このスレッドは未解決です(解決したらこちらで解決済にしてください)

日時: 2010/07/11 20:47
名前: くろき。
URL:
名前: くろき。
URL:
初めまして、くろき、です。
こちらのサイトの情報を参考にしつつiptablesの設定を行い、ファイアーウォールを構成しました。
当方のサーバーには何かあった時に早めに対処出来るようにと、Logwatchも導入しています。
しかし、iptables含めLogwatchのiptablesの項(iptables firewall Begin)の読み方もイマイチ分かりません。
-- ログ --
(1)Listed by source hosts:
Denied 515 packets on interface eth0
From *8.**.10.10 - 1 packet to tcp(9415)
From *8.2**.78.8 - 4 packets to tcp(1433)
From *8.2**.32.135 - 11 packets to tcp(27425,65025)
From *8.2**.32.198 - 1 packet to tcp(65025)
From *8.2*.238.3 - 1 packet to udp(5060)
From *8.2**.238.6 - 1 packet to udp(5060)
From *9.3*.198.177 - 1 packet to tcp(1433)
From *9.5*.54.218 - 1 packet to tcp(2967)
From *0.1*.164.83 - 3 packets to tcp(80)
From 6*.2**.2+2.53 - 16 packets to tcp(80)
From 6*.2**.2+2.54 - 24 packets to tcp(80)
From 6*.2**.2+2.58 - 6 packets to tcp(80)
From 6*.2**.2+2.60 - 18 packets to tcp(80)
From 6*.2**.2+2.66 - 25 packets to tcp(80)
From 6*.2**.2+2.67 - 7 packets to tcp(80)
From 6*.2**.2+2.68 - 17 packets to tcp(80)
.
.
.
(2)Listed by source hosts:
Logged 168 packets on interface eth0
From 5*.8+.52.141 - 3 packets to tcp(443)
From 6*.4+.189.218 - 9 packets to tcp(443)
From 6*.1+6.124.15 - 1 packet to udp(1434)
From 6*.2+0.204.100 - 1 packet to udp(500)
From 6*.1+0.220.214 - 5 packets to tcp(2967)
From 6*.2+5.12.58 - 1 packet to tcp(3072)
From 6*.2+8.126.129 - 8 packets to tcp(27425,65025)
.
-- ログ終わり --
@80番ポートは無条件でアクセス許可してるのですがDeniedに含まれてたりするのは何故でしょうか。
ここの通りにしました。
http://centossrv.com/iptables.shtml
ALoggedというのはアクセスは許可したがログに記録した、という意味で合ってますか?
お願いします。
Page: | 1 | 2 |

日時: 2010/07/11 22:26
名前: ペングイン
URL: http://blog.trippyboy.com
名前: ペングイン
URL: http://blog.trippyboy.com
くろき。様
はじめましてペングインです。
ペングインは本サイトのiptablesの設定を参考にしておりませんので、
的をはずしているかも知れませんがご了承ください。
>
> @80番ポートは無条件でアクセス許可してるのですがDeniedに含まれてたりするのは何故でしょうか。
> ここの通りにしました。
> http://centossrv.com/iptables.shtml
80番ポートを許可する前に、特定の国々からのアクセスを拒否する設定など
行っておりませんか?
whois等で、該当IPアドレスの接続元国を確認されると、もしかするとご理解
頂けるかもしれません。
>
> ALogged というのはアクセスは許可したがログに記録した、という意味で合ってますか?
Loggedというのは許可・拒否にかかわらずiptablesで-j LOGなどの定義でログ出力するように
設定されているためと思われます。

日時: 2010/07/12 19:52
名前: くろき。
URL:
名前: くろき。
URL:
レスありがとうございます。
>80番ポートを許可する前に、特定の国々からのアクセスを拒否する設定など
>行っておりませんか?
>
>whois等で、該当IPアドレスの接続元国を確認されると、もしかするとご理解
>頂けるかもしれません。
80ポートのみ海外からのアクセスも無制限で許可しています。
なので、原因が…?。という状態です

日時: 2010/07/12 22:21
名前: ペングイン
URL: http://blog.trippyboy.com
名前: ペングイン
URL: http://blog.trippyboy.com
80番ポート複数IP拒否された記録となっておりますが、
whois情報での共通点はございませんか?

日時: 2010/07/12 23:12
名前: 新高校生
URL:
名前: 新高校生
URL:
>80ポートのみ海外からのアクセスも無制限で許可しています。
>なので、原因が…?。という状態です
Logwatchはログファイルを見やすいようにまとめたものですから、
元のログ(生ログ?)があるので
>From 6*.2**.2+2.53 - 16 packets to tcp(80)
>From 6*.2**.2+2.54 - 24 packets to tcp(80)
>From 6*.2**.2+2.58 - 6 packets to tcp(80)
>From 6*.2**.2+2.60 - 18 packets to tcp(80)
>From 6*.2**.2+2.66 - 25 packets to tcp(80)
>From 6*.2**.2+2.67 - 7 packets to tcp(80)
>From 6*.2**.2+2.68 - 17 packets to tcp(80)
これらから、伏字になっていないIPなどをキーに生ログを検索すれば、
denyされた詳細な情報(denyの理由など)が得られると思います。

日時: 2010/07/13 17:37
名前: stranger
URL: http://ja.528p.com/
名前: stranger
URL: http://ja.528p.com/
/etc/sysconfig/iptablesにsaveされたルールがあると思う
port 80 をACCEPTするルールの前に CH,KR,TWのグローバルアドレスをDROPする設定がありませんか
順番に評価されるので、先にDROPされたものは後から全て受け付ける設定をしても、ACCEPTになりません
Page: | 1 | 2 |
※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。