第22回 FreeBSDでPacketFilter(pf)を使う 2005/12/27作成 ずっとADSLだったのですが、Bフレッツの工事料金と2か月分の月額使用料がタダだというので、乗り換えることにしました。 せっかくなのでFreeBSDも入れ替えようと思っていたら、ちょうど先日6.0Releaseが出たのでさっそく人柱に。 しばらくさぼっていたら、FirewallについてはIPFilterより最近ではpfの方が主流ということで、いろいろ思い出しながら設定してみることにしました。 pfにはさまざまな機能が提供されており、またライセンスの問題もクリアしているということで、いいことずくめなのだそうです。 でも、高機能な分、設定がかなり複雑ですね。 注意! ファイアウォールの設定について、言及する箇所がありますが、その設定を推奨するものではありませんし、当然ながらなんら保証もありませ
この章では UNIX® システム上で良く利用されるネットワークサービスについて説明します。 FreeBSD が利用するすべてのネットワークサービスをどのように定義し、 設定し、テストし、そして保守するのかを扱います。さらに、 本章を通してあなたの役に立つ設定例が載っています。 ゲートウェイと経路の基本 FreeBSD をブリッジとして動作させる方法 ネットワークファイルシステム (NFS) の設定方法 ディスクレスマシンのネットワークブートの設定方法 ユーザアカウントを共有するためのネットワークインフォメーションサーバ (NIS) の設定方法 DHCP を用いて自動的にネットワーク設定を行う方法 ドメインネームサーバ (DNS) の設定方法 NTP プロトコルを用いて日時を同期してタイムサーバを設定する方法 ネットワークアドレス変換 (NAT) の設定方法 inetd デーモンの管理方法
src FreeBSD with 10GbE network 10GbE対応のネットワークカードおよびスイッチングハブ、ケーブルで構築された高速ネットワークでは、システムを適切に設定することで理想的な速度での通信を実現できるようになります。たとえば、最近の製品ではIntelの10GbEネットワークアダプタX540ファミリーなどが使われることが多いように思いますので、このデバイスを設定を例にあげて紹介します。 10GbEのポートが2つ搭載されたX540-T2をFreeBSD 10-CURRENTで見ると、次のようになります。ここでは片方のポートだけ結線しています。 $ ifconfig ix0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=403bb<RXCSUM,TXCSUM,VL
src PF 4.5 on FreeBSD 9 current - FreeBSD 9-CURRENTのPFがOpenBSD 4.5由来のPF 4.5へバージョンアップされました。OpenBSDの最新版は4.9ですので最新版を移植するならPF 4.9が必要になるわけですが、従来のPFと文法に互換性があるのがこのバージョンまでであるため、既存のファイアウォール規則との互換性を損なわないこのバージョンまでのアップデートとなっています。 FreeBSDにはIPFW、IPF、PFという3つのファイアウォール実装があります。PFは後発でありOpenBSDで開発されたということもあって、比較的人気のある実装です。しかしながら4.5よりも後の実装はシンタックスに互換性がないこと、現在のPFの実装はコアに対してスケールしにくいという問題があります。コアに対してスケールするのは、FreeBSDのデフォルトの
カーネルのコンパイルオプション。 options IPFIREWALL #firewall options IPFIREWALL_VERBOSE #enable logging to syslogd(8) options IPFIREWALL_FORWARD #enable transparent proxy support options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default options IPDIVERT #divert sockets IPFIREWALL と IPDIVERT(natd に必要)だけで用は足りるのですが、他も付けておいた方が無難でしょう。 カーネル再構築後、以下を rc.conf
ファイアーウォール(防火壁)は、不正な侵入を水際で防御するという役割を持ってい ます。一般にファイアーウォールはルータの役割も持っていますが(単なるマルチ ホームなマシン)、ルーティングをしない場合もあり、後者の特別な場合として ファイアーウォールがブリッジであるようなときもあります。基本的に、 ファイアーウォールの種類には、パケットフィルタリングのタイプと アプリケーションゲートウェイ(プロクシ−)のタイプの2種類があります。 パケットフィルタリングはネットワーク層でのファイアーウォールの実現方法で あり、パケットの送受信IP,ポート番号,プロトコル(TCP,UDP,ICMP)などを元に して通すか否かを決定します。これに対して、アプリケーションゲートウェイは アプリケーション層でのファイアーウォールの実現方法です。アプリケーション 層ですので、個々のアプリケーションのプロトコルに依存し
限られたIPアドレス OCNエコノミー等の低価格のインターネット接続サービスが開始され、小規模のオフィス、個人でもインターネットへのネットワーク接続が可能な環境になってきました。 ただしこれらのサービスの多くは、割り当てられるIPアドレスの数は8とか16しかありません。それ以上必要な時は、ネームサーバー、WWWサーバー、FTPサーバー等のインターネットからアクセスのあるサーバーにだけ公式なグローバルIPアドレスを割り当て、インターネットからのアクセスの必要が無いクライアント等のマシンは、プライベートネットワーク上でプライベートIPアドレスを割り当て、アプリケーションゲートウェイを通してインターネットにアクセスするという方法をとります。 プライベートIPアドレスはインターネットとIPレベルで接続しない限り自由に使用できるアドレスのことで クラスA:10.0.0.0~10.255.255.25
dump は物理的なファイルシステム単位でターゲットを認識します。そして、個々のファイルは i-node の単位で処理されます。特定のファイルをアーカイヴの対象から除外するような機能は用意されていません。そのかわり、dump は前回のアーカイヴ時点から更新されたファイルだけを選び出してアーカイヴするインクリメント機能があります。例えば前回のアーカイヴ時に存在した foo というファイルが、その後不要になって削除されたとします。次のインクリメンタルアーカイヴの時点では foo は存在しないので、dump は「foo というファイルがあったけど、これは削除されています」という情報をインクリメンタルのアーカイヴファイルに残します。 dump を使ったバックアップ バックアップは「すべてのファイルシステム」に対して行うことが原則です。しかしフルレストアする時に復元される必要のないファイルシステムま
dumpによるバックアップ対象の選択 バックアップをするファイルシステムの選択には/etc/fstabが使用されます。fstabの第5フィールドが「1」となっているファイルシステムがバックアップの対象となります。ただし「/」ファイルシステムは該当しません。 LABEL=/ / ext3 defaults 1 1 LABEL=/boot /boot ext3 defaults 1 2 LABEL=/home /home ext3 defaults 1 2 /dev/sdb1 swap swap defaults 0 0 /dev/cdrom /mnt/cdrom udf,iso9660 noauto,owner,kudzu,ro 0 0 またdumpコマンドは、バックアップ対象のファイルシステムがext2またはext3でなければ理解できません。つまりdumpコマンドでは、ReiserFSなど
usb HDDのフォーマット FAT32だとファイルサイズの問題が生じるのでUFSにしてしまう。 sysinstallのConfigure->FDISK, LABELでやってしまうのが手っ取り早い。 環境の保存 sysinstallでnewfsした場合には勝手に指定した場所にマウントされている。 ここでは/exportにマウント。 ファイルシステムに関するファイルと情報をコピーしておく。 mkdir /export/sarvage cp /etc/fstab /export/sarvage/ mount > /export/sarvage/mount.txt df > /export/sarvage/df.txt 例として示すdfはこんな感じになっている。 Filesystem 1K-blocks Used Avail Capacity Mounted on /dev/ad0s1a 202
一個前のほぼボツエントリで、mail2entryのソースをいじろうと思ったんだけど、FreeBSDのemacs23をscreen上で使うとカーソル位置の表示がおかしくなって、とても開発ができる状態ではない。 せっかくMacのemacsはauto-completeとかも入れて使いやすくなっているので、どうせならmacでソースをいじりたい。 そのためには、macからFreeBSDのディスクが読み書きできる必要がある。 macの/etc/auto_masterを見ると、/netとかあるので、とりあえずFreeBSDの方をNFSサーバにしてみる。(参考にしたのはFreeBSD-NFS - ぷきうぃき) /etc/exportsを以下の内容で作成 /var/home -network 192.168.0 /etc/rc.confに以下を追加(rpcbindは元々有効にしていた) mountd_ena
This translation may be out of date. To help with the translations please access the FreeBSD translations instance. 計算機を起動しオペレーティングシステムをロードするプロセスは、 "ブートストラッププロセス" もしくは "ブート" と呼ばれます。 FreeBSD の起動プロセスを使えば、 システムをスタートするときに起きることをかなり柔軟にカスタマイズできます。 同じ計算機にインストールされた別のオペレーティングシステムを選択することもできますし、 同じオペレーティングシステムの異なるバージョンを選択することも、 インストールされた別のカーネルを選択することさえできます。 この章では、指定できる設定オプションついて詳しく説明します。 FreeBSD カーネルがスタートし、デバ
FreeBSD の ports のインストールに portupgrade を使っているがこれを proxy 経由で行う際に、どこの設定ファイルに proxy 設定をするべきか調査した.portupgrade であれ、make であれ、pkg_add であれ、結局の所、fetch(1)にて、tar-ball をダウンロードする. http://www.jp.freebsd.org/QandA/HTML/443.html によると 1. passive モードで FTP する時 # env FTP_PASSIVE_MODE=ON make 2. HTTP proxy サーバを利用する時 # env HTTP_PROXY="http://hostname[:port]" make FTP_PROXY が未設定で HTTP_PROXY が設定されていると、`ftp://...' という URL で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く