平野 様、川崎 様、鯉江 様 丸山です。有難うございました。お陰様にて少し私の理解が進んだように思いま す。
02000 allow ip from any to any out keep-state を 00110 allow ip from 133.58.124.49 to any で上書きしちゃっているので、133.58.124.49 で DNS response が受け取れなく なった、という結論でしょうか。 自宅の PC では今 ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any として、問題解決しました。 で、何でこんなことしたかというと、NFSサーバーを仕立てて、サブネット内の 他のマシンからマウントしたかったのです。ですから to any ではなく、もっと ポートを絞れるのですが、面倒だから to any にしてこういうことになってしまっ たという次第です。 で、追加でお尋ねしますが、こういう状況で 設定1 ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any 設定2 ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1201 allow ip from 192.168.255.0:255.255.255.0 to any 設定3 ipfw -q add 1201 allow ip from 192.168.255.1 to any keep-state ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any 設定4 ipfw -q add 1200 allow ip from 192.168.255.0:255.255.255.0 to any keep-state のどれが「正解」、あるいはお勧めでしょうか。 localhost = 192.168.255.1 で、 DNSサーバーへの query はこのインターフェー スを通ります。 (恥ずかしながら keep-state の意味がわかっていないので、こういう質問をし ております。) Thu, 30 Jun 2016 18:11:19 +0900 Akihiro HIRANO <hir...@t.kanazawa-u.ac.jp> writes: >平野@金沢大です。 > >On 2016/06/30 17:39, 丸山直昌 wrote: >> # ipfw list >> 00020 allow ip from any to any via lo0 >> 01000 check-state >> 01050 allow tcp from any to any established >> 01100 allow udp from any to any established >> 02000 allow ip from any to any out keep-state >> 02050 allow ip6 from any to any out keep-state >> 02100 allow ipv6-icmp from any to any keep-state >> 02150 allow icmp from any to any keep-state >> 10000 allow udp from any to any dst-port 5353 in keep-state >> 10001 allow tcp from any to any dst-port 22 in keep-state >> 64000 deny log ip from any to any >> 65535 allow ip from any to any >> >> この状態では dig @133.58.32.12 ism.ac.jp ns は正常に結果を表示。 > > DNSの問い合わせを送信するパケットが > > > 02000 allow ip from any to any out keep-state > >に合致して、その後のセッションを許可する動的ルールが生成されて、 >という流れのようです。 > >> # ipfw list >> 00020 allow ip from any to any via lo0 >> 00110 allow ip from 133.58.124.49 to any >> 01000 check-state >> 01050 allow tcp from any to any established >> 01100 allow udp from any to any established >> 02000 allow ip from any to any out keep-state >> 02050 allow ip6 from any to any out keep-state >> 02100 allow ipv6-icmp from any to any keep-state >> 02150 allow icmp from any to any keep-state >> 10000 allow udp from any to any dst-port 5353 in keep-state >> 10001 allow tcp from any to any dst-port 22 in keep-state >> 64000 deny log ip from any to any >> 65535 allow ip from any to any >> >> このとき、 >> >> % dig @133.58.32.12 ism.ac.jp ns > > この場合は、 > > > 00110 allow ip from 133.58.124.49 to any > >で送信パケットを許可して、後はなにもしないので、 >戻りパケットは > > > 64000 deny log ip from any to any > >で拒否される、かと。 > > おそらく、 > >/etc/ipfw.custom > ipfw -q add 1200 allow ip from 133.58.124.49 to any keep-state > >あたりで動くのではないかと思います。 >番号はそのまま110でも良いのですが、 >許可済みのセッションはcheck-stateやestablishedで早めに合致させたい >という趣旨だと思いますので、これらよりは後がいいと思います。 > >【ご参考】 >http://www.wakhok.ac.jp/~kanayama/semi/bsd/node141.html >---- >平野晃宏@金沢大学 大学院 自然科学研究科 電子情報科学専攻 >hir...@t.kanazawa-u.ac.jp -------- 丸山直昌@統計数理研究所 _______________________________________________ freebsd-users-jp@freebsd.org mailing list https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp To unsubscribe, send any mail to "freebsd-users-jp-unsubscr...@freebsd.org"