From owner-freebsd-users-jp@freebsd.org  Sun Jul 10 10:09:18 2016
Return-Path: <owner-freebsd-users-jp@freebsd.org>
Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org
Received: from mx1.freebsd.org (mx1.freebsd.org
 [IPv6:2001:1900:2254:206a::19:1])
 by mailman.ysv.freebsd.org (Postfix) with ESMTP id E3BD3B83EBE
 for <freebsd-users-jp@mailman.ysv.freebsd.org>;
 Sun, 10 Jul 2016 10:09:18 +0000 (UTC)
 (envelope-from junchoon@dec.sakura.ne.jp)
Received: from dec.sakura.ne.jp (dec.sakura.ne.jp [210.188.226.8])
 (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
 (Client did not present a certificate)
 by mx1.freebsd.org (Postfix) with ESMTPS id 91794138C
 for <freebsd-users-jp@freebsd.org>; Sun, 10 Jul 2016 10:09:18 +0000 (UTC)
 (envelope-from junchoon@dec.sakura.ne.jp)
Received: from fortune.joker.local (123-48-23-227.dz.commufa.jp
 [123.48.23.227]) (authenticated bits=0)
 by dec.sakura.ne.jp (8.15.2/8.15.2/[SAKURA-WEB]/20080708) with ESMTPA id
 u6AA9GLx045255; Sun, 10 Jul 2016 19:09:16 +0900 (JST)
 (envelope-from junchoon@dec.sakura.ne.jp)
Date: Sun, 10 Jul 2016 19:09:15 +0900
From: Tomoaki AOKI <junchoon@dec.sakura.ne.jp>
To: freebsd-users-jp@freebsd.org
Message-Id: <20160710190915.8f6f2e783968776faf70d8e4@dec.sakura.ne.jp>
In-Reply-To: <20160705.094217.666939339706019627.moto@kawasaki3.org>
References: <20160704224609.024F.60E52F2C@yahoo.co.jp>
 <5D273A96BAD44D8AA35AA9E718200952@FMV>
 <20160705.094217.666939339706019627.moto@kawasaki3.org>
Organization: Junchoon corps
X-Mailer: Sylpheed 3.5.0 (GTK+ 2.24.29; amd64-portbld-freebsd11.0)
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
Subject: [FreeBSD-users-jp 95844] Re:
 =?iso-2022-jp?b?bmV0IGJvb3QgJiBkaXNrbGVzcyAmIGlwZncgPSA=?=
 =?iso-2022-jp?b?GyRCJVUlaiE8JTohKRsoQg==?=
X-BeenThere: freebsd-users-jp@freebsd.org
X-Mailman-Version: 2.1.22
Precedence: list
List-Id: Discussion relevant to FreeBSD communities in Japan
 <freebsd-users-jp.freebsd.org>
List-Unsubscribe: <https://lists.freebsd.org/mailman/options/freebsd-users-jp>, 
 <mailto:freebsd-users-jp-request@freebsd.org?subject=unsubscribe>
List-Archive: <http://lists.freebsd.org/pipermail/freebsd-users-jp/>
List-Post: <mailto:freebsd-users-jp@freebsd.org>
List-Help: <mailto:freebsd-users-jp-request@freebsd.org?subject=help>
List-Subscribe: <https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp>, 
 <mailto:freebsd-users-jp-request@freebsd.org?subject=subscribe>
X-List-Received-Date: Sun, 10 Jul 2016 10:09:19 -0000

もじもじ様・川崎様

青木@名古屋です。　未だ誰からもツッコミが入りませんので...。

On Tue, 05 Jul 2016 09:42:17 +0900 (JST)
moto kawasaki <moto@kawasaki3.org> wrote:

> 
> 川崎です。こんにちは。
> 
> on Mon, 4 Jul 2016 23:08:41 +0900, "IIJIMA Hiromitsu" <delmonta@dennougedougakkai-ndd.org> wrote:
> 
> delmonta> いいじま＠二度目の大学生です。
> delmonta> 
> delmonta> > ただ、
> delmonta> > ・ネットブート
> delmonta> > ・ディスクレス
> delmonta> > です。
> delmonta> > DHCP サーバから、pxeboot のエントリ貰って、そこからカー
> delmonta> > ネルをロードしています。
> delmonta> > その後、ipfw + "open" で固まります・・・・
> delmonta> > タイミング的に、NFS のマウント後に ipfw で close->open
> delmonta> > の隙間に、ログが書き込めなくてガッチリホールド、とかあり
> delmonta> > 得るんでしょうか？
> delmonta> > ctl+alt+del すら効かなくなります・・・・
> delmonta> 
> delmonta> 素人考えですが、ipfwがNFSのパケットを遮断してしまって、起動前にこなす
> delmonta> ひとになっているwrite()システムコールをインターバルなしで永久に繰り
> delmonta> 返そうとしている、とか？
> delmonta> 仮想マシンをその場所に設置して、CPU負荷を見てみたいところです。
> 
> きっとこれですよね。
> 
> /boot/loader.conf に net.inet.ip.fw.default_to_accept=0 と書く(*)か、
> または、 https://www.freebsd.org/doc/handbook/firewalls-ipfw.html
> にあるような options を入れて再コンパイルしてますか？（特に
> IPFIREWALL_DEFAULT_TO_ACCEPT）
> 
> /etc/rc.conf に firewall_type="OPEN" と書くと、nat 回りの設定があれば
> それはやるけど他のルールは一切入れないようなので、ipfw の default の全
> パケット拒否が有効になっているような気がします。
> 
> (*) man ipfw の LOADER TUNABLES 参照

stable/10とstable/11だと、/etc/rc.firewallの189〓192行めで
全通にするルールが設定されていますよ。　具体的な設定部分は

　${fwcmd} add 65000 pass all from any to any

になっています。

それよりも気になるのが、PXEブート等のネットワークブートは未経験のため
仕組みを理解していませんが、ローカルの起動と同様なら
　ローダの読み込み
　→少なくとも/bootだけは存在する起動用パーティション読み込み
　→/boot/loader.confの設定（又はデフォルト）に従ってtunable設定
　→同様にカーネルとモジュールを読み込み
　→同様に/をリマウント
　→リマウントされた/（以下同じ）の/sbin/initを起動
　→initからrcを実行し、そこからrc.conf等の処理を起動
　→rc.conf等の指定に従って/etc/rc.firewall等の処理を起動
という流れになります。　ネットワークブートの場合に/のリマウントが
無いのであれば、最低限起動に必要なディレクトリはPXEで読み込まれる
パーティションに揃っていないとアウトという気がします。

また、/etc/rc.d/でipfwからREQUIREされるものを目視で辿っていっても
mountcritremoteにたどり着きません。　NFS関連はこのmountcritremoteで
処理されるため、ipfw関連の処理でNFSシェアへのアクセスが必要になった
瞬間にアウトになりそうです。（見落としていたら申し訳ありません）

そこでもうひとつ気になるのが、/tmpや/varがどうなっているかです。
ネットワークブートの場合、起動用イメージは（セキュリティや管理上）
readonlyの運用が基本と推測しますが、下記はどうなっていますか？

　・/tmpはmfsになっているか（下記のいずれか）
　　　・rc.confでtmpmfs="YES"になっている
　　　・上記未設定のままでfstabやZFSデータセットで/tmpが設定されて
　　　　いない

　・/varはmfsになっているか（下記のいずれか）
　　　・rc.confでvarmfs="YES"になっている
　　　・上記未設定のままでfstabやZFSデータセットで/varが設定されて
　　　　いない

もし/tmpや/varがNFSシェアに設定されているとipfw絡みのログ等を書き込もう
とした時点でマウントが完了していないとアウトですが、/tmpや/varの中身が
再起動時に消失して問題なければ、tmpmfsやvarmfsの使用を考慮する価値が
あるかと。　設定については/etc/defaults/rc.confを参照して下さい。

　※/var/db等、ipfwの起動時点で不要かつ消失しては困る（他サービスの
　　起動時に参照したい）個別のディレクトリについてはfstabでNFSマウント
　　する、/var/logは極力syslogサーバを立ててそちらに飛ばしつつ、飛ばせ
　　ないものは何らかの手段でNFSシェアに一方通行で同期するようにせざるを
　　得ませんが...。

> 
> -- 
> moto kawasaki <moto@kawasaki3.org>
> 
> _______________________________________________
> freebsd-users-jp@freebsd.org mailing list
> https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp
> To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org"
> 


-- 
青木 知明  [Tomoaki AOKI]
    junchoon@dec.sakura.ne.jp