Yoichi's diary


2003-06-21

_ [misc] 二日酔い

やばいな。

_ [comp] やっぱおかしい

firewall の内側から…の話。解決したと思ってほっとしたんだけどもう一度試してたらやっぱ駄目でした。 出口は FreeBSD で ipf+ipnat ですが、ipf -F a した状態だと内部のマシンから w3m www.netbsd.org して見える。 ipf を有効にすると、firewall 上からは行けるが内部のマシンからは駄目。ipf.rules はこんな感じ
pass in on lo0 all
pass in on de0 all
block in on vr0 all
block in on tun0 all
pass in on tun0 proto tcp from any to www.xxx.yyy.zzz/32 port = 22
pass in on tun0 proto tcp from any to www.xxx.yyy.zzz/32 port = 25
pass out all
pass out on tun0 all keep state
pass out on vr0 all keep state

_ [misc] #いーまくせんオフ会

行ってきました。二日酔いで体調悪かったのですが肉は食えました。お酒もほどほどに飲みました。

本日のツッコミ(全1件) [ツッコミを入れる]
_ soda (2003-06-21 18:48)

vr0がWAN側ですよね? 明示的に<br>pass in on vr0 proto icmp icmp-type unreach<br>pass in on vr0 proto icmp icmp-type squench<br>pass in on vr0 proto icmp icmp-type timex<br>pass in on vr0 proto icmp icmp-type paramprob<br>のように書かないと駄目じゃないかな。<br>あと、今回の問題とは関係ないですけど、<br>UDPのkeep stateは、過信は禁物です。<br>log をとって見て、どういうパケットがblockされているか<br>見ると、ルールのデバッグに役立ちます。