SuSE 10.0 (パッケージ版)を使用しています。
この所以下のIPからドメインへの接続が頻繁なため、ピンポイントで接続を遮断したいのですが、接続の遮断がうまくできません。
(一日辺り250回くらいログに記録されています)
mail-log
Feb 17 14:29:36 ns postfix/smtpd[9970]: NOQUEUE: reject: RCPT from
unknown[211.206.123.136]: 554 : Client host
rejected: Access denied; from= to=
proto=ESMTP helo=
Feb 17 14:29:39 ns postfix/smtpd[9970]: lost connection after DATA from
unknown[211.206.123.136]
Feb 17 14:29:39 ns postfix/smtpd[9970]: disconnect from
unknown[211.206.123.136]
Feb 17 14:32:59 ns postfix/anvil[9971]: statistics: max connection rate
1/60s for
DNS
Feb 16 18:18:47 ns named[4992]: client 211.6.204.34#1075: query:
136.123.206.211.in-addr.arpa IN PTR +
Feb 16 18:19:14 ns named[4992]: client 211.6.204.34#1075: query:
127.120.149.210.in-addr.arpa IN PTR +
SFW2
Feb 15 14:19:34 ns kernel: SFW2-INext-ACC-TCP IN=eth0 OUT=
MAC=00:0d:87:6f:32:86:00:0b:a2:1d:16:1d:08:00 SRC=211.206.123.136
DST=211.6.204.35 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=61223 DF PROTO=TCP
SPT=4059 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058601010402)
DIG
; <<>> DiG 9.3.1 <<>> 36.123.206.211.in-addr.arpa
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60654
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;36.123.206.211.in-addr.arpa. IN A
;; AUTHORITY SECTION:
123.206.211.in-addr.arpa. 10777 IN SOA ins1.hananet.net.
dnsmaster.hanaro.com. 2005071511 86400 3600 3600000 86400
;; Query time: 2 msec
;; SERVER: 211.6.204.34#53(211.6.204.34)
;; WHEN: Wed Feb 15 08:32:08 2006
;; MSG SIZE rcvd: 117
ためしに、iptableを以下の通り記述しました。
#iptables -A INPUT -s 211.206.123.136 -d 211.206.123.136 -j DROP
ドロップされている様子がなく、考え込んでしまっています。
iptablesをみると以下の通りです。
#iptables -t filter -v --list
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
42 4265 ACCEPT all -- lo any anywhere anywhere
986 114K ACCEPT all -- any any anywhere anywhere
state RELATED,ESTABLISHED
136 7443 input_ext all -- eth0 any anywhere anywhere
0 0 input_ext all -- any any anywhere anywhere
0 0 LOG all -- any any anywhere anywhere
limit: avg 3/min burst 5 LOG level warning tcp-options ip-options
prefix
`SFW2-IN-ILL-TARGET '
0 0 DROP all -- any any anywhere anywhere
0 0 DROP all -- any any 211.206.123.136
211.206.123.136
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
0 0 LOG all -- any any anywhere anywhere
limit: avg 3/min burst 5 LOG level warning tcp-options ip-options
prefix
`SFW2-FWD-ILL-ROUTING '
出来るならSFW2の中だけで済ませる方法はありませんでしょうか。
テズカ アキオ