平野@金沢大です。
On 2016/06/30 17:39, 丸山直昌 wrote:
# ipfw list
00020 allow ip from any to any via lo0
01000 check-state
01050 allow tcp from any to any established
01100 allow udp from any to any established
02000 allow ip from any to any out keep-state
02050 allow ip6 from any to any out keep-state
02100 allow ipv6-icmp from any to any keep-state
02150 allow icmp from any to any keep-state
10000 allow udp from any to any dst-port 5353 in keep-state
10001 allow tcp from any to any dst-port 22 in keep-state
64000 deny log ip from any to any
65535 allow ip from any to any
この状態では dig @133.58.32.12 ism.ac.jp ns は正常に結果を表示。
DNSの問い合わせを送信するパケットが
> 02000 allow ip from any to any out keep-state
に合致して、その後のセッションを許可する動的ルールが生成されて、
という流れのようです。
# ipfw list
00020 allow ip from any to any via lo0
00110 allow ip from 133.58.124.49 to any
01000 check-state
01050 allow tcp from any to any established
01100 allow udp from any to any established
02000 allow ip from any to any out keep-state
02050 allow ip6 from any to any out keep-state
02100 allow ipv6-icmp from any to any keep-state
02150 allow icmp from any to any keep-state
10000 allow udp from any to any dst-port 5353 in keep-state
10001 allow tcp from any to any dst-port 22 in keep-state
64000 deny log ip from any to any
65535 allow ip from any to any
このとき、
% dig @133.58.32.12 ism.ac.jp ns
この場合は、
> 00110 allow ip from 133.58.124.49 to any
で送信パケットを許可して、後はなにもしないので、
戻りパケットは
> 64000 deny log ip from any to any
で拒否される、かと。
おそらく、
/etc/ipfw.custom
ipfw -q add 1200 allow ip from 133.58.124.49 to any keep-state
あたりで動くのではないかと思います。
番号はそのまま110でも良いのですが、
許可済みのセッションはcheck-stateやestablishedで早めに合致させたい
という趣旨だと思いますので、これらよりは後がいいと思います。
【ご参考】
http://www.wakhok.ac.jp/~kanayama/semi/bsd/node141.html
----
平野晃宏@金沢大学 大学院 自然科学研究科 電子情報科学専攻
hir...@t.kanazawa-u.ac.jp
_______________________________________________
freebsd-users-jp@freebsd.org mailing list
https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp
To unsubscribe, send any mail to "freebsd-users-jp-unsubscr...@freebsd.org"
