このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

望まぬIPからのブロック このメッセージに返信する
日時: 2020/09/29(Tue) 15:03
名前: でふぁいあんと
URL:
お世話になります。こちらのサイトを見てメールサーバを導入しました。

maillogを見ると、予期せぬipがありsaslに対して
ユーザー名をランダムに設定して攻撃しているようです。
こちらのサイトのiptables.shの設定をもとに
ipを国単位でまとめて拒否しました。

(1)こちらのipを国で検索したところGB(イギリス)ということがわかり
DROP_COUNTRY_MAKE GB
を追加 反映 結果のiptablesには
-A DROP_COUNTRY -s 128.199.0.0/16 -m limit --limit 1/s -j LOG --log-prefix "[IPTABLES DENY_COUNTRY] : "
-A DROP_COUNTRY -s 128.199.0.0/16 -j DROP

その後ログを見ると

postfix/smtpd「***]: connect from unknown[128.199.8.245]
warning: unknown[128.199.8.245]: SASL LOGIN authentication failed: authentication failure
disconnect
となっていて、saslまで到達しているようです。
iptableってOSレベルで拒否すると思っていましたが
これでいいのでしょうか

(2)その後 DENY_IPにも
128.199.8.245 を追加しましたが状況はかわりません

現在のiptablesの内容で関連するものを抜き出すと
上から
-A INPUT -s 1.1.1.1 -p tcp --dport 25 -j ACCEPT "ipはダミー 確実に受信する相手
-A DROP_COUNTRY -s 128.199.0.0/16 -m limit --limit 1/s -j LOG --log-prefix "[IPTABLES DENY_COUNTRY] : "
-A DROP_COUNTRY -s 128.199.0.0/16 -j DROP
-A INPUT -p tcp --dport 25 -j ACCEPT
-I INPUT -s 128.199.8.245 -j LOG --log-prefix "[DenyIPList] : "
-I INPUT -s 128.199.8.245 -j DROP

25番ポート以外のアクセスは、外部ルーターで止めています

ひょっとして、deny_IPは、4行目より上にないと意味が無いかなと
思いますが、その場合の記述方法はどうすれば、、

それよりも、2行目,3行目で、このアドレスは拒否するはずですよね

ヒントでもよいのでよろしくお願いします
記事編集 編集
Re: 望まぬIPからのブロック このメッセージに返信する
日時: 2020/09/30(Wed) 21:39
名前: superweibu
URL:
iptablesを見る限り問題なさそうです。
気になるのが2点ほど

1,ルールが複雑なのかなーという印象です。

-A INPUT -s 1.1.1.1 -p tcp --dport 25 -j ACCEPT "ipはダミー 確実に受信する相手
-I INPUT -s 128.199.8.245 -j LOG --log-prefix "[DenyIPList] : "
-I INPUT -s 128.199.8.245 -j DROP

ここら辺は同じようなことを設定してるのでいらいないかなー。
けっずって様子見するか

2,後は何かの設定でFWのルールがクリアされてしまう。
記事編集 編集
Re: 望まぬIPからのブロック このメッセージに返信する
日時: 2020/10/01(Thu) 06:13
名前: stranger
URL:
ここのサイトの設定ではfirewalldを止めてiptablesを起動することで
iptables.shで作られた/etc/sysconfig/iptablesを読み込んで
ファイアウォールを構築します
iptables -L -n -v コマンドで実際に機能してるファイアウォールの設定を表示できます
機能していれば/var/log/messagesにログがでていると思います

root/deny_ipの最後にドロップしたいIPを書いておけば
-I INPUTの設定なのでINPUTの最初に追加されます
(Iは、ルールをチェインの先頭に追加する Aはルールをチェインの最後に追加する)
変更したらiptablesを再起動します

使っているCentOSのバージョンにより違いがあるので質問の時に書きましょう
記事編集 編集
Re: 望まぬIPからのブロック このメッセージに返信する
日時: 2020/10/02(Fri) 15:45
名前: でふぁいあんと
URL:
superwebuさん、strangerさん、お返事ありがとうございます。
OSのバージョンはCentOS6です。実は8への移行作業中に上記問題が発覚したので
急遽対応中です。
数日経って、攻撃が止まったのか、設定が効いたのか不明ですが
現在、このアドレスはmajllogにはなくなりました。

一応、、、
-I,-Aオプション調べてみました、なるほどです。
で、設定を見たところ
1436 86160 DROP all -- * * 128.199.8.245 0.0. 0.0/0
0 0 LOG all -- * * 128.199.8.245 0.0. 0.0/0 LOG flags 0 level 4 prefix `[DenyIPList] : '
29 1740 ACCEPT tcp -- * * 219.94.203.149 0.0. 0.0/0 tcp dpt:25
465 26264 ACCEPT tcp -- * * 0.0.0.0/0 0.0. 0.0/0 tcp dpt:25
1420 85200 LOG all -- * * 128.199.0.0/16 0.0. 0.0/0 limit: avg 1/sec burst 5 LOG flags 0 level 4 prefix `[IP TABLES DENY_COUNTRY] : '
1420 85200 DROP all -- * * 128.199.0.0/16 0.0. 0.0/0

となっていて、確かに25番ポートの開放は、3行目:IP指定の直後に4行目:all指定があるので
これははっきり無駄だとわかります。
気になるのが、"denyIP指定"は優先されて設定されるようですが
"国別拒否"は、25番を許可した後に追加されるのですね
そうすると「各種サービスを公開する場合の設定(ここから)」より
下位ということになりますが、
この辺の意図する事はわかりますか?
全部 -Iにしてもいいのでしょうか

よろしくお願いします
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -