トップ «前の日記(2021-06-22) 最新 次の日記(2021-07-07)» 編集

Orz日記 by Akio Morita

ToDo:

  • 15 SAD Fit[]回りの障害事例の解析
  • 10 smart pointer版PEGクラスの再実装(Left Recursionまわり)
2006|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|06|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|02|03|04|05|07|08|09|10|11|12|
2013|01|03|04|05|06|07|08|09|10|11|12|
2014|01|02|03|04|05|06|07|08|09|10|11|12|
2015|01|02|03|04|06|07|08|10|12|
2016|01|02|03|05|06|08|10|11|
2017|01|02|03|04|05|06|07|09|10|11|12|
2018|01|02|03|04|06|07|08|09|10|11|12|
2019|01|03|04|05|07|08|09|10|11|12|
2020|01|02|03|04|05|06|07|08|09|10|11|12|
2021|01|02|03|04|05|06|07|08|09|10|11|12|
2022|01|02|03|04|05|06|07|08|09|10|11|12|
2023|01|02|03|04|05|06|07|08|09|10|11|12|
2024|01|02|03|04|05|06|07|08|09|10|11|

2021-07-05 [長年日記]

_ [FreeBSD][雑記]Firewall再構築

IPv6サポートのためにFirewallの再構築を実施

VLANも増えてきたので、DMZおよび境界制御ルールの記述パターンの標準化と 動的ルールの全面的な導入・tableおよびtagアクションオプションによる記述の圧縮などを実施

得られた知見をメモ

  • パケットに付けたtagは、divertルール等でカーネル外に出ると失われる (in-kernel nat actionでも同様にtagが剥がれる模様 2021-07-07 追記)
    • divertを挟んでの単純なtagベースのフロー制御は機能しない
    • tagged skiptoと組み合わせて、別々のdivertを潜らせるという解もあるが、性能を考えると設計で回避すべき
  • NATがある環境では、incommingとoutgoingでNAT通過後の内側アドレスが異なるので、動的ルールを使う場合はどのポイントで動的ルールを生成するか・ごのポイントで動的ルールアクションを発生するかを意識する必要がある
    • keep-stateの代わりにdefer-action付きのrecord-stateを用いることで、動的ルール生成とアクション適用点(check-state)を分離できる

境界ルーター上では、IPv6通信がつかえるようになった

実用レベルでIPv4 over IPv6を使うには、プロバイダー側がMAP-Eなのv4 NATの実装が面倒だし、外部からのIPv4着信を考えるとIPv4 PPPoE接続も維持して、用途によってIPv4経路を選択する必要があるので、routing tableの多重化を行い接続経路やjail/socketにFIBを設定する必要がある


カテゴリー: Admin | Emacs | EPICS | Fortran | FreeBSD | GCC | hgsubversion | IPv6 | KEKB | LHC | Lisp | LLVM | MADX | Ryzen | SAD | samba | tDiary | unix | WWW | YaSAI | お仕事 | イベント | 出張 | 宴会 | 数学 | 艦これ | 買いもの | 追記 | 雑記