*BSDでBBルータを作ろう互助会 4pps 151-200

2008年09月16日

1 ：名無しさん＠お腹いっぱい。：2007/02/20(火) 13:21:31: 前スレ
FreeBSDでBBルータを作ろう互助会 3Gbps
http://pc10.2ch.net/test/read.cgi/unix/1102740133/

151 ：名無しさん＠お腹いっぱい。：2007/11/10(土) 06:11:12

無線のキャプチャーツールも色々出てるしねぇ。
まぁ使ってる暗号次第だけどまだＷＥＰなんか使ってたら
10MB位データキャプチャーすれば簡単に復号出来るし。

152 ：名無しさん＠お腹いっぱい。：2007/11/10(土) 10:16:34

WEPでもWPAでもMACアドレスは平文。半可通は恥を書く。

153 ：名無しさん＠お腹いっぱい。：2007/11/10(土) 11:45:40

>152
>恥を書く

誤字で台無し。

154 ：名無しさん＠お腹いっぱい。：2007/11/10(土) 11:59:48

旅の恥は書き捨て

155 ：名無しさん＠お腹いっぱい。：2007/11/10(土) 16:11:29

半可通は恥を（かくような嘘っぱちを平気で）書く。

と言いたいんじゃﾈｰﾉ（ｹﾞﾗｹﾞﾗ

156 ：ナット ◆ZUufTLOWoc ：2007/11/15(木) 20:22:32

いやァ、MACアドレス制御ができるのかできないのかを
訊いたのであって、それが実効性のあるものかどうかは
問題にしてない質問だったわけで…。

市販の安物ルータ(某牛とか)、無線LANのAPにも
MACアドレスで弾く仕様はあるでしょ？それを
NetBSDでできないかな〜と思ったが、ダメですか。残念。

スタティックIPをMACアドレスに割り振るのじゃダメですよ。
ここで言ってるのは、MACアドレスでフィルタリングしつつ、
かつルータのローカルなDHCPサーバで動的にIPを割り振る、
という話ですから。

識者の方いらっしゃらないかな…。

157 ：名無しさん＠お腹いっぱい。：2007/11/16(金) 00:11:51

無線だったら、hostapdでやるのかなぁ？

158 ：名無しさん＠お腹いっぱい。：2007/11/16(金) 00:15:21

>>156
IPFWならできるよ
欲しいなら、pfベースで自分で作ってみれば？
需要があればマージされるかもよ

159 ：名無しさん＠お腹いっぱい。：2007/11/16(金) 00:54:45

IPFWはFreeBSDべったりだからL2のフィルタリングが出来てる。
pfilインターフェース(pf, ipfilter)じゃ無理。

PR

160 ：名無しさん＠お腹いっぱい。：2007/11/16(金) 07:16:12

どなたかALIX手に入れたかしら？

161 ：名無しさん＠お腹いっぱい。：2007/11/16(金) 09:31:08

1IP当たりの同時接続数を制限するのは
どのFWソフトで出来ますか? （´=∀=｀）
1秒間に何個接続を許可するとかもやりたいです

162 ：名無しさん＠お腹いっぱい。：2007/11/17(土) 02:01:44

Smoothwall(Linux) vs M0n0wall(FreeBSD): A comparison
http://fbsd.wordpress.com/2007/11/10/smoothwall-vs-m0n0wall-a-comparison/

163 ：名無しさん＠お腹いっぱい。：2007/11/17(土) 02:17:06

>>161
tcpならいくらでも制御できる。 xinetd でも、tcpserver(djb)でも、お手製のものでも。
udpは捨てるしかないだろ。

そんなことは判ってると思っているが、知らないと困るので。

164 ：名無しさん＠お腹いっぱい。：2007/11/18(日) 18:40:33

mpd4ってmpd3で発生した光プレミアムで接続しようとすると失敗するバグは直ってる？

165 ：名無しさん＠お腹いっぱい。：2007/11/18(日) 18:45:06

そんな事くらい、自分で試せばすぐ分かるだろ。

166 ：名無しさん＠お腹いっぱい。：2007/11/21(水) 03:08:38

FreeBSD-6.2R + pf + mpd でルータを作る場合、
正しいというかエレガントな起動方法はどうすればいいいんでしょうか？
最初に /etc/rc.d/pf が起動するときは ng0 がないのでエラーが出ているようです。
いちおう、今は /etc/start_if で mpd を起動させたあとに /etc/rc.d/pf start させて動いてますが・・・

ちなみに　/usr/llocal/etc/rc.d/mpd –> /usr/local/etc/mpd/mpd.linkup で /etc/rc.d/pf start も試してましたが、
そっちはなくても動きます

167 ：名無しさん＠お腹いっぱい。：2007/11/22(木) 01:29:03

ヲレは

rc.confで普通に
pf_enable="YES"
pflog_enable="YES"

pf.confで
anchor "interface/*" all

mpd.linkupで
pfctl -a "interface/${interface}" -Fn -Fr -f - <<EOF
nat on ${interface} from <internal_net> to any -> ${local}
EOF

168 ：名無しさん＠お腹いっぱい。：2007/11/22(木) 11:58:57

mpd5ってどお？

169 ：名無しさん＠お腹いっぱい。：2007/11/24(土) 17:49:15

しらなかった

PR

170 ：名無しさん＠お腹いっぱい。：2007/11/25(日) 03:11:44

m0n0wall 1.3b5 released!
http://m0n0.ch/wall/beta-1.3.php

171 ：名無しさん＠お腹いっぱい。：2007/11/25(日) 23:58:45

>>160
亀レスだけど。
普通にNetBSD/i386が動いてるよ。

172 ：名無しさん＠お腹いっぱい。：2007/11/27(火) 01:04:47

>>171
お、いくらぐらいだった？20664円とか？

173 ：名無しさん＠お腹いっぱい。：2007/11/27(火) 11:07:46

>>172
それ。

174 ：名無しさん＠お腹いっぱい。：2007/11/29(木) 23:14:10

なるほどね
そのうち買おう

175 ：名無しさん＠お腹いっぱい。：2007/12/01(土) 10:21:57

>>173
そしてありがとう

176 ：名無しさん＠お腹いっぱい。：2007/12/08(土) 11:10:18

まあFreeBSD6.xベースになるととたんに重くなるので困るわけだが

177 ：名無しさん＠お腹いっぱい。：2007/12/14(金) 20:32:09

>166氏と同じ感じでルーター作ってます。
FreeBSD-6.2R + pf + mpd です。192.168.1.1がPCルーターのアドレスです。
192.168.1.2でhttpdが動いてて、外向きには8080で公開しています。
フィルターの設定なんですけど、

ext_if="ng0"
int_if="em0"
int_net="192.168.1.0/24"
www_srv="192.168.1.2"
nat on $ext_if from $int_net to any -> ($ext_if)
rdr on $ext_if inet proto tcp from any to any port 8080 -> $www_srv port 80

block log all
pass quick on lo0 all
pass quick on $int_if all
pass in quick on $ext_if proto tcp from any to $www_srv port 80 flags S/SA modulate state
pass in quick on $ext_if inet proto icmp all icmp-type echoreq keep state
pass out quick on $ext_if proto { udp, tcp, icmp } from any to any keep state

と、先人サイトのほぼコピペなんですけど、ここはこうしたほうがいいよとか、突っ込むところあります？

178 ：名無しさん＠お腹いっぱい。：2007/12/14(金) 20:45:43

とりあえずローカル環境でテスト運用してみたら？

179 ：名無しさん＠お腹いっぱい。：2007/12/14(金) 21:33:07

一応、（ng0にグローバル振って）テストでは問題なく動いているんですけど、
基本的なフィルターしかかけてないので、悪意のあるアクセスに対してはどうなのかと思いまして。

あと、コレ使い出してから、sipが・・・orz

PR

180 ：名無しさん＠お腹いっぱい。：2007/12/15(土) 00:44:07

>15

181 ：名無しさん＠お腹いっぱい。：2007/12/15(土) 00:44:51

あう、ミスった。
>15
亀ですが需要あります。

182 ：名無しさん＠お腹いっぱい。：2007/12/15(土) 12:52:44

>>177
最近の pf では、rdr したものに対する pass はまとめられて、
rdr pass on $ext_if inet proto tcp from any to any port 8080 -> $www_srv port 80
と書ける。そうすると
pass in quick on $ext_if proto tcp from any to $www_srv port 80 flags S/SA modulate state
はいらなくなるはず。

183 ：名無しさん＠お腹いっぱい。：2007/12/15(土) 14:28:39

勉強になるな

184 ：177：2007/12/17(月) 00:38:04

＞182
勉強になりますた。即変更しました。

とりあえず、IPブロックごと拒否するルールを追加して、運用してみようと思います。

table <ng_ip_cn> const { 222.216.0.0/15 }
table <ng_ip_tw> const { 122.120.0.0/13 }
block log quick on $ext_if from { <ng_ip_cn>, <ng_ip_tw> }

いまのところ、8080へ執拗にアクセスしてくるのはこのへんなので。

185 ：名無しさん＠お腹いっぱい。：2007/12/17(月) 14:16:31

>>184
アクセスをブロックしたいIPアドレスは、外部ファイルに記述するのはどう？
私はCNとKRについて

table <block_cn> persist file “/etc/pf/block_cn”
table <block_kr> persist file “/etc/pf/block_kr”

block quick on $wan_if from <block_cn> to any
block quick on $wan_if from <block_kr> to any

としてる。

186 ：名無しさん＠お腹いっぱい。：2007/12/18(火) 12:31:24

m0n0wall 1.232 released!
http://m0n0.ch/wall/downloads.php

187 ：177：2007/12/20(木) 00:48:06

rdr pass on $ext_if inet proto tcp from any to any port 8080 -> $www_srv port 80
と、まとめると、
後から
block log quick on $ext_if from { <ng_ip_cn>, <ng_ip_tw> }
って書いても、意味無かった。。。。

アパッチにログ残っててなんでだろ？って悩んでたｗ

188 ：177：2007/12/20(木) 00:54:00

>184
それも考えたんですけど、今のところport80で公開してないので、
まだ、弾くIPはそんなに無いので、pf.confに書いてます。
増えてきたら考えます。

ちなみに、block_cn とか block_kr とかは自動生成ですか？

189 ：177：2007/12/20(木) 02:06:05

アンカーミス。
>185

PR

190 ：185：2007/12/20(木) 12:33:21

>>177
CNとKRについては、月に1回APNIC(ftp.apnic.net/pub/stats/apnic/)から最新の
Resource rangeファイルを取得して、手動バッチで抜き出してます。
バッチは、 ttp://www.italk.ne.jp/minagawa/tech/krfilter.pl.txt を参考に作成。

その他SSH/FTPへのアタックは、swatch使って自動的に block_all に追記してます。

191 ：名無しさん＠お腹いっぱい。：2007/12/20(木) 12:46:46

BSE?

192 ：名無しさん＠お腹いっぱい。：2007/12/20(木) 19:11:10

>>181
15書いたの自分だけど、実はあれからminiupnpdに移行しちゃって使ってないんだ。
動作するかどうかわからないけど、それでも欲しい？
一応まだコンパイルは通るみたいだけど。

特に事情がないならminiupnpdを使う方がいいと思う。
こっちは開発してる人が第一ターゲットとしてるフィルタが*BSDのpfだし。

193 ：181：2007/12/20(木) 23:06:47

いや、おいらもminiupnpd使いました。はい。
あっさり Funsion フォンP’が通るようになりました。
ありがとうございました。

194 ：名無しさん＠お腹いっぱい。：2007/12/21(金) 14:08:18

miniupnpdだけど、FreeBSD6.3で使ってるとなんか不安定だった。
rcでstopさせる時たまにpanicしたり、数日稼働させてるとシステムがハングしたり。
7.0に上げてからは大丈夫そうなんだけど、6.3のpfせいだったのかな?

195 ：名無しさん＠お腹いっぱい。：2007/12/30(日) 22:30:42

Bフレッツ用のPPPoEルータをNetBSD or FreeBSD w/mpdで作ろうと思って、
Motherboardを探しているのですが、Mini-ITXでは厳しい？
VIAのNICがとにかく評判悪いようなので、気になっているところです。

196 ：名無しさん＠お腹いっぱい。：2007/12/30(日) 22:56:17

評判悪いとか言うレベルじゃなくて、まともにlink-upしない＞VIA
地雷とか、そういうチャチなレベルじゃない。

197 ：名無しさん＠お腹いっぱい。：2007/12/31(月) 04:04:45

最近、SiSチップセットのMini-ITXに変えちゃったけど、
それまで3年くらいずっとEPIA(のVIA NIC)で特に問題なかったけどなぁ。
蟹のGIGAはFreeBSDでWatchdog Timeout出まくりで苦労したけど。

198 ：名無しさん＠お腹いっぱい。：2008/01/01(火) 00:21:15

ひどいデタラメだｗ＞196

199 ：名無しさん＠お腹いっぱい。：2008/01/01(火) 00:54:30

>>198
はずれ引くとそんな感じ
窓では普通に使えた

FreeBSDでまともに動くのもあるけどね

PR

200 ：名無しさん＠お腹いっぱい。：2008/01/01(火) 01:53:47

なにそれ＞はずれ引く

トラックバック&コメント

まだトラックバック、コメントがありません。

« NEC無線BBルータ Aterm WRシリーズ総合 Part 18 251-300 | このページのトップへ | NEC無線BBルータ Aterm WRシリーズ総合 Part 18 301-350 »

タグクラウド

*BSDでBBルータを作ろう互助会 4pps 151-200 | ルータについて

*BSDでBBルータを作ろう互助会 4pps 151-200

タグ

関連するエントリー

トラックバック&コメント