このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

突然iptablesによりアクセスが拒否される このメッセージに返信する
日時: 2007/09/08 10:37
名前: Comet
URL:
お世話になります。
本日早朝なのですが突然iptablesにより全てのアクセスが拒否されるようになりました。
原因を調べているのですが見当たりません。

システムより下記メールが届いている事は確認しました。
/etc/cron.daily/iplist_check.sh:

cat: delegated-apnic-latest: No such file or directory
cat: delegated-apnic-latest: No such file or directory
cat: delegated-apnic-latest: No such file or directory
cat: delegated-apnic-latest: No such file or directory
cat: delegated-apnic-latest: No such file or directory
cat: delegated-apnic-latest: No such file or directory
cat: delegated-apnic-latest: No such file or directory
cat: delegated-apnic-latest: No such file or directory
cat: delegated-apnic-latest: No such file or directory
cat: delegated-apnic-latest: No such file or directory

iptabelsを一度stopし再度取得し直し正常にiptablesがstartした事を確認し、
sshからログアウトし再度ログイン試みると接続が拒否されます。

続きにスクリプトをペーストしますのでおかしな点があるか客観的にご指摘頂けないでしょうか?
記事編集 編集
Re: 突然iptablesによりアクセスが拒否される このメッセージに返信する
日時: 2007/09/08 10:45
名前: Comet
URL:
■ iptables.sh
  下記国別の拒否の設定のみ弄ってあるので原因があるならそこかなと思っています。
  USとJPのみ許可できる設定があればそれが一番かなとは思っているのですが、
  実力&知識不足から実装出来なかった為追加追加でやっています…。

# IPアドレスリスト取得
wget -q http://ftp.apnic.net/stats/apnic/delegated-apnic-latest # APNIC
wget -q ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest # ARIN
wget -q ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest # LACNIC
wget -q ftp://ftp.ripe.net/ripe/stats/delegated-ripencc-latest # RIPE-NCC

# 日本からのアクセスを許可するユーザ定義チェインACCEPT_COUNTRY作成
iptables -N ACCEPT_COUNTRY
ACCEPT_COUNTRY_MAKE delegated-apnic-latest apnic JP # APNIC
ACCEPT_COUNTRY_MAKE delegated-arin-latest arin JP # ARIN
# 以降,日本からのみアクセスを許可したい場合はACCEPTのかわりにACCEPT_COUNTRYを指定する

# 中国・韓国・台湾からのアクセスを破棄するユーザ定義チェインDROP_COUNTRY作成
iptables -N DROP_COUNTRY
DROP_COUNTRY_MAKE delegated-apnic-latest apnic CN # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin CN # ARIN
DROP_COUNTRY_MAKE delegated-apnic-latest apnic KR # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin KR # ARIN
DROP_COUNTRY_MAKE delegated-apnic-latest apnic TW # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin TW # ARIN
DROP_COUNTRY_MAKE delegated-apnic-latest apnic HK # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin HK # ARIN
DROP_COUNTRY_MAKE delegated-apnic-latest apnic AU # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin AU # ARIN
DROP_COUNTRY_MAKE delegated-apnic-latest apnic TH # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin TH # ARIN
DROP_COUNTRY_MAKE delegated-apnic-latest apnic ID # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin ID # ARIN
DROP_COUNTRY_MAKE delegated-apnic-latest apnic IN # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin IN # ARIN
DROP_COUNTRY_MAKE delegated-apnic-latest apnic PH # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin PH # ARIN
DROP_COUNTRY_MAKE delegated-apnic-latest apnic VN # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin VN # ARIN
DROP_COUNTRY_MAKE delegated-apnic-latest apnic MY # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin MY # ARIN
DROP_COUNTRY_MAKE delegated-apnic-latest apnic SG # APNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin SG # ARIN
DROP_COUNTRY_MAKE delegated-lacnic-latest lacnic BR # LACNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin BR # ARIN
DROP_COUNTRY_MAKE delegated-lacnic-latest lacnic PE # LACNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin PE # ARIN
DROP_COUNTRY_MAKE delegated-lacnic-latest lacnic MX # LACNIC
DROP_COUNTRY_MAKE delegated-arin-latest arin MX # ARIN
DROP_COUNTRY_MAKE delegated-ripencc-latest ripencc DE # RIPE-NCC
DROP_COUNTRY_MAKE delegated-arin-latest arin DE # ARIN
DROP_COUNTRY_MAKE delegated-ripencc-latest ripencc PT # RIPE-NCC
DROP_COUNTRY_MAKE delegated-arin-latest arin PT # ARIN
DROP_COUNTRY_MAKE delegated-ripencc-latest ripencc AT # RIPE-NCC
DROP_COUNTRY_MAKE delegated-arin-latest arin AT # ARIN
DROP_COUNTRY_MAKE delegated-ripencc-latest ripencc HU # RIPE-NCC
DROP_COUNTRY_MAKE delegated-arin-latest arin HU # ARIN
DROP_COUNTRY_MAKE delegated-ripencc-latest ripencc RO # RIPE-NCC
DROP_COUNTRY_MAKE delegated-arin-latest arin RO # ARIN
DROP_COUNTRY_MAKE delegated-ripencc-latest ripencc RU # RIPE-NCC
DROP_COUNTRY_MAKE delegated-arin-latest arin RU # ARIN
# 以降,中国・韓国・台湾からのアクセスを破棄したい場合はDROPのかわりにDROP_COUNTRYを指定する

# IPアドレスリスト削除
rm -f delegated-apnic-latest # APNIC
rm -f delegated-arin-latest # ARIN
rm -f delegated-lacnic-latest # LACNIC
rm -f delegated-ripencc-latest # RIPE-NCC

# 中国・韓国・台湾※からのアクセスをログを記録して破棄
# ※全国警察施設への攻撃元上位3カ国(日本・アメリカを除く)
# http://www.cyberpolice.go.jp/detect/observation.htmlより
iptables -A INPUT -j DROP_COUNTRY
記事編集 編集
Re: 突然iptablesによりアクセスが拒否される このメッセージに返信する
日時: 2007/09/08 10:47
名前: Comet
URL:
■ iplist_check.sh

#!/bin/bash

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# チェック国コード
COUNTRY_CODE='JP CN KR TW HK AU TH ID IN PH VN MY SG BR PE MX DE PT AT HU RO RU'

# iptables設定スクリプトパス
IPTABLES=/root/iptables/iptables.sh

# IPアドレスリスト最新化
cd /tmp
rm -f IPLIST.new
# APNIC
wget -q -O delegated-apnic-latest http://ftp.apnic.net/stats/apnic/delegated-apnic-latest
for country in $COUNTRY_CODE
do
grep "apnic|$country|ipv4|" delegated-apnic-latest >> IPLIST.new
done
rm -f delegated-apnic-latest
# ARIN
wget -q -O delegated-arin-latest ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest
for country in $COUNTRY_CODE
do
grep "arin|$country|ipv4|" delegated-arin-latest >> IPLIST.new
done
rm -f delegated-arin-latest
# LACNIC
wget -q -O delegated-lacnic-latest ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest
for country in $COUNTRY_CODE
do
grep "lacnic|$country|ipv4|" delegated-lacnic-latest >> IPLIST.new
done
rm -f delegated-lacnic-latest
# RIPE-NCC
wget -q -O delegated-ripencc-latest ftp://ftp.ripe.net/ripe/stats/delegated-ripencc-latest
for country in $COUNTRY_CODE
do
grep "ripencc|$country|ipv4|" delegated-ripencc-latest >> IPLIST.new
done
rm -f delegated-ripencc-latest

# IPアドレスリスト更新チェック
diff -q IPLIST IPLIST.new > /dev/null 2>&1
if [ $? -ne 0 ]; then
/bin/mv IPLIST.new IPLIST
$IPTABLES > /dev/null
else
rm -f IPLIST.new
fi
記事編集 編集
Re: 突然iptablesによりアクセスが拒否される このメッセージに返信する
日時: 2007/09/08 11:16
名前: Comet
URL:
iptables.shをこちらで設定している国のみに指定し直し試してみたのですが、
結果は変わらずiptabelsをstartさせると接続が拒否されるようです。

/var/log/messageに残された拒否の部分のログになります。

[IPTABLES INPUT] : IN=eth0 OUT= MAC=00:17:a4:0d:3b:50:00:06:b1:0a:f7:99:08:00 SRC=私のアクセス用プロバのIP DST=サーバーローカルIP LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=45609 DF PROTO=TCP SPT=42795 DPT=995 WINDOW=65535 RES=0x00 SYN URGP=0


おかしくなる直前にyumによるアップデートがあったらしいので書いておきます。
Sep 08 06:24:45 Updated: krb5-libs.i386 1.5-29
Sep 08 06:24:46 Updated: krb5-devel.i386 1.5-29
Sep 08 06:24:47 Updated: krb5-workstation.i386 1.5-29
直接因果関係があるとは思えないのですが…。

仕事でも使用しているのでとりあえずiptablesはstopさせ稼動させているのですが、
やはり今まで使っていたので心配になります。

何かお分かりになられる方がいましたら是非お力添えをお願い致します。
記事編集 編集
Re: 突然iptablesによりアクセスが拒否される このメッセージに返信する
日時: 2007/09/08 17:49
名前: 管理人
URL:
現在、APNICの最新IPアドレスリストhttp://ftp.apnic.net/stats/apnic/delegated-apnic-latestが存在しないため(原因は不明)、前日以前のIPアドレスリストを取得するようにファイアウォール設定スクリプトを修正しました。
http://centossrv.com/iptables.shtmlの「(1)iptables設定」、「(2)IPアドレスリスト更新チェック」を修正。



記事編集 編集
Re: 突然iptablesによりアクセスが拒否される このメッセージに返信する
日時: 2007/09/08 19:14
名前: よっしー
URL: https://takao.dyndns.org/~takao/fswiki/wiki.cgi
こんばんは。お世話になります。

Cometさん>
私も同様の現象に直面しましたが、上記管理人様
のスクリプトに修正したところ、症状は出なく
なりましたので是非お試しあれ。(^_^)

管理人様>
タイムリーな修正、誠に有難う御座いました。(^o^)

以上
記事編集 編集
Re: 突然iptablesによりアクセスが拒否される このメッセージに返信する
日時: 2007/09/10 10:24
名前: Comet
URL:
返信が遅くなりまして申し訳ございません。
野暮用で外出したまま昨日深夜まで帰宅不能でした(T-T)

> 管理人様
早速の修正ありがとうございます。
今から取り掛かりたいと思います。
delegated-apnic-latestが存在しない所までは気が付きこちらに書こうとした所で、
外出(強制)しなくてはならなくなってしまい(T-T)

> よっしー様
早速の動作検証ありがとうございます。
今から修正しiptablesを再稼動させたいと思います。


先程確認したらdelegated-apnic-latestの存在確認も取れました。
APNICがミスっていたのでしょうか。
普段、リモートばかりで管理をしていると接続が拒否されてしまうと困りますね。
久しぶりにサーバーと向かい合って作業をしました(笑)
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -