Mailinglist Archive: opensuse-ja (99 mails)
| < Previous | Next > |
Re: [suse-linux-ja] SFW2について
- From: "tezuka akio" <chipo@xxxxxxxxxxxx>
- Date: Sun, 19 Feb 2006 14:22:06 +0900
- Message-id: <002001c63514$6cba3b00$26cc06d3@p2p>
こんにちは
K.Suzukiさん、今井さん、motoさん、アドバイスを本当にありがとうございます。
結局、何が効果があったのかは不明なのですが、昨晩からは件のIPからのアクセスが見当たらなくなりました。
最終的にはK.Suzukiの方法で53番ポートも塞いでみました。
もう少し時間をかけて観測してみます。
テズカ アキオ
----- Original Message ----- From: "K.Suzuki" <knfeat@xxxxxxxxxxxxx>
To: <suse-linux-ja@xxxxxxxx>
Sent: Saturday, February 18, 2006 6:24 PM
Subject: Re: [suse-linux-ja] SFW2について
K.Suzukiさん、今井さん、motoさん、アドバイスを本当にありがとうございます。
結局、何が効果があったのかは不明なのですが、昨晩からは件のIPからのアクセスが見当たらなくなりました。
最終的にはK.Suzukiの方法で53番ポートも塞いでみました。
もう少し時間をかけて観測してみます。
テズカ アキオ
----- Original Message ----- From: "K.Suzuki" <knfeat@xxxxxxxxxxxxx>
To: <suse-linux-ja@xxxxxxxx>
Sent: Saturday, February 18, 2006 6:24 PM
Subject: Re: [suse-linux-ja] SFW2について
K.Suzukiです
On Fri, 17 Feb 2006 15:14:51 +0900
"tezuka akio" <chipo@xxxxxxxxxxxx> wrote:
SuSE 10.0 (パッケージ版)を使用しています。/sbin/SuSEfirewall2 start
この所以下のIPからドメインへの接続が頻繁なため、ピンポイントで接続を遮断したいのですが、接続の遮断がうまくできません。
(一日辺り250回くらいログに記録されています)
mail-log
Feb 17 14:29:36 ns postfix/smtpd[9970]: NOQUEUE: reject: RCPT from
unknown[211.206.123.136]: 554 <unknown[211.206.123.136]>: Client host
rejected: Access denied; from=<auaehuqpljklq@xxxxxx> to=<agastn@xxxxxxxxxxx>
proto=ESMTP helo=<sqe.rpn.vibom.com>
Feb 17 14:29:39 ns postfix/smtpd[9970]: lost connection after DATA from
unknown[211.206.123.136]
Feb 17 14:29:39 ns postfix/smtpd[9970]: disconnect from
unknown[211.206.123.136]
Feb 17 14:32:59 ns postfix/anvil[9971]: statistics: max connection rate
1/60s for
DNS
Feb 16 18:18:47 ns named[4992]: client 211.6.204.34#1075: query: /sbin/SuSEfirewall2 stop
136.123.206.211.in-addr.arpa IN PTR +/sbin/SuSEfirewall2 start
Feb 16 18:19:14 ns named[4992]: client 211.6.204.34#1075: query:
127.120.149.210.in-addr.arpa IN PTR +/sbin/SuSEfirewall2 stop
SFW2
Feb 15 14:19:34 ns kernel: SFW2-INext-ACC-TCP IN=eth0 OUT=
MAC=00:0d:87:6f:32:86:00:0b:a2:1d:16:1d:08:00 SRC=211.206.123.136
DST=211.6.204.35 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=61223 DF PROTO=TCP
SPT=4059 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058601010402)
DIG
; <<>> DiG 9.3.1 <<>> 36.123.206.211.in-addr.arpa
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60654
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;36.123.206.211.in-addr.arpa. IN A
;; AUTHORITY SECTION:
123.206.211.in-addr.arpa. 10777 IN SOA ins1.hananet.net.
dnsmaster.hanaro.com. 2005071511 86400 3600 3600000 86400
;; Query time: 2 msec
;; SERVER: 211.6.204.34#53(211.6.204.34)
;; WHEN: Wed Feb 15 08:32:08 2006
;; MSG SIZE rcvd: 117
ためしに、iptableを以下の通り記述しました。
#iptables -A INPUT -s 211.206.123.136 -d 211.206.123.136 -j DROP
ドロップされている様子がなく、考え込んでしまっています。
以下のコマンドではどうでしょうか?
(捕捉:以下のコマンドには順序関係がありますので、以下の順番どおりに実行します)
# iptables -I INPUT -i eth0 -s [拒否したいIPアドレス] -d [eth0のIPアドレス] -p tcp --dport 25 -j DROP
# iptables -I INPUT -i eth0 -s [拒否したいIPアドレス] -d [eth0のIPアドレス] -p tcp --dport 25 -j LOG --log-prefix "iptables DROP: "
2行目はログ出力の為の物で、DROP 時に /var/log/firewall に出力されます。
ポート番号を SMTP(25) にしてるので、それ以外にしたい場合は
適宜ポート番号を変更して下さい。
もし、失敗した場合は以下のコマンドでデフォルトに戻せます。
# /sbin/SuSEfirewall2 stop
# /sbin/SuSEfirewall2 start
--
For additional commands, email: suse-linux-ja-help@xxxxxxxx
| < Previous | Next > |