K.Suzukiです On Fri, 17 Feb 2006 15:14:51 +0900 "tezuka akio" <chipo@yukari.ne.jp> wrote:
SuSE 10.0 (パッケージ版)を使用しています。 この所以下のIPからドメインへの接続が頻繁なため、ピンポイントで接続を遮断したいのですが、接続の遮断がうまくできません。 (一日辺り250回くらいログに記録されています)
mail-log Feb 17 14:29:36 ns postfix/smtpd[9970]: NOQUEUE: reject: RCPT from unknown[211.206.123.136]: 554 <unknown[211.206.123.136]>: Client host rejected: Access denied; from=<auaehuqpljklq@fio.jp> to=<agastn@hanmail.net> proto=ESMTP helo=<sqe.rpn.vibom.com> Feb 17 14:29:39 ns postfix/smtpd[9970]: lost connection after DATA from unknown[211.206.123.136] Feb 17 14:29:39 ns postfix/smtpd[9970]: disconnect from unknown[211.206.123.136] Feb 17 14:32:59 ns postfix/anvil[9971]: statistics: max connection rate 1/60s for
DNS Feb 16 18:18:47 ns named[4992]: client 211.6.204.34#1075: query: /sbin/SuSEfirewall2 stop /sbin/SuSEfirewall2 start
136.123.206.211.in-addr.arpa IN PTR + Feb 16 18:19:14 ns named[4992]: client 211.6.204.34#1075: query: 127.120.149.210.in-addr.arpa IN PTR +/sbin/SuSEfirewall2 stop /sbin/SuSEfirewall2 start
SFW2 Feb 15 14:19:34 ns kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:0d:87:6f:32:86:00:0b:a2:1d:16:1d:08:00 SRC=211.206.123.136 DST=211.6.204.35 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=61223 DF PROTO=TCP SPT=4059 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058601010402)
DIG ; <<>> DiG 9.3.1 <<>> 36.123.206.211.in-addr.arpa ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60654 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION: ;36.123.206.211.in-addr.arpa. IN A
;; AUTHORITY SECTION: 123.206.211.in-addr.arpa. 10777 IN SOA ins1.hananet.net. dnsmaster.hanaro.com. 2005071511 86400 3600 3600000 86400
;; Query time: 2 msec ;; SERVER: 211.6.204.34#53(211.6.204.34) ;; WHEN: Wed Feb 15 08:32:08 2006 ;; MSG SIZE rcvd: 117
ためしに、iptableを以下の通り記述しました。 #iptables -A INPUT -s 211.206.123.136 -d 211.206.123.136 -j DROP ドロップされている様子がなく、考え込んでしまっています。
以下のコマンドではどうでしょうか? (捕捉:以下のコマンドには順序関係がありますので、以下の順番どおりに実行します) # iptables -I INPUT -i eth0 -s [拒否したいIPアドレス] -d [eth0のIPアドレス] -p tcp --dport 25 -j DROP # iptables -I INPUT -i eth0 -s [拒否したいIPアドレス] -d [eth0のIPアドレス] -p tcp --dport 25 -j LOG --log-prefix "iptables DROP: " 2行目はログ出力の為の物で、DROP 時に /var/log/firewall に出力されます。 ポート番号を SMTP(25) にしてるので、それ以外にしたい場合は 適宜ポート番号を変更して下さい。 もし、失敗した場合は以下のコマンドでデフォルトに戻せます。 # /sbin/SuSEfirewall2 stop # /sbin/SuSEfirewall2 start