[FreeBSD-users-jp 95827] Re: ipfwとDNS

[丸山直昌]

統計数理研究所の丸山です。

# dig @133.58.32.12 ism.ac.jp ns

だと少しタイムアウトまでの時間が短くなりますが、同じようなものです。

; <<>> DiG 9.10.3-P4 <<>> @133.58.32.12 ism.ac.jp ns
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Thu, 30 Jun 2016 12:59:50 +0900
maruyama at ism.ac.jp (丸山直昌) writes:

>統計数理研究所の丸山です。
>
>PC-BSD 10.x ではipfw がデフォルトでon になっているため、否応もなくipfw
>のことを勉強せざるを得なくなったのですが、どうも私のアタマでは理解できな
>い現象に遭遇したので、ここにお尋ねします。ipfw の設定によってDNSが引けな
>くなってしまうのです。
>
>/etc/ipfw.custom に
>
>  ipfw -q add 110 allow ip from 133.58.124.49 to any
>
>のようなルールを入れて、ipfw を再起動します。
>
>  service ipfw restart
>
>ただし、ここに 133.58.124.49 は default route に向かっているインターフェー
>スです。
>
># netstat -rn |head
>Routing tables
>
>Internet:
>Destination        Gateway            Flags      Netif Expire
>default            133.58.124.99      UGS        bge0
>127.0.0.1          link#3             UH          lo0
>133.58.15.0/24     link#2             U          bge1
>133.58.15.113      link#2             UHS         lo0
>133.58.124.0/24    link#1             U          bge0
>133.58.124.49      link#1             UHS         lo0
>
>という感じ。すると、あろうことか、 DNSが引けなくなってしまうのです。
>
># dig @dns-x.ism.ac.jp ism.ac.jp ns
>dig: couldn't get address for 'dns-x.ism.ac.jp': failure
>
>"deny" ではなく "allow" なのにパケットが受け取れなくなる、というのは
>どうも私のアタマでは理解できません。お助けください。
>
>なお、上記 allow が default route に向かっていないインターフェースのアド
>レスの場合には、問題は起きません。 10.2, 10.3 ともに同じ症状です。
>
>よろしく。
>
>--------
>丸山直昌＠統計数理研究所