YAMAMOTO.Taku
wavek****@gmail*****
2013年 1月 30日 (水) 09:48:24 JST
熊猫様 お世話になっております、山本です。 すみません、今再度exeption_policyを修正したらうまく行きました。 申し訳ございませんでした。 At Tue, 29 Jan 2013 22:22:05 +0900, Tetsuo Handa wrote: > > 熊猫です。 > > YAMAMOTO.Taku さんは書きました: > > 残念ながらうまくいきませんでした。 > > > > 既に定義済みのドメインポリシー(ネットワーク)を何度もccs-querydで拾うこ > > とがほぼ100%の確率で出るのですが、これはバグなのでしょうか。私の環境 > > (VirtualBox)が悪いのでしょうか。。address_groupを使わないとうまくいきま > > す。 > > VirtualBox の問題では無いと思います。 > > address_group を使用した場合、ポリシー違反が発生したものとして ccs-queryd の > プロンプトが表示されるようになるということでしょうか? > (「@グループ名」のように指定する際にグループ名を typo すると、意図した > グループを参照しないため、ポリシー違反が発生したものとしてプロンプトが表示 > されるということならば、仕様なのですが。) > > 問題の内容について確認させてください。 > > > > > ちなみに、Debian-squeeze + ccs-patch-1.8.3-20121225 + > > ccs-tools-1.8.3-20120805を使用しております。 > > > > 例えばVideoLanを例に上げますと、以下のように指定しないと、何度も > > ccs-querydでアドレス・ポート指定を求められます。 > > > > <kernel> /usr/bin/vlc > > 0: network inet stream connect 0.0.0.0-255.255.255.255 4713 > > 1: network inet stream connect ::1 4713 > > 2: use_group 0 > > > > 上記の指定は、任意の IPv4 アドレスのポート 4713 に対する接続要求の送信と、 > IPv6 アドレス ::1 のポート 4713 に対する接続要求の送信という意味ですね。 > > これを address_group を用いてどのように指定されようとしているのでしょうか? > > address_group MY_ADDR-1-LOCAL 10.0.0.0-10.255.255.255 > address_group MY_ADDR-1-LOCAL 172.16.0.0-172.31.255.255 > address_group MY_ADDR-1-LOCAL 192.168.0.0-192.168.255.255 > address_group MY_ADDR-1-LOCAL ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff > address_group MY-ADDR-2-GLOBAL 0.0.0.0-255.255.255.255 > > のように定義しているとのことですので、 > > network inet stream connect 0.0.0.0-255.255.255.255 4713 > > という行は > > network inet stream connect @MY-ADDR-2-GLOBAL 4713 > > のように、 > > network inet stream connect ::1 4713 > > という行は(許可範囲が少し広くなってしまうものの) > > network inet stream connect @MY_ADDR-1-LOCAL 4713 > > のように表記できると考えますが、そのように表記すると ccs-queryd のプロンプトが > 表示されるようになるということでしょうか? > > > iceweaselですと、以下のように設定しております。 > > > > <kernel> /usr/lib/iceweasel/firefox-bin > > 0: network inet dgram recv 192.168.0.0-192.168.255.255 53 > > 1: network inet dgram send 0.0.0.0-255.255.255.255 0 > > 2: network inet dgram send 192.168.0.0-192.168.255.255 53 > > 3: network inet dgram send ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 0 > > 4: network inet stream connect 0.0.0.0-255.255.255.255 443 > > 5: network inet stream connect 0.0.0.0-255.255.255.255 80 > > 6: use_group 0 > > > > これに関しても、上記のように address_group を用いない指定から、 > どのような address_group を用いた指定を行おうとされているのでしょうか? > > (許可範囲が少し広くなってしまうものの) > > network inet dgram recv @MY_ADDR-1-LOCAL 53 > network inet dgram send @MY-ADDR-2-GLOBAL 0 > network inet dgram send @MY_ADDR-1-LOCAL 53 > network inet dgram send @MY_ADDR-1-LOCAL 0 > network inet stream connect @MY-ADDR-2-GLOBAL 443 > network inet stream connect @MY-ADDR-2-GLOBAL 80 > > のように表記できると考えますが、そのように表記すると ccs-queryd のプロンプトが > 表示されるようになるということでしょうか?
TOMOYO
Fork