From owner-freebsd-users-jp@FreeBSD.ORG Sun Mar 29 15:44:22 2015 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 314524F0 for ; Sun, 29 Mar 2015 15:44:22 +0000 (UTC) Received: from mgate.inetd.co.jp (mgate.inetd.co.jp [210.129.88.236]) by mx1.freebsd.org (Postfix) with ESMTP id 045B21C3 for ; Sun, 29 Mar 2015 15:44:21 +0000 (UTC) Received: from mgate.inetd.co.jp (localhost [127.0.0.1]) by kirishima.m.inetd.co.jp (Postfix) with ESMTP id 558751797D for ; Mon, 30 Mar 2015 00:37:33 +0900 (JST) Received: from localhost (kaga.x.inetd.co.jp [192.168.10.10]) by kirishima.m.inetd.co.jp (Postfix) with ESMTP id 384181797C for ; Mon, 30 Mar 2015 00:37:33 +0900 (JST) Date: Mon, 30 Mar 2015 00:37:33 +0900 (JST) Message-Id: <20150330.003733.1964185496119167015.inetd@x.inetd.co.jp> To: freebsd-users-jp@freebsd.org From: zen-freebsd-users@suzuki.que.ne.jp In-Reply-To: <20150327223631.CC77.A7D5A726@agate.plala.or.jp> References: <20150327223631.CC77.A7D5A726@agate.plala.or.jp> X-Mailer: Mew version 6.6 on Emacs 24.3 / Mule 6.0 (HANACHIRUSATO) Mime-Version: 1.0 Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Subject: [FreeBSD-users-jp 95494] Re: =?iso-2022-jp?b?aXBmdxskQiRHRkNEahsoQklQGyRCMEozMCROQFwbKEI=?= =?iso-2022-jp?b?GyRCQjMkckU+QXckNyQ/JCQbKEI=?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.18-1 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 29 Mar 2015 15:44:22 -0000 鈴木@葛飾区です。 > ipfwを利用して、特定IP以外からのssh(22/tcp)アクセスは > 違うポート(2222/tcp)に転送したいと考えています。 > > 特定IPから22/tcpで接続した場合は普通にsshに接続されるが、 > それ以外からの22/tcp接続は、kippo(2222/tcp)へ接続させたいと考えています。 > > そこで、ipfwの設定ファイルに下記の記載をしてみました。 > > add 1001 fwd 127.0.0.1,2222 log tcp from not <特定IP> to me 22 > > 接続テストをしたところ、2222に接続せず、そのまま22/tcpのsshに > 接続されました。 ipfwの fwd ではリモートに転送する場合ポート番号の変更は行われません(無 視されます)。 (man ipfwのfwdに関する記述の抜粋です) If ipaddr is not a local address, then the port number (if speci- fied) is ignored, and the packet will be forwarded to the remote address, using the route as found in the local routing table for that IP. リモートポートの変更を行うためにはパケットの中身を書き換えないとダメな のでipfw単独では対応していないのだと思います。 試していませんので分かりませんが、natdを使ってのポート変換を行うか、 ipfwではなくpfとかならできるのかも知れません。 --- すずき From owner-freebsd-users-jp@FreeBSD.ORG Mon Mar 30 01:05:39 2015 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id C80418A4 for ; Mon, 30 Mar 2015 01:05:39 +0000 (UTC) Received: from mail-qc0-x230.google.com (mail-qc0-x230.google.com [IPv6:2607:f8b0:400d:c01::230]) (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)) (Client CN "smtp.gmail.com", Issuer "Google Internet Authority G2" (verified OK)) by mx1.freebsd.org (Postfix) with ESMTPS id 79EF15FD for ; Mon, 30 Mar 2015 01:05:39 +0000 (UTC) Received: by qcfy6 with SMTP id y6so39268849qcf.2 for ; Sun, 29 Mar 2015 18:05:38 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:reply-to:sender:in-reply-to:references:date:message-id :subject:from:to:content-type; bh=IHCY4rCxAA4vM9W6zu/4rAIix67fD8Hvyei6gabsuiw=; b=xDI6etjeKC4yzZun5MyZd9R3LxmRPE1WAcyUoXMrIb4MmeaiLo1/iQQQSiA7OYLWhg zofi3xk1ICV3IeVYYYEnEEyC29ImhOtETgSJkzIx8nmKC4o4zKIhnvxRMGOj8XwaAAaU Z58B1CNyVHOM1lNhS2xaRPmh3D2Ux8RNa+C4rCdjmpV1SdmQC/7hReLiJsyJtLPrT6Ns rF7v7cWZZKrBIJnCuydGeZFnNAgxdXWB8GOzfI6DXNH9QZs6Ui9WOyQ8eqCCPm1l8j8y BrPc1yDYle9Y0QMbjexM7brFnRJIWSKyJwUCKhUkwthSqdOX2OIiS+55j7+3xJDh/9Gz Nfsg== MIME-Version: 1.0 X-Received: by 10.140.97.98 with SMTP id l89mr37058351qge.87.1427677538642; Sun, 29 Mar 2015 18:05:38 -0700 (PDT) Reply-To: hiroo.ono+freebsd@gmail.com Sender: hiroo.ono@gmail.com Received: by 10.140.21.41 with HTTP; Sun, 29 Mar 2015 18:05:38 -0700 (PDT) Received: by 10.140.21.41 with HTTP; Sun, 29 Mar 2015 18:05:38 -0700 (PDT) In-Reply-To: <20150330.003733.1964185496119167015.inetd@x.inetd.co.jp> References: <20150327223631.CC77.A7D5A726@agate.plala.or.jp> <20150330.003733.1964185496119167015.inetd@x.inetd.co.jp> Date: Mon, 30 Mar 2015 10:05:38 +0900 X-Google-Sender-Auth: JrMWcd_RxlVzyOYy4Shm1W-oqJs Message-ID: From: =?UTF-8?B?SGlyb28gT25vICjlsI/ph47lr5vnlJ8p?= To: freebsd-users-jp@freebsd.org Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: base64 X-Content-Filtered-By: Mailman/MimeDel 2.1.18-1 Subject: [FreeBSD-users-jp 95495] Re: =?utf-8?b?aXBmd+OBp+eJueWumklQ5Lul5aSW44Gu5o6l57aa44KS6Lui?= =?utf-8?b?6YCB44GX44Gf44GE?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.18-1 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 30 Mar 2015 01:05:40 -0000 5bCP6YeO5a+b55Sf44Gn44GZ44CCDQoNCjIwMTUvMDMvMzAg5Y2I5YmNMDo0NCA8emVuLWZyZWVi c2QtdXNlcnNAc3V6dWtpLnF1ZS5uZS5qcD46DQo+IOmItOacqO+8oOiRm+mjvuWMuuOBp+OBmeOA gg0KPg0KPiA+IGlwZnfjgpLliKnnlKjjgZfjgabjgIHnibnlrppJUOS7peWkluOBi+OCieOBrnNz aCgyMi90Y3Ap44Ki44Kv44K744K544GvDQo+ID4g6YGV44GG44Od44O844OIKDIyMjIvdGNwKeOB q+i7oumAgeOBl+OBn+OBhOOBqOiAg+OBiOOBpuOBhOOBvuOBmeOAgg0KPiA+DQo+ID4g54m55a6a SVDjgYvjgokyMi90Y3DjgafmjqXntprjgZfjgZ/loLTlkIjjga/mma7pgJrjgatzc2jjgavmjqXn tprjgZXjgozjgovjgYzjgIENCj4gPiDjgZ3jgozku6XlpJbjgYvjgonjga4yMi90Y3DmjqXntprj ga/jgIFraXBwbygyMjIyL3RjcCnjgbjmjqXntprjgZXjgZvjgZ/jgYTjgajogIPjgYjjgabjgYTj gb7jgZnjgIINCj4gPg0KPiA+IOOBneOBk+OBp+OAgWlwZnfjga7oqK3lrprjg5XjgqHjgqTjg6vj gavkuIvoqJjjga7oqJjovInjgpLjgZfjgabjgb/jgb7jgZfjgZ/jgIINCj4gPg0KPiA+IGFkZCAx MDAxIGZ3ZCAxMjcuMC4wLjEsMjIyMiBsb2cgdGNwIGZyb20gbm90IDznibnlrppJUD4gdG8gbWUg MjINCj4gPg0KPiA+IOaOpee2muODhuOCueODiOOCkuOBl+OBn+OBqOOBk+OCjeOAgTIyMjLjgavm jqXntprjgZvjgZrjgIHjgZ3jga7jgb7jgb4yMi90Y3Djga5zc2jjgasNCj4gPiDmjqXntprjgZXj gozjgb7jgZfjgZ/jgIINCj4NCj4gaXBmd+OBriBmd2Qg44Gn44Gv44Oq44Oi44O844OI44Gr6Lui 6YCB44GZ44KL5aC05ZCI44Od44O844OI55Wq5Y+344Gu5aSJ5pu044Gv6KGM44KP44KM44G+44Gb 44KTKOeEoQ0KPiDoppbjgZXjgozjgb7jgZkp44CCDQoNCj4g44Oq44Oi44O844OI44Od44O844OI 44Gu5aSJ5pu044KS6KGM44GG44Gf44KB44Gr44Gv44OR44Kx44OD44OI44Gu5Lit6Lqr44KS5pu4 44GN5o+b44GI44Gq44GE44Go44OA44Oh44GqDQo+IOOBruOBp2lwZnfljZjni6zjgafjga/lr77l v5zjgZfjgabjgYTjgarjgYTjga7jgaDjgajmgJ3jgYTjgb7jgZnjgIINCj4g6Kmm44GX44Gm44GE 44G+44Gb44KT44Gu44Gn5YiG44GL44KK44G+44Gb44KT44GM44CBbmF0ZOOCkuS9v+OBo+OBpuOB ruODneODvOODiOWkieaPm+OCkuihjOOBhuOBi+OAgQ0KDQrnj77lnKjjga4gaXBmdyDjga8gbmF0 IOapn+iDveOCguOBguOCiuOBvuOBmeOBruOBp+OAgeOBneOCjOOCkuS9v+OBiOOBsOOCiOOBleOB neOBhuOBp+OBmeOAgg0K5L6L44GMIGlwZncg44GuIG1hbnBhZ2Ug44GuIEVYQU1QTEVTIOOBrue1 guOCj+OCiuOBruaWueOBq+OBguOCiuOBvuOBmeOBjOOAgeOBoeOCh+OBo+OBqOWIhuOBi+OCiuOB q+OBj+OBhOOBp+OBmeOAgg0KbGliYWxpYXMoMynjga7mqZ/og73jgpLkvb/jgaPjgabjgYTjgovj gojjgYbjgarjga7jgafjgIENCg0KYWRkIDEwMDEgbmF0IDEwMCBsb2cgdGNwIGZyb20gbm90IDzn ibnlrppJUD4gdG8gbWUgMjINCm5hdCBjb25maWcgMTAwIHJlZGlyZWN0X3BvcnQgPOeJueWumklQ PjoyMiAxMjcuMC4wLjE6MjIyMg0KDQrjgafjgYTjgZHjgarjgYTjgafjgZfjgofjgYbjgYvjgIIN CuOBmeOBv+OBvuOBm+OCk+OBjOOAgeS4iuiomOOBr+Wun+mam+OBq+ippuOBl+OBpuOBr+OBhOOB vuOBm+OCk+OAgg0K44G+44KL44GU44GoIE5BVCDjgZnjgovjg6vjg7zjg6vjgarjgonlrrbjgafp gYvnlKjjgZfjgabjgYTjgb7jgZnjgIINCg== From owner-freebsd-users-jp@FreeBSD.ORG Mon Mar 30 13:57:41 2015 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 639DC67A for ; Mon, 30 Mar 2015 13:57:41 +0000 (UTC) Received: from mail-qg0-x22b.google.com (mail-qg0-x22b.google.com [IPv6:2607:f8b0:400d:c04::22b]) (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)) (Client CN "smtp.gmail.com", Issuer "Google Internet Authority G2" (verified OK)) by mx1.freebsd.org (Postfix) with ESMTPS id 1685C5F5 for ; Mon, 30 Mar 2015 13:57:41 +0000 (UTC) Received: by qgf60 with SMTP id 60so170292896qgf.3 for ; Mon, 30 Mar 2015 06:57:39 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:reply-to:sender:in-reply-to:references:date:message-id :subject:from:to:content-type:content-transfer-encoding; bh=PH8aDARmyplVfO4gCUQOcuVrEEvtO1SezxErk2BLjOE=; b=xjVUe/o/5iGJ8oqmhEpUBjiGGLMuj29bjRfeX8WflEm2qIs9Tskt8o/uaao4+3tXVZ mcpZZErmDKG//NN5X+mtOgImtiREQ3lOfKUCgPGVmfcINYi55Y34NV+YDziCT+1Gd+EL rpvupQmwUjBLIPoA8COE7+eZhflj9ettBD21Ki55zy4OzGZyjE3jq/06roC6lUBoM3Jy 2BjT8PitBr6YH/Cx0XOTpG4g2E/y453PWoSmrvpdDuaC3AzN257L4ckIcz1261cWq9hD ZCER+bTGWEuR36Ob9iefVN9SYrq+i3u4gzqx5eZJkJFE/5G0Dw/UjY65MKsJdyDzgXAV Lajg== MIME-Version: 1.0 X-Received: by 10.140.232.80 with SMTP id d77mr30838616qhc.79.1427723859776; Mon, 30 Mar 2015 06:57:39 -0700 (PDT) Reply-To: hiroo.ono+freebsd@gmail.com Sender: hiroo.ono@gmail.com Received: by 10.140.94.241 with HTTP; Mon, 30 Mar 2015 06:57:39 -0700 (PDT) In-Reply-To: References: <20150327223631.CC77.A7D5A726@agate.plala.or.jp> <20150330.003733.1964185496119167015.inetd@x.inetd.co.jp> Date: Mon, 30 Mar 2015 22:57:39 +0900 X-Google-Sender-Auth: zEQA5PG0kRiB_wPXf0uizGaLAMY Message-ID: From: =?UTF-8?B?SGlyb28gT25vICjlsI/ph47lr5vnlJ8p?= To: freebsd-users-jp@freebsd.org Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: base64 Subject: [FreeBSD-users-jp 95496] Re: =?utf-8?b?aXBmd+OBp+eJueWumklQ5Lul5aSW44Gu5o6l57aa44KS6Lui?= =?utf-8?b?6YCB44GX44Gf44GE?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.18-1 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 30 Mar 2015 13:57:41 -0000 5bCP6YeO5a+b55Sf44Gn44GZ44CCDQoNCjIwMTXlubQz5pyIMzDml6UgMTA6MDUgSGlyb28gT25v ICjlsI/ph47lr5vnlJ8pIDxoaXJvby5vbm8rZnJlZWJzZEBnbWFpbC5jb20+Og0KPj4gPiBpcGZ3 44KS5Yip55So44GX44Gm44CB54m55a6aSVDku6XlpJbjgYvjgonjga5zc2goMjIvdGNwKeOCouOC r+OCu+OCueOBrw0KPj4gPiDpgZXjgYbjg53jg7zjg4goMjIyMi90Y3Ap44Gr6Lui6YCB44GX44Gf 44GE44Go6ICD44GI44Gm44GE44G+44GZ44CCDQo+PiA+DQo+PiA+IOeJueWumklQ44GL44KJMjIv dGNw44Gn5o6l57aa44GX44Gf5aC05ZCI44Gv5pmu6YCa44Grc3No44Gr5o6l57aa44GV44KM44KL 44GM44CBDQo+PiA+IOOBneOCjOS7peWkluOBi+OCieOBrjIyL3RjcOaOpee2muOBr+OAgWtpcHBv KDIyMjIvdGNwKeOBuOaOpee2muOBleOBm+OBn+OBhOOBqOiAg+OBiOOBpuOBhOOBvuOBmeOAgg0K PiBsaWJhbGlhcygzKeOBruapn+iDveOCkuS9v+OBo+OBpuOBhOOCi+OCiOOBhuOBquOBruOBp+OA gQ0KKOeVpSkNCj4g44Gn44GE44GR44Gq44GE44Gn44GX44KH44GG44GL44CCDQoNCuippuOBl+OB puOBv+OBvuOBl+OBn+OAguOBp+OAgemWk+mBleOBo+OBpuOBhOOBvuOBl+OBn+OAgg0Kc3RhdGVs ZXNzIHJ1bGVzIOOBoOOBqOOAgeWLleOBj+ioreWumuOBr+asoeOBruOCiOOBhuOBq+OBquOCi+OB r+OBmuOBp+OBmeOAgg0KDQphZGQgMTAwMSBuYXQgMTAwIGxvZyB0Y3AgZnJvbSBub3QgPOeJueWu mklQPiB0byBtZSAyMg0KYWRkIDEwMDIgbmF0IDEwMCBsb2cgdGNwIGZyb20gMTI3LjAuMC4xIDIy MjIgdG8gbm90IDznibnlrppJUD4NCm5hdCAxMDAgY29uZmlnIGlmIDxOSUM+IHJlZGlyZWN0X3Bv cnQgMTI3LjAuMC4xOjIyMjIgMjINCg0KPE5JQz4g44GvYWxpYXPjgZnjgovjgqLjg4njg6zjgrnj gYzjgaTjgYTjgabjgYTjgotOSUPlkI3jgavnva7jgY3mj5vjgYjjgabjgY/jgaDjgZXjgYTjgIIN CuWkieOCj+OCi+W/g+mFjeOBjOOBquOBkeOCjOOBsCBpZiB4eC54eC54eC54eCDjgahJUOOCouOD ieODrOOCueOBp+OCguOCiOOBhOOBqOaAneOBhOOBvuOBmeOAgg0KDQrlrp/pmpvjgavjga/jgIHk u6XkuIvjga7jgojjgYbjgaroqK3lrprjgafoqabjgZfjgabjgYTjgb7jgZnjgYzjgIHkvIrol6Tj gZXjgpPjga7mm7jjgYvjgozjgZ/oqK3lrprjgavlkIjjgo/jgZvjgovjgajkuIrjga7jgojjgYbj gavjgarjgovjga/jgZrjgafjgZnjgIINCg0KYWRkIDE5OTAwICAgICAgIG5hdCAzMCAgaXAgZnJv bSBhbnkgdG8gT0lQIDYwIHZpYSBPSUYNCiAgICAgICAgIOKUgsK3wrfCt8K3wrfCt8K3wrfCt8K3 wrfCt8K3wrfCt8K3wrfCt8K3wrcNCmFkZCAxOTkxMCAgICAgICBuYXQgMzAgIGlwIGZyb20gMTky LjE2OC4wLjEwMCAyMiB0byBhbnkgdmlhIE9JRg0KbmF0IDMwICBjb25maWcgaWYgT0lGIHJlZGly ZWN0X3BvcnQgdGNwIDE5Mi4xNjguMC4xMDA6MjIgNjANCg0Kc3RhdGVmdWwgcnVsZSDjgaDjgajj gIFrZWVwLXN0YXRlIOOCkuOBpOOBkeOBpuOBiuOBkeOBsOW4sOOCiuOBruioreWumuOBr+OBhOOC ieOBquOBhOOBi+OCguOBl+OCjOOBvuOBm+OCkyAo44KI44GP44KP44GL44Gj44Gm44GE44Gq44GE KeOAgg0K From owner-freebsd-users-jp@FreeBSD.ORG Mon Mar 30 14:10:32 2015 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 2224FA4F for ; Mon, 30 Mar 2015 14:10:32 +0000 (UTC) Received: from mail-qg0-x22b.google.com (mail-qg0-x22b.google.com [IPv6:2607:f8b0:400d:c04::22b]) (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)) (Client CN "smtp.gmail.com", Issuer "Google Internet Authority G2" (verified OK)) by mx1.freebsd.org (Postfix) with ESMTPS id C11F979B for ; Mon, 30 Mar 2015 14:10:31 +0000 (UTC) Received: by qgfa8 with SMTP id a8so181823128qgf.0 for ; Mon, 30 Mar 2015 07:10:31 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:reply-to:sender:in-reply-to:references:date:message-id :subject:from:to:content-type:content-transfer-encoding; bh=7BfVqHeF4bYqdefakQYMHsXVeaxzaDHq8DXctyUm1mk=; b=MKehSyu8dk2jwMxNB5IkBGZN2KyR05JUNkQeAxAxH5DBwMRnABvKoO0tc35PtvQj14 n2qHGzhJ12BmWHHrovd8B14nTXSARWcOaW+76nwBPVe96KRHzTvXw9cHVoHSUgn9vShZ l7/rYVq3B96uvArsGovMEl/dJ+beRi61b15y9oCYidI8tOW8gCeOcnZsbjkAPA6sSsuG mqlvP95+verI4JefqLEfvOnYxxXrn6dnELWY81YMBWPMr/b4/WPCB99sY4Z83eIgXt1K jNumqAFWLU5vLS7wh70zd3Z/MlxeJnZgqp7tyE+LDvCKDJXmkJUQ5gCo7uNQVZx0aJ0h 8B8Q== MIME-Version: 1.0 X-Received: by 10.140.89.149 with SMTP id v21mr9754569qgd.50.1427724630909; Mon, 30 Mar 2015 07:10:30 -0700 (PDT) Reply-To: hiroo.ono+freebsd@gmail.com Sender: hiroo.ono@gmail.com Received: by 10.140.94.241 with HTTP; Mon, 30 Mar 2015 07:10:30 -0700 (PDT) In-Reply-To: References: <20150327223631.CC77.A7D5A726@agate.plala.or.jp> <20150330.003733.1964185496119167015.inetd@x.inetd.co.jp> Date: Mon, 30 Mar 2015 23:10:30 +0900 X-Google-Sender-Auth: Sxa39d2HRSzv3IY5yjWOR_MzrCY Message-ID: From: =?UTF-8?B?SGlyb28gT25vICjlsI/ph47lr5vnlJ8p?= To: freebsd-users-jp@freebsd.org Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: base64 Subject: [FreeBSD-users-jp 95497] Re: =?utf-8?b?aXBmd+OBp+eJueWumklQ5Lul5aSW44Gu5o6l57aa44KS6Lui?= =?utf-8?b?6YCB44GX44Gf44GE?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.18-1 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 30 Mar 2015 14:10:32 -0000 5bCP6YeO5a+b55Sf44Gn44GZ44CCDQoNCuOBn+OBs+OBn+OBs+OBmeOBv+OBvuOBm+OCk+OAgg0K DQoyMDE15bm0M+aciDMw5pelIDIyOjU3IEhpcm9vIE9ubyAo5bCP6YeO5a+b55SfKSA8aGlyb28u b25vK2ZyZWVic2RAZ21haWwuY29tPjoNCj4NCj4gMjAxNeW5tDPmnIgzMOaXpSAxMDowNSBIaXJv byBPbm8gKOWwj+mHjuWvm+eUnykgPGhpcm9vLm9ubytmcmVlYnNkQGdtYWlsLmNvbT46DQo+Pj4g PiBpcGZ344KS5Yip55So44GX44Gm44CB54m55a6aSVDku6XlpJbjgYvjgonjga5zc2goMjIvdGNw KeOCouOCr+OCu+OCueOBrw0KPj4+ID4g6YGV44GG44Od44O844OIKDIyMjIvdGNwKeOBq+i7oumA geOBl+OBn+OBhOOBqOiAg+OBiOOBpuOBhOOBvuOBmeOAgg0KPj4+ID4NCj4+PiA+IOeJueWumklQ 44GL44KJMjIvdGNw44Gn5o6l57aa44GX44Gf5aC05ZCI44Gv5pmu6YCa44Grc3No44Gr5o6l57aa 44GV44KM44KL44GM44CBDQo+Pj4gPiDjgZ3jgozku6XlpJbjgYvjgonjga4yMi90Y3DmjqXntprj ga/jgIFraXBwbygyMjIyL3RjcCnjgbjmjqXntprjgZXjgZvjgZ/jgYTjgajogIPjgYjjgabjgYTj gb7jgZnjgIINCg0KPiBzdGF0ZWxlc3MgcnVsZXMg44Gg44Go44CB5YuV44GP6Kit5a6a44Gv5qyh 44Gu44KI44GG44Gr44Gq44KL44Gv44Ga44Gn44GZ44CCDQo+DQo+IGFkZCAxMDAxIG5hdCAxMDAg bG9nIHRjcCBmcm9tIG5vdCA854m55a6aSVA+IHRvIG1lIDIyDQo+IGFkZCAxMDAyIG5hdCAxMDAg bG9nIHRjcCBmcm9tIDEyNy4wLjAuMSAyMjIyIHRvIG5vdCA854m55a6aSVA+DQo+IG5hdCAxMDAg Y29uZmlnIGlmIDxOSUM+IHJlZGlyZWN0X3BvcnQgMTI3LjAuMC4xOjIyMjIgMjINCj4NCj4gPE5J Qz4g44GvYWxpYXPjgZnjgovjgqLjg4njg6zjgrnjgYzjgaTjgYTjgabjgYTjgotOSUPlkI3jgavn va7jgY3mj5vjgYjjgabjgY/jgaDjgZXjgYTjgIINCj4g5aSJ44KP44KL5b+D6YWN44GM44Gq44GR 44KM44GwIGlmIHh4Lnh4Lnh4Lnh4IOOBqElQ44Ki44OJ44Os44K544Gn44KC44KI44GE44Go5oCd 44GE44G+44GZ44CCDQoNCmlwIHh4Lnh4Lnh4Lnh4IOOBrumWk+mBleOBhOOBp+OBmeOAgg0KDQrj gZPjga7jgbjjgpPjgIFpcGZ3IOOBriBtYW4g44Gv6KiY6L+w44GM6Laz44KK44Gq44GE5rCX44GM 44GX44G+44GZ44GM44CBbmF0ZCg4KSDjgbjjga7oqIDlj4rjgYzjgYLjgovjga7jgafjgIHjgZ3j gaHjgonjga4gbWFuIOOCguiqreOCk+OBp+iAg+OBiOOCjeOBqOOBhOOBhuOBk+OBqOOBquOBruOB i+OCguOBl+OCjOOBvuOBm+OCk+OAgg0K From owner-freebsd-users-jp@FreeBSD.ORG Mon Mar 30 16:30:23 2015 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 51F8DA3D for ; Mon, 30 Mar 2015 16:30:23 +0000 (UTC) Received: from mgate.inetd.co.jp (mgate.inetd.co.jp [210.129.88.236]) by mx1.freebsd.org (Postfix) with ESMTP id 2350DBBC for ; Mon, 30 Mar 2015 16:30:22 +0000 (UTC) Received: from mgate.inetd.co.jp (localhost [127.0.0.1]) by kirishima.m.inetd.co.jp (Postfix) with ESMTP id 3CC1F17980 for ; Tue, 31 Mar 2015 01:30:15 +0900 (JST) Received: from localhost (kaga.x.inetd.co.jp [192.168.10.10]) by kirishima.m.inetd.co.jp (Postfix) with ESMTP id 1A9801797E for ; Tue, 31 Mar 2015 01:30:15 +0900 (JST) Date: Tue, 31 Mar 2015 01:30:14 +0900 (JST) Message-Id: <20150331.013014.1399253678235921793.inetd@x.inetd.co.jp> From: zen-freebsd-users@suzuki.que.ne.jp To: freebsd-users-jp@freebsd.org In-Reply-To: <20150330.003733.1964185496119167015.inetd@x.inetd.co.jp> References: <20150327223631.CC77.A7D5A726@agate.plala.or.jp> <20150330.003733.1964185496119167015.inetd@x.inetd.co.jp> X-Mailer: Mew version 6.6 on Emacs 24.3 / Mule 6.0 (HANACHIRUSATO) Mime-Version: 1.0 Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Subject: [FreeBSD-users-jp 95498] Re: =?iso-2022-jp?b?aXBmdxskQiRHRkNEahsoQklQGyRCMEozMCROQFwbKEI=?= =?iso-2022-jp?b?GyRCQjMkckU+QXckNyQ/JCQbKEI=?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.18-1 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 30 Mar 2015 16:30:23 -0000 鈴木@葛飾区です。 >> そこで、ipfwの設定ファイルに下記の記載をしてみました。 >> >> add 1001 fwd 127.0.0.1,2222 log tcp from not <特定IP> to me 22 >> >> 接続テストをしたところ、2222に接続せず、そのまま22/tcpのsshに >> 接続されました。 > > ipfwの fwd ではリモートに転送する場合ポート番号の変更は行われません(無 > 視されます)。 なんか、最初のご質問を私読み違えてますね。。。リモートへの転送と大変な 勘違いで。。 fwd 127.0.0.1,2222 なのでローカルへの転送なのでnatを使うまでもなくルー ルにマッチすれば2222に転送されるはずですね。。。 > 小野寛生です。 > 現在の ipfw は nat 機能もありますので、それを使えばよさそうです。 なるほど。最近のはnat機能もあるのですね。。 既に小野さんのほうでnatを使って動作するルールの書き方を出していただい たようですが、私のミスリードではなかったでしょうか?? (まぁ、時間がなくて実際に試さずに回答しているのが諸悪の根源なのですが。) --- すずき From owner-freebsd-users-jp@FreeBSD.ORG Tue Mar 31 02:38:57 2015 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id EC83CE58 for ; Tue, 31 Mar 2015 02:38:56 +0000 (UTC) Received: from mail-qg0-x22d.google.com (mail-qg0-x22d.google.com [IPv6:2607:f8b0:400d:c04::22d]) (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)) (Client CN "smtp.gmail.com", Issuer "Google Internet Authority G2" (verified OK)) by mx1.freebsd.org (Postfix) with ESMTPS id 9F947E2 for ; Tue, 31 Mar 2015 02:38:56 +0000 (UTC) Received: by qgh3 with SMTP id 3so3713338qgh.2 for ; Mon, 30 Mar 2015 19:38:55 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:reply-to:sender:in-reply-to:references:date:message-id :subject:from:to:content-type:content-transfer-encoding; bh=M2hxnK4AS+6UG+QZpLcN43hEsWUplv7cJm2/5nOmkDE=; b=zFg32Gn0OK07B2fIzPJhUgo7DKK+Wy3HltY8ea/JrCQlzQYSeOJsh2BTw+EHyJrtkD ZYi8zKOzkQmzErrqJCDUq4/B8nNwpyOlFUdA8AMQu3Qe125QnBBnDi+PhYz3+qnpz5Gc YJG2m19o1fxlo772eojJyQOZWS/euJYKjBYRnVBbZ6g8x+cvXqyle1+ek/sppaLysCTg HfuchjNAh7Kw66Iz1tO73cRxqjl+QbRR+xuM3QSiCCCS4vNgv7rrawQrS85cYLVwKVYP bD6ejhXWz6mk9vpprHu0fia1KVga6j8ZEuLjVnAP/A9mOS5PYU4gsCUmrShLwBs2dGxi d8ww== MIME-Version: 1.0 X-Received: by 10.140.150.19 with SMTP id 19mr47389412qhw.69.1427769535816; Mon, 30 Mar 2015 19:38:55 -0700 (PDT) Reply-To: hiroo.ono+freebsd@gmail.com Sender: hiroo.ono@gmail.com Received: by 10.140.94.241 with HTTP; Mon, 30 Mar 2015 19:38:55 -0700 (PDT) In-Reply-To: <20150331.013014.1399253678235921793.inetd@x.inetd.co.jp> References: <20150327223631.CC77.A7D5A726@agate.plala.or.jp> <20150330.003733.1964185496119167015.inetd@x.inetd.co.jp> <20150331.013014.1399253678235921793.inetd@x.inetd.co.jp> Date: Tue, 31 Mar 2015 11:38:55 +0900 X-Google-Sender-Auth: CM43H_xsy8JPrQkZBoEpMZS4XFk Message-ID: From: =?UTF-8?B?SGlyb28gT25vICjlsI/ph47lr5vnlJ8p?= To: freebsd-users-jp@freebsd.org Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: base64 Subject: [FreeBSD-users-jp 95499] Re: =?utf-8?b?aXBmd+OBp+eJueWumklQ5Lul5aSW44Gu5o6l57aa44KS6Lui?= =?utf-8?b?6YCB44GX44Gf44GE?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.18-1 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 31 Mar 2015 02:38:57 -0000 5bCP6YeO5a+b55Sf44Gn44GZ44CCDQoNCjIwMTXlubQz5pyIMzHml6UgMTozMCAgPHplbi1mcmVl YnNkLXVzZXJzQHN1enVraS5xdWUubmUuanA+Og0KPiDpiLTmnKjvvKDokZvpo77ljLrjgafjgZnj gIINCj4g44Gq44KT44GL44CB5pyA5Yid44Gu44GU6LOq5ZWP44KS56eB6Kqt44G/6YGV44GI44Gm 44G+44GZ44Gt44CC44CC44CC44Oq44Oi44O844OI44G444Gu6Lui6YCB44Go5aSn5aSJ44GqDQo+ IOWLmOmBleOBhOOBp+OAguOAgg0KPg0KPiBmd2QgMTI3LjAuMC4xLDIyMjIg44Gq44Gu44Gn44Ot 44O844Kr44Or44G444Gu6Lui6YCB44Gq44Gu44GnbmF044KS5L2/44GG44G+44Gn44KC44Gq44GP 44Or44O8DQo+IOODq+OBq+ODnuODg+ODgeOBmeOCjOOBsDIyMjLjgavou6LpgIHjgZXjgozjgovj ga/jgZrjgafjgZnjga3jgILjgILjgIINCg0K56eB44KC44Gd44GG5oCd44Gj44Gm44Gv44GY44KB 44Gv44Kz44Oh44Oz44OI44GZ44KL44Gu44KS5o6n44GI44Gf44Gu44Gn44GZ44GM44CB44CMQlNE 44Kr44O844ON44Or44Gu6Kit6KiI44Go5a6f6KOF44CNMTMuNOevgOOBqw0K4oCc44Ob44K544OI 44GM6KSH5pWw44Gu44Ki44OJ44Os44K544KS5oyB44Gj44Gm44GE44KL5aC05ZCI44CB44OR44Kx 44OD44OI44Gv44Gd44Gu6YCB5L+h5YWI44GM44GT44KM44KJ44Gu44Gp44KM44GL44Gr5LiA6Ie0 44GZ44KM44Gw5Y+X44GR5YWl44KM44KJ44KM44KL44CC4oCdDQrjgajjgYLjgorjgb7jgZnjga7j gafjgIExMjcuMC4wLjE6MjIyMiDjgavlsYrjgYTjgZ/jgZHjgozjganjgoLjgIHjg5HjgrHjg4Pj g4jjga7lrpvlhYjjgqLjg4njg6zjgrnjgajjg53jg7zjg4jnlarlj7fjgpLopovjgaYNCjE5Mi4x NjguMTEuMzoyMiDlrpvjga7jg5HjgrHjg4Pjg4jjgajjgYTjgYblh6bnkIbjgYzjgZXjgozjgabj gYTjgovjga7jgafjga/jgarjgYTjgYvjgajmgJ3jgYTjgb7jgZnjgIINCuOBqOOBhOOBhuOBk+OB qOOBp+OAgeODkeOCseODg+ODiOOCkuabuOOBjeaPm+OBiOOCiyBOQVBUIOOBjOW/heimgeOBqOOB hOOBhuaMh+aRmOOBr+ato+OBl+OBhOOBr+OBmuOBp+OBmeOAgg0K44KI44GP44KP44GL44Gj44Gm 44GE44G+44Gb44KT44GM44CCDQoNCmlwZncg44GuIG5hdCDjgrPjg57jg7Pjg4njga/jgIHnp4Hj ga7jgYTjgYTliqDmuJvjgarnkIbop6Pjgafjga8gbGliYWxpYXMg44KS44Kr44O844ON44Or44Gr 5oyB44Gj44Gm44GN44Gf44KC44Gu44Gg44Go5oCd44GE44G+44GZ44Gu44Gn44CBDQpuYXRkIOOC kuS9v+OBhuOBi+OAgWlwZncgbmF0IOOCkuS9v+OBhuOBi+OAgW5nX25hdCDjgpLkvb/jgYbjgYvj ga/jgIHjg6bjg7zjgrbjg7zjg6njg7Pjg4njgaflh6bnkIbjgpLjgZnjgovjgYvjgIHjgqvjg7zj g43jg6vlhoXjgaflh6bnkIbjgpLjgZnjgovjgYvjga7pgZXjgYTnqIvluqbjgaDjgajmgJ3jgYTj gb7jgZnjgIINCg== From owner-freebsd-users-jp@FreeBSD.ORG Tue Mar 31 12:27:01 2015 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 05128F3C for ; Tue, 31 Mar 2015 12:27:01 +0000 (UTC) Received: from msa03a.plala.or.jp (msa03.plala.or.jp [58.93.240.3]) by mx1.freebsd.org (Postfix) with ESMTP id 795A2B53 for ; Tue, 31 Mar 2015 12:26:59 +0000 (UTC) Received: from msc01.plala.or.jp ([172.23.12.31]) by msa03b.plala.or.jp with ESMTP id <20150331122328.OHHI5566.msa03b.plala.or.jp@msc01.plala.or.jp> for ; Tue, 31 Mar 2015 21:23:28 +0900 Received: from [192.168.11.2] (really [219.119.3.41]) by msc01.plala.or.jp with ESMTP id <20150331122328.LAZH18231.msc01.plala.or.jp@[192.168.11.2]> for ; Tue, 31 Mar 2015 21:23:28 +0900 Date: Tue, 31 Mar 2015 21:23:27 +0900 From: Tetsuya Ito To: freebsd-users-jp@freebsd.org In-Reply-To: References: <20150331.013014.1399253678235921793.inetd@x.inetd.co.jp> Message-Id: <20150331212326.2783.A7D5A726@agate.plala.or.jp> MIME-Version: 1.0 Content-Type: text/plain; charset="ISO-2022-JP" Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver. 2.64.06 [ja] X-VirusScan: Outbound; msa03m; Tue, 31 Mar 2015 21:23:28 +0900 Subject: [FreeBSD-users-jp 95500] Re: =?iso-2022-jp?b?aXBmdxskQiRHRkNEahsoQklQGyRCMEozMCROQFwbKEI=?= =?iso-2022-jp?b?GyRCQjMkckU+QXckNyQ/JCQbKEI=?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.18-1 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 31 Mar 2015 12:27:01 -0000 伊藤です。 いろいろお調べ頂きありがとうございます。 小野さんに最初にご提示頂いたipfwのnat機能を中心に調査していたところ、 natでもsshに接続されたりしており上手くいかなかったのですが、 調査を続けるうちにipfwのestablished設定がfwdルールの前に設定されていた事から 上手くいかなかった事がわかりました。 いろいろ調査して頂いたのに、こんな結果で大変恐縮です。 結果を纏めますと、 add 1001 pass tcp from any to any established add 1002 fwd 127.0.0.1,2222 tcp from not <特定IP> to me 22 ⇒ 先にestablishedがある場合はNG (22/tcpに接続される) add 1001 fwd 127.0.0.1,2222 tcp from not <特定IP> to me 22 add 1002 pass tcp from any to any established ⇒ 想定通り特定IP以外は2222/tcpに接続される。 という結果となりました。 ただ、ローカルネットの接続まで拒否されてしまうので、ちょっと困ってます。 ローカルネット接続のpassルールをfwdの前に設定するしかないですかね...。 以上となります。 From owner-freebsd-users-jp@FreeBSD.ORG Wed Apr 1 20:33:46 2015 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id EB60D948 for ; Wed, 1 Apr 2015 20:33:46 +0000 (UTC) Received: from mail.allbsd.org (gatekeeper.allbsd.org [IPv6:2001:2f0:104:e001::32]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client CN "*.allbsd.org", Issuer "RapidSSL CA" (verified OK)) by mx1.freebsd.org (Postfix) with ESMTPS id 929BB6DE for ; Wed, 1 Apr 2015 20:33:45 +0000 (UTC) Received: from alph.d.allbsd.org (alph.d.allbsd.org [IPv6:2001:2f0:104:e010:862b:2bff:febc:8956] (may be forged)) (authenticated bits=56) by mail.allbsd.org (8.14.9/8.14.8) with ESMTP id t31KXV9m089998 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Thu, 2 Apr 2015 05:33:33 +0900 (JST) (envelope-from hrs@allbsd.org) Received: from localhost (localhost [IPv6:::1]) (authenticated bits=0) by alph.d.allbsd.org (8.14.9/8.14.9) with ESMTP id t31KXU8E053177; Thu, 2 Apr 2015 05:33:31 +0900 (JST) (envelope-from hrs@allbsd.org) Date: Thu, 02 Apr 2015 05:31:32 +0900 (JST) Message-Id: <20150402.053132.1512763590932251857.hrs@allbsd.org> To: hiroo.ono+freebsd@gmail.com, chaltier@agate.plala.or.jp From: Hiroki Sato In-Reply-To: <20150331212326.2783.A7D5A726@agate.plala.or.jp> References: <20150330.003733.1964185496119167015.inetd@x.inetd.co.jp> <20150331.013014.1399253678235921793.inetd@x.inetd.co.jp> X-PGPkey-fingerprint: BDB3 443F A5DD B3D0 A530 FFD7 4F2C D3D8 2793 CF2D X-Mailer: Mew version 6.6 on Emacs 24.4 / Mule 6.0 (HANACHIRUSATO) Mime-Version: 1.0 Content-Type: Multipart/Signed; protocol="application/pgp-signature"; micalg=pgp-sha1; boundary="--Security_Multipart(Thu_Apr__2_05_31_32_2015_000)--" Content-Transfer-Encoding: 7bit X-Greylist: Sender IP whitelisted, not delayed by milter-greylist-4.4.3 (mail.allbsd.org [IPv6:2001:2f0:104:e001::32]); Thu, 02 Apr 2015 05:33:38 +0900 (JST) X-Spam-Status: No, score=1.9 required=13.0 tests=CONTENT_TYPE_PRESENT, ISO2022JP_BODY,RCVD_IN_AHBL,RCVD_IN_AHBL_PROXY,RCVD_IN_AHBL_SPAM,RDNS_NONE autolearn=no autolearn_force=no version=3.4.0 X-Spam-Level: * X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on gatekeeper.allbsd.org X-Mailman-Approved-At: Wed, 01 Apr 2015 20:42:59 +0000 Cc: freebsd-users-jp@freebsd.org Subject: [FreeBSD-users-jp 95501] Re: =?iso-2022-jp?b?aXBmdxskQiRHRkNEahsoQklQGyRCMEozMCROQFwbKEI=?= =?iso-2022-jp?b?GyRCQjMkckU+QXckNyQ/JCQbKEI=?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.18-1 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 01 Apr 2015 20:33:47 -0000 ----Security_Multipart(Thu_Apr__2_05_31_32_2015_000)-- Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit 佐藤です。 Hiroo Ono (小野寛生) wrote in : hi> 2015年3月31日 1:30 : hi> > 鈴木@葛飾区です。 hi> > なんか、最初のご質問を私読み違えてますね。。。リモートへの転送と大変な hi> > 勘違いで。。 hi> > hi> > fwd 127.0.0.1,2222 なのでローカルへの転送なのでnatを使うまでもなくルー hi> > ルにマッチすれば2222に転送されるはずですね。。。 hi> hi> 私もそう思ってはじめはコメントするのを控えたのですが、「BSDカーネルの hi> 設計と実装」13.4節に hi> “ホストが複数のアドレスを持っている場合、パケットはその送信先がこれら hi> のどれかに一致すれば受け入れられる。” hi> とありますので、127.0.0.1:2222 に届いたけれども、パケットの宛先アドレ hi> スとポート番号を見て hi> 192.168.11.3:22 宛のパケットという処理がされているのではないかと思いま hi> す。 hi> ということで、パケットを書き換える NAPT が必要という指摘は正しいはずで hi> す。 hi> よくわかっていませんが。 このケースはローカルへの転送ですので、NAPT は必要ありません。 次の条件 - 127.0.0.1:2222 で listen している sshd と、 192.168.11.3:22 で listen している sshd が、それぞれ 同一のホスト (以降ホスト B と呼びます) に存在している - ホスト B の IPFW の fwd ルールで、192.168.11.3:22 宛のパケットが 127.0.0.1:2222 に転送される が満たされる場合、別のホスト 192.168.11.2 (以降ホスト A と 呼びます) からの TCP 接続要求は、次のような動作になります。 1. 始点 192.168.11.2:E, 終点 192.168.11.3:22 の TCP SYN が A から B に送られる。(E は ephemeral port) 2. IPFW がホスト B 上で 1. のパケットを 127.0.0.1:2222 に転送する。 この時、fwd ルールは、パケットの始点・終点アドレスを書き換えないため、 実際には 127.0.0.1:2222 に送られるにも関わらず、 ホスト B のネットワークスタックが socket レベルで認識する 終点アドレスは 192.168.11.3:22 のままです。 3. 2222 ポートで listen している sshd は、パケットを受け取って accept(2) をコールし、接続用の新しい socket を生成する。 この受け取ったパケットは、192.168.11.2:E -> 192.168.11.3:22 という 始点・終点アドレスとして解釈されるため、ホスト B からの TCP SYN+ACK の返送は、逆転して 192.168.11.3:22 -> 192.168.11.2:E に なります。 つまり、接続用の新しい socket には、ピアの始点として 127.0.0.1:2222 ではなく、192.168.11.3:22 が設定されます。 したがって、実際にパケットは 127.0.0.1:2222 に転送されているにも関わらず、 - A->B 方向の通信は 192.168.11.2:E -> 192.168.11.3:22 - B->A 方向の通信は 192.168.11.3:22 -> 192.168.11.2:E というアドレスにパケットが流れているように見えることになり、 アプリケーションからは、転送の事実は見えません。 sshd などのデーモンは accept した時点で接続用の socket から 通信相手のアドレス・ポート番号を取得しますが、 得られるピアの始点・終点には、127.0.0.1:2222 が現れないということです。 なので、2222/tcp と 22/tcp で待ち受けている 2 つの sshd がホスト B に あって、始点アドレスを条件に IPFW fwd で振り分けた場合、 外からは、どちらも 22/tcp に接続しているように見えます。 127.0.0.1:2222 で待ち受けているのに、192.168.11.3:22 から通信が 行なわれているように動作するのは奇妙な話のように思えますが、 listen しているアドレスと、accept の時の終点アドレスが 異なっているという状態は、特別なものではありません。 たとえばデーモンが INADDR_ANY (0.0.0.0) で listen している場合、 accept して生成される通信用 socket のピア始点アドレスは 当然ながら 0.0.0.0 ではなく、接続してきた相手のアドレスが使われます。 それとまったく同じです。 Tetsuya Ito wrote in <20150331212326.2783.A7D5A726@agate.plala.or.jp>: ch> 結果を纏めますと、 ch> ch> add 1001 pass tcp from any to any established ch> add 1002 fwd 127.0.0.1,2222 tcp from not <特定IP> to me 22 ch> ch> ⇒ 先にestablishedがある場合はNG (22/tcpに接続される) ch> ch> add 1001 fwd 127.0.0.1,2222 tcp from not <特定IP> to me 22 ch> add 1002 pass tcp from any to any established ch> ch> ⇒ 想定通り特定IP以外は2222/tcpに接続される。 ch> ch> という結果となりました。 ch> ch> ただ、ローカルネットの接続まで拒否されてしまうので、ちょっと困ってます。 ch> ローカルネット接続のpassルールをfwdの前に設定するしかないですかね...。 established が先にあると、TCP の最初のパケットだけ 127.0.0.1:2222 に 転送されて、それ以降は 192.168.11.3:22 に送られてしまうため、 動作しないのだと思います。 ローカルネットの接続が拒否される、というのが具体的に 何を指しているのかがよく分からないのですが、 たとえばホスト B 上で "ssh 127.0.0.1" とやった時に 22/tcp ではなく 2222/tcp に接続されてしまうのが困るという話であれば、 to me ではなく to 192.168.11.3 と fwd を限定すれば良いように思います。 -- Hiroki ----Security_Multipart(Thu_Apr__2_05_31_32_2015_000)-- Content-Type: application/pgp-signature Content-Transfer-Encoding: 7bit -----BEGIN PGP SIGNATURE----- Version: GnuPG v1 iEYEABECAAYFAlUcVaQACgkQTyzT2CeTzy273ACbB4ghMx0inn4YT3y+DrzV+TIX mUIAoJwo2h6aX+M6n3HJKQ7IBfcKitll =Uvcz -----END PGP SIGNATURE----- ----Security_Multipart(Thu_Apr__2_05_31_32_2015_000)---- From owner-freebsd-users-jp@FreeBSD.ORG Thu Apr 2 16:26:59 2015 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 6C1113E1 for ; Thu, 2 Apr 2015 16:26:59 +0000 (UTC) Received: from msa03b.plala.or.jp (msa03.plala.or.jp [58.93.240.3]) by mx1.freebsd.org (Postfix) with ESMTP id D1DC1D68 for ; Thu, 2 Apr 2015 16:26:58 +0000 (UTC) Received: from msa03a.plala.or.jp ([172.23.15.206]) by msa03b.plala.or.jp with ESMTP id <20150402162650.COHE5566.msa03b.plala.or.jp@msa03a.plala.or.jp> for ; Fri, 3 Apr 2015 01:26:50 +0900 Received: from [192.168.11.2] (really [219.119.3.41]) by msc02.plala.or.jp with ESMTP id <20150402130037.LZPT28047.msc02.plala.or.jp@[192.168.11.2]> for ; Thu, 2 Apr 2015 22:00:37 +0900 Date: Thu, 02 Apr 2015 22:00:31 +0900 From: chaltier To: freebsd-users-jp@freebsd.org In-Reply-To: <20150402.053132.1512763590932251857.hrs@allbsd.org> References: <20150331212326.2783.A7D5A726@agate.plala.or.jp> <20150402.053132.1512763590932251857.hrs@allbsd.org> Message-Id: <20150402220031.899F.A7D5A726@agate.plala.or.jp> MIME-Version: 1.0 Content-Type: text/plain; charset="ISO-2022-JP" Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver. 2.64.06 [ja] X-VirusScan: Outbound; msa03m; Fri, 3 Apr 2015 01:26:50 +0900 Subject: [FreeBSD-users-jp 95502] Re: =?iso-2022-jp?b?aXBmdxskQiRHRkNEahsoQklQGyRCMEozMCROQFwbKEI=?= =?iso-2022-jp?b?GyRCQjMkckU+QXckNyQ/JCQbKEI=?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.18-1 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 02 Apr 2015 16:26:59 -0000 伊藤です。 ご連絡ありがとうございます。 > ローカルネットの接続が拒否される、というのが具体的に > 何を指しているのかがよく分からないのですが、 > たとえばホスト B 上で "ssh 127.0.0.1" とやった時に > 22/tcp ではなく 2222/tcp に接続されてしまうのが困るという話であれば、 > to me ではなく to 192.168.11.3 と fwd を限定すれば良いように思います。 ローカルネットの接続が拒否されるについですが、 同じLAN上のクライアントからの接続も2222/tcpに接続されてしまう状態と なってしまうので、どう対処しようかと思った次第です。 サーバのIPが192.168.11.3で、クライアントのIPが192.168.11.2だとした場合、 192.168.11.2も特定IP外の為、fwdルールが適用されてしまいます。 fwdルールの前に192.168.11.0/24については全てpassするルールを 追加して凌いでいます。 notのルールなので複数指定もできないでしょうし...。 From owner-freebsd-users-jp@FreeBSD.ORG Fri Apr 3 11:35:27 2015 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 14F1AF63 for ; Fri, 3 Apr 2015 11:35:27 +0000 (UTC) Received: from mail.allbsd.org (gatekeeper.allbsd.org [IPv6:2001:2f0:104:e001::32]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client CN "*.allbsd.org", Issuer "RapidSSL CA" (verified OK)) by mx1.freebsd.org (Postfix) with ESMTPS id 94872C43 for ; Fri, 3 Apr 2015 11:35:26 +0000 (UTC) Received: from alph.d.allbsd.org (alph.d.allbsd.org [IPv6:2001:2f0:104:e010:862b:2bff:febc:8956] (may be forged)) (authenticated bits=56) by mail.allbsd.org (8.14.9/8.14.8) with ESMTP id t33BZCdA053613 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Fri, 3 Apr 2015 20:35:14 +0900 (JST) (envelope-from hrs@allbsd.org) Received: from localhost (localhost [IPv6:::1]) (authenticated bits=0) by alph.d.allbsd.org (8.14.9/8.14.9) with ESMTP id t33BZBeI068842; Fri, 3 Apr 2015 20:35:12 +0900 (JST) (envelope-from hrs@allbsd.org) Date: Fri, 03 Apr 2015 20:34:29 +0900 (JST) Message-Id: <20150403.203429.791691545009508950.hrs@allbsd.org> To: chaltier@agate.plala.or.jp From: Hiroki Sato In-Reply-To: <20150402220031.899F.A7D5A726@agate.plala.or.jp> References: <20150331212326.2783.A7D5A726@agate.plala.or.jp> <20150402.053132.1512763590932251857.hrs@allbsd.org> <20150402220031.899F.A7D5A726@agate.plala.or.jp> X-PGPkey-fingerprint: BDB3 443F A5DD B3D0 A530 FFD7 4F2C D3D8 2793 CF2D X-Mailer: Mew version 6.6 on Emacs 24.4 / Mule 6.0 (HANACHIRUSATO) Mime-Version: 1.0 Content-Type: Multipart/Signed; protocol="application/pgp-signature"; micalg=pgp-sha1; boundary="--Security_Multipart(Fri_Apr__3_20_34_29_2015_119)--" Content-Transfer-Encoding: 7bit X-Greylist: Sender IP whitelisted, not delayed by milter-greylist-4.4.3 (mail.allbsd.org [IPv6:2001:2f0:104:e001::32]); Fri, 03 Apr 2015 20:35:19 +0900 (JST) X-Spam-Status: No, score=1.9 required=13.0 tests=CONTENT_TYPE_PRESENT, ISO2022JP_BODY,RCVD_IN_AHBL,RCVD_IN_AHBL_PROXY,RCVD_IN_AHBL_SPAM,RDNS_NONE autolearn=no autolearn_force=no version=3.4.0 X-Spam-Level: * X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on gatekeeper.allbsd.org X-Mailman-Approved-At: Fri, 03 Apr 2015 11:37:46 +0000 Cc: freebsd-users-jp@freebsd.org Subject: [FreeBSD-users-jp 95503] Re: =?iso-2022-jp?b?aXBmdxskQiRHRkNEahsoQklQGyRCMEozMCROQFwbKEI=?= =?iso-2022-jp?b?GyRCQjMkckU+QXckNyQ/JCQbKEI=?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.18-1 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 03 Apr 2015 11:35:27 -0000 ----Security_Multipart(Fri_Apr__3_20_34_29_2015_119)-- Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit 佐藤です。 chaltier wrote in <20150402220031.899F.A7D5A726@agate.plala.or.jp>: ch> ローカルネットの接続が拒否されるについですが、 ch> 同じLAN上のクライアントからの接続も2222/tcpに接続されてしまう状態と ch> なってしまうので、どう対処しようかと思った次第です。 ch> ch> サーバのIPが192.168.11.3で、クライアントのIPが192.168.11.2だとした場合、 ch> 192.168.11.2も特定IP外の為、fwdルールが適用されてしまいます。 ch> ch> fwdルールの前に192.168.11.0/24については全てpassするルールを ch> 追加して凌いでいます。 ch> ch> notのルールなので複数指定もできないでしょうし...。 add 1001 fwd 127.0.0.1,2222 tcp from not table(1) to me 22 table 1 add <特定IP>/32 table 1 add 192.168.11.0/24 というルールを使うのはいかがでしょうか。 -- Hiroki ----Security_Multipart(Fri_Apr__3_20_34_29_2015_119)-- Content-Type: application/pgp-signature Content-Transfer-Encoding: 7bit -----BEGIN PGP SIGNATURE----- Version: GnuPG v1 iEYEABECAAYFAlUeesUACgkQTyzT2CeTzy0U5QCggxq89DvnZ9joGU6JDdQDoJzT LDMAn1P+JCG4ox7lgY4A8jLZQKzwYE9D =W3/+ -----END PGP SIGNATURE----- ----Security_Multipart(Fri_Apr__3_20_34_29_2015_119)---- From owner-freebsd-users-jp@FreeBSD.ORG Fri Apr 3 13:25:43 2015 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 583AE192 for ; Fri, 3 Apr 2015 13:25:43 +0000 (UTC) Received: from msa04b.plala.or.jp (msa04.plala.or.jp [IPv6:2400:7800:0:5010::4]) by mx1.freebsd.org (Postfix) with ESMTP id E1EB498E for ; Fri, 3 Apr 2015 13:25:42 +0000 (UTC) Received: from msc01.plala.or.jp ([172.23.12.31]) by msa04b.plala.or.jp with ESMTP id <20150403132540.KRHH25829.msa04b.plala.or.jp@msc01.plala.or.jp> for ; Fri, 3 Apr 2015 22:25:40 +0900 Received: from [192.168.11.2] (really [219.119.3.41]) by msc01.plala.or.jp with ESMTP id <20150403132540.NBFH18231.msc01.plala.or.jp@[192.168.11.2]> for ; Fri, 3 Apr 2015 22:25:40 +0900 Date: Fri, 03 Apr 2015 22:25:32 +0900 From: Tetsuya Ito To: freebsd-users-jp@freebsd.org In-Reply-To: <20150403.203429.791691545009508950.hrs@allbsd.org> References: <20150402220031.899F.A7D5A726@agate.plala.or.jp> <20150403.203429.791691545009508950.hrs@allbsd.org> Message-Id: <20150403222532.940C.A7D5A726@agate.plala.or.jp> MIME-Version: 1.0 Content-Type: text/plain; charset="ISO-2022-JP" Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver. 2.64.06 [ja] X-VirusScan: Outbound; msa04m; Fri, 3 Apr 2015 22:25:40 +0900 Subject: [FreeBSD-users-jp 95504] Re: =?iso-2022-jp?b?aXBmdxskQiRHRkNEahsoQklQGyRCMEozMCROQFwbKEI=?= =?iso-2022-jp?b?GyRCQjMkckU+QXckNyQ/JCQbKEI=?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.18-1 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 03 Apr 2015 13:25:43 -0000 伊藤です。 tableでまとめてしまう事ができるんですね。 試してみたのですが、想定した動作にはならなかったです。 クライアントIP: 192.168.11.3 サーバIP: 192.168.11.2 add 1001 fwd 127.0.0.1,2222 tcp from not table(1) to me 22 table 1 add 192.168.1.1/32 この状態で接続したのですが、22/tcpに接続されてしまいました。 もう少し色々試して見ます。 On Fri, 03 Apr 2015 20:34:29 +0900 (JST) Hiroki Sato wrote: > 佐藤です。 > > chaltier wrote > in <20150402220031.899F.A7D5A726@agate.plala.or.jp>: > > ch> ローカルネットの接続が拒否されるについですが、 > ch> 同じLAN上のクライアントからの接続も2222/tcpに接続されてしまう状態と > ch> なってしまうので、どう対処しようかと思った次第です。 > ch> > ch> サーバのIPが192.168.11.3で、クライアントのIPが192.168.11.2だとした場合、 > ch> 192.168.11.2も特定IP外の為、fwdルールが適用されてしまいます。 > ch> > ch> fwdルールの前に192.168.11.0/24については全てpassするルールを > ch> 追加して凌いでいます。 > ch> > ch> notのルールなので複数指定もできないでしょうし...。 > > add 1001 fwd 127.0.0.1,2222 tcp from not table(1) to me 22 > table 1 add <特定IP>/32 > table 1 add 192.168.11.0/24 > > というルールを使うのはいかがでしょうか。 > > -- Hiroki