Date: Fri, 7 Oct 2022 21:16:55 +0900 From: Tomoaki AOKI <junchoon@dec.sakura.ne.jp> To: Yoshito Takeuchi <kinchan@kinchan.com> Cc: FreeBSD =?UTF-8?B?44GC44KM44GT44KM?= <bsd@sing.ne.jp>, freebsd-users-jp@freebsd.org Subject: Re: ipfw firewall_type="open" =?UTF-8?B?44GM5YuV44GL44Gq44GE77yf?= Message-ID: <20221007211655.de29d3e1ccad03d55f06f25f@dec.sakura.ne.jp> In-Reply-To: <CALDx8qUFm8ngXHc_2wH5pTX-qdCNmMWHGZXxR2L%2BGg0bvb9vDw@mail.gmail.com> References: <CALDx8qUQe5T2f%2BaHbudpMLF58RdM1feRcpkHz%2BrmghUbCTFo6Q@mail.gmail.com> <db52c6da-9d3d-f06c-08b8-65ea8ff88c61@sing.ne.jp> <CALDx8qU9tPCAyVcoYs96VLmTwrh2EoKWh05_BReg=gqFGCuXng@mail.gmail.com> <441f6b5a-c3cf-5ddd-2b6e-60271457f74c@sing.ne.jp> <CALDx8qUFm8ngXHc_2wH5pTX-qdCNmMWHGZXxR2L%2BGg0bvb9vDw@mail.gmail.com>
next in thread | previous in thread | raw e-mail | index | archive | help
青木@名古屋です。 もし「12.3 から 13.1 に乗り換え」がアップグレードで あれば、/etc/の中身が適切に更新できていないという 可能性が出てきますが、それはさておき。 /var/log/messagesの件について下記します。 On Fri, 7 Oct 2022 18:38:20 +0900 Yoshito Takeuchi <kinchan@kinchan.com> wrote: > お騒がせしております。 > ipfw start したタイミングで /var/log/message に > kernel: ipfw2 (+ipv6) initialized, divert loadable, nat loadable, > default to deny, logging disabled > と出ていました。これって、 > firewall_type="open" > を認識していないって事なんでしょうか? 改めてソースを見直してはいないのですが、これは/boot/kernel/ipfw.koか /sbin/ipfwに設定可能な最大の番号(=最後に評価される)であらゆる 接続を拒絶する設定がハードコードされているからかと。 草地さんの例の > 65535 deny ip from any to any ですね。 この設定、/etc/rc.firewallには含まれていませんので、 ハードコードされていなければ出てくる筈がないのです。 なお、firewall_type="close"だと、同じ設定が65000番に駄目押しで 追加されます。 ※いずれも保険ですね。 ネットワーク接続自体がある意味 リスク要因なので、何の設定もなければIP接続全て止める ようにハードコードされていて、さらに万一そのハード コードが誤って除去されてしまった場合に備えてcloseだと 駄目押しの設定まで行う、と。 FreeBSDで標準で提供さてているファイアウォールにはipfwの 他にもOpenBSD由来のpfやLinux由来のIPFilterもあるので、 ipfw設定のための/etc/rc.firewall以外に直接的な設定は (標準では)記述されません。 ※/etc/defaults/rc.confにはrc.firewallに渡す変数の 例がありますが、具体的な登録内容はあくまでその変数を 見て/etc/rc.firewallが行います。 > > 2022年10月7日(金) 17:46 FreeBSD あれこれ <bsd@sing.ne.jp>: > > > > To:竹内 さま > > > > 北山です。 > > > > > ssh で接続しており、今まで何も問題なかったので > > > いきなり rc.conf に > > > firewall_enable="yes" > > > firewall_type="open" > > > と書いて、service ipfw start > > > したら、無反応になりアクセス出来なくなりました。 > > > rc.conf に書いてあるので reboot しても繋がりませんでした。 > > > ので、vnc 経由でシングルモードにして、ee rc.conf して > > > firewall_enable="yes" をコメントアウト、reboot と言う流れです。 > > > > > そうですか、皆様の環境では firewall_type="open" 動作しているんですね。 > > > > そうですね。 > > > > > 何故私の環境ではopenが機能しないのか、、何を調べれば良いんでしょうか? > > > > シングルモードにできるということは コンソールログイン > > できるということですので。 > > コンソールログイン して root 権限で。 > > > > service ipfw status で ipfw のサービス状態を確認 > > > > 草地さん がやっているように > > > > ipfw -a list で ipfw の状態を確認 という 流れで調べていけばいいのでは? > > > > root 権限が 使えれば、ipfw の起動停止も > > > > service ipfw stop > > service ipfw start > > > > でできますから あれこれ 試せるかと思います。 > > > > > > > -- 青木 知明 [Tomoaki AOKI] <junchoon@dec.sakura.ne.jp>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?20221007211655.de29d3e1ccad03d55f06f25f>