From owner-freebsd-users-jp@freebsd.org Thu Jun 30 04:06:11 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 508B6B878B4 for ; Thu, 30 Jun 2016 04:06:11 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from garbha.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by mx1.freebsd.org (Postfix) with ESMTP id 0DEC12E1B for ; Thu, 30 Jun 2016 04:06:10 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from indra.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by garbha.ism.ac.jp (8.15.2/8.15.2) with ESMTPS id u5U3xpTo050496 (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Thu, 30 Jun 2016 12:59:51 +0900 (JST) (envelope-from maruyama@ism.ac.jp) Received: (from maruyama@localhost) by indra.ism.ac.jp (8.15.2/8.15.2/Submit) id u5U3xpEO011120; Thu, 30 Jun 2016 12:59:51 +0900 (JST) (envelope-from maruyama@ism.ac.jp) X-Authentication-Warning: indra.ism.ac.jp: maruyama set sender to maruyama@ism.ac.jp using -f From: maruyama@ism.ac.jp (=?iso-2022-jp?B?GyRCNF07M0Q+PjsbKEI=?=) To: freebsd-users-jp@freebsd.org Organization: =?iso-2022-jp?B?GyRCRX03Vz90TX04JjVmPWobKEI=?= Reply-To: maruyama@ism.ac.jp Date: Thu, 30 Jun 2016 12:59:50 +0900 Message-ID: MIME-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Subject: [FreeBSD-users-jp 95826] =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 04:06:11 -0000 統計数理研究所の丸山です。 PC-BSD 10.x ではipfw がデフォルトでon になっているため、否応もなくipfw のことを勉強せざるを得なくなったのですが、どうも私のアタマでは理解できな い現象に遭遇したので、ここにお尋ねします。ipfw の設定によってDNSが引けな くなってしまうのです。 /etc/ipfw.custom に ipfw -q add 110 allow ip from 133.58.124.49 to any のようなルールを入れて、ipfw を再起動します。 service ipfw restart ただし、ここに 133.58.124.49 は default route に向かっているインターフェー スです。 # netstat -rn |head Routing tables Internet: Destination Gateway Flags Netif Expire default 133.58.124.99 UGS bge0 127.0.0.1 link#3 UH lo0 133.58.15.0/24 link#2 U bge1 133.58.15.113 link#2 UHS lo0 133.58.124.0/24 link#1 U bge0 133.58.124.49 link#1 UHS lo0 という感じ。すると、あろうことか、 DNSが引けなくなってしまうのです。 # dig @dns-x.ism.ac.jp ism.ac.jp ns dig: couldn't get address for 'dns-x.ism.ac.jp': failure "deny" ではなく "allow" なのにパケットが受け取れなくなる、というのは どうも私のアタマでは理解できません。お助けください。 なお、上記 allow が default route に向かっていないインターフェースのアド レスの場合には、問題は起きません。 10.2, 10.3 ともに同じ症状です。 よろしく。 -------- 丸山直昌@統計数理研究所 From owner-freebsd-users-jp@freebsd.org Thu Jun 30 04:10:43 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 5804EB87B42 for ; Thu, 30 Jun 2016 04:10:43 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from garbha.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by mx1.freebsd.org (Postfix) with ESMTP id ED5EF20D9 for ; Thu, 30 Jun 2016 04:10:42 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from indra.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by garbha.ism.ac.jp (8.15.2/8.15.2) with ESMTPS id u5U4Af9x050845 (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Thu, 30 Jun 2016 13:10:41 +0900 (JST) (envelope-from maruyama@ism.ac.jp) Received: (from maruyama@localhost) by indra.ism.ac.jp (8.15.2/8.15.2/Submit) id u5U4Afrl011340; Thu, 30 Jun 2016 13:10:41 +0900 (JST) (envelope-from maruyama@ism.ac.jp) X-Authentication-Warning: indra.ism.ac.jp: maruyama set sender to maruyama@ism.ac.jp using -f From: maruyama@ism.ac.jp (=?iso-2022-jp?B?GyRCNF07M0Q+PjsbKEI=?=) To: freebsd-users-jp@freebsd.org In-Reply-To: (maruyama@ism.ac.jp) Organization: =?iso-2022-jp?B?GyRCRX03Vz90TX04JjVmPWobKEI=?= Reply-To: maruyama@ism.ac.jp Date: Thu, 30 Jun 2016 13:10:40 +0900 Message-ID: MIME-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Subject: [FreeBSD-users-jp 95827] Re: =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 04:10:43 -0000 統計数理研究所の丸山です。 # dig @133.58.32.12 ism.ac.jp ns だと少しタイムアウトまでの時間が短くなりますが、同じようなものです。 ; <<>> DiG 9.10.3-P4 <<>> @133.58.32.12 ism.ac.jp ns ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached Thu, 30 Jun 2016 12:59:50 +0900 maruyama@ism.ac.jp (丸山直昌) writes: >統計数理研究所の丸山です。 > >PC-BSD 10.x ではipfw がデフォルトでon になっているため、否応もなくipfw >のことを勉強せざるを得なくなったのですが、どうも私のアタマでは理解できな >い現象に遭遇したので、ここにお尋ねします。ipfw の設定によってDNSが引けな >くなってしまうのです。 > >/etc/ipfw.custom に > > ipfw -q add 110 allow ip from 133.58.124.49 to any > >のようなルールを入れて、ipfw を再起動します。 > > service ipfw restart > >ただし、ここに 133.58.124.49 は default route に向かっているインターフェー >スです。 > ># netstat -rn |head >Routing tables > >Internet: >Destination Gateway Flags Netif Expire >default 133.58.124.99 UGS bge0 >127.0.0.1 link#3 UH lo0 >133.58.15.0/24 link#2 U bge1 >133.58.15.113 link#2 UHS lo0 >133.58.124.0/24 link#1 U bge0 >133.58.124.49 link#1 UHS lo0 > >という感じ。すると、あろうことか、 DNSが引けなくなってしまうのです。 > ># dig @dns-x.ism.ac.jp ism.ac.jp ns >dig: couldn't get address for 'dns-x.ism.ac.jp': failure > >"deny" ではなく "allow" なのにパケットが受け取れなくなる、というのは >どうも私のアタマでは理解できません。お助けください。 > >なお、上記 allow が default route に向かっていないインターフェースのアド >レスの場合には、問題は起きません。 10.2, 10.3 ともに同じ症状です。 > >よろしく。 > >-------- >丸山直昌@統計数理研究所 From owner-freebsd-users-jp@freebsd.org Thu Jun 30 07:12:51 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id AED3AB86442 for ; Thu, 30 Jun 2016 07:12:51 +0000 (UTC) (envelope-from hirano@t.kanazawa-u.ac.jp) Received: from mailwd01.kanazawa-u.ac.jp (mailwd01.kanazawa-u.ac.jp [133.28.3.23]) (using TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 7C8A22E49 for ; Thu, 30 Jun 2016 07:12:50 +0000 (UTC) (envelope-from hirano@t.kanazawa-u.ac.jp) Received: from mailvc01.kanazawa-u.ac.jp (mailvc01.kanazawa-u.ac.jp [133.28.3.91]) by mailwd01.kanazawa-u.ac.jp (Postfix) with ESMTP id 1F49D3C1FE9 for ; Thu, 30 Jun 2016 16:12:41 +0900 (JST) Received: from mailvc01.kanazawa-u.ac.jp (localhost [127.0.0.1]) by localhost.kanazawa-u.ac.jp (Postfix) with ESMTP id 0D7003B316 for ; Thu, 30 Jun 2016 16:12:41 +0900 (JST) Received: from smtp01.kanazawa-u.ac.jp (smtp01.kanazawa-u.ac.jp [133.28.3.64]) by mailvc01.kanazawa-u.ac.jp (Postfix) with ESMTP id 023853B290 for ; Thu, 30 Jun 2016 16:12:41 +0900 (JST) Received: from mail.se.kanazawa-u.ac.jp (mail.se.kanazawa-u.ac.jp [133.28.0.131]) by smtp01.kanazawa-u.ac.jp (Postfix) with ESMTP id F166C11605A for ; Thu, 30 Jun 2016 16:12:40 +0900 (JST) Received: from [192.168.1.197] (canes.ec.t.kanazawa-u.ac.jp [133.28.97.35]) (Authenticated sender: hirano@se.kanazawa-u.ac.jp) by mail.se.kanazawa-u.ac.jp (Postfix) with ESMTPSA id E28BB4E61B for ; Thu, 30 Jun 2016 16:12:39 +0900 (JST) To: freebsd-users-jp@freebsd.org References: From: Akihiro HIRANO Message-ID: <54a8b85f-54a4-0761-3acb-5acbcaccc534@t.kanazawa-u.ac.jp> Date: Thu, 30 Jun 2016 16:12:43 +0900 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.1.1 MIME-Version: 1.0 In-Reply-To: Content-Type: text/plain; charset=iso-2022-jp; format=flowed; delsp=yes Content-Transfer-Encoding: 7bit X-TM-AS-MML: No Subject: [FreeBSD-users-jp 95828] Re: =?utf-8?q?ipfw=E3=81=A8DNS?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 07:12:51 -0000 平野@金沢大です。 On 2016/06/30 12:59, 丸山直昌 wrote: > PC-BSD 10.x ではipfw がデフォルトでon になっているため、否応もなくipfw > のことを勉強せざるを得なくなったのですが、どうも私のアタマでは理解できな > い現象に遭遇したので、ここにお尋ねします。ipfw の設定によってDNSが引けな > くなってしまうのです。 > > /etc/ipfw.custom に > > ipfw -q add 110 allow ip from 133.58.124.49 to any > > のようなルールを入れて、ipfw を再起動します。  支障がなければ、「ipfw list」の結果を示して頂くのが早道だと思います。  一つの可能性は、最後にデフォルトで 65535 deny ip from any to any が入っていて、戻りパケットを全て棄却していることかと。 ---- 平野晃宏@金沢大学 大学院 自然科学研究科 電子情報科学専攻 hirano@t.kanazawa-u.ac.jp From owner-freebsd-users-jp@freebsd.org Thu Jun 30 07:18:03 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 2146FB8666B for ; Thu, 30 Jun 2016 07:18:03 +0000 (UTC) (envelope-from bounce-mc.us13_56657121.317381-freebsd-users-jp=FreeBSD.org@mail67.atl11.rsgsv.net) Received: from mail67.atl11.rsgsv.net (mail67.atl11.rsgsv.net [205.201.133.67]) by mx1.freebsd.org (Postfix) with ESMTP id DB2E82003 for ; Thu, 30 Jun 2016 07:18:02 +0000 (UTC) (envelope-from bounce-mc.us13_56657121.317381-freebsd-users-jp=FreeBSD.org@mail67.atl11.rsgsv.net) DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=k1; d=mail67.atl11.rsgsv.net; h=Subject:From:Reply-To:To:Date:Message-ID:List-ID:List-Unsubscribe:Sender:Content-Type:MIME-Version; i=abbywen1=3D126.com@mail67.atl11.rsgsv.net; bh=3zy60vLmBy3ho/7HCGLwo72Owvw=; b=s9FUShp/yB1gpcV/y2+w296XDl96xP1CuLPRp2sKykyQF9LT9ugR7VOpXK5FjFCZOvajtB9cItYW 80vgF/4phEnhQFmEX4ezAL29lzqYGhXyrsD1xsTjZD/jDyTeMi4CXRdyxyfqodIKRPc4PwKAwNNO 3JWnizA+uvq1pc8ghYI= Received: from (127.0.0.1) by mail67.atl11.rsgsv.net id hej3qk1lgi0n for ; Thu, 30 Jun 2016 07:18:00 +0000 (envelope-from ) From: =?utf-8?Q?Abby=20|=20Kingfast=20SSD?= Reply-To: =?utf-8?Q?Abby=20|=20Kingfast=20SSD?= To: Date: Thu, 30 Jun 2016 07:18:00 +0000 Message-ID: X-Mailer: MailChimp Mailer - **CID5b0bf1126690bd6cf38c** X-Campaign: mailchimpff6f7e858a570f49a56fed270.5b0bf11266 X-campaignid: mailchimpff6f7e858a570f49a56fed270.5b0bf11266 X-Report-Abuse: Please report abuse for this campaign here: http://www.mailchimp.com/abuse/abuse.phtml?u=ff6f7e858a570f49a56fed270&id=5b0bf11266&e=90bd6cf38c X-MC-User: ff6f7e858a570f49a56fed270 X-Feedback-ID: 56657121:56657121.317381:us13:mc X-Accounttype: ff Sender: "Abby | Kingfast SSD" x-mcda: FALSE MIME-Version: 1.0 Content-Type: text/plain; charset="utf-8"; format="fixed" Content-Transfer-Encoding: quoted-printable X-Content-Filtered-By: Mailman/MimeDel 2.1.22 Subject: [FreeBSD-users-jp 95829] =?utf-8?q?Save_your_cost_with_Kingfast_SSD?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 07:18:03 -0000 View this email in your browser (http://us13.campaign-archive1.com/?u=3Dff= 6f7e858a570f49a56fed270&id=3D5b0bf11266&e=3D90bd6cf38c) ** A Letter From The Sales Manager ------------------------------------------------------------ Dear Friend=2C Good Day. This is Abby from Kingfast SSD=2C we are one of the leading and profession= al manufacturer of High-Tech SSD(Solid State Drive) products in China. We= provide a wide range of SSD products with different interfaces/capacities= to Consumer=2C enterprise and industrial customers. Our Advantage: KingFast provide 3 year warranty for ALL SSDs. KingFast built a longterm business with customers around the world. KingFast would like to join you to get win win. Please contact us if any interest for more information about product=2C da= ta sheet and prices. Thank and Regards=2C Sincerely=2C Abby Wen Sales Manager=2C Kingfast SSD Manufacturer =3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D= =3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D= =3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D Copyright =C2=A9 2016=2C Kingfast SSD Manufacturer=2C All rights reserved. Our mailing address is: abby@kfast.com.cn | abbyw@kfast.com.cn This email was sent to freebsd-users-jp@FreeBSD.org (mailto:freebsd-users-jp@FreeBSD.org) why did I get this? (http://kfast.us13.list-manage.com/about?u=3Dff6f7e858= a570f49a56fed270&id=3Ddbd878d97a&e=3D90bd6cf38c&c=3D5b0bf11266) unsubscr= ibe from this list (http://kfast.us13.list-manage.com/unsubscribe?u=3Dff6f= 7e858a570f49a56fed270&id=3Ddbd878d97a&e=3D90bd6cf38c&c=3D5b0bf11266) upd= ate subscription preferences (http://kfast.us13.list-manage.com/profile?u= =3Dff6f7e858a570f49a56fed270&id=3Ddbd878d97a&e=3D90bd6cf38c) Shenzhen New KingFast Storage Technology CO.=2CLtd . #601=2C2rd building= =2CBlock A=2C Bao'an Internet industry park=2CBao'An District . Shenzhen= =2C 44 518000 . China Email Marketing Powered by MailChimp http://www.mailchimp.com/monkey-rewards/?utm_source=3Dfreemium_newsletter&= utm_medium=3Demail&utm_campaign=3Dmonkey_rewards&aid=3Dff6f7e858a570f49a56= fed270&afl=3D1 From owner-freebsd-users-jp@freebsd.org Thu Jun 30 08:39:55 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id F3AECB87851 for ; Thu, 30 Jun 2016 08:39:55 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from garbha.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by mx1.freebsd.org (Postfix) with ESMTP id 964022FE7 for ; Thu, 30 Jun 2016 08:39:55 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from indra.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by garbha.ism.ac.jp (8.15.2/8.15.2) with ESMTPS id u5U8dqdO054223 (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Thu, 30 Jun 2016 17:39:52 +0900 (JST) (envelope-from maruyama@ism.ac.jp) Received: (from maruyama@localhost) by indra.ism.ac.jp (8.15.2/8.15.2/Submit) id u5U8dpjF016375; Thu, 30 Jun 2016 17:39:51 +0900 (JST) (envelope-from maruyama@ism.ac.jp) X-Authentication-Warning: indra.ism.ac.jp: maruyama set sender to maruyama@ism.ac.jp using -f From: maruyama@ism.ac.jp (=?iso-2022-jp?B?GyRCNF07M0Q+PjsbKEI=?=) To: Akihiro HIRANO Cc: freebsd-users-jp@freebsd.org In-Reply-To: <54a8b85f-54a4-0761-3acb-5acbcaccc534@t.kanazawa-u.ac.jp> (message from Akihiro HIRANO on Thu, 30 Jun 2016 16:12:43 +0900) Organization: =?iso-2022-jp?B?GyRCRX03Vz90TX04JjVmPWobKEI=?= Reply-To: maruyama@ism.ac.jp Date: Thu, 30 Jun 2016 17:39:51 +0900 Message-ID: MIME-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Subject: [FreeBSD-users-jp 95830] Re: =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 08:39:56 -0000 平野 様 丸山です。 Thu, 30 Jun 2016 16:12:43 +0900 Akihiro HIRANO writes: > 支障がなければ、「ipfw list」の結果を示して頂くのが早道だと思います。 はい。 実験1(PC-BSD10.3) /etc/ipfw.custom (PC-BSDの出荷値、中はコメントだけ) /etc/ipfw.openports (PC-BSDの出荷値、udp 5353, tcp 22だけ) /etc/ipfw.rules (PC-BSDの出荷値、このメールの末尾に同封) # ipfw list 00020 allow ip from any to any via lo0 01000 check-state 01050 allow tcp from any to any established 01100 allow udp from any to any established 02000 allow ip from any to any out keep-state 02050 allow ip6 from any to any out keep-state 02100 allow ipv6-icmp from any to any keep-state 02150 allow icmp from any to any keep-state 10000 allow udp from any to any dst-port 5353 in keep-state 10001 allow tcp from any to any dst-port 22 in keep-state 64000 deny log ip from any to any 65535 allow ip from any to any この状態では dig @133.58.32.12 ism.ac.jp ns は正常に結果を表示。 実験2(PC-BSD10.3) /etc/ipfw.custom ipfw -q add 110 allow ip from 133.58.124.49 to any だけ。ここに 133.58.124.49 は DNSサーバー 133.58.32.12 に繋がるインター フェース。 /etc/ipfw.openports (PC-BSDの出荷値、udp 5353, tcp 22だけ) /etc/ipfw.rules (PC-BSDの出荷値、このメールの末尾に同封) # ipfw list 00020 allow ip from any to any via lo0 00110 allow ip from 133.58.124.49 to any 01000 check-state 01050 allow tcp from any to any established 01100 allow udp from any to any established 02000 allow ip from any to any out keep-state 02050 allow ip6 from any to any out keep-state 02100 allow ipv6-icmp from any to any keep-state 02150 allow icmp from any to any keep-state 10000 allow udp from any to any dst-port 5353 in keep-state 10001 allow tcp from any to any dst-port 22 in keep-state 64000 deny log ip from any to any 65535 allow ip from any to any このとき、 % dig @133.58.32.12 ism.ac.jp ns ; <<>> DiG 9.10.3-P4 <<>> @133.58.32.12 ism.ac.jp ns ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached ---------------------------------------------------------------- /etc/ipfw.rules のPC-BSDの出荷値 ---------------------------------------------------------------- #!/bin/sh # To re-apply rules, you can run "sh /etc/ipfw.rules" # Flush out the list before we begin. ipfw -q -f flush # Set rules command prefix cmd="ipfw -q add" # No restrictions on loopback #################################################################### $cmd 00020 allow all from any to any via lo0 #################################################################### # Check the state of packets #################################################################### $cmd 01000 check-state $cmd 01050 allow tcp from any to any established $cmd 01100 allow udp from any to any established #################################################################### # Allow all outgoing packets #################################################################### $cmd 02000 allow ip from any to any out keep-state $cmd 02050 allow ip6 from any to any out keep-state $cmd 02100 allow ipv6-icmp from any to any keep-state $cmd 02150 allow icmp from any to any keep-state #################################################################### # Allow specific ports IN now # Add items to /etc/ipfw.openports in the format # {tcp|udp} #################################################################### nextnum=10000 if [ -e "/etc/ipfw.openports" ] ; then while read line do echo $line | grep -q "^#" if [ $? -eq 0 ] ; then continue ; fi proto="`echo $line | awk '{print $1}'`" port="`echo $line | awk '{print $2}'`" if [ -z "$proto" -o -z "$port" ] ; then continue ; fi $cmd $nextnum allow $proto from any to any $port in keep-state nextnum=`expr $nextnum + 1` done < /etc/ipfw.openports fi #################################################################### # Allow specific IPs incoming traffic now (Used for jails mainly) # Add items to /etc/ipfw.openip in the format # {ip4|ip6} #################################################################### nextnum=20000 if [ -e "/etc/ipfw.openip" ] ; then while read line do echo $line | grep -q "^#" if [ $? -eq 0 ] ; then continue ; fi proto="`echo $line | awk '{print $1}'`" ip="`echo $line | awk '{print $2}'`" if [ -z "$proto" -o -z "$ip" ] ; then continue ; fi $cmd $nextnum allow $proto from any to $ip in keep-state nextnum=`expr $nextnum + 1` done < /etc/ipfw.openip fi #################################################################### # Deny all other incoming troublemakers #################################################################### $cmd 64000 deny log all from any to any #################################################################### # Check for user custom rules if [ -e "/etc/ipfw.custom" ] ; then sh /etc/ipfw.custom fi -------- 丸山直昌@統計数理研究所 From owner-freebsd-users-jp@freebsd.org Thu Jun 30 09:07:24 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id E1B8DB863EE for ; Thu, 30 Jun 2016 09:07:24 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from garbha.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by mx1.freebsd.org (Postfix) with ESMTP id 9FDC92412 for ; Thu, 30 Jun 2016 09:07:24 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from indra.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by garbha.ism.ac.jp (8.15.2/8.15.2) with ESMTPS id u5U97MgY056854 (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Thu, 30 Jun 2016 18:07:23 +0900 (JST) (envelope-from maruyama@ism.ac.jp) Received: (from maruyama@localhost) by indra.ism.ac.jp (8.15.2/8.15.2/Submit) id u5U97Mwv016874; Thu, 30 Jun 2016 18:07:22 +0900 (JST) (envelope-from maruyama@ism.ac.jp) X-Authentication-Warning: indra.ism.ac.jp: maruyama set sender to maruyama@ism.ac.jp using -f From: maruyama@ism.ac.jp (=?iso-2022-jp?B?GyRCNF07M0Q+PjsbKEI=?=) To: freebsd-users-jp@freebsd.org In-Reply-To: (maruyama@ism.ac.jp) Organization: =?iso-2022-jp?B?GyRCRX03Vz90TX04JjVmPWobKEI=?= Reply-To: maruyama@ism.ac.jp Date: Thu, 30 Jun 2016 18:07:22 +0900 Message-ID: MIME-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Subject: [FreeBSD-users-jp 95831] Re: =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 09:07:25 -0000 統計数理研究所の丸山です。 ちょっと補足しておきます。普通 localhost からのアクセスは全部 allow して いるので、 > ipfw -q add 110 allow ip from 133.58.124.49 to any などということはまずやりません。実際 >00020 allow ip from any to any via lo0 ですから、普通に考えれば、 >00110 allow ip from 133.58.124.49 to any は不要なはずだと思います。私がこの問題に目を向けたのは ipfw -q add 110 allow ip from 133.58.124.0:255.255.255.0 to any と、 default interface があるサブネットを丸ごと allow しようとした時でし た。これは運用上実際に必要になる場合があると思います。 自宅の NATセグメントに繋がる PC[192.168.255.1]では、仕方なく、 ipfw -q add 110 allow ip from 192.168.255.2:255.255.255.2 to any ipfw -q add 110 allow ip from 192.168.255.4:255.255.255.4 to any ipfw -q add 110 allow ip from 192.168.255.8:255.255.255.8 to any ipfw -q add 110 allow ip from 192.168.255.16:255.255.255.16 to any ipfw -q add 110 allow ip from 192.168.255.32:255.255.255.32 to any ipfw -q add 110 allow ip from 192.168.255.64:255.255.255.64 to any ipfw -q add 110 allow ip from 192.168.255.128:255.255.255.128 to any としていますが、ちょっと泣けてきます。 -------- 丸山直昌@統計数理研究所 From owner-freebsd-users-jp@freebsd.org Thu Jun 30 09:11:23 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 76E50B86611 for ; Thu, 30 Jun 2016 09:11:23 +0000 (UTC) (envelope-from hirano@t.kanazawa-u.ac.jp) Received: from mailwd01.kanazawa-u.ac.jp (mailwd01.kanazawa-u.ac.jp [133.28.3.23]) (using TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 22F7E25B5 for ; Thu, 30 Jun 2016 09:11:22 +0000 (UTC) (envelope-from hirano@t.kanazawa-u.ac.jp) Received: from mailvc06.kanazawa-u.ac.jp (mailvc06.kanazawa-u.ac.jp [133.28.3.96]) by mailwd01.kanazawa-u.ac.jp (Postfix) with ESMTP id A643E3C1DDE for ; Thu, 30 Jun 2016 18:11:17 +0900 (JST) Received: from mailvc06.kanazawa-u.ac.jp (localhost [127.0.0.1]) by localhost.kanazawa-u.ac.jp (Postfix) with ESMTP id 9270049F1E for ; Thu, 30 Jun 2016 18:11:17 +0900 (JST) Received: from smtp01.kanazawa-u.ac.jp (smtp01.kanazawa-u.ac.jp [133.28.3.64]) by mailvc06.kanazawa-u.ac.jp (Postfix) with ESMTP id 8882A49F0C for ; Thu, 30 Jun 2016 18:11:17 +0900 (JST) Received: from mail.se.kanazawa-u.ac.jp (mail.se.kanazawa-u.ac.jp [133.28.0.131]) by smtp01.kanazawa-u.ac.jp (Postfix) with ESMTP id 8471211605E for ; Thu, 30 Jun 2016 18:11:17 +0900 (JST) Received: from [192.168.1.197] (canes.ec.t.kanazawa-u.ac.jp [133.28.97.35]) (Authenticated sender: hirano@se.kanazawa-u.ac.jp) by mail.se.kanazawa-u.ac.jp (Postfix) with ESMTPSA id 80EF74E62E for ; Thu, 30 Jun 2016 18:11:16 +0900 (JST) References: To: freebsd-users-jp@freebsd.org From: Akihiro HIRANO Message-ID: <6d975439-389e-f2ee-5866-657ce86c1937@t.kanazawa-u.ac.jp> Date: Thu, 30 Jun 2016 18:11:19 +0900 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.1.1 MIME-Version: 1.0 In-Reply-To: Content-Type: text/plain; charset=iso-2022-jp; format=flowed; delsp=yes Content-Transfer-Encoding: 7bit X-TM-AS-MML: No Subject: [FreeBSD-users-jp 95832] Re: =?utf-8?q?ipfw=E3=81=A8DNS?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 09:11:23 -0000 平野@金沢大です。 On 2016/06/30 17:39, 丸山直昌 wrote: > # ipfw list > 00020 allow ip from any to any via lo0 > 01000 check-state > 01050 allow tcp from any to any established > 01100 allow udp from any to any established > 02000 allow ip from any to any out keep-state > 02050 allow ip6 from any to any out keep-state > 02100 allow ipv6-icmp from any to any keep-state > 02150 allow icmp from any to any keep-state > 10000 allow udp from any to any dst-port 5353 in keep-state > 10001 allow tcp from any to any dst-port 22 in keep-state > 64000 deny log ip from any to any > 65535 allow ip from any to any > > この状態では dig @133.58.32.12 ism.ac.jp ns は正常に結果を表示。  DNSの問い合わせを送信するパケットが > 02000 allow ip from any to any out keep-state に合致して、その後のセッションを許可する動的ルールが生成されて、 という流れのようです。 > # ipfw list > 00020 allow ip from any to any via lo0 > 00110 allow ip from 133.58.124.49 to any > 01000 check-state > 01050 allow tcp from any to any established > 01100 allow udp from any to any established > 02000 allow ip from any to any out keep-state > 02050 allow ip6 from any to any out keep-state > 02100 allow ipv6-icmp from any to any keep-state > 02150 allow icmp from any to any keep-state > 10000 allow udp from any to any dst-port 5353 in keep-state > 10001 allow tcp from any to any dst-port 22 in keep-state > 64000 deny log ip from any to any > 65535 allow ip from any to any > > このとき、 > > % dig @133.58.32.12 ism.ac.jp ns  この場合は、 > 00110 allow ip from 133.58.124.49 to any で送信パケットを許可して、後はなにもしないので、 戻りパケットは > 64000 deny log ip from any to any で拒否される、かと。  おそらく、 /etc/ipfw.custom ipfw -q add 1200 allow ip from 133.58.124.49 to any keep-state あたりで動くのではないかと思います。 番号はそのまま110でも良いのですが、 許可済みのセッションはcheck-stateやestablishedで早めに合致させたい という趣旨だと思いますので、これらよりは後がいいと思います。 【ご参考】 http://www.wakhok.ac.jp/~kanayama/semi/bsd/node141.html ---- 平野晃宏@金沢大学 大学院 自然科学研究科 電子情報科学専攻 hirano@t.kanazawa-u.ac.jp From owner-freebsd-users-jp@freebsd.org Thu Jun 30 09:14:20 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id DB0D8B867CF for ; Thu, 30 Jun 2016 09:14:20 +0000 (UTC) (envelope-from moto@kawasaki3.org) Received: from flyingdutchman.kawasaki3.org (EE0475lan5.rev.em-net.ne.jp [124.109.182.21]) by mx1.freebsd.org (Postfix) with ESMTP id 8778228EE for ; Thu, 30 Jun 2016 09:14:19 +0000 (UTC) (envelope-from moto@kawasaki3.org) Received: from localhost (p7195-ipbffx02marunouchi.tokyo.ocn.ne.jp [61.126.191.195]) by flyingdutchman.kawasaki3.org (Postfix) with ESMTPSA id 194EE37A5; Thu, 30 Jun 2016 18:04:56 +0900 (JST) Date: Thu, 30 Jun 2016 18:05:17 +0900 (JST) Message-Id: <20160630.180517.2230511729743152378.moto@kawasaki3.org> To: maruyama@ism.ac.jp Cc: hirano@t.kanazawa-u.ac.jp, freebsd-users-jp@freebsd.org From: moto kawasaki In-Reply-To: References: <54a8b85f-54a4-0761-3acb-5acbcaccc534@t.kanazawa-u.ac.jp> X-Mailer: Mew version 6.6 on Emacs 24.4 / Mule 6.0 (HANACHIRUSATO) X-Face: )._4~w!_D$r6qNS0+; nS|]WNeI4f3o)QnH[ItB[esXuc$~hQ$.,?}$SnLe/[24Hao%^q/Is 'SJtZe#21h;7z;q+iyj[^%7\46.Gg-t7.px<}L-f_:P+6i4-a{DIL[ Mime-Version: 1.0 Content-Type: Text/Plain; charset=iso-2022-jp X-Virus-Scanned: clamav-milter 0.99.2 at flyingdutchman.kawasaki3.org X-Virus-Status: Clean Content-Transfer-Encoding: 7bit Subject: [FreeBSD-users-jp 95833] Re: =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 09:14:21 -0000 川崎と申します。 ヤマカンですみませんが、 00110 allow ip from 133.58.124.49 to any keep-state となるように keep-state を追加ですかねぇ。 # 1100 にあるところの udp の場合の established ってどういう意味になる # んでしょう。 -- moto kawasaki 090-2464-8454 on Thu, 30 Jun 2016 17:39:51 +0900, maruyama@ism.ac.jp (丸山直昌) wrote: maruyama> 平野 様 maruyama> maruyama> 丸山です。 maruyama> maruyama> Thu, 30 Jun 2016 16:12:43 +0900 maruyama> Akihiro HIRANO writes: maruyama> maruyama> > 支障がなければ、「ipfw list」の結果を示して頂くのが早道だと思います。 maruyama> maruyama> はい。 maruyama> maruyama> 実験1(PC-BSD10.3) maruyama> /etc/ipfw.custom (PC-BSDの出荷値、中はコメントだけ) maruyama> /etc/ipfw.openports (PC-BSDの出荷値、udp 5353, tcp 22だけ) maruyama> /etc/ipfw.rules (PC-BSDの出荷値、このメールの末尾に同封) maruyama> maruyama> # ipfw list maruyama> 00020 allow ip from any to any via lo0 maruyama> 01000 check-state maruyama> 01050 allow tcp from any to any established maruyama> 01100 allow udp from any to any established maruyama> 02000 allow ip from any to any out keep-state maruyama> 02050 allow ip6 from any to any out keep-state maruyama> 02100 allow ipv6-icmp from any to any keep-state maruyama> 02150 allow icmp from any to any keep-state maruyama> 10000 allow udp from any to any dst-port 5353 in keep-state maruyama> 10001 allow tcp from any to any dst-port 22 in keep-state maruyama> 64000 deny log ip from any to any maruyama> 65535 allow ip from any to any maruyama> maruyama> この状態では dig @133.58.32.12 ism.ac.jp ns は正常に結果を表示。 maruyama> maruyama> 実験2(PC-BSD10.3) maruyama> /etc/ipfw.custom maruyama> ipfw -q add 110 allow ip from 133.58.124.49 to any maruyama> だけ。ここに 133.58.124.49 は DNSサーバー 133.58.32.12 に繋がるインター maruyama> フェース。 maruyama> /etc/ipfw.openports (PC-BSDの出荷値、udp 5353, tcp 22だけ) maruyama> /etc/ipfw.rules (PC-BSDの出荷値、このメールの末尾に同封) maruyama> maruyama> # ipfw list maruyama> 00020 allow ip from any to any via lo0 maruyama> 00110 allow ip from 133.58.124.49 to any maruyama> 01000 check-state maruyama> 01050 allow tcp from any to any established maruyama> 01100 allow udp from any to any established maruyama> 02000 allow ip from any to any out keep-state maruyama> 02050 allow ip6 from any to any out keep-state maruyama> 02100 allow ipv6-icmp from any to any keep-state maruyama> 02150 allow icmp from any to any keep-state maruyama> 10000 allow udp from any to any dst-port 5353 in keep-state maruyama> 10001 allow tcp from any to any dst-port 22 in keep-state maruyama> 64000 deny log ip from any to any maruyama> 65535 allow ip from any to any maruyama> maruyama> このとき、 maruyama> maruyama> % dig @133.58.32.12 ism.ac.jp ns maruyama> maruyama> ; <<>> DiG 9.10.3-P4 <<>> @133.58.32.12 ism.ac.jp ns maruyama> ; (1 server found) maruyama> ;; global options: +cmd maruyama> ;; connection timed out; no servers could be reached maruyama> maruyama> ---------------------------------------------------------------- maruyama> /etc/ipfw.rules のPC-BSDの出荷値 maruyama> ---------------------------------------------------------------- maruyama> #!/bin/sh maruyama> # To re-apply rules, you can run "sh /etc/ipfw.rules" maruyama> maruyama> # Flush out the list before we begin. maruyama> ipfw -q -f flush maruyama> maruyama> # Set rules command prefix maruyama> cmd="ipfw -q add" maruyama> maruyama> # No restrictions on loopback maruyama> #################################################################### maruyama> $cmd 00020 allow all from any to any via lo0 maruyama> #################################################################### maruyama> maruyama> # Check the state of packets maruyama> #################################################################### maruyama> $cmd 01000 check-state maruyama> $cmd 01050 allow tcp from any to any established maruyama> $cmd 01100 allow udp from any to any established maruyama> #################################################################### maruyama> maruyama> # Allow all outgoing packets maruyama> #################################################################### maruyama> $cmd 02000 allow ip from any to any out keep-state maruyama> $cmd 02050 allow ip6 from any to any out keep-state maruyama> $cmd 02100 allow ipv6-icmp from any to any keep-state maruyama> $cmd 02150 allow icmp from any to any keep-state maruyama> #################################################################### maruyama> maruyama> # Allow specific ports IN now maruyama> # Add items to /etc/ipfw.openports in the format maruyama> # {tcp|udp} maruyama> #################################################################### maruyama> nextnum=10000 maruyama> if [ -e "/etc/ipfw.openports" ] ; then maruyama> while read line maruyama> do maruyama> echo $line | grep -q "^#" maruyama> if [ $? -eq 0 ] ; then continue ; fi maruyama> proto="`echo $line | awk '{print $1}'`" maruyama> port="`echo $line | awk '{print $2}'`" maruyama> if [ -z "$proto" -o -z "$port" ] ; then continue ; fi maruyama> $cmd $nextnum allow $proto from any to any $port in keep-state maruyama> nextnum=`expr $nextnum + 1` maruyama> done < /etc/ipfw.openports maruyama> fi maruyama> #################################################################### maruyama> maruyama> # Allow specific IPs incoming traffic now (Used for jails mainly) maruyama> # Add items to /etc/ipfw.openip in the format maruyama> # {ip4|ip6} maruyama> #################################################################### maruyama> nextnum=20000 maruyama> if [ -e "/etc/ipfw.openip" ] ; then maruyama> while read line maruyama> do maruyama> echo $line | grep -q "^#" maruyama> if [ $? -eq 0 ] ; then continue ; fi maruyama> proto="`echo $line | awk '{print $1}'`" maruyama> ip="`echo $line | awk '{print $2}'`" maruyama> if [ -z "$proto" -o -z "$ip" ] ; then continue ; fi maruyama> $cmd $nextnum allow $proto from any to $ip in keep-state maruyama> nextnum=`expr $nextnum + 1` maruyama> done < /etc/ipfw.openip maruyama> fi maruyama> #################################################################### maruyama> maruyama> maruyama> # Deny all other incoming troublemakers maruyama> #################################################################### maruyama> $cmd 64000 deny log all from any to any maruyama> #################################################################### maruyama> maruyama> # Check for user custom rules maruyama> if [ -e "/etc/ipfw.custom" ] ; then maruyama> sh /etc/ipfw.custom maruyama> fi maruyama> maruyama> -------- maruyama> 丸山直昌@統計数理研究所 maruyama> _______________________________________________ maruyama> freebsd-users-jp@freebsd.org mailing list maruyama> https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp maruyama> To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" From owner-freebsd-users-jp@freebsd.org Thu Jun 30 09:41:12 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id AAB0DB86F42 for ; Thu, 30 Jun 2016 09:41:12 +0000 (UTC) (envelope-from junchoon@dec.sakura.ne.jp) Received: from dec.sakura.ne.jp (dec.sakura.ne.jp [210.188.226.8]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 718772275 for ; Thu, 30 Jun 2016 09:41:12 +0000 (UTC) (envelope-from junchoon@dec.sakura.ne.jp) Received: from fortune.joker.local (123-48-23-227.dz.commufa.jp [123.48.23.227]) (authenticated bits=0) by dec.sakura.ne.jp (8.15.2/8.15.2/[SAKURA-WEB]/20080708) with ESMTPA id u5U9f2OM099725; Thu, 30 Jun 2016 18:41:02 +0900 (JST) (envelope-from junchoon@dec.sakura.ne.jp) Date: Thu, 30 Jun 2016 18:41:01 +0900 From: Tomoaki AOKI To: freebsd-users-jp@freebsd.org Cc: maruyama@ism.ac.jp Message-Id: <20160630184101.3d9147f02f8116fb260097e0@dec.sakura.ne.jp> In-Reply-To: References: Organization: Junchoon corps X-Mailer: Sylpheed 3.5.0 (GTK+ 2.24.29; amd64-portbld-freebsd10.3) Mime-Version: 1.0 Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit Subject: [FreeBSD-users-jp 95834] Re: =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 09:41:12 -0000 青木@名古屋です。 On Thu, 30 Jun 2016 12:59:50 +0900 maruyama@ism.ac.jp (丸山直昌) wrote: > 統計数理研究所の丸山です。 > > PC-BSD 10.x ではipfw がデフォルトでon になっているため、否応もなくipfw > のことを勉強せざるを得なくなったのですが、どうも私のアタマでは理解できな > い現象に遭遇したので、ここにお尋ねします。ipfw の設定によってDNSが引けな > くなってしまうのです。 > > /etc/ipfw.custom に > > ipfw -q add 110 allow ip from 133.58.124.49 to any > > のようなルールを入れて、ipfw を再起動します。 > > service ipfw restart > > ただし、ここに 133.58.124.49 は default route に向かっているインターフェー > スです。 > > # netstat -rn |head > Routing tables > > Internet: > Destination Gateway Flags Netif Expire > default 133.58.124.99 UGS bge0 > 127.0.0.1 link#3 UH lo0 > 133.58.15.0/24 link#2 U bge1 > 133.58.15.113 link#2 UHS lo0 > 133.58.124.0/24 link#1 U bge0 > 133.58.124.49 link#1 UHS lo0 > > という感じ。すると、あろうことか、 DNSが引けなくなってしまうのです。 > > # dig @dns-x.ism.ac.jp ism.ac.jp ns > dig: couldn't get address for 'dns-x.ism.ac.jp': failure > > "deny" ではなく "allow" なのにパケットが受け取れなくなる、というのは > どうも私のアタマでは理解できません。お助けください。 ルールが一方通行になっているのが原因ではないかと。 ご指定のルールだと、内側から出る方は全て許可されているものの、 戻りのパケットを通すルールが無いので入ってこられないのでは? 下記のような設定を行ったらどうなりますか? ipfw -q add 100 check-state ipfw -q add 110 pass tcp from 133.58.124.49 to any setup keep-state ipfw -q add 120 pass udp from 133.58.124.49 to any keep-state ipfw -q add 130 pass icmp from 133.58.124.49 to any keep-state 一応、この設定なら内側から発呼した通信の戻りは通る筈ですが...。 > > なお、上記 allow が default route に向かっていないインターフェースのアド > レスの場合には、問題は起きません。 10.2, 10.3 ともに同じ症状です。 記憶が不確かですが、ipfwで何らかのルールを設定するとデフォルトで deny allになり、明示的に許可したルール以外全部アウトになったかと。 逆にルールの設定が無い場合はpass allだったかと。 とりあえず外からの怪しげな通信を遮断できればOK、ということであれば、 /etc/rc.firewallのお仕着せのルールセット(PC-BSDもFreeBSD由来ですので、 わざわざ削除していなければ同じかカスタマイズされたものがあると思います) を使う手もあります。 /etc/rc.confか/etc/rc.conf.localに、クライアントと しての運用なら、例えば firewall_enable="YES" firewall_type="CLIENT" のように指定するのも手です。 "WORKSTATION"でも可ですが、違いはCLIENT だと firewall_client_net=133.58.124.0 のようにin/outとも全通にしたい(ローカルの)ネットワークアドレスを 設定でき、WORKSTATIONだとfirewall_myservicesで他端末からの接続を許す ポート/プロトコル、firewall_allowservicesでそのサービスへの接続を 許すアドレスを指定することでローカルサーバとしての運用も想定されて いることでしょうか。  ※ご指定のIPアドレスだとクラスBになりますが、netstatの出力では/24に   なっているので、そのレンジで割当てている前提の例にしてあります。 サーバ運用でbge0とbge1を内側・外側で使い分けるのであれば、CLIENTでなく SIMPLEをベースにカスタムのルールセットを作るのが早そうです。 > > よろしく。 > > -------- > 丸山直昌@統計数理研究所 > _______________________________________________ > freebsd-users-jp@freebsd.org mailing list > https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp > To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" > -- 青木 知明 [Tomoaki AOKI] junchoon@dec.sakura.ne.jp From owner-freebsd-users-jp@freebsd.org Thu Jun 30 09:57:23 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 98822B8723A for ; Thu, 30 Jun 2016 09:57:23 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from garbha.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by mx1.freebsd.org (Postfix) with ESMTP id 382BF29C4 for ; Thu, 30 Jun 2016 09:57:22 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from indra.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by garbha.ism.ac.jp (8.15.2/8.15.2) with ESMTPS id u5U9vK3K057378 (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Thu, 30 Jun 2016 18:57:20 +0900 (JST) (envelope-from maruyama@ism.ac.jp) Received: (from maruyama@localhost) by indra.ism.ac.jp (8.15.2/8.15.2/Submit) id u5U9vK3I017770; Thu, 30 Jun 2016 18:57:20 +0900 (JST) (envelope-from maruyama@ism.ac.jp) X-Authentication-Warning: indra.ism.ac.jp: maruyama set sender to maruyama@ism.ac.jp using -f From: maruyama@ism.ac.jp (=?iso-2022-jp?B?GyRCNF07M0Q+PjsbKEI=?=) To: Akihiro HIRANO Cc: freebsd-users-jp@freebsd.org In-Reply-To: <6d975439-389e-f2ee-5866-657ce86c1937@t.kanazawa-u.ac.jp> (message from Akihiro HIRANO on Thu, 30 Jun 2016 18:11:19 +0900) Organization: =?iso-2022-jp?B?GyRCRX03Vz90TX04JjVmPWobKEI=?= Reply-To: maruyama@ism.ac.jp Date: Thu, 30 Jun 2016 18:57:20 +0900 Message-ID: MIME-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Subject: [FreeBSD-users-jp 95835] Re: =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 09:57:23 -0000 平野 様、川崎 様、鯉江 様 丸山です。有難うございました。お陰様にて少し私の理解が進んだように思いま す。 02000 allow ip from any to any out keep-state を 00110 allow ip from 133.58.124.49 to any で上書きしちゃっているので、133.58.124.49 で DNS response が受け取れなく なった、という結論でしょうか。 自宅の PC では今 ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any として、問題解決しました。 で、何でこんなことしたかというと、NFSサーバーを仕立てて、サブネット内の 他のマシンからマウントしたかったのです。ですから to any ではなく、もっと ポートを絞れるのですが、面倒だから to any にしてこういうことになってしまっ たという次第です。 で、追加でお尋ねしますが、こういう状況で 設定1 ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any 設定2 ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1201 allow ip from 192.168.255.0:255.255.255.0 to any 設定3 ipfw -q add 1201 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any 設定4 ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any keep-state のどれが「正解」、あるいはお勧めでしょうか。 localhost = 192.168.255.1 で、 DNSサーバーへの query はこのインターフェー スを通ります。 (恥ずかしながら keep-state の意味がわかっていないので、こういう質問をし ております。) Thu, 30 Jun 2016 18:11:19 +0900 Akihiro HIRANO writes: >平野@金沢大です。 > >On 2016/06/30 17:39, 丸山直昌 wrote: >> # ipfw list >> 00020 allow ip from any to any via lo0 >> 01000 check-state >> 01050 allow tcp from any to any established >> 01100 allow udp from any to any established >> 02000 allow ip from any to any out keep-state >> 02050 allow ip6 from any to any out keep-state >> 02100 allow ipv6-icmp from any to any keep-state >> 02150 allow icmp from any to any keep-state >> 10000 allow udp from any to any dst-port 5353 in keep-state >> 10001 allow tcp from any to any dst-port 22 in keep-state >> 64000 deny log ip from any to any >> 65535 allow ip from any to any >> >> この状態では dig @133.58.32.12 ism.ac.jp ns は正常に結果を表示。 > > DNSの問い合わせを送信するパケットが > > > 02000 allow ip from any to any out keep-state > >に合致して、その後のセッションを許可する動的ルールが生成されて、 >という流れのようです。 > >> # ipfw list >> 00020 allow ip from any to any via lo0 >> 00110 allow ip from 133.58.124.49 to any >> 01000 check-state >> 01050 allow tcp from any to any established >> 01100 allow udp from any to any established >> 02000 allow ip from any to any out keep-state >> 02050 allow ip6 from any to any out keep-state >> 02100 allow ipv6-icmp from any to any keep-state >> 02150 allow icmp from any to any keep-state >> 10000 allow udp from any to any dst-port 5353 in keep-state >> 10001 allow tcp from any to any dst-port 22 in keep-state >> 64000 deny log ip from any to any >> 65535 allow ip from any to any >> >> このとき、 >> >> % dig @133.58.32.12 ism.ac.jp ns > > この場合は、 > > > 00110 allow ip from 133.58.124.49 to any > >で送信パケットを許可して、後はなにもしないので、 >戻りパケットは > > > 64000 deny log ip from any to any > >で拒否される、かと。 > > おそらく、 > >/etc/ipfw.custom > ipfw -q add 1200 allow ip from 133.58.124.49 to any keep-state > >あたりで動くのではないかと思います。 >番号はそのまま110でも良いのですが、 >許可済みのセッションはcheck-stateやestablishedで早めに合致させたい >という趣旨だと思いますので、これらよりは後がいいと思います。 > >【ご参考】 >http://www.wakhok.ac.jp/~kanayama/semi/bsd/node141.html >---- >平野晃宏@金沢大学 大学院 自然科学研究科 電子情報科学専攻 >hirano@t.kanazawa-u.ac.jp -------- 丸山直昌@統計数理研究所 From owner-freebsd-users-jp@freebsd.org Thu Jun 30 10:32:50 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 35F06B879F1 for ; Thu, 30 Jun 2016 10:32:50 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from garbha.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by mx1.freebsd.org (Postfix) with ESMTP id C98FC29EB for ; Thu, 30 Jun 2016 10:32:49 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from indra.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by garbha.ism.ac.jp (8.15.2/8.15.2) with ESMTPS id u5UAWlJO057756 (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Thu, 30 Jun 2016 19:32:47 +0900 (JST) (envelope-from maruyama@ism.ac.jp) Received: (from maruyama@localhost) by indra.ism.ac.jp (8.15.2/8.15.2/Submit) id u5UAWkTN018387; Thu, 30 Jun 2016 19:32:46 +0900 (JST) (envelope-from maruyama@ism.ac.jp) X-Authentication-Warning: indra.ism.ac.jp: maruyama set sender to maruyama@ism.ac.jp using -f From: maruyama@ism.ac.jp (=?iso-2022-jp?B?GyRCNF07M0Q+PjsbKEI=?=) To: Tomoaki AOKI Cc: freebsd-users-jp@freebsd.org In-Reply-To: <20160630184101.3d9147f02f8116fb260097e0@dec.sakura.ne.jp> (message from Tomoaki AOKI on Thu, 30 Jun 2016 18:41:01 +0900) Organization: =?iso-2022-jp?B?GyRCRX03Vz90TX04JjVmPWobKEI=?= Reply-To: maruyama@ism.ac.jp Date: Thu, 30 Jun 2016 19:32:46 +0900 Message-ID: MIME-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Subject: [FreeBSD-users-jp 95836] Re: =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 10:32:50 -0000 青木 様 丸山です。 Thu, 30 Jun 2016 18:41:01 +0900 Tomoaki AOKI writes: >とりあえず外からの怪しげな通信を遮断できればOK、ということであれば、 >/etc/rc.firewallのお仕着せのルールセット(PC-BSDもFreeBSD由来ですので、 >わざわざ削除していなければ同じかカスタマイズされたものがあると思います) >を使う手もあります。 /etc/rc.confか/etc/rc.conf.localに、クライアントと >しての運用なら、例えば > > firewall_enable="YES" > firewall_type="CLIENT" ええとですね、PC-BSD10.2も 10.3も /etc/default/rc.conf に rc_conf_files="/etc/rc.conf.pcbsd /etc/rc.conf /etc/rc.conf.local" という行がありまして、 /etc/rc.conf.local は存在せず、 # grep firewall rc.conf.pcbsd firewall_enable="YES" firewall_type="open" firewall_enable="YES" firewall_script="/etc/ipfw.rules" firewall_type="open" となっております。 >のように指定するのも手です。 "WORKSTATION"でも可ですが、違いはCLIENT >だと > > firewall_client_net=133.58.124.0 > >のようにin/outとも全通にしたい(ローカルの)ネットワークアドレスを >設定でき、WORKSTATIONだとfirewall_myservicesで他端末からの接続を許す >ポート/プロトコル、firewall_allowservicesでそのサービスへの接続を >許すアドレスを指定することでローカルサーバとしての運用も想定されて >いることでしょうか。 これ、私が目指している運用のイメージです。自宅では NAT セグメント、職場 では second ether の側に、他の部屋からはアクセスできない閉鎖セグメントを 持っていますので。 > ※ご指定のIPアドレスだとクラスBになりますが、netstatの出力では/24に >  なっているので、そのレンジで割当てている前提の例にしてあります。 > >サーバ運用でbge0とbge1を内側・外側で使い分けるのであれば、CLIENTでなく >SIMPLEをベースにカスタムのルールセットを作るのが早そうです。 アドバイス有難うございます。少し考えてみます。 PC-BSD をNFSサーバーにするには、あと /etc/hosts.allow もいじる必要があり ますが、皆様に披露するような話でもないと思いますので、省略します。 -------- 丸山直昌@統計数理研究所 From owner-freebsd-users-jp@freebsd.org Fri Jul 1 01:28:20 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 1B58AB88A05 for ; Fri, 1 Jul 2016 01:28:20 +0000 (UTC) (envelope-from hs@on-sky.net) Received: from sv.tsnr.com (sv.tsnr.com [203.181.83.169]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id E53F12012 for ; Fri, 1 Jul 2016 01:28:19 +0000 (UTC) (envelope-from hs@on-sky.net) Received: from macmini.tsnr.com (tipc00.tsnr.com [210.159.194.168]) by sv.tsnr.com (Postfix) with ESMTPSA id 2F13951E52; Fri, 1 Jul 2016 10:21:27 +0900 (JST) To: freebsd-users-jp@freebsd.org References: From: Hideki SAKAMOTO Message-ID: Date: Fri, 1 Jul 2016 10:21:23 +0900 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:45.0) Gecko/20100101 Thunderbird/45.1.1 MIME-Version: 1.0 In-Reply-To: Content-Type: text/plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Subject: [FreeBSD-users-jp 95837] Re: =?utf-8?q?ipfw=E3=81=A8DNS?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 01 Jul 2016 01:28:20 -0000 坂元です NFSサーバを立てる目的であれば、/etc/ipfw.openportsに以下の行を 追加しておいて、/etc/exportsの方でIPを制限するのがよいかと思い ます。 tcp 111 udp 111 tcp 1110 udp 1110 tcp 2049 udp 2049 tcp 4045 udp 4045 参考:https://forums.freebsd.org/threads/5123/ 元の質問のルール番号については、/etc/ipfw.rulesを見ると、 ・2000番台以下はクライアントとして良きに計らうための設定 (よほど自信が無い限りは触れないのが吉) ・10000番台に/etc/ipfw.openportsで指定されたポートを(サーバとして) 解放する設定 ・20000番台に/etc/ipfw.openipで指定されたIPアドレスに来る通信を 許可する設定 (なので上の代わりに"192.168.255.1"って書いても一応目的は叶い ますが、やっちゃダメです(^^;;) という思惑が見てとれますので、/etc/ipfw.customで指定するルールの 番号は30000 - 63999あたりを使うようにすれば、 ipfw -q add 30000 allow ip from 192.168.255.0:255.255.255.0 to any keep-state の1行だけで済むかと思います。keep-stateはあってもなくてもよいはず です(返りのパケットを1000番のcheck-stateでパスするかどうかの違い)。 あと蛇足ながら、 > 00020 allow ip from any to any via lo0 は、lo0インターフェイス(127.0.0.1/::1)を経由するすべての通信を許可 するという意味なので、localhost<->localhostの通信のみが対象です。 On 2016/06/30 18:57, 丸山直昌 wrote: > 平野 様、川崎 様、鯉江 様 > > 丸山です。有難うございました。お陰様にて少し私の理解が進んだように思いま > す。 > > 02000 allow ip from any to any out keep-state > > を > > 00110 allow ip from 133.58.124.49 to any > > で上書きしちゃっているので、133.58.124.49 で DNS response が受け取れなく > なった、という結論でしょうか。 > > 自宅の PC では今 > > ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state > ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any > > として、問題解決しました。 > > で、何でこんなことしたかというと、NFSサーバーを仕立てて、サブネット内の > 他のマシンからマウントしたかったのです。ですから to any ではなく、もっと > ポートを絞れるのですが、面倒だから to any にしてこういうことになってしまっ > たという次第です。 > > で、追加でお尋ねしますが、こういう状況で > > 設定1 > ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state > ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any > > 設定2 > ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state > ipfw -q add 1201 allow ip from 192.168.255.0:255.255.255.0 to any > > 設定3 > ipfw -q add 1201 allow ip from 192.168.255.1 to any keep-state > ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any > > 設定4 > ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any keep-state > > のどれが「正解」、あるいはお勧めでしょうか。 > > localhost = 192.168.255.1 で、 DNSサーバーへの query はこのインターフェー > スを通ります。 > > (恥ずかしながら keep-state の意味がわかっていないので、こういう質問をし > ております。) > > Thu, 30 Jun 2016 18:11:19 +0900 > Akihiro HIRANO writes: > >> 平野@金沢大です。 >> >> On 2016/06/30 17:39, 丸山直昌 wrote: >>> # ipfw list >>> 00020 allow ip from any to any via lo0 >>> 01000 check-state >>> 01050 allow tcp from any to any established >>> 01100 allow udp from any to any established >>> 02000 allow ip from any to any out keep-state >>> 02050 allow ip6 from any to any out keep-state >>> 02100 allow ipv6-icmp from any to any keep-state >>> 02150 allow icmp from any to any keep-state >>> 10000 allow udp from any to any dst-port 5353 in keep-state >>> 10001 allow tcp from any to any dst-port 22 in keep-state >>> 64000 deny log ip from any to any >>> 65535 allow ip from any to any >>> >>> この状態では dig @133.58.32.12 ism.ac.jp ns は正常に結果を表示。 >> >>  DNSの問い合わせを送信するパケットが >> >>> 02000 allow ip from any to any out keep-state >> >> に合致して、その後のセッションを許可する動的ルールが生成されて、 >> という流れのようです。 >> >>> # ipfw list >>> 00020 allow ip from any to any via lo0 >>> 00110 allow ip from 133.58.124.49 to any >>> 01000 check-state >>> 01050 allow tcp from any to any established >>> 01100 allow udp from any to any established >>> 02000 allow ip from any to any out keep-state >>> 02050 allow ip6 from any to any out keep-state >>> 02100 allow ipv6-icmp from any to any keep-state >>> 02150 allow icmp from any to any keep-state >>> 10000 allow udp from any to any dst-port 5353 in keep-state >>> 10001 allow tcp from any to any dst-port 22 in keep-state >>> 64000 deny log ip from any to any >>> 65535 allow ip from any to any >>> >>> このとき、 >>> >>> % dig @133.58.32.12 ism.ac.jp ns >> >>  この場合は、 >> >>> 00110 allow ip from 133.58.124.49 to any >> >> で送信パケットを許可して、後はなにもしないので、 >> 戻りパケットは >> >>> 64000 deny log ip from any to any >> >> で拒否される、かと。 >> >>  おそらく、 >> >> /etc/ipfw.custom >> ipfw -q add 1200 allow ip from 133.58.124.49 to any keep-state >> >> あたりで動くのではないかと思います。 >> 番号はそのまま110でも良いのですが、 >> 許可済みのセッションはcheck-stateやestablishedで早めに合致させたい >> という趣旨だと思いますので、これらよりは後がいいと思います。 >> >> 【ご参考】 >> http://www.wakhok.ac.jp/~kanayama/semi/bsd/node141.html >> ---- >> 平野晃宏@金沢大学 大学院 自然科学研究科 電子情報科学専攻 >> hirano@t.kanazawa-u.ac.jp > > -------- > 丸山直昌@統計数理研究所 > _______________________________________________ > freebsd-users-jp@freebsd.org mailing list > https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp > To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" > From owner-freebsd-users-jp@freebsd.org Fri Jul 1 01:35:03 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 41608B88C46 for ; Fri, 1 Jul 2016 01:35:03 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from garbha.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by mx1.freebsd.org (Postfix) with ESMTP id F1DE9251D for ; Fri, 1 Jul 2016 01:35:02 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from indra.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by garbha.ism.ac.jp (8.15.2/8.15.2) with ESMTPS id u611Yxmj067666 (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Fri, 1 Jul 2016 10:34:59 +0900 (JST) (envelope-from maruyama@ism.ac.jp) Received: (from maruyama@localhost) by indra.ism.ac.jp (8.15.2/8.15.2/Submit) id u611YxeY037431; Fri, 1 Jul 2016 10:34:59 +0900 (JST) (envelope-from maruyama@ism.ac.jp) X-Authentication-Warning: indra.ism.ac.jp: maruyama set sender to maruyama@ism.ac.jp using -f From: maruyama@ism.ac.jp (=?iso-2022-jp?B?GyRCNF07M0Q+PjsbKEI=?=) To: freebsd-users-jp@freebsd.org In-Reply-To: (maruyama@ism.ac.jp) Organization: =?iso-2022-jp?B?GyRCRX03Vz90TX04JjVmPWobKEI=?= Reply-To: maruyama@ism.ac.jp Date: Fri, 01 Jul 2016 10:34:58 +0900 Message-ID: MIME-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Subject: [FreeBSD-users-jp 95838] Re: =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 01 Jul 2016 01:35:03 -0000 統計数理研究所の丸山です。 自分で多少の実験をやってみました。以下の4つのうち設定3はうまく動きません でした。自アドレス192.168.255.1 がrule 1200 の 192.168.255.0:255.255.255.0 に先にマッチしてしまうので、rule 1201 は無意 味になってしまう、ということですね。他の3つはいずれも見掛け上問題を生じ ていないので、私には優劣は判断できません。 ま、設定2を採用しておくことにします。 >設定1 >ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state >ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any > >設定2 >ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state >ipfw -q add 1201 allow ip from 192.168.255.0:255.255.255.0 to any > >設定3 >ipfw -q add 1201 allow ip from 192.168.255.1 to any keep-state >ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any > >設定4 >ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any keep-state > >のどれが「正解」、あるいはお勧めでしょうか。 > >localhost = 192.168.255.1 で、 DNSサーバーへの query はこのインターフェー >スを通ります。 > >(恥ずかしながら keep-state の意味がわかっていないので、こういう質問をし >ております。) -------- 丸山直昌@統計数理研究所 From owner-freebsd-users-jp@freebsd.org Fri Jul 1 02:05:35 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 729EBB88230 for ; Fri, 1 Jul 2016 02:05:35 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from garbha.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by mx1.freebsd.org (Postfix) with ESMTP id 04ECB2EA0 for ; Fri, 1 Jul 2016 02:05:34 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from indra.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by garbha.ism.ac.jp (8.15.2/8.15.2) with ESMTPS id u6125Xoj068167 (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Fri, 1 Jul 2016 11:05:33 +0900 (JST) (envelope-from maruyama@ism.ac.jp) Received: (from maruyama@localhost) by indra.ism.ac.jp (8.15.2/8.15.2/Submit) id u6125Xqp037981; Fri, 1 Jul 2016 11:05:33 +0900 (JST) (envelope-from maruyama@ism.ac.jp) X-Authentication-Warning: indra.ism.ac.jp: maruyama set sender to maruyama@ism.ac.jp using -f From: maruyama@ism.ac.jp (=?iso-2022-jp?B?GyRCNF07M0Q+PjsbKEI=?=) To: Hideki SAKAMOTO Cc: freebsd-users-jp@freebsd.org In-Reply-To: (message from Hideki SAKAMOTO on Fri, 1 Jul 2016 10:21:23 +0900) Organization: =?iso-2022-jp?B?GyRCRX03Vz90TX04JjVmPWobKEI=?= Reply-To: maruyama@ism.ac.jp Date: Fri, 01 Jul 2016 11:05:32 +0900 Message-ID: MIME-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Subject: [FreeBSD-users-jp 95839] Re: =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 01 Jul 2016 02:05:35 -0000 統計数理研究所の丸山です。 皆様のお陰でだんだん賢くなってゆくような気分です。有難うございます。 やってみたところ、 keep-state なしで ipfw -q add 30000 allow ip from 192.168.255.0:255.255.255.0 to any でうまくゆきました。今のところ、これが一番気に入っています。 ipfw.openports を使う手は知っていましたが、nfs以外のものも将来やりたくなっ た場合も考えると、自分だけがいじれる閉鎖サブネット内は「何でもあり」にし ておいた方が楽だな、と思って採用せずに、そのために今回の事態に遭遇した、 という事情です。 有難うございました。 Fri, 1 Jul 2016 10:21:23 +0900 Hideki SAKAMOTO writes: >坂元です > >NFSサーバを立てる目的であれば、/etc/ipfw.openportsに以下の行を >追加しておいて、/etc/exportsの方でIPを制限するのがよいかと思い >ます。 >tcp 111 >udp 111 >tcp 1110 >udp 1110 >tcp 2049 >udp 2049 >tcp 4045 >udp 4045 > >参考:https://forums.freebsd.org/threads/5123/ > >元の質問のルール番号については、/etc/ipfw.rulesを見ると、 >・2000番台以下はクライアントとして良きに計らうための設定 > (よほど自信が無い限りは触れないのが吉) >・10000番台に/etc/ipfw.openportsで指定されたポートを(サーバとして) > 解放する設定 >・20000番台に/etc/ipfw.openipで指定されたIPアドレスに来る通信を > 許可する設定 > (なので上の代わりに"192.168.255.1"って書いても一応目的は叶い > ますが、やっちゃダメです(^^;;) >という思惑が見てとれますので、/etc/ipfw.customで指定するルールの >番号は30000 - 63999あたりを使うようにすれば、 > >ipfw -q add 30000 allow ip from 192.168.255.0:255.255.255.0 to any keep-state > >の1行だけで済むかと思います。keep-stateはあってもなくてもよいはず >です(返りのパケットを1000番のcheck-stateでパスするかどうかの違い)。 > >あと蛇足ながら、 >> 00020 allow ip from any to any via lo0 >は、lo0インターフェイス(127.0.0.1/::1)を経由するすべての通信を許可 >するという意味なので、localhost<->localhostの通信のみが対象です。 > > >On 2016/06/30 18:57, 丸山直昌 wrote: >> 平野 様、川崎 様、鯉江 様 >> >> 丸山です。有難うございました。お陰様にて少し私の理解が進んだように思いま >> す。 >> >> 02000 allow ip from any to any out keep-state >> >> を >> >> 00110 allow ip from 133.58.124.49 to any >> >> で上書きしちゃっているので、133.58.124.49 で DNS response が受け取れなく >> なった、という結論でしょうか。 >> >> 自宅の PC では今 >> >> ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state >> ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any >> >> として、問題解決しました。 >> >> で、何でこんなことしたかというと、NFSサーバーを仕立てて、サブネット内の >> 他のマシンからマウントしたかったのです。ですから to any ではなく、もっと >> ポートを絞れるのですが、面倒だから to any にしてこういうことになってしまっ >> たという次第です。 >> >> で、追加でお尋ねしますが、こういう状況で >> >> 設定1 >> ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state >> ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any >> >> 設定2 >> ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state >> ipfw -q add 1201 allow ip from 192.168.255.0:255.255.255.0 to any >> >> 設定3 >> ipfw -q add 1201 allow ip from 192.168.255.1 to any keep-state >> ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any >> >> 設定4 >> ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any keep-state >> >> のどれが「正解」、あるいはお勧めでしょうか。 >> >> localhost = 192.168.255.1 で、 DNSサーバーへの query はこのインターフェー >> スを通ります。 >> >> (恥ずかしながら keep-state の意味がわかっていないので、こういう質問をし >> ております。) >> >> Thu, 30 Jun 2016 18:11:19 +0900 >> Akihiro HIRANO writes: >> >>> 平野@金沢大です。 >>> >>> On 2016/06/30 17:39, 丸山直昌 wrote: >>>> # ipfw list >>>> 00020 allow ip from any to any via lo0 >>>> 01000 check-state >>>> 01050 allow tcp from any to any established >>>> 01100 allow udp from any to any established >>>> 02000 allow ip from any to any out keep-state >>>> 02050 allow ip6 from any to any out keep-state >>>> 02100 allow ipv6-icmp from any to any keep-state >>>> 02150 allow icmp from any to any keep-state >>>> 10000 allow udp from any to any dst-port 5353 in keep-state >>>> 10001 allow tcp from any to any dst-port 22 in keep-state >>>> 64000 deny log ip from any to any >>>> 65535 allow ip from any to any >>>> >>>> この状態では dig @133.58.32.12 ism.ac.jp ns は正常に結果を表示。 >>> >>>  DNSの問い合わせを送信するパケットが >>> >>>> 02000 allow ip from any to any out keep-state >>> >>> に合致して、その後のセッションを許可する動的ルールが生成されて、 >>> という流れのようです。 >>> >>>> # ipfw list >>>> 00020 allow ip from any to any via lo0 >>>> 00110 allow ip from 133.58.124.49 to any >>>> 01000 check-state >>>> 01050 allow tcp from any to any established >>>> 01100 allow udp from any to any established >>>> 02000 allow ip from any to any out keep-state >>>> 02050 allow ip6 from any to any out keep-state >>>> 02100 allow ipv6-icmp from any to any keep-state >>>> 02150 allow icmp from any to any keep-state >>>> 10000 allow udp from any to any dst-port 5353 in keep-state >>>> 10001 allow tcp from any to any dst-port 22 in keep-state >>>> 64000 deny log ip from any to any >>>> 65535 allow ip from any to any >>>> >>>> このとき、 >>>> >>>> % dig @133.58.32.12 ism.ac.jp ns >>> >>>  この場合は、 >>> >>>> 00110 allow ip from 133.58.124.49 to any >>> >>> で送信パケットを許可して、後はなにもしないので、 >>> 戻りパケットは >>> >>>> 64000 deny log ip from any to any >>> >>> で拒否される、かと。 >>> >>>  おそらく、 >>> >>> /etc/ipfw.custom >>> ipfw -q add 1200 allow ip from 133.58.124.49 to any keep-state >>> >>> あたりで動くのではないかと思います。 >>> 番号はそのまま110でも良いのですが、 >>> 許可済みのセッションはcheck-stateやestablishedで早めに合致させたい >>> という趣旨だと思いますので、これらよりは後がいいと思います。 >>> >>> 【ご参考】 >>> http://www.wakhok.ac.jp/~kanayama/semi/bsd/node141.html >>> ---- >>> 平野晃宏@金沢大学 大学院 自然科学研究科 電子情報科学専攻 >>> hirano@t.kanazawa-u.ac.jp >> >> -------- >> 丸山直昌@統計数理研究所 -------- 丸山直昌@統計数理研究所