SuSE 10.0 (パッケージ版)を使用しています。 この所以下のIPからドメインへの接続が頻繁なため、ピンポイントで接続を遮断したいのですが、接続の遮断がうまくできません。 (一日辺り250回くらいログに記録されています) mail-log Feb 17 14:29:36 ns postfix/smtpd[9970]: NOQUEUE: reject: RCPT from unknown[211.206.123.136]: 554 <unknown[211.206.123.136]>: Client host rejected: Access denied; from=<auaehuqpljklq@fio.jp> to=<agastn@hanmail.net> proto=ESMTP helo=<sqe.rpn.vibom.com> Feb 17 14:29:39 ns postfix/smtpd[9970]: lost connection after DATA from unknown[211.206.123.136] Feb 17 14:29:39 ns postfix/smtpd[9970]: disconnect from unknown[211.206.123.136] Feb 17 14:32:59 ns postfix/anvil[9971]: statistics: max connection rate 1/60s for DNS Feb 16 18:18:47 ns named[4992]: client 211.6.204.34#1075: query: 136.123.206.211.in-addr.arpa IN PTR + Feb 16 18:19:14 ns named[4992]: client 211.6.204.34#1075: query: 127.120.149.210.in-addr.arpa IN PTR + SFW2 Feb 15 14:19:34 ns kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:0d:87:6f:32:86:00:0b:a2:1d:16:1d:08:00 SRC=211.206.123.136 DST=211.6.204.35 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=61223 DF PROTO=TCP SPT=4059 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058601010402) DIG ; <<>> DiG 9.3.1 <<>> 36.123.206.211.in-addr.arpa ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60654 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;36.123.206.211.in-addr.arpa. IN A ;; AUTHORITY SECTION: 123.206.211.in-addr.arpa. 10777 IN SOA ins1.hananet.net. dnsmaster.hanaro.com. 2005071511 86400 3600 3600000 86400 ;; Query time: 2 msec ;; SERVER: 211.6.204.34#53(211.6.204.34) ;; WHEN: Wed Feb 15 08:32:08 2006 ;; MSG SIZE rcvd: 117 ためしに、iptableを以下の通り記述しました。 #iptables -A INPUT -s 211.206.123.136 -d 211.206.123.136 -j DROP ドロップされている様子がなく、考え込んでしまっています。 iptablesをみると以下の通りです。 #iptables -t filter -v --list Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 42 4265 ACCEPT all -- lo any anywhere anywhere 986 114K ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 136 7443 input_ext all -- eth0 any anywhere anywhere 0 0 input_ext all -- any any anywhere anywhere 0 0 LOG all -- any any anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET ' 0 0 DROP all -- any any anywhere anywhere 0 0 DROP all -- any any 211.206.123.136 211.206.123.136 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 LOG all -- any any anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING ' 出来るならSFW2の中だけで済ませる方法はありませんでしょうか。 テズカ アキオ
今井です。 /etc/sysconfig/SuSEfirewall2など一通り見てみることをお薦めします。 (/sbin/SuSEfirewall2もシェルスクリプトなのでエディタで見れるが) それぞれの項目で書いてあるコメント読むと参考になると思いますので。 特にFW_SERVICES_DROP_EXT辺りとか..。 それとSUSEfirewall2とiptablesは同時に使用しないほうが自分自身の ためにもなります。 SuSEfirewall2もiptablesを使って設定しているだけなのですが、それとは 別に書くと思ってもみない動作の原因になりかねませんから。 今回の場合は必要ないとは思いますが、どうしてもやむを得ず カスタムルールが必要なら /etc/sysconfig/scripts/SuSEfirewall2-custom に書くようにすべきだと思います。 Friday 17 February 2006 15:14、tezuka akio さんは書きました:
SuSE 10.0 (パッケージ版)を使用しています。 この所以下のIPからドメインへの接続が頻繁なため、ピンポイントで接続を遮断したいのですが、接続の遮断がうまくできません。 (一日辺り250回くらいログに記録されています)
出来るならSFW2の中だけで済ませる方法はありませんでしょうか。
-- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 今井 優 mail: maimai@coral.ocn.ne.jp web: http://www10.ocn.ne.jp/~masimai/ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
monion と申します。 はじめまして。
この所以下のIPからドメインへの接続が頻繁なため、ピンポイントで接続を 遮断したいのですが、接続の遮断がうまくできません。 (一日辺り250回くらいログに記録されています)
ここら辺は、参考にならないでしょうか。 http://kansai.anesth.or.jp/gijutu/unix/j_l-fw-index.html http://www.gentoo.org/proj/en/dynfw.xml iptables ダイナミック・ファイアウォール・スクリプト です。 ちょっと古いですが、当方 SUSE 9.2 で使用して、問題有りませんでした。 (保証はできませんが)。 ピンポイントで落とすには向いていると思われます。 ただし、再起動時には 設定消えますが。 moto
今井です。 ファイアーウォールの構築とか個人の好み等によるのであまり あれこれ言うべき事では無い様な気がかなりしますけども 少し気になりましたので....。 別口のを入れる前に /sbin/SuSEfirewall2、/etc/sysconfig/scripts辺りを見てみた方が 良かったのではないかと私は思うのですが....。 多少の差異はあると思いますがアプローチもなんとなく似てますし、 やってることもほぼ一緒の様な気が.....。 Friday 17 February 2006 21:28、moto さんは書きました:
ここら辺は、参考にならないでしょうか。 http://kansai.anesth.or.jp/gijutu/unix/j_l-fw-index.html http://www.gentoo.org/proj/en/dynfw.xml
iptables ダイナミック・ファイアウォール・スクリプト です。 ちょっと古いですが、当方 SUSE 9.2 で使用して、問題有りませんでした。 (保証はできませんが)。 ピンポイントで落とすには向いていると思われます。 ただし、再起動時には 設定消えますが。
-- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 今井 優 mail: maimai@coral.ocn.ne.jp web: http://www10.ocn.ne.jp/~masimai/ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
今井さん、motoさん、貴重な情報をありがろうございます。 最初のポストで書き忘れていましたが、一つのボードに2つのドメインを与えたています。 問題はもう一つのどメインに対してSMTP接続が立て続けになのです。 基本的にはSFWだけで対処したいと考えています。 以下の設定と設定後です。 今井さんから教えて頂いた方法で様子を見ていますが以下の通りです。 設定 # Note: alias interfaces (like eth0:1) are ignored # FW_DEV_EXT="any eth-id-00:0d:87:6f:32:86, any eth-id-00:0d:87:6f:32:86#fio" FW_SERVICES_DROP_EXT="211.206.123.136/255.255.255.255,tcp,all" ログ Feb 17 22:01:55 ns kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:0d:87:6f:32:86:00:0b:a2:1d:16:1d:08:00 SRC=211.206.123.136 DST=211.6.204.35 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=55520 DF PROTO=TCP SPT=1658 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058601010402) Feb 17 22:31:44 ns kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:0d:87:6f:32:86:00:0b:a2:1d:16:1d:08:00 SRC=211.206.123.136 DST=211.6.204.35 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=33950 DF PROTO=TCP SPT=3155 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058601010402) Feb 17 22:01:55 ns postfix/smtpd[6951]: connect from unknown[211.206.123.136] Feb 17 22:01:55 ns postfix/smtpd[6951]: NOQUEUE: reject: RCPT from unknown[211.206.123.136]: 554 <unknown[211.206.123.136]>: Client host rejected: Access denied; from=<hrrjnuhoyehbw@fio.jp> to=<cartheatre@hanmail.net> proto=ESMTP helo=<dyg.qaa.qrngo.info> Feb 17 22:31:44 ns postfix/smtpd[8297]: connect from unknown[211.206.123.136] Feb 17 22:31:45 ns postfix/smtpd[8297]: NOQUEUE: reject: RCPT from unknown[211.206.123.136]: 554 <unknown[211.206.123.136]>: Client host rejected: Access denied; from=<dqnqijhinnamn@fio.jp> to=<ces810@hanmail.net> proto=ESMTP helo=<vjw.nty.ivwle.info> テズカ アキオ
今井です。 Friday 17 February 2006 23:32、tezuka akio さんは書きました:
今井さん、motoさん、貴重な情報をありがろうございます。 最初のポストで書き忘れていましたが、一つのボードに2つのドメインを与えたています。
書き忘れた内容がすごく重要な気がしますけど。 ファイル内容引用部にもありますけどalias interfaceはignoreなので。
問題はもう一つのどメインに対してSMTP接続が立て続けになのです。 基本的にはSFWだけで対処したいと考えています。 以下の設定と設定後です。
今井さんから教えて頂いた方法で様子を見ていますが以下の通りです。
設定 # Note: alias interfaces (like eth0:1) are ignored # FW_DEV_EXT="any eth-id-00:0d:87:6f:32:86, any eth-id-00:0d:87:6f:32:86#fio" FW_SERVICES_DROP_EXT="211.206.123.136/255.255.255.255,tcp,all"
-- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 今井 優 mail: maimai@coral.ocn.ne.jp web: http://www10.ocn.ne.jp/~masimai/ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
こんにちは よくよくconfファイルを読んでいたら「FW_DEV_EXT」に「eth0:1」などでは使用できないと但し書きが付いていました。 今朝ほど、電気屋に走ってボードを購入してボードの追加を先ほど終わったところです。 読んでいるようで、読んでいない自分が恥ずかしいです。 もう一つのドメインは「eth1」に移しましたので、少しばかり様子をみています。 テズカ アキオ ----- Original Message ----- From: "Masaru Imai" <maimai@coral.ocn.ne.jp> To: <suse-linux-ja@suse.com> Sent: Saturday, February 18, 2006 9:10 AM Subject: Re: [suse-linux-ja] SFW2について
今井です。
Friday 17 February 2006 23:32、tezuka akio さんは書きました:
今井さん、motoさん、貴重な情報をありがろうございます。 最初のポストで書き忘れていましたが、一つのボードに2つのドメインを与えたています。
書き忘れた内容がすごく重要な気がしますけど。 ファイル内容引用部にもありますけどalias interfaceはignoreなので。
問題はもう一つのどメインに対してSMTP接続が立て続けになのです。 基本的にはSFWだけで対処したいと考えています。 以下の設定と設定後です。
今井さんから教えて頂いた方法で様子を見ていますが以下の通りです。
設定 # Note: alias interfaces (like eth0:1) are ignored # FW_DEV_EXT="any eth-id-00:0d:87:6f:32:86, any eth-id-00:0d:87:6f:32:86#fio" FW_SERVICES_DROP_EXT="211.206.123.136/255.255.255.255,tcp,all"
-- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 今井 優 mail: maimai@coral.ocn.ne.jp web: http://www10.ocn.ne.jp/~masimai/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-- For additional commands, email: suse-linux-ja-help@suse.com
こんにちは 今井さん、motoさん、ボード追加後ですが、やはり以下の通りです。
書き忘れた内容がすごく重要な気がしますけど。
「eth0:1」ではSFW2はaliasでは動作しないとの記述があり、ボードを追加しました。 午後からのログを見ていたのですがSFW2で排除したいIPが排除されていない。 (FW_SERVICES_REJECT_EXTの部分の追加記述は余計なのかもしれません) 今現在、confファイルと「にらめっこ」をしています。 eth0/メインのドメイン eth1/サブドメイン SFW2の追加設定部 FW_DEV_EXT="any eth-id-00:0a:79:67:6b:d9 any eth-id-00:0d:87:6f:32:86" FW_SERVICES_DROP_EXT="211.206.123.0/24,tcp,53 211.206.123.0/24,udp,53 211.206.123.0/24,tcp,25 211.206.123.0/24,tcp,80" FW_SERVICES_REJECT_EXT="0/0,tcp,113 206.123.136/255.255.255.255,tcp,25 206.123.136/255.255.255.255,tcp,53 206.123.136/255.255.255.255,udp,53 206.123.136/255.255.255.255,tcp,80" SFW2.log Feb 18 13:48:23 ns kernel: SFW2-INext-ACC-TCP IN=eth1 OUT= MAC=00:0a:79:67:6b:d9:00:0b:a2:1d:16:1d:08:00 SRC=211.206.123.136 DST=211.6.204.35 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=12024 DF PROTO=TCP SPT=2141 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058601010402) named.log 18-Feb-2006 13:48:23.772 client 211.6.204.34#1032: query: 136.123.206.211.in-addr.arpa IN PTR + massage.log Feb 18 13:48:23 ns named[12775]: client 211.6.204.34#1032: query: 136.123.206.211.in-addr.arpa IN PTR + mail.log Feb 18 13:48:23 ns postfix/smtpd[14697]: connect from unknown[211.206.123.136] Feb 18 13:48:23 ns postfix/smtpd[14697]: NOQUEUE: reject: RCPT from unknown[211.206.123.136]: 554 <unknown[211.206.123.136]>: Client host rejected: Access denied; from=<cwgphsmmcdwsc@fio.jp> to=<gksthf23@hanmail.net> proto=ESMTP helo=<wfm.qsv.umgpx.com> Feb 18 13:48:24 ns postfix/smtpd[14697]: NOQUEUE: reject: RCPT from unknown[211.206.123.136]: 554 <unknown[211.206.123.136]>: Client host rejected: Access denied; from=<cwgphsmmcdwsc@fio.jp> to=<gksthf2415@hanmail.net> proto=ESMTP helo=<wfm.qsv.umgpx.com> テズカ アキオ
K.Suzukiです On Fri, 17 Feb 2006 15:14:51 +0900 "tezuka akio" <chipo@yukari.ne.jp> wrote:
SuSE 10.0 (パッケージ版)を使用しています。 この所以下のIPからドメインへの接続が頻繁なため、ピンポイントで接続を遮断したいのですが、接続の遮断がうまくできません。 (一日辺り250回くらいログに記録されています)
mail-log Feb 17 14:29:36 ns postfix/smtpd[9970]: NOQUEUE: reject: RCPT from unknown[211.206.123.136]: 554 <unknown[211.206.123.136]>: Client host rejected: Access denied; from=<auaehuqpljklq@fio.jp> to=<agastn@hanmail.net> proto=ESMTP helo=<sqe.rpn.vibom.com> Feb 17 14:29:39 ns postfix/smtpd[9970]: lost connection after DATA from unknown[211.206.123.136] Feb 17 14:29:39 ns postfix/smtpd[9970]: disconnect from unknown[211.206.123.136] Feb 17 14:32:59 ns postfix/anvil[9971]: statistics: max connection rate 1/60s for
DNS Feb 16 18:18:47 ns named[4992]: client 211.6.204.34#1075: query: /sbin/SuSEfirewall2 stop /sbin/SuSEfirewall2 start
136.123.206.211.in-addr.arpa IN PTR + Feb 16 18:19:14 ns named[4992]: client 211.6.204.34#1075: query: 127.120.149.210.in-addr.arpa IN PTR +/sbin/SuSEfirewall2 stop /sbin/SuSEfirewall2 start
SFW2 Feb 15 14:19:34 ns kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:0d:87:6f:32:86:00:0b:a2:1d:16:1d:08:00 SRC=211.206.123.136 DST=211.6.204.35 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=61223 DF PROTO=TCP SPT=4059 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058601010402)
DIG ; <<>> DiG 9.3.1 <<>> 36.123.206.211.in-addr.arpa ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60654 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION: ;36.123.206.211.in-addr.arpa. IN A
;; AUTHORITY SECTION: 123.206.211.in-addr.arpa. 10777 IN SOA ins1.hananet.net. dnsmaster.hanaro.com. 2005071511 86400 3600 3600000 86400
;; Query time: 2 msec ;; SERVER: 211.6.204.34#53(211.6.204.34) ;; WHEN: Wed Feb 15 08:32:08 2006 ;; MSG SIZE rcvd: 117
ためしに、iptableを以下の通り記述しました。 #iptables -A INPUT -s 211.206.123.136 -d 211.206.123.136 -j DROP ドロップされている様子がなく、考え込んでしまっています。
以下のコマンドではどうでしょうか? (捕捉:以下のコマンドには順序関係がありますので、以下の順番どおりに実行します) # iptables -I INPUT -i eth0 -s [拒否したいIPアドレス] -d [eth0のIPアドレス] -p tcp --dport 25 -j DROP # iptables -I INPUT -i eth0 -s [拒否したいIPアドレス] -d [eth0のIPアドレス] -p tcp --dport 25 -j LOG --log-prefix "iptables DROP: " 2行目はログ出力の為の物で、DROP 時に /var/log/firewall に出力されます。 ポート番号を SMTP(25) にしてるので、それ以外にしたい場合は 適宜ポート番号を変更して下さい。 もし、失敗した場合は以下のコマンドでデフォルトに戻せます。 # /sbin/SuSEfirewall2 stop # /sbin/SuSEfirewall2 start
こんにちは K.Suzukiさん、今井さん、motoさん、アドバイスを本当にありがとうございます。 結局、何が効果があったのかは不明なのですが、昨晩からは件のIPからのアクセスが見当たらなくなりました。 最終的にはK.Suzukiの方法で53番ポートも塞いでみました。 もう少し時間をかけて観測してみます。 テズカ アキオ ----- Original Message ----- From: "K.Suzuki" <knfeat@mbn.nifty.com> To: <suse-linux-ja@suse.com> Sent: Saturday, February 18, 2006 6:24 PM Subject: Re: [suse-linux-ja] SFW2について
K.Suzukiです
On Fri, 17 Feb 2006 15:14:51 +0900 "tezuka akio" <chipo@yukari.ne.jp> wrote:
SuSE 10.0 (パッケージ版)を使用しています。 この所以下のIPからドメインへの接続が頻繁なため、ピンポイントで接続を遮断したいのですが、接続の遮断がうまくできません。 (一日辺り250回くらいログに記録されています)
mail-log Feb 17 14:29:36 ns postfix/smtpd[9970]: NOQUEUE: reject: RCPT from unknown[211.206.123.136]: 554 <unknown[211.206.123.136]>: Client host rejected: Access denied; from=<auaehuqpljklq@fio.jp> to=<agastn@hanmail.net> proto=ESMTP helo=<sqe.rpn.vibom.com> Feb 17 14:29:39 ns postfix/smtpd[9970]: lost connection after DATA from unknown[211.206.123.136] Feb 17 14:29:39 ns postfix/smtpd[9970]: disconnect from unknown[211.206.123.136] Feb 17 14:32:59 ns postfix/anvil[9971]: statistics: max connection rate 1/60s for
DNS Feb 16 18:18:47 ns named[4992]: client 211.6.204.34#1075: query: /sbin/SuSEfirewall2 stop /sbin/SuSEfirewall2 start
136.123.206.211.in-addr.arpa IN PTR + Feb 16 18:19:14 ns named[4992]: client 211.6.204.34#1075: query: 127.120.149.210.in-addr.arpa IN PTR +/sbin/SuSEfirewall2 stop /sbin/SuSEfirewall2 start
SFW2 Feb 15 14:19:34 ns kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=00:0d:87:6f:32:86:00:0b:a2:1d:16:1d:08:00 SRC=211.206.123.136 DST=211.6.204.35 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=61223 DF PROTO=TCP SPT=4059 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058601010402)
DIG ; <<>> DiG 9.3.1 <<>> 36.123.206.211.in-addr.arpa ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60654 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION: ;36.123.206.211.in-addr.arpa. IN A
;; AUTHORITY SECTION: 123.206.211.in-addr.arpa. 10777 IN SOA ins1.hananet.net. dnsmaster.hanaro.com. 2005071511 86400 3600 3600000 86400
;; Query time: 2 msec ;; SERVER: 211.6.204.34#53(211.6.204.34) ;; WHEN: Wed Feb 15 08:32:08 2006 ;; MSG SIZE rcvd: 117
ためしに、iptableを以下の通り記述しました。 #iptables -A INPUT -s 211.206.123.136 -d 211.206.123.136 -j DROP ドロップされている様子がなく、考え込んでしまっています。
以下のコマンドではどうでしょうか? (捕捉:以下のコマンドには順序関係がありますので、以下の順番どおりに実行します)
# iptables -I INPUT -i eth0 -s [拒否したいIPアドレス] -d [eth0のIPアドレス] -p tcp --dport 25 -j DROP # iptables -I INPUT -i eth0 -s [拒否したいIPアドレス] -d [eth0のIPアドレス] -p tcp --dport 25 -j LOG --log-prefix "iptables DROP: "
2行目はログ出力の為の物で、DROP 時に /var/log/firewall に出力されます。 ポート番号を SMTP(25) にしてるので、それ以外にしたい場合は 適宜ポート番号を変更して下さい。
もし、失敗した場合は以下のコマンドでデフォルトに戻せます。 # /sbin/SuSEfirewall2 stop # /sbin/SuSEfirewall2 start
-- For additional commands, email: suse-linux-ja-help@suse.com
participants (4)
-
K.Suzuki -
Masaru Imai -
moto -
tezuka akio