From owner-freebsd-users-jp@FreeBSD.ORG  Fri Mar 27 13:37:36 2015
Return-Path: <owner-freebsd-users-jp@FreeBSD.ORG>
Delivered-To: freebsd-users-jp@freebsd.org
Received: from mx1.freebsd.org (mx1.freebsd.org
 [IPv6:2001:1900:2254:206a::19:1])
 (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
 (No client certificate requested)
 by hub.freebsd.org (Postfix) with ESMTPS id A677327B
 for <freebsd-users-jp@freebsd.org>; Fri, 27 Mar 2015 13:37:36 +0000 (UTC)
Received: from msa04a.plala.or.jp (msa04.plala.or.jp [58.93.240.4])
 by mx1.freebsd.org (Postfix) with ESMTP id 1F82032A
 for <freebsd-users-jp@freebsd.org>; Fri, 27 Mar 2015 13:37:35 +0000 (UTC)
Received: from msc01.plala.or.jp ([172.23.12.31]) by msa04b.plala.or.jp
 with ESMTP
 id <20150327133638.QGIT25829.msa04b.plala.or.jp@msc01.plala.or.jp>
 for <freebsd-users-jp@freebsd.org>; Fri, 27 Mar 2015 22:36:38 +0900
Received: from [192.168.11.2] (really [219.119.3.41]) by msc01.plala.or.jp
 with ESMTP
 id <20150327133638.IQFN18231.msc01.plala.or.jp@[192.168.11.2]>
 for <freebsd-users-jp@freebsd.org>; Fri, 27 Mar 2015 22:36:38 +0900
Date: Fri, 27 Mar 2015 22:36:32 +0900
From: Tetsuya Ito <chaltier@agate.plala.or.jp>
To: freebsd-users-jp@freebsd.org
Message-Id: <20150327223631.CC77.A7D5A726@agate.plala.or.jp>
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-2022-JP"
Content-Transfer-Encoding: 7bit
X-Mailer: Becky! ver. 2.64.06 [ja]
X-VirusScan: Outbound; msa04m; Fri, 27 Mar 2015 22:36:39 +0900
Subject: [FreeBSD-users-jp 95493]
 =?iso-2022-jp?b?aXBmdxskQiRHRkNEahsoQklQGyRCMEozMCROQFxCMyRyGyhC?=
 =?iso-2022-jp?b?GyRCRT5BdyQ3JD8kJBsoQg==?=
X-BeenThere: freebsd-users-jp@freebsd.org
X-Mailman-Version: 2.1.18-1
Precedence: list
List-Id: Discussion relevant to FreeBSD communities in Japan
 <freebsd-users-jp.freebsd.org>
List-Unsubscribe: <https://lists.freebsd.org/mailman/options/freebsd-users-jp>, 
 <mailto:freebsd-users-jp-request@freebsd.org?subject=unsubscribe>
List-Archive: <http://lists.freebsd.org/pipermail/freebsd-users-jp/>
List-Post: <mailto:freebsd-users-jp@freebsd.org>
List-Help: <mailto:freebsd-users-jp-request@freebsd.org?subject=help>
List-Subscribe: <https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp>, 
 <mailto:freebsd-users-jp-request@freebsd.org?subject=subscribe>
X-List-Received-Date: Fri, 27 Mar 2015 13:37:36 -0000

伊藤です。

ipfwを利用して、特定IP以外からのssh(22/tcp)アクセスは
違うポート(2222/tcp)に転送したいと考えています。

特定IPから22/tcpで接続した場合は普通にsshに接続されるが、
それ以外からの22/tcp接続は、kippo(2222/tcp)へ接続させたいと考えています。

そこで、ipfwの設定ファイルに下記の記載をしてみました。

add 1001 fwd 127.0.0.1,2222 log tcp from not <特定IP> to me 22

接続テストをしたところ、2222に接続せず、そのまま22/tcpのsshに
接続されました。

/var/log/securityには下記の出力がありましたので、
追加したルールには該当しているようです。

kernel: ipfw: 1001 Forward to 127.0.0.1:2222 TCP 192.168.11.2:50373
192.168.11.3:22 in via sk0

この要件を満たす事はipfwのfwdでは実現できないのでしょうか。
お知恵をお貸し頂けませんでしょうか。