＜さくらのフレッツ接続
こっちもつついてみるよ

FreeBSD6.1-ReleaseでBフレ用ルータを上げています．
で，このマシンでpoptopを使ってPPTPによるVPNサーバも
同時に上げてるんですが，外部からVPNを張った時の
外部マシンのスループット低下に悩んでいます．

ルータ直下にある自宅マシンでは上り下りとも20〜30Mbpsほど
出ているのですが，外部からVPNを張ると外部マシンの
スループットが1/10ほどに低下してしまいます．

「外部」も直で計測すると40〜50Mbpsほど出る回線ですし，
VPNを張ってスループット計測する時のルータマシンのCPU loadにも
余裕があるので，どこがボトルネックなっているのかわかりません．

VPNを張ったときにスループットの低下をできるだけ抑えられる方法を
どなたか御指南していただけないでしょうか．

VPN用に専用箱を用意すれば?

そんなにスルプトあげたければ、IPsecでやれば？

市販品買えば？

poptopってユーザランドで動くからそんなもんだろ。
mpd使え。

>>695
どうも6.x系統はルーターに向かないらしいぞ。
>>686
>>688

>>686 のように6.0から入った nve0が不安定なのをもって 6.xの安定性を語るのは
公平ではないと思うけれど、>>688 のようにGbEをつかってて落ちまくるというのは
ひどいね。
しかしながら、落ちたという報告があるのはいずれもBETA版だから、リリースでは
どうなってるかわからないね。

>>699の言うようにmpdを使うのがベターだな。

>>686の6.0はリリースだけどな
まぁ、nveはファーストリリースだからしゃーないけど
問題がNICであればな、別のKernel自体の問題な気がするが・・・

Windows XPでnve使ってもなんか微妙なんですけど
どっか変だろこのNIC

BフレのPPPoEにはすでにmpd使ってるんですが，mpdって
PPPoEしつつPPTPサーバになることってできるんですかね．

PPPoEで得られるIPアドレスは固定じゃないもんで，
mpdの設定ファイルにルータの外側のIPアドレスを記述できないんすよね．

natしてやりゃいい。

nveってバイナリしか提供されていないアレでしょ。
OpenBSDの人が自分らで別実装を作ってたけれど、FreeBSDにもimportされないかなぁ。
それとも、そういうことやったらnVidiaからそっぽを向かれちゃうんだろうか？

FreeBSD6.0にデフォで入ってるnveは最新ではない
nVIDIAから直接落としてこよう。

でも、バージョンを調べる方法ってあったっけ？
今使ってるドライバのバージョンがわからん

6.0 →　6.1 になったら安定したという話を聞いた。

6.0beta2辺りから連綿と更新をしてきてるので、その辺が良くわからない。
6.0ベタは高負荷時に　kernel panic を経験してきてるから、それが何時から
無くなったか忘れた。　おまけに、6.1betaでも再発なんてのを見てる。

4.11もそろそろ終わりですね。　メモリが少ないから、
swap が遅いらしい、6.1には換えたくないマシンが数台。
しかも6.xに対応してないアプリケーションもある・・・。
compat4 とかライブラリとかメンドい。

>>707
ソースを見るか、 /boot/kernel/*.ko を stringsする手のはどよ。

>7084.11のEoLは「January 31, 2007」もうしばらくは大丈夫では？ttp://www.freebsd.org/security/これ過ぎたら、どうしますかねぇ。NetBSD？OpenBSD？DragonFlyってどんな具合なんですかね今。

!709
w3mは何故改行がうまくできないのだろう。

:set textmode

>>709
4.10のことだったﾃﾞﾏｯﾃｽﾏﾝｶｯﾀ

負荷かけるとvgeがしょっちゅうDOWN→即UPってなことになる
emでもたまに。
6.1にしてから6.0の頃より酷くなった気がするよ

3文字NICドライバって不安定なのかな。
lgeもかなりダメよ。 よく死んでて

lge2: link state changed to UP
lge2: link state changed to DOWN
lge2: link state changed to UP
lge2: link state changed to DOWN
lge2: link state changed to UP
lge2: link state changed to DOWN

fxp! fxp!

>>715
残念でした。

May 9 23:59:25 sv00 kernel: fxp0: device timeout
May 10 21:23:37 sv00 kernel: fxp0: device timeout
May 11 09:04:57 sv00 kernel: fxp0: device timeout
May 13 04:49:58 sv00 kernel: fxp0: device timeout
May 15 17:09:41 sv00 kernel: fxp0: device timeout
May 15 23:42:20 sv00 kernel: fxp0: device timeout
May 19 04:34:41 sv00 kernel: fxp0: device timeout

amd64マシン作るとskも見るけどどうなんだろうね。
skはよくwatchdog timeoutしてるなぁ。

>716
あんたのホストでdevice timeoutが出る事で、fxpが安定していないと言い切っているのは馬鹿？

>>709
|DragonFlyってどんな具合なんですかね今。
1.2.6から1.4.xに上げたら netgraphのどこかでpanicするようなので
mpdを使ってる人は様子見またはデバッグに参加。

pfで静的natの仕方がよくわからない

nat on ng0 inet from any to any port = globe -> 192.168.0.2

ってしても、転送されてない雰囲気
やさしい人、静的NATの使い方教えて

>>718
どこで言い切ってる?

>>720
外から来たパケットを特定のホストに向けることをしたいんだよね？
その場合のキーワードはnatではなくてbinatだと思うんだけど？
詳しい話は下記のBidirectional Mapping (1:1 mapping)を見てもらうとよいと思うけど。
http://www.openbsd.org/faq/pf/nat.html

binat on インタフェース名 from 内部IPアドレス to any -> 外部IPアドレス

まあ、全部向ける必要ないならこの次のページに載っているredirectを
使うほうが安全だとは思いますが。

>>722
ありがとう
natって言葉につかまってた

FreeBSD6.x系でnveが安定しないって話だけど
多分device timeoutってメッセージが出て通信出来なくなるヤツだよね？
それなら、パッチが出てるよ。

あと、ndisでWindows用を使った方が無難な気がするんだけど・・・
えらいトリッキーな方法だけど、少なくとも現状よりは無難に思えるくらい。
あっちは普通に安定するらしい。

ところで、ndisを使った場合のスループットの低下って無いのかな？
一応無駄なオーバーヘッドが増えないわけではないのだし・・・。
100Mや1000Mの範囲では殆ど問題にならないオーバーヘッドなのかな？

ndisって同時に2つ以上のデバイスに対して使えるんだっけ？

>>724
kwsk

ｐｆって同じネットワーク番号内でブロックできないんでしょうか？
例えば

int_if0 = "fxp0"

table <works_zone> { 172.30.10.0/24 }
table <guest_zone> { 172.30.100.0/24 }

block log all
pass quick on lo0 all
pass in on $int_if0 from <works_zone> to any
pass out on $int_if0 from !<guest_zone> to <works_zone>
pass in on $int_if0 from <guest_zone> to !<works_zone>
pass out on $int_if0 from any to <guest_zone>

これを試してみたら<guest_zone>→<works_zone>が通ってしまう...

同じサブネット内の通信になんでそのマシンを通らないといけないわけ?

ブリッジなんじゃないの？

と良心的に解釈

そうなのか...otz
そんな初歩も知らないまま2年前から悩んでた...

それではこんなネットワーク構成では可能でしょうか？

　　　[ works_zone PC ] 172.30.10.2/24
　　　 |
　　　 |
　 [ スイッチングハブ ] ------------- fxp1[ FreeBSD ]
　　 | 　　　　　　　　　　　　　　　　　　　　　　172.30.10.1/24
　　 | 　　　　　　　　　　　　　　　　　　　alias 172.30.100.1/24
[ guest_zone PC ] 172.30.100.2/24

可能なんだろうけど、一応FreeBSDでルーティングしなければお互いは見えないけど
arpとかのパケットは筒抜けになるって事じゃないかなぁ？

やっぱり素直にNICとハブ追加しときます。

修正arpが無限ループ

FreeBSD 6.1で玄人のGbE-PCI2二枚刺しで使おうとしてるんだけど、
VIAのドライバがコンパイルできませんorz

bus_pio.h と bus_memio.h が無いとか言われるんだけど・・・・

玄人のGbEって言うと、VIAのVT6122でvgeか。

で、"無いとか言われる"って、そんな情報でどうやって調べろと。
エラーログコピペするぐらいしろって。

>>736
ｽﾏｿ
無いとか言われるというより、
machine/bus_pio.h と machine/bus_memio.h
この二つを ドライバのソースで include してるんだけど、
この2つのファイルが無くてコンパイルが出来ないのです。

>>737
FreeBSD 6.1はVIA VT6122のドライバをvgeで標準実装しているし、
machine/bus_pio.h と machine/bus_memio.h は include してないよ。

# cd /usr/src/sys/dev/vge
# ls -l
total 94
-rw-r--r-- 1 root wheel 58456 3 18 06:30 if_vge.c
-rw-r--r-- 1 root wheel 30196 1 6 2005 if_vgereg.h
-rw-r--r-- 1 root wheel 5728 6 11 2005 if_vgevar.h
# grep -n machine/ *
if_vge.c:108:#include <machine/bus.h>
if_vge.c:109:#include <machine/resource.h>

bus_pio.h と bus_memio.h ってFreeBSD 5系のヘッダのような・・・
君の言うVIAのドライバって？何処から持ってきた？/usr/src/sysは6.1用？
嫌な予感がするので先に忠告しておくが、その程度の知識でNIC二枚刺しは危険。
稼働は実験室だけにして、決してInternetには接続しないように :-P

たしかに、R5系だと有るな＞bus_pio.h bus_memio.h

ttp://www.jp.FreeBSD.org/cgi/cvsweb.cgi/src/sys/dev/vge/if_vge.c?rev=1.3.2.4&content-type=text/x-cvsweb-markup

で、R6.1のGENELIC kernelだとvgeは有効で
それこそ挿せば認識するのだが、あえて外した
kernelを作ったのか?

ｽﾏﾝ、ﾁﾗｼの裏の愚痴です

（略）
rdr pass on $ext_if proto udp from any to ($ext_if) -> $nds_wifi

# Default
block return-icmp(port-unr) log all

# Nintendo DS
pass quick on $ext_if proto udp from any to any keep state
（略）
NintendoDSでWiFi対戦するためにこんなpf.confにしてるけど
pflogを眺めてみるとrdrされてないUDP通信があったりblockされてるUDPがあったりと
精度がビミョー…

pfのnat内からactiveモードでftpサーバーにアクセスしたいのですがうまくいきません。

nat/ポートフォワードの設定は
ext_if="fxp0"
int_if="fxp1"
ftp_ip="192.168.0.16"
table <server_net> { xx.xx.xx.xx1, xx.xx.xx.xx2 }

nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
rdr on $ext_if proto tcp from <server_net> to ($ext_if) port { ftp-data, ftp } -> $ftp_ip

フィルターでブロックはしていません。

ftpクライアントからncftpでサーバーにアクセスするとログインはできるのですがlsなどデータを取得しようとすると
Data connection from 192.168.0.1 did not originate from remote server xx.xx.xx.xx1!
というエラーが出ます。

私の推測だと21番ポートと20番ポートをやりとりしているipが違うからだと思っています。
現状のpassive出の接続はそのままで特定のサーバーだけactiveで接続する方法を教えてください。
よろしくお願いします。

man pf.conf

>>743
一応pf,pf.conf,ftp-proxyは全て目を通したのですが、
私の目が節穴なんだと思うんですが解決に至っていません。

リスト取得の際にnat内のipでデータを取得しにいっているのではないかと
思っているのですが、どうすればいいのかわかりません。

ftp-proxyがうまく動かせていない気がします。
ftp-proxyはinetd.confのにかかれているもののコメントアウトを外して動作させていますが、なにかオプションをつけて起動させないと行けないのでしょうか？

>>741
FreeBSDの現行のftp-proxyはしょぼいから、ftp/pftpxを利用おすすめする。
OpenBSD3.9ではこっちに変更になってる。
設定方法はmanなりPF User's Guideを参考に。

>>744
ftp-proxy って IP 付け替えやってくれないんじゃなかったっけ？

>>742 みたいにデータ接続の送信元IP が違うって怒られる場合は
ftp-proxy 使っても意味無いと思ってたんだけど。

>>745
pftpxですね。入れてみます。

>>746
ftpの動作自体あまり詳しくわかっていたいので、
みなさんから見ればおかしなことを言っているのだと思います。

私の頭の中ではlsでのデータ取得する場合の動作は
1.postコマンドでサーバーに情報を送る（nat内pcの情報）
2.listコマンドをサーバーに送る
3.サーバーから接続される（pfが動いているゲートウェイ）
4.postコマンドで送ったipと接続したipが違うのでサーバ側が切断
という感じで動いているのではないかと思っています。
この認識で間違いないでしょうか？

>>747からは3,4の段階の実際を理解してるのかがいまいち読み取れない。

>>748
うまく説明できなくてすいません。

3をもう少し詳しく書くと
3-1.ftpサーバーの21番ポートからゲートウェイに接続が来る
3-2.ftp-proxyがnat内のftpクライアントに通知（passive接続ができているのでこれは通っていると予想）
3-3.ftpサーバーの20番ポートからゲートウェイの1で通知したポートに接続が来る
こんな感じなのではないかと思っています。

参考として下記の説明と図をみて考えました。
http://www.jp.freebsd.org/QandA/HTML/2073.html
http://slacksite.com/other/ftp.html

>>749
たしか、
1-1 クライアントが制御接続で PORT を送出。
1-2 ftp-proxy がクライアントの PORT を握りつぶす。
1-3 ftp-proxy がサーバへ制御接続で自前の PORT を送出。
1-4 サーバが制御接続でコマンド成功だったかをクライアントに返信。

2 クライアントが制御接続で LIST を送出。

3-1 サーバがデータ接続で ftp-proxy によって示された IPアドレス、port に接続
3-2 ftp-proxy がデータ接続でクライアントによって示された IPアドレス、port に接続

4-1 クライアントはサーバからの接続を期待したのに
ftp-proxy から接続されたので詐称っぽいと警告を出す。

WindowsXP SP1 だったか SP2 だったかの
パーソナルファイアーウォールも ftp-proxy の中継だとブロックする。
そんときに調べた記憶だと、こんな感じだったかと。
PASV使えば、一応解決するんだけどね。

>>750
詳細な解説ありがとうございます。
確かにpassiveだと大丈夫です。

ただ、私の管轄外のftpサーバーがactiveでしか接続を受け付けない
仕様になっているのでほとほと困っています。
とりあえずこの接続だけpfのゲートウェイを介さず
接続することにします。

あとはftp/pftpxを入れてみます。

ソース見ただけだけど、pftpxはPORTが来たときにちゃんとrdrのルールつっこんでるのかあ。
これなら文句言われずに動きそう。

ftp使うのを止める方が先だと思う

ブリッジにしたNIC2枚のところでDHCPサーバをうまく動かす事は出来ないっぽいですね。

日本語でおｋ

ifconfigで作ったbridge0をdhcpd_ifacesに指定してisc-dhcpd起動、これでうまく行ってるけどそういう話じゃなくて？

できますよ

×ブリッジにしたNIC2枚のところでDHCPサーバをうまく動かす事は出来ないっぽいですね。
○ブリッジにしたNIC2枚のところでDHCPサーバをうまく動かす事は私には出来ないっぽいですね。

いや、動いてるように見えるんだ。しかし、
rl0: inet 192.168.1.1, rl1: アドレスなし, rl0とrl1をブリッジ
としてisc-dhcp-serverを起動した時に
Listening on BPF/rl0/02:xx:xx:xx:xx:d5/bridge
Sending on BPF/rl0/02:xx:xx:xx:xx:d5/bridge
と出る環境でWindows XPなクライアントを接続した場合、
rl0の方につなげた時は問題ないんだが、rl1の方につないだ場合
MACアドレスがrl1の192.168.1.1に対して再取得を試みるが応答が得られない。
で数回リトライしているうちにarpの期限が切れたのか、
再取得を試みる相手をMACアドレスff:ff:ff:ff:ff:ff、IPアドレス255.255.255.255の
ブロードキャストに切り替えてリトライをする。
で、その時はrl1からrl0のブリッジが利くのかアドレスを取得できる。

この無駄っぽいリトライが気持ち悪かったりするけどいいのかな？

スイッチが腐ってるんじゃないの?

腐ってるかもしれないスイッチを取り外してクロスケーブル直結にして試してみたけど、
やはり>>759と同じ挙動でリース期限内で最後にあたるリトライ(?)でブロードキャストに切り替えて
何とか更新するって感じになります。

Multiple interfaces match the same 〜な警告が出たままだとDDNSが
うまく動かなかったりするし、うーんうーん。

IPv6 over PPPoEができないんですが誰か教えてください。
環境はこんなかんじです。

PC_A --- ルータ --- FreeBSD4.9 --- PC_B

ルータ：PPPoEクライアント
FreeBSD：PPPoEサーバ

ルータ〜FreeBSDのリンクローカルアドレス(IPv6CP InterfaceIDで生成)でのping6は可能。
PC_AからPC_Bにping6を実行すると、FreeBSDまで届くが、FreeBSDがPC_Bに転送してくれない。

PPPoEを使用しない場合は、PC_AからのパケットをPC_Bに転送してくれるんですが…

ちなみにサーバとクライアントを入れ替えても、やはりFreeBSDから先に転送してくれません。

どうすればPPPoEトンネルで受信したIPv6パケットを転送してくれるようになりますか？？

>>762
質問の仕方をどこかで学習してから出直してください。

>>763
質問への答え方をどこかで学習してから出直してください。

もう一度、762を踏まえて質問し直します。

PPPoEカプセルされたIPv6パケットをFreeBSDがルーティングしてくれません。
しかし、PPPoEカプセルされていないパケット（Ether+IPv6）は、ちゃんとルーティングしてくれます。

PPPoE+IPv6をルーティングする方法を教えてください。

どこまでパケットが届いてるのか、各マシン上で tcpdump とかで確認してみては？

>>766
>762の接続でPC_AからPC_B宛にﾊﾟｹｯﾄを出したら、FreeBSDまでは届いて、PC_B側に出してませんでした。
FreeBSDの左側のI/Fをfxp0として、fxp0にPPPoEをbind(?)してます。

fxp0でﾊﾟｹｯﾄｷｬﾌﾟﾁｬすると、PC_AからのﾊﾟｹｯﾄをPPPoEで受信しています。
PPPoEｾｯｼｮﾝが張られた際にできるtunXのI/Fでﾊﾟｹｯﾄｷｬﾌﾟﾁｬすると、tunXには届いていませんでした…

PPPoEで受信したﾊﾟｹｯﾄが処理される時は、tunXを通過しますよね？

IBM ThinkPad600E Pen2-333もらっちゃった　FreeBSDインスコしてルータに出来るかな？

http://security.freebsd.org/advisories/FreeBSD-SA-06:18.ppp.asc
mpd(ng_ppp)でも利用しているので、バージョンアップ必要。

6.1-RELEASE-p5上でmpdを使ってルータを作ろうとしているのですが，
PPPoEではまっています．ISPはnifty，キャリアはフレッツ光プレミアムです．
どなたか助けていただけないでしょうか．．．
mpdをフォアグラウンドで動かすと下記のようになります．

# mpd
Multi-link PPP for FreeBSD, by Archie L. Cobbs.
Based on iij-ppp, by Toshiharu OHNO.
mpd: pid 11484, version 3.18 ([email protected] 14:54 31-Jul-2006)
[nifty] ppp node is "mpd11484-nifty"
[nifty] exec: /sbin/ifconfig fxp0 up
[nifty] using interface ng0
[nifty] IPCP: peer address cannot be zero
[nifty] IFACE: Open event
[nifty] IPCP: Open event
[nifty] IPCP: state change Initial --> Starting
[nifty] IPCP: LayerStart
[nifty:PPPoE0] [nifty] bundle: OPEN event in state CLOSED
[nifty] opening link "PPPoE0"...
[PPPoE0] link: OPEN event
[PPPoE0] LCP: Open event
[PPPoE0] LCP: state change Initial --> Starting
[PPPoE0] LCP: LayerStart
[PPPoE0] device: OPEN event in state DOWN
[PPPoE0] device is now in state OPENING
[PPPoE0] PPPoE connection timeout after 9 seconds
[PPPoE0] device: DOWN event in state OPENING
[PPPoE0] device is now in state DOWN
[PPPoE0] link: DOWN event
[PPPoE0] LCP: Down event

mpd.confとmpd.linksを晒します．よろしくお願いします．

# cat mpd.conf
default:
load nifty
nifty:
new -i ng0 nifty PPPoE0
set iface route default
set bundle authname [email protected]
set iface up-script /usr/local/etc/mpd/mpd.linkup.nifty
set iface down-script /usr/local/etc/mpd/mpd.linkdown.nifty
load client_standard
client_standard:
set bundle disable multilink
set iface disable on-demand
set iface idle 0
set link no acfcomp protocomp
set link disable pap chap
set link accept chap
set link mtu 1438
set link mru 1438
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open iface
# cat mpd.links
PPPoE0:
set link type pppoe
set pppoe iface fxp0
set pppoe service "nifty"
set pppoe disable incoming
set pppoe enable originate

大野俊治？
authnameは？

マルチはスルーで
http://pc8.2ch.net/test/read.cgi/isp/1156408831/

8月13日からフレッツ・光プレミアムにPPPoE機能が追加されたのですねぇ。
ttp://flets-w.com/hikari-p/topics/060813_topics.html

PPPは詳しくないので勘ですが、mpdのログを見た感じではCTUでPPPoEを
使う為の設定変更がうまく行ってないような。
CTUガイドブック第5版(2006年8月13日)のP101、PPPoE機能設定はやりましたか？

一般のFTTH回線の場合、運用予定が無くてもWin(or Mac)でのPPPoE接続が可能か
チェックしておいた方が良いかと思います。
FreeBSDの設定なのか他の問題なのかの切り分けにもなるし、
仮に今後、電話サポートに問い合わせる事になった場合、@niftyは
Win(or Mac)での結果を言わないと話を聴いてくれませんから……(^^;

家の6.1-RELEASE-p5, mpd + pf, nifty Bフレッツ・ファミリー100では
光プレミアムの検証はできませんが、771のmpd.confとmpd.linksをコピーして
mtuとmruを1454に、authnameとifaceを家の環境に修正した物では繋りました。

パケットキャプチャくれ＞695

>>774
>CTUガイドブック第5版(2006年8月13日)のP101、PPPoE機能設定はやりましたか？

はい．ですからWindowsXPからのPPPoEは問題なくできてます．
なので，なぜmpdでのPPPoEができないのかが謎なんです．

>>776
>なぜmpdでのPPPoEができないのかが謎なんです．

BフレとプレミアムじゃPPPoEサーバの仕様が違うんだからそのままで繋がるとは限らない。
プロトコルに『謎』なんてないんだから自分で調べる気(能力)がないならキャプチャ。

キャプチャ結果を晒します．PPPoEサーバから何の反応も返ってきてない感じです．

# tcpdump -i fxp0
tcpdump: WARNING: fxp0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
12:55:40.907460 PPPoE PADI [Host-Uniq 0x40C6BAC3] [Service-Name "nifty"]
12:55:42.906706 PPPoE PADI [Host-Uniq 0x40C6BAC3] [Service-Name "nifty"]
12:55:46.906606 PPPoE PADI [Host-Uniq 0x40C6BAC3] [Service-Name "nifty"]
12:55:54.910944 PPPoE PADI [Host-Uniq 0x00C5BAC3] [Service-Name "nifty"]
12:55:56.910375 PPPoE PADI [Host-Uniq 0x00C5BAC3] [Service-Name "nifty"]
12:56:00.910286 PPPoE PADI [Host-Uniq 0x00C5BAC3] [Service-Name "nifty"]
12:56:09.912701 PPPoE PADI [Host-Uniq 0x40C0BAC3] [Service-Name "nifty"]
12:56:11.912034 PPPoE PADI [Host-Uniq 0x40C0BAC3] [Service-Name "nifty"]
12:56:15.911939 PPPoE PADI [Host-Uniq 0x40C0BAC3] [Service-Name "nifty"]
12:56:24.915262 PPPoE PADI [Host-Uniq 0xC0DB98C3] [Service-Name "nifty"]
12:56:26.914692 PPPoE PADI [Host-Uniq 0xC0DB98C3] [Service-Name "nifty"]

>>778
Service-Nameなんて使うのかYo!!

> set pppoe service "nifty"

を消すか、""だけにしてみ

>>779

set pppoe service ""

にしたら繋がりました．ありがとうございます!!
ただ，フレッツスクウェアとのマルチセッションをやろうとして
下記のようなmpd.linksにすると，niftyの方だけ繋がって
フレッツの方には繋がりません．いちおうng1というインタフェースは
現れるのですが．

PPPoE0:
set link type pppoe
set pppoe iface fxp0
set pppoe service ""
set pppoe disable incoming
set pppoe enable originate

PPPoE1:
set link type pppoe
set pppoe iface fxp0
set pppoe service ""
set pppoe disable incoming
set pppoe enable originate

>>780
つながりましたかぁ。良かったですね。
マルチセッションもFreeBSD使わないので�dと見当が付きません。
というわけでキャプチャ・・・

>>780
繋がらないって、どういう状況ですか？
PPPoEに失敗するとか
PPPに失敗するとか
成功してるっぽいけどアドレス付いてないとか、
デバイスがダウンしたままとか、
いろいろ確認してみることはあるだろ。

そもそもPCでマルチセッションでフレッツスクエアと共存しようとしたら
ルーティングとかDNSまわりとか色々しなきゃいけないんじゃないかな？

そのへんはどうなのよ。

ttp://flets-w.com/hikari-p/omoushikomi_goriyou/ryuuijikou/pppoe/index.html
（1）複数のPCで接続先を使い分ける場合の制限事項
フレッツ・スクウェアPPPoEを利用してインターネット接続等を行っているPCでは利用できません。

に該当すると思うのだが。

CTUの設定でPPPoE可能なセッション数が1とかってことはないよな？

ちなみに光プレミアムでPPPoEモードで市販ルータ使って
マルチセッション（ISP・速度測定・フレッツスクウェア）使用中。

>>1
「最近のブロードバンドルータは安くて速いぞ。遅くてヘボいルーター作るなよ。 」

いいことかいてあるなぁ。
わかったか>>780

接続時のtcpdumpとmpdのログを晒すのでよろしくお願いします．
長いのでサーバにアップしました．
ログを見る限り，PPPoEはEstablishして，アドレスも付いているっぽいの
ですが，実際にはng1にはアドレスは付きません．

tcpdumpの結果
http://casper.dyndns.org/~pppoe/tcpdump-log.txt

mpdのログ
http://casper.dyndns.org/~pppoe/mpd-log.txt

>>782
ルーティングはset ifaceで，名前解決はルータPCでbindを上げて
解決してます(というかプレミアムにする前はしてました)．

>>784
それはないです．PPPoEセッション数は3に設定しています．

>>785
うーん，耳の痛い話で．．．

>>786
なあ、おい。
もう少し自分で考えろよ。

> mpdのログ
> http://casper.dyndns.org/~pppoe/mpd-log.txt

おまえはログを見たのか？
接続できている方と、できていない方の違いは何だかわからんのか？
それともわかっていて書いていないのか？

おれはログを見てスクエアが通信できないのはわかったが、
回避の方法はわからんなぁ。

じゃ、がんばれ。

>>779
>> set pppoe service "nifty"
>を消すか、""だけにしてみ
「消す」なんて嘘教えるなよ。
CTUとやらは知らんが、Fletsの仕様書では空文字列を指定することになっている。

>>788
BSDなんてしらねーから、うそ書いて悪かったな。もうこねーYo

大体、なんでいつもいつもLinux厨がこの板にまぎれてるんだ？

>>790
BSDも大好きだからww
Linuxならできるんじゃないのwww

明後日、うちもBフレッツからフレッツ光プレミアムに移行するんだけど、>780 人柱乙。
これはハマるよな。

>786

フレッツ光プレミアムの PPPoE 仕様はよく知らないけど、

>[nifty] exec: /sbin/ifconfig ng0 125.1.126.223 210.247.16.1 netmask 0xffffffff -link0

↑これやった後で、

>[flets] exec: /sbin/ifconfig ng1 10.183.9.179 210.247.16.1 netmask 0xffffffff -link0
>[flets] exec: command returned 256

↑やっても、リモートIP同じで失敗してるんでは。

マルチセッションで、なんで両方のセッションに同じリモートIP 210.247.16.1 が渡されてるんだろ。
うちのBフレッツ環境のマルチセッションでは、プロバイダ別に違うIPが渡されてるけど。…と思ったら、

|% whois 210.247.16.1
|
|inetnum: 210.247.16.0 - 210.247.16.31
|netname: CHIIKI-IP-NW
|descr: NIPPON TELEGRAPH AND TELEPHONE WEST CORPORATION
|country: JP

プロバイダじゃなくて、NTT西の地域IP網のアドレスですね…。

>>792
そもそも論だが、リモート側のアドレスなんて、P-t-Pなんだから必要ない。
ルーティングに頼るからだめなんじゃないかな。
mpdは
ifconfigとrouteの書式が決め打ちだから、リモート側アドレスが同じだとダメなんだな。

さて、
mpd.confの
set iface up-script /usr/local/etc/mpd/mpd.linkup.nifty
の外部スクリプトは実行されている。

> [nifty] exec: /usr/local/etc/mpd/mpd.linkup.nifty ng0 inet 125.1.126.223 210.247.16.1 [email protected]
> [flets] exec: /usr/local/etc/mpd/mpd.linkup.flets ng1 inet 10.183.9.179 210.247.16.1 flets@flets

引数に必要な情報は全てあるんだから、外部スクリプトで頑張れば
なんとかなるかもしれんのう。

ポイントは
デバイスにアドレスを付けること、
routeコマンドのゲートウェイ指定をmanをよく読んでなんとかすること。
インタフェースが point to point 接続の場合、インタフェースをその名前で指定でき ます。
って書いてあるけど、ちゃんと動くのかな？

まあ、頑張れ。

ん？俺？NTT東エリアなんだよwww

なんとも不思議なネットワークだな。
fletsスクエアへのPPPoE接続なくてもそのままつながりそうな気がするのは俺だけ?

>793
その手で回避できると思うけど、
mpd で ifconfig とか route コマンド叩いてるところを、
根本的にリモートIP使わないようにしたほうがいいような気がしてきた。

ちと試しにやってみます。というか、やらないとうちも明日からマルチセッション張れなくなるw

>794
不思議っていうか、頭悪すぎのネットワークだと思う。
身内(OCN)から突き上げ食らう糞仕様ってどうよ?
NTT東がうらやましい。

point-to-point なインタフェースって、ifconfig でアドレス付けるときは
両端のアドレスが必要っぽいから、むしろ ng0 と ng1 にアドレス付けずに
routing でがんばるほうがよさそうな気が……

いずれにしても、両方のリンク確立できたら、今度は policy routing の
ルール書かないといけなそうだなあ。

>>792=795

ウチも光プレミアムに乗り換えてハマってる。
対処報告期待してるよ。

イーサーネットの口が1つある、店で買った普通のウィンドーズマシンで
BBルータを作りたいです。（もちろんBSD入れて）
　
自分が思うに、あともう1枚NICをつけて、スイッチングハブを買えば
有線ルータを構築できるのかなと思うのですが。
あと機材は何を用意すればいいのでしょうか？

調べる能力

>>795
mpdのソース見たけど、ふーんな感じ。


OCNに何かいわれたの？

>>796
ifconfigリモートアドレス必須なのかorz
でもng0とng1にアドレスは必要と思う。
考えてみれば、必要の無いリモートアドレスが同じなのが問題なのだから、
違うアドレスを適当に付けちゃえば良いような気がする。
ng0 のリモートは192.168.254.253
ng1 のリモートは192.168.254.254
とか。適当といってもLAN内に無いプライベート空間で。

route設定はデバイス指定でやってみる、と。

あとは、当然ですが、ポリシルーティング設定とDNS設定をどうするか....。

うーん、やっぱり市販ブロードバンドルータは一生懸命やってるんだなぁ。