YAMAMOTO.Taku
wavek****@gmail*****
2013年 1月 29日 (火) 11:48:12 JST
お世話になります、山本です。 残念ながらうまくいきませんでした。 既に定義済みのドメインポリシー(ネットワーク)を何度もccs-querydで拾うこ とがほぼ100%の確率で出るのですが、これはバグなのでしょうか。私の環境 (VirtualBox)が悪いのでしょうか。。address_groupを使わないとうまくいきま す。 ちなみに、Debian-squeeze + ccs-patch-1.8.3-20121225 + ccs-tools-1.8.3-20120805を使用しております。 例えばVideoLanを例に上げますと、以下のように指定しないと、何度も ccs-querydでアドレス・ポート指定を求められます。 <kernel> /usr/bin/vlc 0: network inet stream connect 0.0.0.0-255.255.255.255 4713 1: network inet stream connect ::1 4713 2: use_group 0 iceweaselですと、以下のように設定しております。 <kernel> /usr/lib/iceweasel/firefox-bin 0: network inet dgram recv 192.168.0.0-192.168.255.255 53 1: network inet dgram send 0.0.0.0-255.255.255.255 0 2: network inet dgram send 192.168.0.0-192.168.255.255 53 3: network inet dgram send ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 0 4: network inet stream connect 0.0.0.0-255.255.255.255 443 5: network inet stream connect 0.0.0.0-255.255.255.255 80 6: use_group 0 At Mon, 28 Jan 2013 20:56:54 +0900, Tetsuo Handa wrote: > > 熊猫です。 > > YAMAMOTO.Taku さんは書きました: > > ccs-editopolicyでローカルアドレスグループとグローバルアドレスグループの > > 二つのアドレスグループを作成していたのですが、順番の変更が出来ません。 > > > > 29: address_group MY-ADDR-2-GLOBAL 0.0.0.0-255.255.255.255 > > 30: address_group MY_ADDR-1-LOCAL 10.0.0.0-10.255.255.255 > > 31: address_group MY_ADDR-1-LOCAL 172.16.0.0-172.31.255.255 > > 32: address_group MY_ADDR-1-LOCAL 192.168.0.0-192.168.255.255 > > 33: address_group MY_ADDR-1-LOCAL ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff > > > > これをMY_ADDR-1-LOCALの方を優先させたいと考えているのですが、どうしても > > ドメインでの設定で「MY-ADDR-2-GLOBAL」が優先されてしまいます。 > > ドメインポリシーでの指定が > > network inet stream connect @MY_ADDR-1-LOCAL 0-65535 > network inet stream connect @MY-ADDR-2-GLOBAL 0-65535 > > のようになっていても > > network inet stream connect @MY-ADDR-2-GLOBAL 0-65535 > network inet stream connect @MY_ADDR-1-LOCAL 0-65535 > > のようになっていても、何れかの行に一致すれば許可、何れの行にも一致しなかったら > (強制モードの場合には)拒否されます。 > > MY-ADDR-2-GLOBAL は全ての IPv4 アドレスを包含しているため、 IPv4 アドレスに > 関して言えば > > network inet stream connect @MY-ADDR-2-GLOBAL 0-65535 > > という行には必ず一致してしまいます。 > > MY_ADDR-1-LOCAL と MY-ADDR-2-GLOBAL がオーバーラップしていることが > 原因ですので、例えば、 > > address_group MY_ADDR-1-LOCAL 10.0.0.0-10.255.255.255 > address_group MY_ADDR-1-LOCAL 172.16.0.0-172.31.255.255 > address_group MY_ADDR-1-LOCAL 192.168.0.0-192.168.255.255 > address_group MY_ADDR-1-NOT-LOCAL 0.0.0.0-9.255.255.255 > address_group MY_ADDR-1-NOT-LOCAL 11.0.0.0-172.15.255.255 > address_group MY_ADDR-1-NOT-LOCAL 172.32.0.0-192.167.255.255 > address_group MY_ADDR-1-NOT-LOCAL 192.169.0.0-255.255.255.255 > > のようにオーバーラップしないようにグループを定義し、 > > network inet stream connect @MY_ADDR-1-LOCAL 0-65535 > network inet stream connect @MY-ADDR-1-NOT-LOCAL 0-65535 > > のように使えば、ご希望の動作を実現できるかと思います。 > > > > ・・・ちょっと指定が面倒ですね。簡単に優先順位指定をできるようにするには、 > CaitSith ( http://i-love.sakura.ne.jp/tomoyo/CaitSith-ja.pdf の第4章)で > 紹介しているようなファイアウォール的構文が TOMOYO や AKARI にも必要になる > ということかと思います。