From owner-freebsd-users-jp@freebsd.org Thu Jun 30 09:57:23 2016 Return-Path: Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 98822B8723A for ; Thu, 30 Jun 2016 09:57:23 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from garbha.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by mx1.freebsd.org (Postfix) with ESMTP id 382BF29C4 for ; Thu, 30 Jun 2016 09:57:22 +0000 (UTC) (envelope-from maruyama@ism.ac.jp) Received: from indra.ism.ac.jp (garbha.ism.ac.jp [133.58.120.13]) by garbha.ism.ac.jp (8.15.2/8.15.2) with ESMTPS id u5U9vK3K057378 (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Thu, 30 Jun 2016 18:57:20 +0900 (JST) (envelope-from maruyama@ism.ac.jp) Received: (from maruyama@localhost) by indra.ism.ac.jp (8.15.2/8.15.2/Submit) id u5U9vK3I017770; Thu, 30 Jun 2016 18:57:20 +0900 (JST) (envelope-from maruyama@ism.ac.jp) X-Authentication-Warning: indra.ism.ac.jp: maruyama set sender to maruyama@ism.ac.jp using -f From: maruyama@ism.ac.jp (=?iso-2022-jp?B?GyRCNF07M0Q+PjsbKEI=?=) To: Akihiro HIRANO Cc: freebsd-users-jp@freebsd.org In-Reply-To: <6d975439-389e-f2ee-5866-657ce86c1937@t.kanazawa-u.ac.jp> (message from Akihiro HIRANO on Thu, 30 Jun 2016 18:11:19 +0900) Organization: =?iso-2022-jp?B?GyRCRX03Vz90TX04JjVmPWobKEI=?= Reply-To: maruyama@ism.ac.jp Date: Thu, 30 Jun 2016 18:57:20 +0900 Message-ID: MIME-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Subject: [FreeBSD-users-jp 95835] Re: =?iso-2022-jp?b?aXBmdxskQiRIGyhCRE5T?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Jun 2016 09:57:23 -0000 平野 様、川崎 様、鯉江 様 丸山です。有難うございました。お陰様にて少し私の理解が進んだように思いま す。 02000 allow ip from any to any out keep-state を 00110 allow ip from 133.58.124.49 to any で上書きしちゃっているので、133.58.124.49 で DNS response が受け取れなく なった、という結論でしょうか。 自宅の PC では今 ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any として、問題解決しました。 で、何でこんなことしたかというと、NFSサーバーを仕立てて、サブネット内の 他のマシンからマウントしたかったのです。ですから to any ではなく、もっと ポートを絞れるのですが、面倒だから to any にしてこういうことになってしまっ たという次第です。 で、追加でお尋ねしますが、こういう状況で 設定1 ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any 設定2 ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1201 allow ip from 192.168.255.0:255.255.255.0 to any 設定3 ipfw -q add 1201 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any 設定4 ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any keep-state のどれが「正解」、あるいはお勧めでしょうか。 localhost = 192.168.255.1 で、 DNSサーバーへの query はこのインターフェー スを通ります。 (恥ずかしながら keep-state の意味がわかっていないので、こういう質問をし ております。) Thu, 30 Jun 2016 18:11:19 +0900 Akihiro HIRANO writes: >平野@金沢大です。 > >On 2016/06/30 17:39, 丸山直昌 wrote: >> # ipfw list >> 00020 allow ip from any to any via lo0 >> 01000 check-state >> 01050 allow tcp from any to any established >> 01100 allow udp from any to any established >> 02000 allow ip from any to any out keep-state >> 02050 allow ip6 from any to any out keep-state >> 02100 allow ipv6-icmp from any to any keep-state >> 02150 allow icmp from any to any keep-state >> 10000 allow udp from any to any dst-port 5353 in keep-state >> 10001 allow tcp from any to any dst-port 22 in keep-state >> 64000 deny log ip from any to any >> 65535 allow ip from any to any >> >> この状態では dig @133.58.32.12 ism.ac.jp ns は正常に結果を表示。 > > DNSの問い合わせを送信するパケットが > > > 02000 allow ip from any to any out keep-state > >に合致して、その後のセッションを許可する動的ルールが生成されて、 >という流れのようです。 > >> # ipfw list >> 00020 allow ip from any to any via lo0 >> 00110 allow ip from 133.58.124.49 to any >> 01000 check-state >> 01050 allow tcp from any to any established >> 01100 allow udp from any to any established >> 02000 allow ip from any to any out keep-state >> 02050 allow ip6 from any to any out keep-state >> 02100 allow ipv6-icmp from any to any keep-state >> 02150 allow icmp from any to any keep-state >> 10000 allow udp from any to any dst-port 5353 in keep-state >> 10001 allow tcp from any to any dst-port 22 in keep-state >> 64000 deny log ip from any to any >> 65535 allow ip from any to any >> >> このとき、 >> >> % dig @133.58.32.12 ism.ac.jp ns > > この場合は、 > > > 00110 allow ip from 133.58.124.49 to any > >で送信パケットを許可して、後はなにもしないので、 >戻りパケットは > > > 64000 deny log ip from any to any > >で拒否される、かと。 > > おそらく、 > >/etc/ipfw.custom > ipfw -q add 1200 allow ip from 133.58.124.49 to any keep-state > >あたりで動くのではないかと思います。 >番号はそのまま110でも良いのですが、 >許可済みのセッションはcheck-stateやestablishedで早めに合致させたい >という趣旨だと思いますので、これらよりは後がいいと思います。 > >【ご参考】 >http://www.wakhok.ac.jp/~kanayama/semi/bsd/node141.html >---- >平野晃宏@金沢大学 大学院 自然科学研究科 電子情報科学専攻 >hirano@t.kanazawa-u.ac.jp -------- 丸山直昌@統計数理研究所