このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

SWATCH利用時のatコマンド このメッセージに返信する
日時: 2013/09/12(Thu) 15:40
名前: ぐれーてる
URL:
いつも拝見させていただいております。

ここを参考にSwatchの仕組みを取り入れ、メール関連の認証失敗をメインにアクセス規制を行って
おります。
この認証失敗は不正アクセスによるもの以外に、社内のスタッフがPCの入れ替え時に設定をミスし、
認証失敗するケースも有ります。
規制時間を15分にしているため、失敗したとしても正しい設定にすることで15分後には通信が出来
るようになるはずですが、何故か規制されたままになります。

そこで、下記のコマンドで状況の確認を行いました。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

# iptables -L INPUT -n|grep DROP
DROP all -- XXX.XXX.XXX.XX1 0.0.0.0/0
DROP all -- XXX.XXX.XXX.XX1 0.0.0.0/0
DROP all -- XXX.XXX.XXX.XX1 0.0.0.0/0
DROP all -- XXX.XXX.XXX.XX1 0.0.0.0/0

# atq|sort
表示されないため、atコマンドの予約が無いことになります。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

上記のように XXX.XXX.XXX.XX1 から連続して認証に失敗し、ロックされているのですが、通常の
動作であれば

2234 2013-09-12 14:32 a root
2235 2006-02-04 14:33 a root

の様に予約されて、時間とともに規制解除になります。
しかし、現実は規制されたままになります。

原因を探るべく、ログにechoコマンドで、認証失敗したような書き込みを擬似的に行いました。
実行時には [ atq|sort ] と [ ptables -L INPUT -n|grep DROP ] の数はあっているのですが、
15分後に「iptables -L INPUT -n|grep DROP」を実行すると幾つか残ったままになっています。

これは、皆様のところでも起きていますでしょうか?
これを改善する方法は無いのでしょうか?

現在は、手動にて iptables -D INPUT -s XXX.XXX.XXX.XX1 -j DROP > /dev/null 2>&1
を実行しております。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -