From owner-freebsd-users-jp@freebsd.org  Thu Jun 30 10:32:50 2016
Return-Path: <owner-freebsd-users-jp@freebsd.org>
Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org
Received: from mx1.freebsd.org (mx1.freebsd.org
 [IPv6:2001:1900:2254:206a::19:1])
 by mailman.ysv.freebsd.org (Postfix) with ESMTP id 35F06B879F1
 for <freebsd-users-jp@mailman.ysv.freebsd.org>;
 Thu, 30 Jun 2016 10:32:50 +0000 (UTC)
 (envelope-from maruyama@ism.ac.jp)
Received: from garbha.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13])
 by mx1.freebsd.org (Postfix) with ESMTP id C98FC29EB
 for <freebsd-users-jp@freebsd.org>; Thu, 30 Jun 2016 10:32:49 +0000 (UTC)
 (envelope-from maruyama@ism.ac.jp)
Received: from indra.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13])
 by garbha.ism.ac.jp (8.15.2/8.15.2) with ESMTPS id u5UAWlJO057756
 (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO);
 Thu, 30 Jun 2016 19:32:47 +0900 (JST)
 (envelope-from maruyama@ism.ac.jp)
Received: (from maruyama@localhost)
 by indra.ism.ac.jp (8.15.2/8.15.2/Submit) id u5UAWkTN018387;
 Thu, 30 Jun 2016 19:32:46 +0900 (JST)
 (envelope-from maruyama@ism.ac.jp)
X-Authentication-Warning: indra.ism.ac.jp: maruyama set sender to
 maruyama@ism.ac.jp using -f
From: maruyama@ism.ac.jp (=?iso-2022-jp?B?GyRCNF07M0Q+PjsbKEI=?=)
To: Tomoaki AOKI <junchoon@dec.sakura.ne.jp>
Cc: freebsd-users-jp@freebsd.org
In-Reply-To: <20160630184101.3d9147f02f8116fb260097e0@dec.sakura.ne.jp>
 (message from Tomoaki AOKI on Thu, 30 Jun 2016 18:41:01 +0900)
Organization: =?iso-2022-jp?B?GyRCRX03Vz90TX04JjVmPWobKEI=?=
Reply-To: maruyama@ism.ac.jp
Date: Thu, 30 Jun 2016 19:32:46 +0900
Message-ID: <ydla8i37yr5.fsf@indra.ism.ac.jp>
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-2022-jp
Subject: [FreeBSD-users-jp 95836] Re: =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?=
X-BeenThere: freebsd-users-jp@freebsd.org
X-Mailman-Version: 2.1.22
Precedence: list
List-Id: Discussion relevant to FreeBSD communities in Japan
 <freebsd-users-jp.freebsd.org>
List-Unsubscribe: <https://lists.freebsd.org/mailman/options/freebsd-users-jp>, 
 <mailto:freebsd-users-jp-request@freebsd.org?subject=unsubscribe>
List-Archive: <http://lists.freebsd.org/pipermail/freebsd-users-jp/>
List-Post: <mailto:freebsd-users-jp@freebsd.org>
List-Help: <mailto:freebsd-users-jp-request@freebsd.org?subject=help>
List-Subscribe: <https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp>, 
 <mailto:freebsd-users-jp-request@freebsd.org?subject=subscribe>
X-List-Received-Date: Thu, 30 Jun 2016 10:32:50 -0000

青木 様

丸山です。

Thu, 30 Jun 2016 18:41:01 +0900
Tomoaki AOKI <junchoon@dec.sakura.ne.jp> writes:

>とりあえず外からの怪しげな通信を遮断できればOK、ということであれば、
>/etc/rc.firewallのお仕着せのルールセット（PC-BSDもFreeBSD由来ですので、
>わざわざ削除していなければ同じかカスタマイズされたものがあると思います）
>を使う手もあります。　/etc/rc.confか/etc/rc.conf.localに、クライアントと
>しての運用なら、例えば
>
>   firewall_enable="YES"
>   firewall_type="CLIENT"

ええとですね、PC-BSD10.2も 10.3も /etc/default/rc.conf に

rc_conf_files="/etc/rc.conf.pcbsd /etc/rc.conf /etc/rc.conf.local"

という行がありまして、 /etc/rc.conf.local は存在せず、

# grep firewall rc.conf.pcbsd
  firewall_enable="YES"
  firewall_type="open"
  firewall_enable="YES"
  firewall_script="/etc/ipfw.rules"
  firewall_type="open"

となっております。

>のように指定するのも手です。　"WORKSTATION"でも可ですが、違いはCLIENT
>だと
>
>   firewall_client_net=133.58.124.0
>
>のようにin/outとも全通にしたい（ローカルの）ネットワークアドレスを
>設定でき、WORKSTATIONだとfirewall_myservicesで他端末からの接続を許す
>ポート／プロトコル、firewall_allowservicesでそのサービスへの接続を
>許すアドレスを指定することでローカルサーバとしての運用も想定されて
>いることでしょうか。

これ、私が目指している運用のイメージです。自宅では NAT セグメント、職場
では second ether の側に、他の部屋からはアクセスできない閉鎖セグメントを
持っていますので。

>　※ご指定のIPアドレスだとクラスBになりますが、netstatの出力では/24に
>　　なっているので、そのレンジで割当てている前提の例にしてあります。
>
>サーバ運用でbge0とbge1を内側・外側で使い分けるのであれば、CLIENTでなく
>SIMPLEをベースにカスタムのルールセットを作るのが早そうです。

アドバイス有難うございます。少し考えてみます。

PC-BSD をNFSサーバーにするには、あと /etc/hosts.allow もいじる必要があり
ますが、皆様に披露するような話でもないと思いますので、省略します。

--------
丸山直昌＠統計数理研究所