VMWare上のFedora9で、eth0(bridge)、eth1(NAT)設定をしているとき、DHCPでのIP取得を行おうとすると、eth0がDHCPに失敗する、という問題がでていた。
結論からいうと、下記許可ルールを追加すると解決する。
ローカル側:UDP 67-68ポート
リモート側:UDP 67-68ポート 信頼ゾーン
非常に気持ち悪いのだが、ひとまず解決策。
追記:
VMWareのIP幅を信頼ゾーンに加えてないと、失敗するかもしれない。未検証。
追追記:
サポートに推奨設定を問い合わせていたが、その返答がきた。曰く、
プロトコル:UDP
方向:内向き
アクション:許可
ローカルポート:68
リモートポート:67
を追加するようにとのこと。これで変なところで引っかからずきちんとファイアウォールを使うことができる。ありがたい。
またやってしまった。ThinkPadにパーソナルファイアウォール入りの製品をインストールしたあと、ローカルポートの通信を許可せずに再起動。これをやるとClient Securityに締め出されてしまう。原因は、前にも散々調べた結果、おそらく(というのは起動時のシーケンスのために裏側で何かできないため、外形から推測するしかない)127.0.0.1同士の通信で、エンベデッドセキュリティチップ関連のソフトとClient Securityのログインウインドウアプリが通信していて、それをパーソナルファイアウォールがブロックしてしまうからだと思う。
これは、HDDをはずしてどうこうする、というようなアグレッシブな方法を除くとほとんど対処法がなくて、そのまま放置して待つしかない。寝て起きるとタイムアウトするらしく、通常のログインウインドウが出てきてくれる。このタイムアウト時間が実際のところどれだけかはこれまでぜんぜん知らなかったが、ちょっと調べてみると Client Security バージョン5.4 インストールガイドなる資料にあたった。
この資料にも、今回のようなケースでタイムアウトが何時間なのかについては触れられていない。だが、タイムアウトしているということはこれまでの体験的にわかっていて、この中の下記の記述を見る限りは、おそらく4.7時間かそれに若干追加した程度なのだろうと推測する。
Atmel TPMシステムでは、ユーザー・パスフレーズと管理者パスワードを区別していません。IBMエンベデッド・セキュリティー・サブシステムを使用する認証は、いずれも同じポリシーに従っています。最大タイムアウトは4.7時間です。Atmel TPMシステムは、4.7時間を越えて遅延することはありません。
やらかしたのが今から2時間程度前。4.7時間=4時間42分までにはまだまだ遠い。
自戒を込めてメモ。
翌日追記:がーん、ぜんぜんタイムアウトしない。しかもここ(T60とZoneAlarm)の情報によると5分程度でファイアウォールがあって使えない旨のエラーメッセージが出るらしいが、ぜんぜんでなかったぞ…。結局再度入れなおし中。うちのこのポストは間違っている虞がある。
ひとまず、うちのThinkPad T60(262325I)は、ほかにもATIのCCC(Catalyst Control Center)もローカル間で通信するし、127.0.0.1:* <-> 127.0.0.1:*の通信は無条件に許可しておいてもいいのかもしれない。今回の問題は、Windows NT Loginとtvttcsdの2つを許可すれば良いらしいのだが。
<ifmodule mod_proxy.c>
ProxyRequests On
<proxy *>
Order deny,allow
Deny from all
Allow from 192.168.0.
</proxy>
ProxyVia Block
</ifmodule>
環境変数に設定すればいいのだが、面倒なので下記のような感じで一括してprofile.dに書いておくと楽ちん。
vi /etc/profile.d/proxy.sh
export http_proxy = http://oyadama:80/ export HTTP_PROXY = http://oyadama:80/
で再度loginし直すと環境変数が有効になって使えるようになる。
手元環境でPROXYが必要なときには一瞬で設定できるしかなり便利だ。もっと活用していこう。