Re: ipfw firewall_type="open" が動かない？

青木@名古屋です。

もし「12.3 から 13.1 に乗り換え」がアップグレードで
あれば、/etc/の中身が適切に更新できていないという
可能性が出てきますが、それはさておき。
/var/log/messagesの件について下記します。


On Fri, 7 Oct 2022 18:38:20 +0900
Yoshito Takeuchi <kinchan@kinchan.com> wrote:

> お騒がせしております。
> ipfw start したタイミングで /var/log/message に
> kernel: ipfw2 (+ipv6) initialized, divert loadable, nat loadable,
> default to deny, logging disabled
> と出ていました。これって、
> firewall_type="open"
> を認識していないって事なんでしょうか？

改めてソースを見直してはいないのですが、これは/boot/kernel/ipfw.koか
/sbin/ipfwに設定可能な最大の番号（＝最後に評価される）であらゆる
接続を拒絶する設定がハードコードされているからかと。
草地さんの例の

> 65535 deny ip from any to any

ですね。　この設定、/etc/rc.firewallには含まれていませんので、
ハードコードされていなければ出てくる筈がないのです。
なお、firewall_type="close"だと、同じ設定が65000番に駄目押しで
追加されます。

　※いずれも保険ですね。　ネットワーク接続自体がある意味
　　リスク要因なので、何の設定もなければIP接続全て止める
　　ようにハードコードされていて、さらに万一そのハード
　　コードが誤って除去されてしまった場合に備えてcloseだと
　　駄目押しの設定まで行う、と。

FreeBSDで標準で提供さてているファイアウォールにはipfwの
他にもOpenBSD由来のpfやLinux由来のIPFilterもあるので、
ipfw設定のための/etc/rc.firewall以外に直接的な設定は
（標準では）記述されません。

　※/etc/defaults/rc.confにはrc.firewallに渡す変数の
　　例がありますが、具体的な登録内容はあくまでその変数を
　　見て/etc/rc.firewallが行います。

> 
> 2022年10月7日(金) 17:46 FreeBSD あれこれ <bsd@sing.ne.jp>:
> >
> > To：竹内 さま
> >
> > 　北山です。
> >
> > > ssh で接続しており、今まで何も問題なかったので
> > > いきなり rc.conf に
> > > firewall_enable="yes"
> > > firewall_type="open"
> > > と書いて、service ipfw start
> > > したら、無反応になりアクセス出来なくなりました。
> > > rc.conf に書いてあるので reboot しても繋がりませんでした。
> > > ので、vnc 経由でシングルモードにして、ee rc.conf して
> > > firewall_enable="yes" をコメントアウト、reboot と言う流れです。
> >
> > > そうですか、皆様の環境では firewall_type="open" 動作しているんですね。
> >
> > 　そうですね。
> >
> > > 何故私の環境ではopenが機能しないのか、、何を調べれば良いんでしょうか？
> >
> > 　シングルモードにできるということは コンソールログイン
> > できるということですので。
> > 　コンソールログイン して  root 権限で。
> >
> >    service ipfw status で ipfw のサービス状態を確認
> >
> > 　草地さん がやっているように
> >
> >    ipfw -a list で ipfw の状態を確認 という 流れで調べていけばいいのでは？
> >
> > 　root 権限が 使えれば、ipfw の起動停止も
> >
> > service ipfw stop
> > service ipfw start
> >
> > 　でできますから あれこれ 試せるかと思います。
> >
> >
> >
> 


-- 
青木 知明  [Tomoaki AOKI]    <junchoon@dec.sakura.ne.jp>