弊社システムにパケットフィルタを導入する際、alias設定したIPアドレスと派生元のIPアドレスの通信(実質自分から自分へのパケット)が遮断されて困った。
解決方法を見つけたので、備忘録として残す。
前提
- OS:QNX Neutrino
- パケットフィルタはpfで実施
- システムは固有のIPアドレスを持つ複数の機器で構成されている
- 顧客環境によって、一部の機器はスタブに置き換えて最低限の機能だけを模擬する
- 各スタブはメインマシン上で動作し、alias設定した固有IPアドレスを割り当てられる
結論
- インターフェース名に「:0」オプションを付けて、エイリアスをパケットフィルタの対象外にする
:0 Do not include interface aliases.
- 例えば以下のように記載すれば、alias以外のIPアドレスだけをブロックできる
pf.conf
block on if1 -> aliasを含めて、if1内の全IPアドレスに適用
block on if1:0 -> aliasを含まない、if1内のIPアドレスに適用
・・・以下、if1の必要ポートのみ開ける処理を記載・・・