BSDFreaks.nl

[b]Met dank aan Edwin Pauli voor het schrijven van deze handleiding en het mogen publiceren op deze site.[/b]
Cursief afgebeelde tekst is commentaar

Inhoud
1. Inleiding
2. Kernel
3. Configuratie bestanden
4. Herstart het systeem
5. Verbinding maken
[pagebreak]

[b]1. Inleiding[/b]
FreeBSD is een fantastisch gratis UNIX-achtig besturingsysteem voor vele architecturen.
Broadband Basic en Broadband Premium zijn 2 goede producten van Wanadoo.
Wie wil dit nou niet combineren. Op deze site wordt beschreven hoe mijn
configuratie eruit ziet. Op het moment van schrijven is mijn verbinding al ruim
20 dagen up, dus geen enkel probleem.

[b]2. Kernel[/b]
Na de installatie van FreeBSD hoeft er, om Wanadoo Cable BB werkend te krijgen,
niks te gebeuren aan de kernel. Om een goed en snel systeem te krijgen is het altijd
aan te raden na de installatie zelf een kernel te compileren, met daarin alleen
support voor de in het systeem aanwezige hardware. Zie elders bij de howto’s over
hoe zelf een kernel te bakken.

[b]3. Configuratie bestanden[/b]
De configuratie van de PPP daemon bestaat uit 2 bestanden, te weten:
/etc/ppp/ppp.conf en /etc/ppp/ppp.linkup.

Er wordt ook een derde file beschreven, namelijk /etc/rc.conf. In deze file komen
een aantal dingen die na een reboot automatisch worden ingesteld, zoals het
ip-adres van de NIC. In ppp.conf staan onder andere de inlognaam en wachtwoord. ppp.linkup zorgt voor het maken van de juiste DEFAULT ROUTE.
Met ppp.linkup kun je ook bestanden laten uitvoeren na het opkomen van de verbinding.
Verander de permissies van de configuratie bestanden, zodat alleen user root hier toegang toe heeft.
Doe dit met:
[shell]touch /etc/ppp/ppp.linkup
chmod 600 /etc/ppp/ppp.conf
chmod 600 /etc/ppp/ppp.linkup[/shell]

Edit /etc/ppp/ppp.conf met je favoriete editor en zorg dat hij er zo uit komt te zien.
[shell]default:
set redial 1 0
set reconnect 3 10

wanadoo:
set device PPPoE:IF:
set log Warning Error Alert
set cd 5
set dial
set login
set timeout 0
set authname cXXXXXXX@wanadoo
set authkey XXXXXXXX
[/shell]
[i]Verander IF in de naam van de interface van jouw NIC (=Network Interface
Card, ook wel ethernetkaart genoemd) die wordt gebruikt voor Wanadoo
Cable Broadband. Als je niet weet wat deze naam is kun je dat opvragen met het
commando “ifconfig”. Hieronder een deel van de output van een 3Com NIC.

xl1: flags=8843 UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST mtu 1500
inet 10.0.0.1 netmask 0xff000000 broadcast 255.255.255.0
In dit geval is xl1 de interface van de NIC.

Vervang cXXXXXXX door jouw inlognaam (c-nummer dat je van Casema
hebt gekregen bij de aanmelding)
Vervang XXXXXXX door jouw wachtwoord.[/i]

Edit /etc/ppp/ppp.linkup met je favoriete editor en zorg dat hij er zo uit komt te zien.
[shell]wanadoo:
iface clear
add! default HISADDR

bg /bin/echo “Connected. Using MYADDR as external address (MYADDR — HISADDR)”
bg /usr/bin/logger “LABEL – Connected. Using MYADDR as external address. (MYADDR — HISADDR)”

bg /etc/firewall-ipfw
bg /etc/dyndns.conf
[/shell]
[i]Dit zijn 2 voorbeelden van bestanden die na het opkomen van de verbinding worden uitgevoerd. Een firewall-script
en een dyndns.org-script voor het wijzigen van mijn IP-adres in de DNS-server van dyndns.
[/i]
Edit /etc/rc.conf met je favoriete editor en zorg dat hij er zo uit komt te zien.
[shell]gateway_enable=”YES”
network_interfaces=”auto” #Set network interfaces automatically
ifconfig_IF=”inet 10.0.0.1 netmask 255.0.0.0″
ppp_enable=”YES”
ppp_mode=”ddial”
ppp_nat=”NO”
ppp_profiles=”wanadoo”
[/shell]
[i]Door gateway_enable op “YES” te zetten kan de internet verbinding worden gedeeld met bijv. een lokaal netwerk.
Als je dit niet wilt, verander YES dan in NO.
Vervang IF door de interface naam van de NIC die je NIET hebt opgegeven in ppp.conf
Met ppp_enable=”YES” wordt er direct bij het opstarten een verbinding gemaakt[/i]

[b]4. Herstart het systeem[/b]
Herstart het systeem nadat alle configuratie files zijn gemaakt. Tijdens de startup worden een
aantal dingen uit rc.conf gehaald die belangrijk zijn voor het functioneren van de internet-verbinding.

[b]5. Vebinding maken[/b]
Dit is de laatste stap.
Als je alles goed hebt gedaan kun je met onderstaande regel vebinding maken met Wanadoo:
[shell]ppp -ddial -alias wanadoo [/shell]

Voordat je je router ook maar probeert te configureren, moet je eerst een werkende FreeBSD installatie hebben met [b]2[/b] netwerkkaarten erin.
De ene netwerkkaart moet goed geconfigureerd staan voor het “buiten” netwerk (of dat nou Chello @home of wat dan ook is) en de andere is je “binnen” netwerk.
Je lokale netwerk dus.
Tevens moet je op de hoogte zijn van het configureren / configgen van een Kernel.
(zie daarvoor ook ‘Hoe een kernel te bakken?’, geschreven door sPiNe.
[pagebreak]
Allereerst gaan we de Kernel config bekijken die nodig is voor het routeren van pakketjes.
Open de Kernel config en voeg de volgende regels daarin toe :
[quote]
options IPFIREWALL
options IPDIVERT
[/quote]
Dit zijn meteen al de belangrijkste opties. Firewall/NAT (Network Address Translation) , wat je beide nodig hebt voor je router, staan nu aan.
Nog een paar handige zijn de volgende :
[quote]
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
[/quote]
Dit zorgt ervoor dat je firewall ietsje preciezer is over de informatie van gedropte pakketje enzo.
De tweede regel zorgt ervoor dat al die informatie die je logbestandjes inhoud geeft niet helemaal uit de klauwen loopt.
Voor meer opties en mogelijkheden verwijs ik je naar het artikeltje geschreven door sPiNe, te vinden onder het menu-item Howto’s .
Volgende stap!
Pak je favoriete editor erbij en edit het bestandje /etc/rc.conf
Voor diegenen die het niet weten, een kleine uitleg tussendoor. (voor degenen die het wel weten, lees ook maar lekker even mee :))
In de directory /etc/defaults/rc.conf staan je “systeem” instellingen. (bij gebrek aan een betere omschrijving …).
Heb je een firewall aan? Wil je SSH automatisch starten? al dit soort handige dingetjes staan daarin.
Zodra deze configuratie geladen is, laadt hij daarna het bestand /etc/rc.conf. Feitelijk is dit hetzelfde soort bestand, maar als je dus wil afwijken van wat standaard is, kan je dit daarin doen, aangezien die instellingen dan de standaard overschrijven. Hopelijk is dit een beetje duidelijk 🙂
We waren dus bij het editten van het bestand /etc/rc.conf.
Daar zetten we de volgende regels in :
[quote]
gateway_enable=”YES” # We gaan gateway spelen!
firewall_enable=”YES” # Maar we doen het wel veilig, met firewall
firewall_script=”/etc/rc.firewall” # Dit wordt straks ons firewall bestand.
firewall_type=”open” # Firewall type. Later meer hierover
firewall_quiet=”NO” # Alle firewall regeltjes netjes in beeld tonen
natd_program=”/sbin/natd” # NATD, onze grote router vriend.
natd_enable=”YES” # NATD aan? lijkt mehandig ..
natd_interface=”dc0″ # NATD netwerkkaart. Zie ‘ifconfig -a’ voor info
natd_flags=”-f /etc/natd.conf” # Extra opties voor NATD
[/quote]
Nu meer over de firewall die daarboven staat.
De firewall die nu in het configuratie bestand staat is van het type “open”.
In principe schermt NATD je werkstations ook wel af van de buitenwereld (Voor rechtstreekse benadering in ieder geval), maar echt veilig is anders.
Voor degenen die meer veiligheid willen, aan het einde een aangepaste firewall met een aantal voorbeelden. Voor nu laten we het hier even bij, om alles in ieder geval in de lucht te krijgen.
Dan rest ons nog 1 ding en dat is het aanmaken van het volgende bestand : /etc/natd.conf
Pak je favo editor er dus maar weer bij en zet de volgende dingen in dat bestandje :
[quote]
dynamic yes
use_sockets yes
same_ports yes
[/quote]
Die eerste regel is voor de mensen onder ons die via DHCP het net op moeten (Chello bijvoorbeeld). Als dit niet opgaat voor jouw situatie, kan je deze regel verwijderen.
Controleer nu alleen nog even of NATD na het rebooten z’n werk kan doen.
Tik het volgende in :

[shell]cat /etc/services | grep natd [/shell]

Als het goed is, moet je de volgende regel zien:

[shell]natd 8668/divert # Network Address Translation[/shell]

Als je dat ziet, zit je nu in principe al goed. Krijg je niks terug, tik dan dit in:

[shell] echo “natd 8668/divert” >> /etc/services[/shell]

Als het goed is [b]hoef je dit in een normale situatie niet te doen[/b].
Op dit moment heb je een werkende router (na rebooten 🙂 ) gefeliciteerd!
Reboot en probeer het maar eens uit.
Voor de mensen die nu iets meer veiligheid willen, de aangepaste firewall.
Maak een nieuw bestandje aan in /etc, bijvoorbeeld /etc/rc.vuurmuur en zet daar het volgende in :
[quote]
ipfw add 20 deny tcp from any to any 137 via xl1
ipfw add 30 deny tcp from any to any 138 via xl1
ipfw add 40 deny tcp from any to any 139 via xl1
ipfw add 50 deny tcp from any to any 3306 via xl1
ipfw add 60 deny tcp from any to any 515 via xl1
ipfw add 70 deny tcp from any to any 1542 via xl1
ipfw add 75 deny tcp from any to me 25 via xl1
ipfw add 77 deny tcp from any to me 23 via xl1

ipfw add 110 divert natd all from any to any via xl1
ipfw add 120 allow all from any to any
[/quote]
* Firewall copyright RoeLz 🙂
Let op: xl1 is in dit geval de netwerkkaart die aan internet hangt!

Pas in /etc/rc.conf het volgende regeltje aan :
[quote]
firewall_script=”/etc/rc.firewall” # Dit wordt straks ons firewall bestand.
[/quote]
Zet daar de naam van het bestand in wat je net aangemaakt hebt.
Dan als laatste vanaf je console:
[shell]sysctl -w net.inet.tcp.blackhole=1[/shell]
Klaar is klara 🙂 rebooten en je bent voorlopig klaar.
Opmerking tussendoor: De firewall die hierboven staat, kan wel helemaal niet geschikt zijn voor jouw situatie.
Binnenkort komt hier wel een uitleg over hoe je precies een dijk van een firewall neerzet, maar op het net is ook genoeg te vinden over de precieze werking van ipfw. (of natuurlijk ‘man ipfw’ ! )
Succes ermee en mocht je tegen problemen aanlopen, klopt gerust aan op het forum!

Voorkennis: niet strikt noodzakelijk‚ enige kennis van freebsd is wel aan te raden.
Benodigheden: Pc met netwerk kaart‚apache
[pagebreak]
Om erachter te komen wat de data load van je server is kun je onder *NIX systemen gebruik maken van het programma Multi Router Traffic Grapher (kort MRTG)
Dit programma zorgt ervoor dat je van deze mooie grafiekjes krijgt:
[img]http://www.stat.ee.ethz.ch/mrtg/rou-gw-switch-1-lp_129.132.99.213-day.png[/img]

Uit deze grafieken kun je dus informatie halen wanneer je server het zwaarst belast wordt.

Door het gebruik van snmp komt MRTG aan zijn informatie voor verder details over snmp zie de links onderaan. In dit document zullen we zelf snmp gaan opzetten‚ wanneer je beschikt over een router die ook snmp ondersteund dan kun je instellen dat MRTG daar zijn data vandaan haalt‚ echter wordt dat niet in dit document behandeld.

[b]Opzetten snmp[/b]

Snmp installeren:
[shell]# cd /usr/ports/net/net-snmp/
# make install clean
[/shell]
Net-snmp configureren:

[shell]cd /usr/local/etc/
snmpconf -g basic_setup[/shell]
De vragen beantwoorden als je het niet weet overslaan‚ belangrijk is dat je een community public hebt.

Startup script even aanpassen
[shell]ee /usr/local/etc/rc.d/snmpd.sh
#voeg toe
${PREFIX}/sbin/snmpd -c /usr/local/etc/snmpd.conf && echo -n ‘ snmpd'[/shell]

snmp starten (gebeurt ook na een reboot)
[shell]# /usr/local/etc/rc.d/snmpd.sh start[/shell]
even controleren of hij werkt
[shell]#ps -x |grep snmpd
[/shell]
als het goed is zie je zoiets als dit:
[shell]413 con- I 0:03.90 /usr/local/sbin/snmpd
[/shell]

Nu snmp draait kunnen we beginnen met MRTG

[b]Opzetten MRTG[/b]

MRTG installeren:
[shell]# cd /usr/ports/net/mrtg
# make install clean
[/shell]

Nu moeten we mrtg nog gaan configureren dit doen we met ?cfgmaker?

De locatie moet je nog wel aanpassen
[shell]#cfgmaker –global ‘WorkDir: /usr/local/www/data/mrtg’ –global ‘Options[_]: bits‚growright’ –output /usr/local/etc/mrtg/mrtg.cfg public@jouw_ip_nr
[/shell]

Als het goed is zie je een hoop informatie voorbij scrollen.

Als laatste gaan we gaan we mrtg uitvoeren en kijken of alles werkt.
[shell]#touch /var/log/mrtg.log
# /usr/local/bin/mrtg /usr/local/etc/mrtg/mrtg.cfg –logging /var/log/mrtg.log
[/shell]
als het goed is staat er nu een mooie html file in je ?WorkDir? en een aantal png files. Anders kijk in ?/var/log/mrtg.log?
[shell]# ls /usr/local/www/data/mrtg/
[/shell]

Open deze html in je browser.

Nu willen we natuurlijk dat de grafieken bijgehouden worden‚ dit doen we d.m.v een cronjob.

Open het bestand ?/etc/crontab? in je favoriete texteditor (vi‚pico‚ee)
[shell]#ee /etc/crontab (gebruik zelf ee)
[/shell]

voeg de volgende regel toe aan deze file:

0‚5‚10‚15‚20‚25‚30‚35‚40‚45‚50‚55 * * * * root /usr/local/bin/mrtg /usr/local/etc/mrtg/mrtg.cfg –logging /var/log/mrtg.log

dit zorgt ervoor dat je grafieken om de 5 min worden geupdated.

Dit was de installatie van MRTG veel plezier ermee.

Voor het totale verkeer is een handig programma aanwezig zie hiervoor:
[url]http://gbgraph.menthenberg.nl/[/url]
Voor gebruik van deze scripts zijn onder FreeBSD aantal patches nodig:
[url=http://www.bsdfreaks.nl/files/mrtg/archiver.patch]archiver patch[/url]
[url=http://www.bsdfreaks.nl/files/mrtg/gbgraph.patch]gbgraph patch[/url]
Deze kun je als volgt uitvoeren:
[shell]patch < gbgrap.patch gbgraph.pl[/shell] Hiernaast heb je ook een oude mrtglog nodig: [url=http://www.bsdfreaks.nl/files/mrtg/mrtglog.c]mrtglog.c[/url] Compileren met: [shell]gcc -o mrtglog mrtglog.c[/shell] Naast netwerk metingen zijn er nog veel meer dingen mogelijk met MRTG‚ zoals cpu belasting en geheugen gebruik ga hiervoor zelf even op onderzoek uit. Het programma RRDTOOL lijkt erg veel op MRTG zie hiervoor: [url]http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/[/url] Links [url]http://www.mrtg.org[/url] (mrtg homepage) [url]http://net-snmp.sourceforge.net[/url] (snmp homepage) [url]http://www.ee.ethz.ch/stats/mrtg/[/url] (veel voorbeelden)