[FreeBSD-users-jp 95826] ipfwとDNS

[丸山直昌]

統計数理研究所の丸山です。

PC-BSD 10.x ではipfw がデフォルトでon になっているため、否応もなくipfw
のことを勉強せざるを得なくなったのですが、どうも私のアタマでは理解できな
い現象に遭遇したので、ここにお尋ねします。ipfw の設定によってDNSが引けな
くなってしまうのです。

/etc/ipfw.custom に

  ipfw -q add 110 allow ip from 133.58.124.49 to any

のようなルールを入れて、ipfw を再起動します。

  service ipfw restart

ただし、ここに 133.58.124.49 は default route に向かっているインターフェー
スです。

# netstat -rn |head
Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            133.58.124.99      UGS        bge0
127.0.0.1          link#3             UH          lo0
133.58.15.0/24     link#2             U          bge1
133.58.15.113      link#2             UHS         lo0
133.58.124.0/24    link#1             U          bge0
133.58.124.49      link#1             UHS         lo0

という感じ。すると、あろうことか、 DNSが引けなくなってしまうのです。

# dig @dns-x.ism.ac.jp ism.ac.jp ns
dig: couldn't get address for 'dns-x.ism.ac.jp': failure

"deny" ではなく "allow" なのにパケットが受け取れなくなる、というのは
どうも私のアタマでは理解できません。お助けください。

なお、上記 allow が default route に向かっていないインターフェースのアド
レスの場合には、問題は起きません。 10.2, 10.3 ともに同じ症状です。

よろしく。

--------
丸山直昌＠統計数理研究所