From owner-freebsd-users-jp@FreeBSD.ORG  Tue Mar 31 12:27:01 2015
Return-Path: <owner-freebsd-users-jp@FreeBSD.ORG>
Delivered-To: freebsd-users-jp@freebsd.org
Received: from mx1.freebsd.org (mx1.freebsd.org
 [IPv6:2001:1900:2254:206a::19:1])
 (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
 (No client certificate requested)
 by hub.freebsd.org (Postfix) with ESMTPS id 05128F3C
 for <freebsd-users-jp@freebsd.org>; Tue, 31 Mar 2015 12:27:01 +0000 (UTC)
Received: from msa03a.plala.or.jp (msa03.plala.or.jp [58.93.240.3])
 by mx1.freebsd.org (Postfix) with ESMTP id 795A2B53
 for <freebsd-users-jp@freebsd.org>; Tue, 31 Mar 2015 12:26:59 +0000 (UTC)
Received: from msc01.plala.or.jp ([172.23.12.31]) by msa03b.plala.or.jp
 with ESMTP
 id <20150331122328.OHHI5566.msa03b.plala.or.jp@msc01.plala.or.jp>
 for <freebsd-users-jp@freebsd.org>; Tue, 31 Mar 2015 21:23:28 +0900
Received: from [192.168.11.2] (really [219.119.3.41]) by msc01.plala.or.jp
 with ESMTP
 id <20150331122328.LAZH18231.msc01.plala.or.jp@[192.168.11.2]>
 for <freebsd-users-jp@freebsd.org>; Tue, 31 Mar 2015 21:23:28 +0900
Date: Tue, 31 Mar 2015 21:23:27 +0900
From: Tetsuya Ito <chaltier@agate.plala.or.jp>
To: freebsd-users-jp@freebsd.org
In-Reply-To: <CANtk6SgbFQ8AbVPazrLm_KPtK_Hcyvm-N0wAaD7JTfco4_2Ztg@mail.gmail.com>
References: <20150331.013014.1399253678235921793.inetd@x.inetd.co.jp>
 <CANtk6SgbFQ8AbVPazrLm_KPtK_Hcyvm-N0wAaD7JTfco4_2Ztg@mail.gmail.com>
Message-Id: <20150331212326.2783.A7D5A726@agate.plala.or.jp>
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-2022-JP"
Content-Transfer-Encoding: 7bit
X-Mailer: Becky! ver. 2.64.06 [ja]
X-VirusScan: Outbound; msa03m; Tue, 31 Mar 2015 21:23:28 +0900
Subject: [FreeBSD-users-jp 95500] Re:
 =?iso-2022-jp?b?aXBmdxskQiRHRkNEahsoQklQGyRCMEozMCROQFwbKEI=?=
 =?iso-2022-jp?b?GyRCQjMkckU+QXckNyQ/JCQbKEI=?=
X-BeenThere: freebsd-users-jp@freebsd.org
X-Mailman-Version: 2.1.18-1
Precedence: list
List-Id: Discussion relevant to FreeBSD communities in Japan
 <freebsd-users-jp.freebsd.org>
List-Unsubscribe: <https://lists.freebsd.org/mailman/options/freebsd-users-jp>, 
 <mailto:freebsd-users-jp-request@freebsd.org?subject=unsubscribe>
List-Archive: <http://lists.freebsd.org/pipermail/freebsd-users-jp/>
List-Post: <mailto:freebsd-users-jp@freebsd.org>
List-Help: <mailto:freebsd-users-jp-request@freebsd.org?subject=help>
List-Subscribe: <https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp>, 
 <mailto:freebsd-users-jp-request@freebsd.org?subject=subscribe>
X-List-Received-Date: Tue, 31 Mar 2015 12:27:01 -0000

伊藤です。

いろいろお調べ頂きありがとうございます。

小野さんに最初にご提示頂いたipfwのnat機能を中心に調査していたところ、
natでもsshに接続されたりしており上手くいかなかったのですが、
調査を続けるうちにipfwのestablished設定がfwdルールの前に設定されていた事から
上手くいかなかった事がわかりました。

いろいろ調査して頂いたのに、こんな結果で大変恐縮です。

結果を纏めますと、

add 1001 pass tcp from any to any established
add 1002 fwd 127.0.0.1,2222 tcp from not <特定IP> to me 22

⇒ 先にestablishedがある場合はNG (22/tcpに接続される)

add 1001 fwd 127.0.0.1,2222 tcp from not <特定IP> to me 22
add 1002 pass tcp from any to any established

⇒ 想定通り特定IP以外は2222/tcpに接続される。

という結果となりました。

ただ、ローカルネットの接続まで拒否されてしまうので、ちょっと困ってます。
ローカルネット接続のpassルールをfwdの前に設定するしかないですかね...。

以上となります。