日時： 2010/07/11 20:47
名前： くろき。
URL：

初めまして、くろき、です。

こちらのサイトの情報を参考にしつつiptablesの設定を行い、ファイアーウォールを構成しました。
当方のサーバーには何かあった時に早めに対処出来るようにと、Logwatchも導入しています。

しかし、iptables含めLogwatchのiptablesの項(iptables firewall Begin)の読み方もイマイチ分かりません。


-- ログ --

(1)Listed by source hosts:
Denied 515 packets on interface eth0
From *8.**.10.10 - 1 packet to tcp(9415)
From *8.2**.78.8 - 4 packets to tcp(1433)
From *8.2**.32.135 - 11 packets to tcp(27425,65025)
From *8.2**.32.198 - 1 packet to tcp(65025)
From *8.2*.238.3 - 1 packet to udp(5060)
From *8.2**.238.6 - 1 packet to udp(5060)
From *9.3*.198.177 - 1 packet to tcp(1433)
From *9.5*.54.218 - 1 packet to tcp(2967)
From *0.1*.164.83 - 3 packets to tcp(80)
From 6*.2**.2+2.53 - 16 packets to tcp(80)
From 6*.2**.2+2.54 - 24 packets to tcp(80)
From 6*.2**.2+2.58 - 6 packets to tcp(80)
From 6*.2**.2+2.60 - 18 packets to tcp(80)
From 6*.2**.2+2.66 - 25 packets to tcp(80)
From 6*.2**.2+2.67 - 7 packets to tcp(80)
From 6*.2**.2+2.68 - 17 packets to tcp(80)
.
.
.

(2)Listed by source hosts:
Logged 168 packets on interface eth0
From 5*.8+.52.141 - 3 packets to tcp(443)
From 6*.4+.189.218 - 9 packets to tcp(443)
From 6*.1+6.124.15 - 1 packet to udp(1434)
From 6*.2+0.204.100 - 1 packet to udp(500)
From 6*.1+0.220.214 - 5 packets to tcp(2967)
From 6*.2+5.12.58 - 1 packet to tcp(3072)
From 6*.2+8.126.129 - 8 packets to tcp(27425,65025)
.

-- ログ終わり --

�@80番ポートは無条件でアクセス許可してるのですがDeniedに含まれてたりするのは何故でしょうか。
　ここの通りにしました。
　http://centossrv.com/iptables.shtml

�ALoggedというのはアクセスは許可したがログに記録した、という意味で合ってますか？

お願いします。

日時： 2010/07/11 22:26
名前： ペングイン
URL： http://blog.trippyboy.com

くろき。様

はじめましてペングインです。

ペングインは本サイトのiptablesの設定を参考にしておりませんので、
的をはずしているかも知れませんがご了承ください。

>
> �@80番ポートは無条件でアクセス許可してるのですがDeniedに含まれてたりするのは何故でしょうか。
> 　ここの通りにしました。
> 　http://centossrv.com/iptables.shtml

80番ポートを許可する前に、特定の国々からのアクセスを拒否する設定など
行っておりませんか？

whois等で、該当IPアドレスの接続元国を確認されると、もしかするとご理解
頂けるかもしれません。

>
> �ALogged というのはアクセスは許可したがログに記録した、という意味で合ってますか？

Loggedというのは許可・拒否にかかわらずiptablesで-j LOGなどの定義でログ出力するように
設定されているためと思われます。

日時： 2010/07/12 19:52
名前： くろき。
URL：

レスありがとうございます。

>80番ポートを許可する前に、特定の国々からのアクセスを拒否する設定など
>行っておりませんか？
>
>whois等で、該当IPアドレスの接続元国を確認されると、もしかするとご理解
>頂けるかもしれません。

80ポートのみ海外からのアクセスも無制限で許可しています。
なので、原因が…？。という状態です

日時： 2010/07/12 22:21
名前： ペングイン
URL： http://blog.trippyboy.com

80番ポート複数IP拒否された記録となっておりますが、
whois情報での共通点はございませんか？

日時： 2010/07/12 23:12
名前： 新高校生
URL：

>80ポートのみ海外からのアクセスも無制限で許可しています。
>なので、原因が…？。という状態です

Logwatchはログファイルを見やすいようにまとめたものですから、
元のログ(生ログ？)があるので

>From 6*.2**.2+2.53 - 16 packets to tcp(80)
>From 6*.2**.2+2.54 - 24 packets to tcp(80)
>From 6*.2**.2+2.58 - 6 packets to tcp(80)
>From 6*.2**.2+2.60 - 18 packets to tcp(80)
>From 6*.2**.2+2.66 - 25 packets to tcp(80)
>From 6*.2**.2+2.67 - 7 packets to tcp(80)
>From 6*.2**.2+2.68 - 17 packets to tcp(80)

これらから、伏字になっていないIPなどをキーに生ログを検索すれば、
denyされた詳細な情報(denyの理由など)が得られると思います。

日時： 2010/07/13 17:37
名前： stranger
URL： http://ja.528p.com/

/etc/sysconfig/iptablesにsaveされたルールがあると思う

port 80 をACCEPTするルールの前に CH,KR,TWのグローバルアドレスをDROPする設定がありませんか
順番に評価されるので、先にDROPされたものは後から全て受け付ける設定をしても、ACCEPTになりません