OSDN -- Desenvolver e Download de Software Open Source
Estado tradução de Português translation status for pt

[tomoyo-users 973] Re: address_group の優先順位

Back to archive index

Tetsuo Handa from-****@I-lov*****
2013年 1月 29日 (火) 22:22:05 JST 

 熊猫です。

YAMAMOTO.Taku さんは書きました:
> 残念ながらうまくいきませんでした。
> 
> 既に定義済みのドメインポリシー(ネットワーク)を何度もccs-querydで拾うこ
> とがほぼ100%の確率で出るのですが、これはバグなのでしょうか。私の環境
> (VirtualBox)が悪いのでしょうか。。address_groupを使わないとうまくいきま
> す。

VirtualBox の問題では無いと思います。

address_group を使用した場合、ポリシー違反が発生したものとして ccs-queryd の
プロンプトが表示されるようになるということでしょうか?
(「@グループ名」のように指定する際にグループ名を typo すると、意図した
グループを参照しないため、ポリシー違反が発生したものとしてプロンプトが表示
されるということならば、仕様なのですが。)

問題の内容について確認させてください。

> 
> ちなみに、Debian-squeeze + ccs-patch-1.8.3-20121225 +
> ccs-tools-1.8.3-20120805を使用しております。
> 
> 例えばVideoLanを例に上げますと、以下のように指定しないと、何度も
> ccs-querydでアドレス・ポート指定を求められます。
> 
> <kernel> /usr/bin/vlc
>     0: network inet stream connect 0.0.0.0-255.255.255.255 4713
>     1: network inet stream connect ::1 4713
>     2: use_group    0
> 

上記の指定は、任意の IPv4 アドレスのポート 4713 に対する接続要求の送信と、
IPv6 アドレス ::1 のポート 4713 に対する接続要求の送信という意味ですね。

これを address_group を用いてどのように指定されようとしているのでしょうか?

address_group MY_ADDR-1-LOCAL 10.0.0.0-10.255.255.255
address_group MY_ADDR-1-LOCAL 172.16.0.0-172.31.255.255
address_group MY_ADDR-1-LOCAL 192.168.0.0-192.168.255.255
address_group MY_ADDR-1-LOCAL ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
address_group MY-ADDR-2-GLOBAL 0.0.0.0-255.255.255.255

のように定義しているとのことですので、

network inet stream connect 0.0.0.0-255.255.255.255 4713

という行は

network inet stream connect @MY-ADDR-2-GLOBAL 4713

のように、

network inet stream connect ::1 4713

という行は(許可範囲が少し広くなってしまうものの)

network inet stream connect @MY_ADDR-1-LOCAL 4713

のように表記できると考えますが、そのように表記すると ccs-queryd のプロンプトが
表示されるようになるということでしょうか?

> iceweaselですと、以下のように設定しております。
> 
> <kernel> /usr/lib/iceweasel/firefox-bin
>     0: network inet dgram recv 192.168.0.0-192.168.255.255 53
>     1: network inet dgram send 0.0.0.0-255.255.255.255 0
>     2: network inet dgram send 192.168.0.0-192.168.255.255 53
>     3: network inet dgram send ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 0
>     4: network inet stream connect 0.0.0.0-255.255.255.255 443
>     5: network inet stream connect 0.0.0.0-255.255.255.255 80
>     6: use_group    0
> 

これに関しても、上記のように address_group を用いない指定から、
どのような address_group を用いた指定を行おうとされているのでしょうか?

(許可範囲が少し広くなってしまうものの)

network inet dgram recv @MY_ADDR-1-LOCAL 53
network inet dgram send @MY-ADDR-2-GLOBAL 0
network inet dgram send @MY_ADDR-1-LOCAL 53
network inet dgram send @MY_ADDR-1-LOCAL 0
network inet stream connect @MY-ADDR-2-GLOBAL 443
network inet stream connect @MY-ADDR-2-GLOBAL 80

のように表記できると考えますが、そのように表記すると ccs-queryd のプロンプトが
表示されるようになるということでしょうか?


tomoyo-users メーリングリストの案内
Back to archive index