[FreeBSD-users-jp 95832] Re: ipfwとDNS

2016年 6月 30日 (木) 09:11:23 UTC

平野＠金沢大です。

On 2016/06/30 17:39, 丸山直昌 wrote:
> # ipfw list
> 00020 allow ip from any to any via lo0
> 01000 check-state
> 01050 allow tcp from any to any established
> 01100 allow udp from any to any established
> 02000 allow ip from any to any out keep-state
> 02050 allow ip6 from any to any out keep-state
> 02100 allow ipv6-icmp from any to any keep-state
> 02150 allow icmp from any to any keep-state
> 10000 allow udp from any to any dst-port 5353 in keep-state
> 10001 allow tcp from any to any dst-port 22 in keep-state
> 64000 deny log ip from any to any
> 65535 allow ip from any to any
>
> この状態では dig @133.58.32.12 ism.ac.jp ns は正常に結果を表示。

　DNSの問い合わせを送信するパケットが

 > 02000 allow ip from any to any out keep-state

に合致して、その後のセッションを許可する動的ルールが生成されて、
という流れのようです。

> # ipfw list
> 00020 allow ip from any to any via lo0
> 00110 allow ip from 133.58.124.49 to any
> 01000 check-state
> 01050 allow tcp from any to any established
> 01100 allow udp from any to any established
> 02000 allow ip from any to any out keep-state
> 02050 allow ip6 from any to any out keep-state
> 02100 allow ipv6-icmp from any to any keep-state
> 02150 allow icmp from any to any keep-state
> 10000 allow udp from any to any dst-port 5353 in keep-state
> 10001 allow tcp from any to any dst-port 22 in keep-state
> 64000 deny log ip from any to any
> 65535 allow ip from any to any
>
> このとき、
>
> % dig @133.58.32.12 ism.ac.jp ns

　この場合は、

 > 00110 allow ip from 133.58.124.49 to any

で送信パケットを許可して、後はなにもしないので、
戻りパケットは

 > 64000 deny log ip from any to any

で拒否される、かと。

　おそらく、

/etc/ipfw.custom
         ipfw -q add 1200 allow ip from 133.58.124.49 to any keep-state

あたりで動くのではないかと思います。
番号はそのまま110でも良いのですが、
許可済みのセッションはcheck-stateやestablishedで早めに合致させたい
という趣旨だと思いますので、これらよりは後がいいと思います。

【ご参考】
http://www.wakhok.ac.jp/~kanayama/semi/bsd/node141.html
----
平野晃宏@金沢大学 大学院 自然科学研究科 電子情報科学専攻
hirano at t.kanazawa-u.ac.jp