Re: ipfw firewall_type="open" が動かない？

Reply: Yoshihiro Hanahara : "Re[2]: ipfw firewall_type="open" $B$,F0$+$J$$!)(B"
In reply to: Yoshito Takeuchi : "Re: ipfw firewall_type="open" が動かない？"
Go to: [ bottom of page ] [ top of archives ] [ this month ]
From: Kaoru Kusachi <tika_at_st.rim.or.jp>
Date: Sun, 09 Oct 2022 00:39:45 UTC
草地です。

何とか解決できた様でよかったですね。

原因はおそらく青木さんが解説なさっている様に VPSに SSHで接続されて
いた為に ipfw を初期化した際に一旦ルールがクリアされてしまって SSH
のセッションが通信不能に陥ってしまったのだと思います、VNCコンソール
は仮想PCからは物理コンソールと同じ扱いになるのでVPS上でのネットワー
クの影響を受ける事は無いです。

私もさくら、Conohaで VPSを運用していますが、同じ問題があるのでファ
イアーウォール関係をいじる時は仮想コンソールから作業する様にしています。

とりあえず、問題解決のお手伝いが出来てよかったです。

On 2022.10.08 16:05, Yoshito Takeuchi wrote:
> 何度も申し訳ありません。竹内です。
> 
> 理由は分からないのですが、open で動く様になりました。
> 私は今までずっと ssh から ipfw onestart などのコマンドを打ち
> 直後固まってしまい、reboot するを繰り返していました。
> それを VNC コンソールからログインして ipfw onestart しました。
> rc.conf には firewall_type="open" だけ書いてあります。
> すると flush all なんとかなんとか 65000 allow any to any みたいな
> お馴染みのメッセージが出てきました。なんだ、動くじゃないか。
> ssh で接続出来ました。そして、それ以降は ssh からでも
> ipfw onestart しても同じ様に動く様になりました。
> これは最初、さくらVPS でやったので、続いて conoha VPS でも
> コンソールから　1度 ipfw onestart したら、以後は ssh からでも
> ipfw コマンドが動く様になりました。コンソールから一度動かすと
> 何が変わるのか分かりませんが、以上が現在できるご報告です。
> 
> お騒がせしたことを再度お詫び申し上げます。
> 失礼します。
> 
> p.s. 言い訳なんですが、、、、今手元に ipad(外付けキーボード無し)
> だけなもので、VNC コンソールでの文字入力が物凄くやりにくいので
> コンソールでの実験が後回しになっておりました。
> 
> 
> 
> 2022年10月8日(土) 14:35 Tomoaki AOKI <junchoon@dec.sakura.ne.jp>:
>>
>> 青木@名古屋です。
>>
>> VPSで提供されているゲストOSイメージだと、業者が何らかの
>> 手を加えている可能性も否定できませんねぇ。
>>
>> firewall_type="OPEN"だと、詳細は/etc/rc.firewallを
>> 読んで頂くとして、
>>
>> 　・ループバックの設定
>> 　・IPv6で必ず通さなければならないものの設定
>> 　・NATを使う設定の場合、その反映。
>> 　・65000番に pass all from any to anyを設定
>>
>> するだけですので、追加で65000番より若い番号で
>> 何か遮断する設定をしない限り、何でも通ってしまう
>> 筈です。
>>
>> 草地さんご指摘のipfw listで何らかのルールが追加
>> されていたりしませんか？
>>
>> NATを使わずIPv6ありの設定の場合、openなら草地さんの
>> 最初の返信のipfw listの例のとおりになっている筈ですが、
>> 業者OSイメージ独自の追加設定で65000番より前に
>> deny ip from any to anyが入っていたりしませんか？
>>
>> 　※業者独自に/etc/rc.firewallに手を入れていたり。
>>
>> また、NATを使う構成の場合、NATの設定側で特定ポート
>> へのアクセスはそのまま変換せず通すようになって
>> いなければ内側からのリクエストへの返信以外の
>> アクセスは一切通せません（ipfwではどうしようもない）
>> が、ipfwを起動していない状態でアクセスできているのなら
>> 除外して大丈夫と思います。
>>
>> それ以前に、正直、firewall_type="open"でipfwを使用する
>> 意義が全く見いだせないのですが...。
>>
>> 　※特定の通したくない通信以外全部通したい場合の下敷きに
>> 　　するなら別として。　65000番より前にdenyの設定を
>> 　　必要なだけ追加する形ですね。
>>
>> なお、ipfwでは若い番号のルールから順に評価し、最初に
>> マッチした処理を行ったら後はまるごと無視します。
>>
>>
>> On Sat, 8 Oct 2022 09:16:46 +0900
>> Yoshito Takeuchi <kinchan@kinchan.com> wrote:
>>
>>> 皆様、ご指導ありがとうございます。
>>> 私の環境は conoha vps です。
>>> 今、まっさらの FreeBSD 13.0  (conoha のプレインストールが古い) を作成して
>>> 最初にログインした段階で ./etc/rc.conf に
>>> firewall_enable="yes"
>>> firewall_type="open"
>>> を追加
>>> /etc/rc.d/ipfw start
>>> すると open にならず、全ポートが deny any to any になっていました。
>>> ipfw 自体は動いている様です。
>>> 正直なところ、？？？状態です。
>>> ご報告まで
>>> 失礼します。
>>>
>>>
>>> 2022年10月8日(土) 8:52 Kaoru Kusachi <tika@st.rim.or.jp>:
>>>>
>>>> 草地です。
>>>>
>>>> 手元の同等の環境でも起動時に ipfw のカーネルモジュールが読み込ま
>>>> れた時点で同じメッセージがコンソールに表示と /var/log/messagesに
>>>> 記録されていますので ipfw のモジュールは読み込まれて起動している
>>>> と思います、/etc/rc.firewall が正常に実行されると設定されている
>>>> 有効なルールが表示されるのですが表示されませんか？
>>>>
>>>> 試しに /etc/rc.conf の firewall_enable= を "NO" にして起動時に
>>>> 実行されない様にしておいて、手動で /etc/rc.d/ipfw を手動で実行
>>>> してみると以下の様に表示されます、因みに start を指定すると、
>>>> rc.confで "NO" を指定しているので onestart せよと警告が表示され
>>>> ます。
>>>>
>>>> # /etc/rc.d/ipfw onestart
>>>> ipfw2 (+ipv6) initialized, divert loadable, nat loadable, default to deny, logging disabled
>>>> Flushed all rules.
>>>> 00100 allow ip from any to any via lo0
>>>> 00200 deny ip from any to 127.0.0.0/8
>>>> 00300 deny ip from 127.0.0.0/8 to any
>>>> 00400 deny ip from any to ::1
>>>> 00500 deny ip from ::1 to any
>>>> 00600 allow ipv6-icmp from :: to ff02::/16
>>>> 00700 allow ipv6-icmp from fe80::/10 to fe80::/10
>>>> 00800 allow ipv6-icmp from fe80::/10 to ff02::/16
>>>> 00900 allow ipv6-icmp from any to any icmp6types 1
>>>> 01000 allow ipv6-icmp from any to any icmp6types 2,135,136
>>>> 65000 allow ip from any to any
>>>> Firewall rules loaded.
>>>>
>>>> 設定ルールの読み込みが表示されない様であれば rc.firewall の
>>>> スクリプトが実行されていない可能性が考えられますので、
>>>> その辺りを調べてみてはいかがでしょうか？
>>>>
>>>> とりあえず参考まで。
>>>>
>>>> On 2022.10.07 18:38, Yoshito Takeuchi wrote:
>>>>> お騒がせしております。
>>>>> ipfw start したタイミングで /var/log/message に
>>>>> kernel: ipfw2 (+ipv6) initialized, divert loadable, nat loadable,
>>>>> default to deny, logging disabled
>>>>> と出ていました。これって、
>>>>> firewall_type="open"
>>>>> を認識していないって事なんでしょうか？
>>>>>
>>>
>>
>>
>> --
>> 青木 知明  [Tomoaki AOKI]    <junchoon@dec.sakura.ne.jp>

-- 
草地　薫 (Kaoru Kusachi) tika@st.rim.or.jp
Nakno,Tokyo,Japan.