TOMOYO

Fork

[tomoyo-users 972] Re: address_groupの優先順位

YAMAMOTO.Taku wavek****@gmail*****
2013年 1月 29日 (火) 11:48:12 JST

• 前の記事 [tomoyo-users 971] Re: address_group の優先順位
• 次の記事 [tomoyo-users 973] Re: address_group の優先順位
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

お世話になります、山本です。

残念ながらうまくいきませんでした。

既に定義済みのドメインポリシー(ネットワーク)を何度もccs-querydで拾うこ
とがほぼ100%の確率で出るのですが、これはバグなのでしょうか。私の環境
(VirtualBox)が悪いのでしょうか。。address_groupを使わないとうまくいきま
す。

ちなみに、Debian-squeeze + ccs-patch-1.8.3-20121225 +
ccs-tools-1.8.3-20120805を使用しております。

例えばVideoLanを例に上げますと、以下のように指定しないと、何度も
ccs-querydでアドレス・ポート指定を求められます。

<kernel> /usr/bin/vlc
    0: network inet stream connect 0.0.0.0-255.255.255.255 4713
    1: network inet stream connect ::1 4713
    2: use_group    0

iceweaselですと、以下のように設定しております。

<kernel> /usr/lib/iceweasel/firefox-bin
    0: network inet dgram recv 192.168.0.0-192.168.255.255 53
    1: network inet dgram send 0.0.0.0-255.255.255.255 0
    2: network inet dgram send 192.168.0.0-192.168.255.255 53
    3: network inet dgram send ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 0
    4: network inet stream connect 0.0.0.0-255.255.255.255 443
    5: network inet stream connect 0.0.0.0-255.255.255.255 80
    6: use_group    0

At Mon, 28 Jan 2013 20:56:54 +0900,
Tetsuo Handa wrote:
> 
> 　熊猫です。
> 
> YAMAMOTO.Taku さんは書きました：
> > ccs-editopolicyでローカルアドレスグループとグローバルアドレスグループの
> > 二つのアドレスグループを作成していたのですが、順番の変更が出来ません。
> > 
> >    29: address_group     MY-ADDR-2-GLOBAL 0.0.0.0-255.255.255.255
> >    30: address_group     MY_ADDR-1-LOCAL 10.0.0.0-10.255.255.255
> >    31: address_group     MY_ADDR-1-LOCAL 172.16.0.0-172.31.255.255
> >    32: address_group     MY_ADDR-1-LOCAL 192.168.0.0-192.168.255.255
> >    33: address_group     MY_ADDR-1-LOCAL ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
> > 
> > これをMY_ADDR-1-LOCALの方を優先させたいと考えているのですが、どうしても
> > ドメインでの設定で「MY-ADDR-2-GLOBAL」が優先されてしまいます。
> 
> ドメインポリシーでの指定が
> 
> network inet stream connect @MY_ADDR-1-LOCAL 0-65535
> network inet stream connect @MY-ADDR-2-GLOBAL 0-65535
> 
> のようになっていても
> 
> network inet stream connect @MY-ADDR-2-GLOBAL 0-65535
> network inet stream connect @MY_ADDR-1-LOCAL 0-65535
> 
> のようになっていても、何れかの行に一致すれば許可、何れの行にも一致しなかったら
> （強制モードの場合には）拒否されます。
> 
> MY-ADDR-2-GLOBAL は全ての IPv4 アドレスを包含しているため、 IPv4 アドレスに
> 関して言えば
> 
> network inet stream connect @MY-ADDR-2-GLOBAL 0-65535
> 
> という行には必ず一致してしまいます。
> 
> MY_ADDR-1-LOCAL と MY-ADDR-2-GLOBAL がオーバーラップしていることが
> 原因ですので、例えば、
> 
> address_group     MY_ADDR-1-LOCAL 10.0.0.0-10.255.255.255
> address_group     MY_ADDR-1-LOCAL 172.16.0.0-172.31.255.255
> address_group     MY_ADDR-1-LOCAL 192.168.0.0-192.168.255.255
> address_group     MY_ADDR-1-NOT-LOCAL 0.0.0.0-9.255.255.255
> address_group     MY_ADDR-1-NOT-LOCAL 11.0.0.0-172.15.255.255
> address_group     MY_ADDR-1-NOT-LOCAL 172.32.0.0-192.167.255.255
> address_group     MY_ADDR-1-NOT-LOCAL 192.169.0.0-255.255.255.255
> 
> のようにオーバーラップしないようにグループを定義し、
> 
> network inet stream connect @MY_ADDR-1-LOCAL 0-65535
> network inet stream connect @MY-ADDR-1-NOT-LOCAL 0-65535
> 
> のように使えば、ご希望の動作を実現できるかと思います。
> 
> 
> 
> ・・・ちょっと指定が面倒ですね。簡単に優先順位指定をできるようにするには、
> CaitSith （ http://i-love.sakura.ne.jp/tomoyo/CaitSith-ja.pdf の第４章）で
> 紹介しているようなファイアウォール的構文が TOMOYO や AKARI にも必要になる
> ということかと思います。

• 前の記事 [tomoyo-users 971] Re: address_group の優先順位
• 次の記事 [tomoyo-users 973] Re: address_group の優先順位
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]