このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/11 20:47
名前: くろき。
URL:
初めまして、くろき、です。

こちらのサイトの情報を参考にしつつiptablesの設定を行い、ファイアーウォールを構成しました。
当方のサーバーには何かあった時に早めに対処出来るようにと、Logwatchも導入しています。

しかし、iptables含めLogwatchのiptablesの項(iptables firewall Begin)の読み方もイマイチ分かりません。


-- ログ --

(1)Listed by source hosts:
Denied 515 packets on interface eth0
From *8.**.10.10 - 1 packet to tcp(9415)
From *8.2**.78.8 - 4 packets to tcp(1433)
From *8.2**.32.135 - 11 packets to tcp(27425,65025)
From *8.2**.32.198 - 1 packet to tcp(65025)
From *8.2*.238.3 - 1 packet to udp(5060)
From *8.2**.238.6 - 1 packet to udp(5060)
From *9.3*.198.177 - 1 packet to tcp(1433)
From *9.5*.54.218 - 1 packet to tcp(2967)
From *0.1*.164.83 - 3 packets to tcp(80)
From 6*.2**.2+2.53 - 16 packets to tcp(80)
From 6*.2**.2+2.54 - 24 packets to tcp(80)
From 6*.2**.2+2.58 - 6 packets to tcp(80)
From 6*.2**.2+2.60 - 18 packets to tcp(80)
From 6*.2**.2+2.66 - 25 packets to tcp(80)
From 6*.2**.2+2.67 - 7 packets to tcp(80)
From 6*.2**.2+2.68 - 17 packets to tcp(80)
.
.
.

(2)Listed by source hosts:
Logged 168 packets on interface eth0
From 5*.8+.52.141 - 3 packets to tcp(443)
From 6*.4+.189.218 - 9 packets to tcp(443)
From 6*.1+6.124.15 - 1 packet to udp(1434)
From 6*.2+0.204.100 - 1 packet to udp(500)
From 6*.1+0.220.214 - 5 packets to tcp(2967)
From 6*.2+5.12.58 - 1 packet to tcp(3072)
From 6*.2+8.126.129 - 8 packets to tcp(27425,65025)
.

-- ログ終わり --

@80番ポートは無条件でアクセス許可してるのですがDeniedに含まれてたりするのは何故でしょうか。
 ここの通りにしました。
 http://centossrv.com/iptables.shtml

ALoggedというのはアクセスは許可したがログに記録した、という意味で合ってますか?

お願いします。
記事編集 編集

Page: | 1 | 2 |

Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/14 01:19
名前: くろき。
URL:
>80番ポート複数IP拒否された記録となっておりますが、
>whois情報での共通点はございませんか?
そういえば、中国からのアクセスばかりだと思います
記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/14 01:20
名前: くろき。
URL:
>Logwatchはログファイルを見やすいようにまとめたものですから、
>元のログ(生ログ?)があるので
>
>>From 6*.2**.2+2.53 - 16 packets to tcp(80)
>>From 6*.2**.2+2.54 - 24 packets to tcp(80)
>>From 6*.2**.2+2.58 - 6 packets to tcp(80)
>>From 6*.2**.2+2.60 - 18 packets to tcp(80)
>>From 6*.2**.2+2.66 - 25 packets to tcp(80)
>>From 6*.2**.2+2.67 - 7 packets to tcp(80)
>>From 6*.2**.2+2.68 - 17 packets to tcp(80)
>
>これらから、伏字になっていないIPなどをキーに生ログを検索すれば、
>denyされた詳細な情報(denyの理由など)が得られると思います。
>
生ログを見てましたがイマイチ原因が分かりませんでした…
記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/14 01:24
名前: くろき。
URL:
>/etc/sysconfig/iptablesにsaveされたルールがあると思う
>
>port 80 をACCEPTするルールの前に CH,KR,TWのグローバルアドレスをDROPする設定がありませんか
>順番に評価されるので、先にDROPされたものは後から全て受け付ける設定をしても、ACCEPTになりません

一度、iptables.shの全文をうpろだに上げてみます。
http://u4.getuploader.com/espg2/download/3/iptables.txt
記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/14 07:37
名前: ペングイン
URL: http://blog.trippyboy.com
> # 以降,日本からのみアクセスを許可したい場合はACCEPTのかわりにACCEPT_COUNTRYを指定する
> # 中国・韓国・台湾※からのアクセスをログを記録して破棄
> # ※全国警察施設への攻撃元上位3カ国(日本・アメリカを除く)
> # http://www.cyberpolice.go.jp/detect/observation.htmlより
> iptables -N DROP_COUNTRY
> DROP_COUNTRY_MAKE CN
> iptables -A INPUT -j DROP_COUNTRY
> #----------------------------------------------------------#
> # 各種サービスを公開する場合の設定(ここから) #
> #----------------------------------------------------------#
> # 外部からのTCP22番ポート(SSH)へのアクセスを許可
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> # 外部からのTCP80番ポート(HTTP)へのアクセスを許可
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT

80番を許可する前に、「CN」国からのアクセスを全拒否されておりませんか?

> # DROP_COUNTRY_MAKE関数定義
> # 指定された国のIPアドレスからのアクセスを破棄するユーザ定義チェイン作成
> DROP_COUNTRY_MAKE(){
> for addr in `cat /tmp/cidr.txt|grep ^$1|awk '{print $2}'`
> do
> RY] : '
> iptables -A DROP_COUNTRY -s $addr -j DROP
> done
> }
記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/14 12:46
名前: ウルグ
URL:
ちょっと本題とずれてきてますが…


>>No.5でstrangerさんが指摘していますね。

# 以降,日本からのみアクセスを許可したい場合はACCEPTのかわりにACCEPT_COUNTRYを指定する
# 中国・韓国・台湾※からのアクセスをログを記録して破棄
# ※全国警察施設への攻撃元上位3カ国(日本・アメリカを除く)
# http://www.cyberpolice.go.jp/detect/observation.htmlより
iptables -N DROP_COUNTRY
DROP_COUNTRY_MAKE CN
iptables -A INPUT -j DROP_COUNTRY


DROP_COUNTRY_MAKE CN
中国を遮断したまま

# 外部からのTCP80番ポート(HTTP)へのアクセスを許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

80は前のルールを含めて許可。
となっています。

記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/14 17:27
名前: 新高校生
URL:
>順番に評価されるので、先にDROPされたものは後から全て受け付ける設定をしても、ACCEPTになりません

基本と言えば基本ですが重要ですよね。知らないと今回みたいに混乱します。
記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/14 17:54
名前: stranger
URL: http://ja.528p.com/
-j を使って 自分の作成したchainへ飛ばして、適合したらRETURNするようなことができるので
自分でしっかりと流れを把握しないと、どうなっているのかさっぱりわかりません
色々なサイトで公開されているiptablesの設定を見て学習するしかありません

参考サイト Iptablesチュートリアル 日本語訳
http://www.asahi-net.or.jp/~aa4t-nngk/ipttut/index.html
記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/15 05:29
名前: くろき。
URL:
ちょっと勘違いをしていたようです

ACCEPTでは全アクセス許可だと思っていました

>iptables -N DROP_COUNTRY
>DROP_COUNTRY_MAKE CN
>iptables -A INPUT -j DROP_COUNTRY
この文の前に
>iptables -A INPUT -p tcp --dport 80 -j ACCEPT
この構文を入れたら80番ポートのみアクセスが出来るようになるという事でよろしいでしょうか?

皆さんは中国・台湾・韓国などのアクセスを遮断していますか?


記事編集 編集
Re: Logwatchのiptablesの項目について。 このメッセージに返信する
日時: 2010/07/15 06:31
名前: stranger
URL: http://ja.528p.com/
iptables -A INPUT -p tcp --dport ! 80 -j DROP_COUNTRY
iptables -A INPUT -p tcp --dport ! 53 -j DROP_COUNTRY
iptables -A INPUT -p udp --dport ! 53 -j DROP_COUNTRY
iptables -A INPUT -p icmp -j DROP_COUNTRY

のような感じですかね

! で指定を反転させて、到達点が80番ポート以外のtcpパケットをDROP_COUNTRYに当てはめます
DNSを自前で構築している場合は、53番ポートも除外します
icmpは全てDROP_COUNTRYに当てはめます

設定項目が3倍に増えるので、CPU処理の負担が増すと思う

>皆さんは中国・台湾・韓国などのアクセスを遮断していますか?
私的には パケットの到達したサーバデーモンの設定で不正なアクセスをはじいています
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -