長らくやろうと思っていたんだが、忙しかった。
この「忙しい」という言い訳は、実は最悪な言葉で、忙しいのはみんな忙しい。「忙しい」という言葉に実は単位はない。以前、人を増やしてくれ、忙しいからと言われたことがあるのだが、その上のリーダーが何人増やせばいいの?その根拠はと言ってきた。まぁ、直接の担当じゃなかったんでわからなかったが、その担当によると「忙しい」の一点張り。上司と2人で具体的に「忙しさ」がわからないと1人増やせばいいのか10人増やせばいいのかわからないんだよねぇ。と。ごもっとも。
「忙しい」という人は、その「忙しい」ことが理解できていないか(自身の仕事がマネージメントできていない)、仕事放棄(忙しいと言えばやらなくていい)と思うことにしている。仕事って業務命令なので、会社としては、えいやっができてしまうのだが。
日本人がやっている会社だとまずそれはない。なので、「忙しい」という人は居なくならないどころか爆増する仕組み。過去に「忙しいということで業務命令背けちゃうんですね」といって辞めていった人もいる。俺は知っている、その人、仕事がコンコンで、一つ一つこなして忙しかったことを。まぁ、暇な人が残るはな、そういう組織は。
閑話休題
というわけで「EdgeRouterである特定のホストのインターネットアクセスを止めたい」という話。
192.168.12.54から80, 443へのインターネットアクセスを除外する。
set firewall name WAN_OUT default-action accept
set firewall name WAN_OUT description eth0/out
set firewall name WAN_OUT rule 1 action drop
set firewall name WAN_OUT rule 1 description "disable internet access 80-443"
set firewall name WAN_OUT rule 1 destination port 80,443
set firewall name WAN_OUT rule 1 log enable
set firewall name WAN_OUT rule 1 protocol tcp
set firewall name WAN_OUT rule 1 source address 192.168.12.54
192.168.12.54から全てのプロトコルでインターネットアクセスを除外する。
set firewall name WAN_OUT default-action accept
set firewall name WAN_OUT description eth0/out
set firewall name WAN_OUT rule 1 action drop
set firewall name WAN_OUT rule 1 description "disable internet access all"
set firewall name WAN_OUT rule 1 log enable
set firewall name WAN_OUT rule 1 protocol tcp
set firewall name WAN_OUT rule 1 source address 192.168.12.54
ルールの適用
set interfaces ethernet eth0 firewall out name WAN_OUT
commit
何回かやっていると効かなくなるので以下を実行する。
sudo conntrack -F
EdgeRouterにデフォルトで設定されていないWAN_OUTが表示されている。
log enableなので、こんな感じで/var/log/messagesにログが出る。
IP晒したくないのでキャプチャは省略。
解除は以下、アサインを先に消さないとダメみたい。Firewall config error: Cannot delete rule set “WAN_OUT” (still in use)が出てしまう。
delete interfaces ethernet eth0 firewall out name WAN_OUT
delete firewall name WAN_OUT rule 1
delete firewall name WAN_OUT
ということでした。設定失敗したらどうしようかとヒヤヒヤだった。ルータが徒歩2時間、電車またはチャリ1時間、タクシーなら夜中15分のところにあるやつなので。
しかし、どういうわけかGoogleだけはアクセスができてしまう。。。IPv6が悪さしているのか?IPv6のルール(EdgeRouterのGUIでは設定できない。)を設定しようかと思ったがまた今度。どうせ、一時的な設定だけなので。