[FreeBSD-users-jp 95836] Re: ipfwとDNS

[丸山直昌]

青木 様

丸山です。

Thu, 30 Jun 2016 18:41:01 +0900
Tomoaki AOKI <junchoon at dec.sakura.ne.jp> writes:

>とりあえず外からの怪しげな通信を遮断できればOK、ということであれば、
>/etc/rc.firewallのお仕着せのルールセット（PC-BSDもFreeBSD由来ですので、
>わざわざ削除していなければ同じかカスタマイズされたものがあると思います）
>を使う手もあります。　/etc/rc.confか/etc/rc.conf.localに、クライアントと
>しての運用なら、例えば
>
>   firewall_enable="YES"
>   firewall_type="CLIENT"

ええとですね、PC-BSD10.2も 10.3も /etc/default/rc.conf に

rc_conf_files="/etc/rc.conf.pcbsd /etc/rc.conf /etc/rc.conf.local"

という行がありまして、 /etc/rc.conf.local は存在せず、

# grep firewall rc.conf.pcbsd
  firewall_enable="YES"
  firewall_type="open"
  firewall_enable="YES"
  firewall_script="/etc/ipfw.rules"
  firewall_type="open"

となっております。

>のように指定するのも手です。　"WORKSTATION"でも可ですが、違いはCLIENT
>だと
>
>   firewall_client_net=133.58.124.0
>
>のようにin/outとも全通にしたい（ローカルの）ネットワークアドレスを
>設定でき、WORKSTATIONだとfirewall_myservicesで他端末からの接続を許す
>ポート／プロトコル、firewall_allowservicesでそのサービスへの接続を
>許すアドレスを指定することでローカルサーバとしての運用も想定されて
>いることでしょうか。

これ、私が目指している運用のイメージです。自宅では NAT セグメント、職場
では second ether の側に、他の部屋からはアクセスできない閉鎖セグメントを
持っていますので。

>　※ご指定のIPアドレスだとクラスBになりますが、netstatの出力では/24に
>　　なっているので、そのレンジで割当てている前提の例にしてあります。
>
>サーバ運用でbge0とbge1を内側・外側で使い分けるのであれば、CLIENTでなく
>SIMPLEをベースにカスタムのルールセットを作るのが早そうです。

アドバイス有難うございます。少し考えてみます。

PC-BSD をNFSサーバーにするには、あと /etc/hosts.allow もいじる必要があり
ますが、皆様に披露するような話でもないと思いますので、省略します。

--------
丸山直昌＠統計数理研究所