中村です。
07/09/17 に Yoshiaki
Uchikawa<[メールアドレス保護]>
さんは書きました:
> うちかわです
>
> > From: "masaya nakamura"
> > <[メールアドレス保護]>
> > Date: Mon, 17 Sep 2007 07:14:44 +1000
>
> > 中村です。
> >
> > 07/09/17 に
> ikesan<[メールアドレス保護]>
> さんは書きました:
> > > ipfw、ipf どちらにも natdが内臓されています。
> > > どちらを使うにしてもカー
中村です。
パケットフィルターについてみなさんから色々なお返事を
頂き、ありがとうございます。
ipfwのルールファイル(/etc/rc.firewall)のいじり方の作法に
ついてみなさんのご意見をお聞きしたいと思います。
>
># Define the firewall type in /etc/rc.conf. Valid values are:
># open - will allow anyone in
># client - will try to protect just this machine
># simple
中治です。
結局、「mountd を -r 付で起動する」が解決方法(のひとつ)でした。
> In
> <[メールアドレス保護]>
>
> NAKAJI Hiroyuki
> <[メールアドレス保護]>
> wrote:
> > ここだけしか見てませんが, /etc/rc.conf の nfs_reserved_port_only 設定
> > ネタですかねぇ。。YES, NO どっちに振ってあるかしりませんが, 反対にすればいい
> > かな。sysctl vfs.nfsrv.nfs_privpor
うちかわです
http://www.jp.freebsd.org/cgi/cvsweb.cgi/src/sys/modules/Makefile
あたりを見るとipfilterでは3.5Rの頃、ipfwに至っては2.0.5の頃から
ローダブルなモジュール化は行われていたようです。
ただ必ずしも安定して動いていたわけではないようで何度か標準の状態
ではモジュールを作らないように設定が変更されたりしています。
ipfwでnatを行う場合IPDIVERTのカーネルオプションまたはipdivert
モジュールが必要なのでこちらの方を調べてみると入ったのは2004年
10月。時期的には5.x系に入
阿部です。
On Mon, Sep 17, 2007 at 05:57:29PM +1000, masaya nakamura wrote
>
> firewall_type="client"
> firewall_enable="YES"
>
> と書いておいて自分のルールをclientエントリーの中に記述するのが
> 普通のお作法なのでしょうか?それとも自分のルールだけを記述した
> ファイルを別に作って/etc/rc.firewallと置き換えるのが普通なのでしょうか?
私は、
firewall_enable="YES"
firewall_script="/etc/ipfw.
柳澤です。
masaya nakamura さんは書きました:
> どちらの方法を使用したらいいのか、あるいは大した違いは無いのか。
> カーネルの再構築は必要なのかどうなのか。
FreeBSDでパケットフィルタリングをする選択肢としては、
ipfw、IPFilter (ipf)、pfの3種類があります。
いずれもカーネルモジュールとして追加できますので、
再コンパイルは不要です。歴史はipfwが一番古く、
一番枯れた技術といえるでしょう。ipfilterはその次に古く、
pfは最近のパケットフィルタリングソフトです。
自分のお勧めはpfです。自分が使ったことがあるのは
IPv6対応
柳澤です。
Yoshiaki Uchikawa さんは書きました:
> つまりかなり最近までカーネル再構築なしでNATを使うにはnatdで行う
> のではなくipfilterのipnatを使うのが早かったのでした。
> 途中からはpfでもnatを行うことができたのにです。
> (本当かな? 誰か確認した/できる人います?)
あまり自信がないのですが、pfをportsで入れていた時代からnatに
対応していたように思います。pfが登場したのは4.8Rのころですね。
pfが本体に取り込まれた5.3RがNATに対応していたのは確実だと思います。
(対応していなかったらpfに乗り換えませんで
