このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/11 20:47
名前: くろき。
URL:
初めまして、くろき、です。

こちらのサイトの情報を参考にしつつiptablesの設定を行い、ファイアーウォールを構成しました。
当方のサーバーには何かあった時に早めに対処出来るようにと、Logwatchも導入しています。

しかし、iptables含めLogwatchのiptablesの項(iptables firewall Begin)の読み方もイマイチ分かりません。


-- ログ --

(1)Listed by source hosts:
Denied 515 packets on interface eth0
From *8.**.10.10 - 1 packet to tcp(9415)
From *8.2**.78.8 - 4 packets to tcp(1433)
From *8.2**.32.135 - 11 packets to tcp(27425,65025)
From *8.2**.32.198 - 1 packet to tcp(65025)
From *8.2*.238.3 - 1 packet to udp(5060)
From *8.2**.238.6 - 1 packet to udp(5060)
From *9.3*.198.177 - 1 packet to tcp(1433)
From *9.5*.54.218 - 1 packet to tcp(2967)
From *0.1*.164.83 - 3 packets to tcp(80)
From 6*.2**.2+2.53 - 16 packets to tcp(80)
From 6*.2**.2+2.54 - 24 packets to tcp(80)
From 6*.2**.2+2.58 - 6 packets to tcp(80)
From 6*.2**.2+2.60 - 18 packets to tcp(80)
From 6*.2**.2+2.66 - 25 packets to tcp(80)
From 6*.2**.2+2.67 - 7 packets to tcp(80)
From 6*.2**.2+2.68 - 17 packets to tcp(80)
.
.
.

(2)Listed by source hosts:
Logged 168 packets on interface eth0
From 5*.8+.52.141 - 3 packets to tcp(443)
From 6*.4+.189.218 - 9 packets to tcp(443)
From 6*.1+6.124.15 - 1 packet to udp(1434)
From 6*.2+0.204.100 - 1 packet to udp(500)
From 6*.1+0.220.214 - 5 packets to tcp(2967)
From 6*.2+5.12.58 - 1 packet to tcp(3072)
From 6*.2+8.126.129 - 8 packets to tcp(27425,65025)
.

-- ログ終わり --

@80番ポートは無条件でアクセス許可してるのですがDeniedに含まれてたりするのは何故でしょうか。
 ここの通りにしました。
 http://centossrv.com/iptables.shtml

ALoggedというのはアクセスは許可したがログに記録した、という意味で合ってますか?

お願いします。
記事編集 編集

Page: | 1 | 2 |

Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/11 22:26
名前: ペングイン
URL: http://blog.trippyboy.com
くろき。様

はじめましてペングインです。

ペングインは本サイトのiptablesの設定を参考にしておりませんので、
的をはずしているかも知れませんがご了承ください。

>
> @80番ポートは無条件でアクセス許可してるのですがDeniedに含まれてたりするのは何故でしょうか。
>  ここの通りにしました。
>  http://centossrv.com/iptables.shtml

80番ポートを許可する前に、特定の国々からのアクセスを拒否する設定など
行っておりませんか?

whois等で、該当IPアドレスの接続元国を確認されると、もしかするとご理解
頂けるかもしれません。

>
> ALogged というのはアクセスは許可したがログに記録した、という意味で合ってますか?

Loggedというのは許可・拒否にかかわらずiptablesで-j LOGなどの定義でログ出力するように
設定されているためと思われます。
記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/12 19:52
名前: くろき。
URL:
レスありがとうございます。

>80番ポートを許可する前に、特定の国々からのアクセスを拒否する設定など
>行っておりませんか?
>
>whois等で、該当IPアドレスの接続元国を確認されると、もしかするとご理解
>頂けるかもしれません。

80ポートのみ海外からのアクセスも無制限で許可しています。
なので、原因が…?。という状態です
記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/12 22:21
名前: ペングイン
URL: http://blog.trippyboy.com
80番ポート複数IP拒否された記録となっておりますが、
whois情報での共通点はございませんか?
記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/12 23:12
名前: 新高校生
URL:
>80ポートのみ海外からのアクセスも無制限で許可しています。
>なので、原因が…?。という状態です

Logwatchはログファイルを見やすいようにまとめたものですから、
元のログ(生ログ?)があるので

>From 6*.2**.2+2.53 - 16 packets to tcp(80)
>From 6*.2**.2+2.54 - 24 packets to tcp(80)
>From 6*.2**.2+2.58 - 6 packets to tcp(80)
>From 6*.2**.2+2.60 - 18 packets to tcp(80)
>From 6*.2**.2+2.66 - 25 packets to tcp(80)
>From 6*.2**.2+2.67 - 7 packets to tcp(80)
>From 6*.2**.2+2.68 - 17 packets to tcp(80)

これらから、伏字になっていないIPなどをキーに生ログを検索すれば、
denyされた詳細な情報(denyの理由など)が得られると思います。
記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/13 17:37
名前: stranger
URL: http://ja.528p.com/
/etc/sysconfig/iptablesにsaveされたルールがあると思う

port 80 をACCEPTするルールの前に CH,KR,TWのグローバルアドレスをDROPする設定がありませんか
順番に評価されるので、先にDROPされたものは後から全て受け付ける設定をしても、ACCEPTになりません
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -