統計数理研究所の丸山です。
皆様のお陰でだんだん賢くなってゆくような気分です。有難うございます。
やってみたところ、 keep-state なしで
ipfw -q add 3 allow ip from 192.168.255.0:255.255.255.0 to any
でうまくゆきました。今のところ、これが一番気に入っています。
ipfw.openports を使う手は知っていましたが、nfs以外のものも将来やりたくなっ
た場合も考えると、自分だけがいじれる閉鎖サブネット内は「何でもあり」にし
ておいた方が楽だな、と思って採用せずに、そのために今回の事態に遭遇した、
統計数理研究所の丸山です。
自分で多少の実験をやってみました。以下の4つのうち設定3はうまく動きません
でした。自アドレス192.168.255.1 がrule 1200 の
192.168.255.0:255.255.255.0 に先にマッチしてしまうので、rule 1201 は無意
味になってしまう、ということですね。他の3つはいずれも見掛け上問題を生じ
ていないので、私には優劣は判断できません。
ま、設定2を採用しておくことにします。
>設定1
>ipfw -q add 1200 allow ip from 192.168.255.1 to any keep-state
統計数理研究所の丸山です。
ちょっと補足しておきます。普通 localhost からのアクセスは全部 allow して
いるので、
>ipfw -q add 110 allow ip from 133.58.124.49 to any
などということはまずやりません。実際
>00020 allow ip from any to any via lo0
ですから、普通に考えれば、
>00110 allow ip from 133.58.124.49 to any
は不要なはずだと思います。私がこの問題に目を向けたのは
ipfw -q add 110 allow
平野@金沢大です。
On 2016/06/30 12:59, 丸山直昌 wrote:
PC-BSD 10.x ではipfw がデフォルトでon になっているため、否応もなくipfw
のことを勉強せざるを得なくなったのですが、どうも私のアタマでは理解できな
い現象に遭遇したので、ここにお尋ねします。ipfw の設定によってDNSが引けな
くなってしまうのです。
/etc/ipfw.custom に
ipfw -q add 110 allow ip from 133.58.124.49 to any
のようなルールを入れて、ipfw を再起動します。