1read 100read
2013年03月UNIX406: IPFilter関連スレッド vol1 (217) TOP カテ一覧 スレ一覧 2ch元 削除依頼
P2Pによる2chの展開 (664)
π・円周率1兆桁を超えろ!・π (280)
SONY NEWS-OS (442)
安物LANカード (541)
P2Pによる2chの展開 (664)
ドメイン差し押えられた後の2ch接続方法 (362)

IPFilter関連スレッド vol1


1 :03/01/07 〜 最終レス :2013/02/03
IPFilterと、PFやIPNAT関連のスレッドです。
関連URLは>>2あたりにあるかもよん

2 :
○公式
ttp://coombs.anu.edu.au/~avalon/ipfil.html
○HowTo、リンクなど
http://www.obfuscation.org/ipf/

3 :
何だよ「かもよん」って

4 :
無意味な巨大AAよりかはいくらかマシか…

5 :
SunScreenの話もここでよいのかい?

6 :
まぁ Windows specified な話しか無い セキュリティ板 にこんなスレ立てても無駄だよねぇ

7 :
しかし、立てた当初くらいはネタ振って盛り上げたらどうだ。>>1

8 :
specific?

9 :
ウインドウサイズに限定した話ってなんだ?
オーバーフローさせてなんかウマイことやんの?

10 :
ちょっと貼っとくか。
http://www.wakhok.ac.jp/~kanayama/summer/02/site/node110.html

11 :
有名?
ttp://www.tac.tsukuba.ac.jp/~hiromi/ipf4.html

12 :
エラーの発生原因がわからず一日中ルールの書換えとテストを繰り返していた事がありました。

13 :
FreeBSDのipfwと比べるとどっちが通ですか?

14 :
natやるならipfilterの方が性能良い。
但し、俺んちではipfilterはストリーミング切れる。

15 :
やっぱ、Linuxのnetfilterの方が良いよね。
でもFreeBSDでipfilterだと、Cから直接叩けるのは魅力だよね。

16 :
>>15
どこがどう良いとか解説してくれないか?

17 :
keep frags

18 :
>>13
IPFWより細かく制御できる
>>11に書いてあった。

19 :
>>14
pppoe(フレッツ)に繋ぐNATBoxにIPF+IPNAT(NetBSD1.6)を使っているんだけれど、うちもストリーミングが切れる時がある。
でもYBBだった時はこういう事は起こらなかったしIPNATでmmsclampを書いても駄目だったので、別に原因があるのかも???

20 :
return-icmp-as-dest(port-unr)

21 :
>>20
これってHost Unreachableを帰すって事?

22 :
>>13
通はアンナンバードだからnat不要、そして帯域制限しるからipfw。

23 :
>>16
Linux/Netfilterだと簡単に出来ることの例
(1)月曜から金曜の8時から18時に到着したパケットだけを許可
# iptables -A INPUT -m time --timestart 8:00 \
--timestop 18:00 \
--days Mon,Tue,Wed,Thu,Fri -j ACCEPT
(2)あるIPアドレスからの同時並行で確立するHTTPコネクション数を
4つに限定
# iptables -A INPUT -p tcp --syn --dport http \
-m iplimit --iplimit-above 4 -j REJECT
(3)様々な条件(ほんの少しの例)
--uid-owner userid
パケットを生成したプロセスの実行ユーザ id (数値)にマッチ
--uid-owner groupid
パケットを生成したプロセスの実行グループ id (数値) にマッチ
--pid-owner processid
パケットを生成したプロセスのプロセス id にマッチ
--sid-owner sessionid
パケットを生成したプロセスのセッショングループにマッチ
--limit n
単位時間あたりに許される平均マッチ回数の最大値を指定。
--limit-burst n
limit が作動し始める手前の最大バースト値(許容できる突発
的な増大係数で、平均レートの倍数)を指定

24 :
>>23
それくらい、BSDユーザはアプリで組むものさ。

25 :
>>24
> それくらい、BSDユーザはアプリで組むものさ。
必 死 だ な

26 :
>>24
1 は cron でやったほうがいいと思うけど,その他はちょっと難しげ.
netnice ではやれそうな気がする.使ったことないけれど.
http://www.asahikawa.wide.ad.jp/netnice/

27 :
uid/gidによる制御はipfwでもできる。ipfilterはできなかったと思うけど。

28 :
PPPoEでNATにしてる人たちはMMSブラックホール問題はどう対処しているの?
やっぱり全マシンのMTU調整?

29 :
pfで十分

30 :
>>28
ipnat.confにmmsclampを書く。それでも完璧じゃないけど…
最後の手段で経路上にあるルータの管理者にRFC2923読んで下さい。
とか言ってルータのicmpの設定を変えてもらうしか方法はないんじゃないかと…

31 :
まちがいますた
mmsclamp > mssclamp

32 :
ipfstat -t もえ

33 :
>>23
サンクス
1)はできないな。
2)は実際にやったこと無いけど、ipfw2で出来る気がする。

34 :
>>21
それは
block return-icmp-as-dest(host-unr)
だなや

35 :
blockは余計だったなや

36 :
Cから直接叩こうと思っています。
FreeBSD 4.7-RELEASEにて、「man 4 ipf」をすると、
#include <netinet/ip_compat.h>
#include <netinet/ip_fil.h>
などと出て来るのに、これらヘッダファイルがシステム
に入っていません。
別途インストールの必要ありだと思うのですが、
どのパッケージになるのでしょう。

37 :
>>36
標準で入ってなきゃマズいって…
cvsupで4.7-RELEASE-p3に上げてmake installworldするよろし

38 :
>>37
早速のアドバイスありがとうございます。
IPfilter取って来て、パスを無理矢理通したのですが、
何か違うと思い投稿したところでした。
cvsupってはじめてやります。楽しみ〜。


39 :
>>23(1)って、カーネル内で曜日を計算してやってるの?それはやりすぎな気がするよ。(2), (3) はおもろいね。でも ipfilter って ifdef 多すぎていじる気になれない :-(

40 :
昼からずっとcvsupつながらないのですが、
私のマシンがNATの裏にあるのがいけない??
cvsup2 でも同じでした。
Connecting to cvsup4.jp.freebsd.org
Connected to cvsup4.jp.freebsd.org
Server software version: SNAP_16_1f
Negotiating file attribute support
Exchanging collection information
Establishing passive-mode data connection
Cannot connect to data port: Connection refused
Will retry at 18:16:05

41 :
>>39
Linux/Netfilterには、パケット内のデータマッチ
なんてものもあります。でもIDSの代わりには使えません。
パケット毎にチェックするから、フラグメントして
たらすり抜けちゃう。
好き勝手に開発するのがLinuxのスタイルだから、
何でも出て来ちゃうんだけどね。

42 :
NAT 2段かましてるけど、ついさっき、cvsup2 で更新できたよん。
port 5999 (だっけ?)は空いてる?

43 :
>>42
中から外のポートは全部空けていますが、
外から中は、帰りのパケットだけです(ステートフルFW)。
もしかしてFTPみたいにややこしい話になるのですか?
とりあえずtcpdumpしてみてみます。

44 :
>>42
いま cvsup2で更新中です :)))
さっきなんで出来なかったかわかりません。


45 :
ずっと疑問に思ってるんだが、
ipfilterのルールって、なんでlast matchなの??(quickルールがあるけど)
アルゴリズム的にも、パケット毎に全部のルールを
検査しなくちゃいけなくて遅いとおもうんだけど。
# 分かりやすい分かりにくいはともかくとして。

46 :
http://home.earthlink.net/~jaymzh666/ipf/IPFfreebsd.html#17みて
net.inet.tcp.recvspace: 57344 -> 32768
にしてみた。ガンダム(試行回数一回)切れなかった。

47 :
>>46
サンクス。
ちなみにmssはいくつにしてる? 1414? 1412?

48 :
最近とてもうざく感じるようになってきた韓国や中国から届く大量のパケットを遮断したいんですが、こんな感じでOKですか?
xx0 <= wan側nic
block in quick on xx0 proto tcp from aaa.aaa.aaa.aaa/aa to any flags S/S
block in quick on xx0 proto tcp from bbb.bbb.bbb.bbb/bb to any flags S/S
<略>
block in on xx0 proto udp from any to any
pass in on xx0 proto udp from any to any port=*** #(udpポートは必要なとこだけ記述)

49 :
スマソ、再度試したらやっぱ切れた。

50 :
>>48
ログがウザイなら log level local1.debug とかすれば
いいんじゃないかな。ログなしはそれはそれで恐いような。
incoming HTTP 等を蹴りたいんなら flags S/S は要らない
のではないかしら。

51 :
>>50
特定のポートはログも取るようなルールにしているのですが、それが特に目的そのものに関係する事では無いのでサンプルには書きませんでした。
又そもそもうざいと感じるのはログに対してではなくて、変なワームが発するパケットの送信元が9割型この2つからなので、それが原因で感じる心理的な疲労感不安感です。
>incoming HTTP 等を蹴りたいんなら flags S/S は要らない
>のではないかしら。
でもflagつけないとACKまで拒否してしまうので向こうのホームページが見れなかったりするんです。
ただflag S/Sじゃなくてflag Sでもいいかもしれませんが。

52 :
>>51
もしかしてステートフルインスペクション機能を使ってないとか?
pass out quick proto tcp from any to any flags S/SA keep state keep frags

53 :
(^^)

54 :
>>52
そういう手があったか。
60秒ルールというのがちょっと不安な感じもします(変更可能?)が試してみます…
試してみたところ、どうも既存のルールにつけたしでやる分には不都合が
あるみたいで新しくルールを作り直さなくてはいけなさそうです。

55 :
FreeBSD 4-STABLEで、
ipnatとports/net/linuxigdでUPnPしようとしているのですが、
upnpdが落ちてしまったり、WinXPが落ちてしまったりで、
不要なリダイレクトのルールが残ってしまうことがあります。
お手軽でうまい方法があればいいのですが、
何か対策をされている方はいらっしゃいませんか?

56 :
S/SAってS/ASって書いちゃ駄目なんですか?

57 :
age

58 :
1 #! /sbin/ipf -Fa -Z -f
1 #pass in quick all
1 #pass out quick all
1 block in log quick from any to any with ipopts
1 block in log quick from any to any with short
1 #
1 # rules on lo0
1 #
1 pass in quick on lo0 all
1 pass out quick on lo0 all
1 #
1 # rules for icmp packets
1 #
1 block in on fxp0 proto icmp all
1 block out on fxp0 proto icmp all
1 pass in on fxp0 proto icmp all
1 pass out on fxp0 proto icmp all
1 #
1 # rules for tcp packets
1 #
1 block in log on fxp0 proto tcp all
1 block out log on fxp0 proto tcp all
1 pass in quick on fxp0 proto tcp all flags A/A
1 #lpr
1 pass in quick on fxp0 proto tcp from any to any port = 515 flags S/SA

59 :
1 #afpd
1 pass in quick on fxp0 proto tcp from any to any port = 548 flags S/SA
1 #windows network
1 pass in quick on fxp0 proto tcp from any to any port 136 >< 140 flags S/SA
1 pass in quick on fxp0 proto tcp from any port 136 >< 140 to any flags S/SA
1 #
1 # rules for udp packets
1 #
1 block in log on fxp0 proto udp all
1 block out log on fxp0 proto udp all
1 #DNS
1 pass in quick on fxp0 proto udp from any port = 53 to any
1 pass out quick on fxp0 proto udp from any to any port = 53
1 #ntp
1 pass in quick on fxp0 proto udp from any port = 123 to any
1 pass out quick on fxp0 proto udp from any to any port = 123
1 #windows network
1 pass in quick on fxp0 proto udp from any to any port 136 >< 140
1 pass in quick on fxp0 proto udp from any port 136 >< 140 to any
1 pass out quick on fxp0 proto udp from any to any port 136 >< 140
1 pass out quick on fxp0 proto udp from any port 136 >< 140 to any

60 :
たたき台
ざっと書いてみた
誰か間違いを修正してくれるとこのスレ的にネタ提供もできるし
漏れのpcも硬くなって一石二丁
とりあえず自分突っ込みで137-139を開いているのは根本的な誤り
61 :あぼーん:あぼーん
あぼーん

62 :
>1 block in on fxp0 proto icmp all
>1 block out on fxp0 proto icmp all
>1 pass in on fxp0 proto icmp all
>1 pass out on fxp0 proto icmp all
>
?
行頭の1は無視
63 :あぼーん:あぼーん
あぼーん

64 :
> block in on fxp0 proto icmp all
> block out on fxp0 proto icmp all
> pass in on fxp0 proto icmp all
> pass out on fxp0 proto icmp all
blockが無意味

65 :
FreeBSD をルータ(ipnat)にして LAN で Winny やろうとしてるんですが
うまくいきません。ご指南お願いします…
ネット側(fxp0)は PPPoE(フレッツ) 、LAN側(fxp1 192.168.0.1)に
Win マシン(192.168.0.2)をつないでます。
ipf.rules は
pass in quick proto tcp from any to 192.168.0.2 port = 7743
pass in quick proto tcp from any to 192.168.0.2 port = 7744
pass in quick all
pass out quick all
ipnat は
map pppoe0 192.168.0.1/24 -> 0/32 proxy port ftp ftp/tcp
map pppoe0 192.168.0.1/24 -> 0/32 portmap tcp/udp 40000:60000
map pppoe0 192.168.0.1/24 -> 0/32

ですが、これでもポート警告が出ちゃう……(;´Д`)

66 :
nyユーザはフィルターなんぞするな。インターネット直結フルオープンでR。

67 :
なにを思ったか自家LANのgatewayをSolaris8(x86)にしてみた。
とうぜんNATにしたわけだが、NATができるソフトウェアが"SunScreen"と"ipf"しかない。

一見手軽そうにみえたipfを入れてみたがかなりてこずった。
LAN ->外 にftpがとおらない。

ftp-proxyとかいろいろ試してみたが、
主力であるDebianクライアントからapt-getで外につなぐと
なんとSolarisNAT箱がハングアップする。

ipfのバージョンを安定してそうな古いのに落として、
ipf.confは"なにもしなくていいですよ"というのにした。
その上でwwwとftpのみLAN内の鯖マシンにforwardする、という設定を
ipnat.confに書いてようやく安定した。

外へのftpはpassiveでしかできないけど、
どうしても必要な場合は
sshでルータまでトンネルを掘るということで妥協した。

68 :
# Solaris(x86)ルータの設定
# ipfstat -i
pass in quick on rf0 from any to any
pass in quick on ni0 from any to any
pass in quick on lo0 from any to any

# ipnat -l
map ni0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp 40000:60000
map ni0 192.168.0.0/24 -> 0.0.0.0/32
rdr ni0 0.0.0.0/0 port 80 -> 192.168.0.253 port 80 tcp //LAN内web鯖用
rdr ni0 0.0.0.0/0 port 20 -> 192.168.0.253 port 20 tcp //以下LAN内ftp鯖用
rdr ni0 0.0.0.0/0 port 21 -> 192.168.0.253 port 21 tcp
rdr ni0 0.0.0.0/0 port 30011 -> 192.168.0.253 port 30011 tcp
rdr ni0 0.0.0.0/0 port 30012 -> 192.168.0.253 port 30012 tcp
rdr ni0 0.0.0.0/0 port 30013 -> 192.168.0.253 port 30013 tcp //LAN内ftp鯖用passive ports (30011-30080)
...
rdr ni0 0.0.0.0/0 port 30080 -> 192.168.0.253 port 30080 tcp

# ndd /dev/tcp tcp_smallest_anon_port tcp_largest_anon_port
32768
65535

# Debianの設定
$ cat /etc/apt/apt.conf
ftp
{
Passive "true";
};

69 :
# ipfのバージョン
$ pkginfo -l ipf
PKGINST: ipf
NAME: IP Filter
CATEGORY: system
ARCH: i386(32-bit)
VERSION: 3.3.22
VENDOR: Darren Reed
DESC: This package contains tools for building a firewall
INSTDATE: Jan 29 2003 13:07
EMAIL: darrenr@pobox.com
STATUS: completely installed
FILES: 75 installed pathnames
11 shared pathnames
1 linked files
21 directories
10 executables
1214 blocks used (approx)
外からLAN内ftp鯖にちゃんとつながるのか、ちょっと不安。
どなたかよかったらテストよろしこ
ftp://lev.ii2.cc/

70 :
>>67
初心者なんですけど、教えていただけますか?
Solaris8(x86)でipfilterをコンパイルするとエラーがでます。
3.4.31です。
バージョンはいくつのものを使ってますか?

71 :
はぁ。
configure出現以前フリーソフトはコンパイルエラーが出て当然だったんだが。

72 :
>>70
わたしもトーシロですが、
3.4.31/3.3.22共にSFWgcc
# pkginfo -l SFWgcc | grep VERSION
VERSION: 2.95.3,REV=2001.11.28.08.39
を使ってコンパイルしました。
SFWncurのncursesのヘッダがSolaris標準のcursesのヘッダとconflictしているようだったので
コンパイルするときだけ pkgrm SFWncur してみたところうまくいきました。
で、このあいだの続報ですが
NICを蟹+蟹純正ドライバ(rtls)に交換/調整したところ、ルールを設定してもハングアップしなくなりました。
どうやら原因はipfではなく、NIC(+非純正ドライバ)のほうだったようです。
Solarisが死ぬ直前に出していたメッセージ↓
[ID 503123 kern.warning] WARNING: rf0: transmit timeout,cr: d<RE,TE,BUFE>, isr: 0, msr: 8<SPEED_10>
[ID 252603 kern.notice] rf0: tx-list: head:-19 tail:-15

73 :
現在以下のようなルールで快調に動いています。
pass in quick on lo0 from any to any
pass in quick on rtls0 from any to any
block in log on rtls1 from any to any
block in log quick on rtls1 from 127.0.0.0/8 to any
block in log quick on rtls1 from 192.168.0.0/24 to any
block in log quick on rtls1 from any to any with opt lsrr
block in log quick on rtls1 from any to any with opt ssrr
block in log quick on rtls1 proto tcp from any to any with short
pass in quick on rtls1 proto tcp from any to any port = 20 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port = 21 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port = 22 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port = 25 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port = 80 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port = 113 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port 30010 >< 30081 flags S/SA keep state
pass in quick proto icmp from any to any icmp-type echorep
pass in quick proto icmp from any to any icmp-type unreach
pass in quick proto icmp from any to any icmp-type squench
pass in quick proto icmp from any to any icmp-type echo
pass in quick proto icmp from any to any icmp-type timex
またipnat.confのてっぺんに↓を追加するとLAN内部から普通のモードでftpできるようになりました。
map rtls1 192.168.0.0/24 -> 0/32 proxy port ftp ftp/tcp
コピペばっかでごめんなさいでした。退散。

74 :
keep state するんなら大抵 port 番号を見てると思うけど、
その場合は keep frags も足した方がいいと思うよ。

75 :
>>74
ご指導ありがとうございます。

今回ipfの日本語ドキュメントをネットでいろいろ捜したのですが、
tarballにも含まれている"IPF.KANJI"以外には
断片的な設定例が発見できただけでした。

きっちり解説してあるものとなると、やはり
http://coombs.anu.edu.au/~avalon/examples.html
http://www.unixcircle.com/ipf/ipf-howto.html
あたりの英語を読まないといけないようですが、
そもそも"IPパケット"の構造がわかっていないと理解は難しいようで、
私にはよくわかりませんでした。

[flags] は RFC793とかに書いてある"tcpヘッダ"のURG ACK PSH RST SYN FIN などを頭文字で名指しで指定できる(らしい?)
[S] だけ指定すると S/AUPRFS を指定したことになる(らしい?)
[S/SA] とはいわゆる"established"を指す(らしい?)が"UPRFS"は見ない(らしい?)

[keep state] は入ってきたパケットの[最初の部分]が[怪しくない]ものと判定されれば、"state table"に登録して
以降はチェックしない(らしい?)

[keep frags] は断片化したパケットが入って来ると、残りの部分を予測して、その部分は通す(らしい?)

...ようするに"えらく難しい"ということは理解できた気がします。

76 :
以上を考慮してルールは以下のようになりました。
pass in quick on rtls0 from any to any
pass out quick on rtls0 from any to any
pass out quick on rtls1 proto icmp from any to any keep state
pass out quick on rtls1 proto udp from any to any keep state
pass out quick on rtls1 proto tcp from any to any flags S keep state keep frags
block in log on rtls1 from any to any
block in log quick on rtls1 from 127.0.0.0/8 to any
block in log quick on rtls1 from 192.168.0.0/24 to any
block in log quick on rtls1 from any to any with opt lsrr
block in log quick on rtls1 from any to any with opt ssrr
block in log quick on rtls1 proto tcp from any to any with short
pass in quick on rtls1 proto tcp from any to any port = 20 flags S keep state keep frags
pass in quick on rtls1 proto tcp from any to any port = 21 flags S keep state keep frags
pass in quick on rtls1 proto tcp from any to any port = 22 flags S keep state keep frags
pass in quick on rtls1 proto tcp from any to any port = 25 flags S keep state keep frags
pass in quick on rtls1 proto tcp from any to any port = 80 flags S keep state keep fragsいてます。
pass in quick on rtls1 proto tcp from any to any port = 113 flags S keep state keep frags
pass in quick on rtls1 proto tcp from any to any port 30010 >< 30081 flags S keep state keep frags
pass in quick proto icmp from any to any icmp-type echorep
pass in quick proto icmp from any to any icmp-type unreach
pass in quick proto icmp from any to any icmp-type squench
pass in quick proto icmp from any to any icmp-type echo
pass in quick proto icmp from any to any icmp-type timex
pass in quick on lo0 from any to any
pass out quick on lo0 from any to any
...一見快調に動いてるようですが、
あからさまに蛸な部分がありましたらまたご指導お願いします。ではこのへんで
退散。

77 :
最後にblockルールでログ取る。

78 :
>>67
まだエラーが出ます。
・SFWgccのVERSION: 2.95.3,にあげました。(REV=2001.11.28.08.39ではない)
・pkgrm SFWncur をしました。
ソースに手を入れる必要ありますかね?
ちなみにSFWncurのソースだというのはどこを見れば分かるんでしょうか?

79 :
>>76
head, group 使ってみ
block in log on rtls1 from any to any head 100
block in log quick from 127.0.0.0/8 to any group 100
....
block in log proto tcp from any to any head 110 group 100
pass in quick proto tcp from any to any port = 22 flags S keep state keep frags group 110
....
とかな
>>75 みたいにまとめてるのを見ると、成長がみられて微笑ましくて、(・∀・)イイ!!

80 :
S/SAってS/ASと書いてはだめなのですか?
Syn->
<-AckSyn
Ack->
というように勉強していたのでSAと書くとどうも違和感が....
実際試して見たところ特に問題は無く動作しているようなのですが、もしかしたら
ルールにマッチしていると思ったつもりで実はマッチしていないのかもしれません。

81 :
224件
http://www.google.com/search?q=acksyn
4590件
http://www.google.com/search?q=synack

82 :
>>80
順番は全く問題ない。
=== common.c ===
char flagset[] = "FSRPAUEC";
u_char flags[] = { TH_FIN, TH_SYN, TH_RST, TH_PUSH, TH_ACK, TH_URG,
TH_ECN, TH_CWR };
〜〜
u_char tcp_flags(flgs, mask, linenum)
〜〜
if (!(t = index(flagset, *s))) {
fprintf(stderr, "%d: unknown flag (%c)\n", linenum, *s);
return 0;
}
*fp |= flags[t - flagset];

83 :
最近の雑誌にはACK+SYNと書いてあった

84 :
保守

85 :
OpenBSDから見事に外されたIPFカワイソウ

86 :
>>85
だってipfのライセンスてイヤーンなんだもん

87 :
OpenBSD の pf って ipf 互換?

88 :
config fileの記法が似ているって聞いたけど、本当?

89 :
似てる。pass in quick on tun0 proto tcp from any to any port ssh
こんなふうに、ipf のルールがそのまま pf でも書けることもある。
でも pf には ipf の head、group は無いし、動作も微妙に違うので上位互換というわけではない。
(groupキーワードはパケットを出したソケットのownerの条件として使われる)

90 :
>89 サンクスコ

91 :
IPにフィルタをかけるとそれはパケットになってしまうのです。

92 :
>>87
OpenBSD使ってるんだったら、pfで良いじゃん。ipfなんて関係ないだろ。

93 :
OpenBSD 用の ipf も、ipfilter.org の方で、まだ保守されてるん
じゃなかったっけ? いやまあ、普通に使うんなら pf 使う方が
楽だとは思うけどさ。
あと、pf の NAT って、今では ipf の NAT 機能全て備えているん
だっけ? なんか、できない機能がいろいろあったような覚えが
あるんだけど。

94 :
>>93
あれはTheo君がipfにぶちきれて作ったもんだからねぇ
多少は機能が落ちるのかも

95 :
>あと、pf の NAT って、今では ipf の NAT 機能全て備えているん
>だっけ? なんか、できない機能がいろいろあったような覚えが
>あるんだけど。
IPv6があるじゃないか。

96 :
pfはipfより見易くて綺麗と思う。
つかipfてソース見りゃわかるが結構ぐちゃぐちゃな気が。

97 :
>>65遅レスだけど...
詳しくないけどP2PのWinnyでは、正確にポートマッピング
してやらないと正常動作しないのではないかと思う。
だから、ipnatにrdrで転送ポートをローカルのIPアドレス側に
流してやる。
例えば、
rdr xxx.xxx.xxx.xxx/32 port yyyyy -> rdr 192.168.0.1 port zzzzz tcp
とか。
やってみたら?ってもうやってるか...

98 :
>>97
間違え
>rdr xxx.xxx.xxx.xxx/32 port yyyyy -> rdr 192.168.0.1 port zzzzz tcp
rdr xxx.xxx.xxx.xxx/32 port yyyyy -> 192.168.0.1 port zzzzz tcp

99 :
rdr を書く位置って 特に気にする必要はあるんですか?
map の直後でいいんですよね…

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
NetHack 地下:58 (310)
pthread地獄 part 2 (219)
unixユーザーのたべもの (386)
おまえら! shell は何を使っているんですか? (690)
goRua(Ruby/Gtkによる2chブラウザ)ってどうよ。 (558)
goRua(Ruby/Gtkによる2chブラウザ)ってどうよ。 (558)
--log9.info------------------
お前いくつ?タイマン張れやカス【Part2】 (250)
中古のプレジデントを買おうと思ってるんですけど (496)
【月100台】回し屋の大先生(笑)【月1000万】 (492)
カッチャオって実際どーよ? (545)
アライオークション (福岡会場限定) (460)
レクサス認定中古車店をトヨタ都内にOPEN@国内3年め (215)
地震によってこれから影響が予想される中古車市場 (236)
GNN (377)
改ざん車を実走行として販売 ヤフオクID:powerzei (217)
低グレードの中古車買うとエンジンブレーキ無しだよ (285)
埼玉のアク0スオートについて語ろう (245)
最強の組み合わせ (343)
【三菱】スーパーグレート【ふそう】その3 (220)
救急車について語ろう (203)
バスにもリミッター導入するべきと思う数→ (357)
建設重機の独り言 (342)
--log55.com------------------
【スクフェス】ラブライブ!スクールアイドルフェスティバル無課金スレ83
【悲報】スクスタにチ〇コが映る Part.2
酒好き、スロ好き、麻雀好きの桜坂しずく役の前田佳織里さん
降幡さんで抜いてしまった……………
斉藤朱夏でシコりたいよ
【グラブル】ニヒリスちゃんかわいい 11凸 【ラブライブ!シリーズコラボ】
すわわのおぱんつ
あいちゃん「スクスタくーん、いっしょにおうち帰ろー♪」クラスメイト「ヒソヒソ」ニヤリ