Tetsuo Handa
from-****@I-lov*****
2013年 1月 28日 (月) 20:56:54 JST
熊猫です。 YAMAMOTO.Taku さんは書きました: > ccs-editopolicyでローカルアドレスグループとグローバルアドレスグループの > 二つのアドレスグループを作成していたのですが、順番の変更が出来ません。 > > 29: address_group MY-ADDR-2-GLOBAL 0.0.0.0-255.255.255.255 > 30: address_group MY_ADDR-1-LOCAL 10.0.0.0-10.255.255.255 > 31: address_group MY_ADDR-1-LOCAL 172.16.0.0-172.31.255.255 > 32: address_group MY_ADDR-1-LOCAL 192.168.0.0-192.168.255.255 > 33: address_group MY_ADDR-1-LOCAL ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff > > これをMY_ADDR-1-LOCALの方を優先させたいと考えているのですが、どうしても > ドメインでの設定で「MY-ADDR-2-GLOBAL」が優先されてしまいます。 ドメインポリシーでの指定が network inet stream connect @MY_ADDR-1-LOCAL 0-65535 network inet stream connect @MY-ADDR-2-GLOBAL 0-65535 のようになっていても network inet stream connect @MY-ADDR-2-GLOBAL 0-65535 network inet stream connect @MY_ADDR-1-LOCAL 0-65535 のようになっていても、何れかの行に一致すれば許可、何れの行にも一致しなかったら (強制モードの場合には)拒否されます。 MY-ADDR-2-GLOBAL は全ての IPv4 アドレスを包含しているため、 IPv4 アドレスに 関して言えば network inet stream connect @MY-ADDR-2-GLOBAL 0-65535 という行には必ず一致してしまいます。 MY_ADDR-1-LOCAL と MY-ADDR-2-GLOBAL がオーバーラップしていることが 原因ですので、例えば、 address_group MY_ADDR-1-LOCAL 10.0.0.0-10.255.255.255 address_group MY_ADDR-1-LOCAL 172.16.0.0-172.31.255.255 address_group MY_ADDR-1-LOCAL 192.168.0.0-192.168.255.255 address_group MY_ADDR-1-NOT-LOCAL 0.0.0.0-9.255.255.255 address_group MY_ADDR-1-NOT-LOCAL 11.0.0.0-172.15.255.255 address_group MY_ADDR-1-NOT-LOCAL 172.32.0.0-192.167.255.255 address_group MY_ADDR-1-NOT-LOCAL 192.169.0.0-255.255.255.255 のようにオーバーラップしないようにグループを定義し、 network inet stream connect @MY_ADDR-1-LOCAL 0-65535 network inet stream connect @MY-ADDR-1-NOT-LOCAL 0-65535 のように使えば、ご希望の動作を実現できるかと思います。 ・・・ちょっと指定が面倒ですね。簡単に優先順位指定をできるようにするには、 CaitSith ( http://i-love.sakura.ne.jp/tomoyo/CaitSith-ja.pdf の第4章)で 紹介しているようなファイアウォール的構文が TOMOYO や AKARI にも必要になる ということかと思います。
TOMOYO
Fork