このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

現在の設定にiptablesとSWATCHの追記の変更したら このメッセージに返信する
日時: 2008/02/29 12:07
名前: sada
URL:
いつもお世話になります。
昨日より新着情報にある、ファイアウォール構築(iptables)」修正とログ監視ツール導入(SWATCH)」追記を私のサーバにも適応させ>ましたがうまく行きません。
どういうわけか一部のプロバイダ?からホームページに入れません(ファイアウオールで拒否されているよう)
もちろんsshでもログインできません。(変更前はこの現象はありませんでした。)

変更後のファイアウオール設定の実行の結果を書きます。

[root@xxx ~]# ./iptables.sh
ファイアウォールルールを適用中: [ OK ]
チェインポリシーを ACCEPT に設定中filter [ OK ]
iptables モジュールを取り外し中 [ OK ]
ファイアウォールのルールを /etc/sysconfig/iptables に保存中[ OK ]
ファイアウォールルールを適用中: [ OK ]
チェインポリシーを ACCEPT に設定中filter [ OK ]
iptables モジュールを取り外し中 [ OK ]
iptables ファイアウォールルールを適用中: [ OK ]
iptables モジュールを読み込み中ip_conntrack_netbios_ns [ OK ]
となりました。

IPアドレスの規制状態

[root@xxx ~]# iptables -L INPUT -n|grep DROP
Chain INPUT (policy DROP)
DROP all -- 222.228.130.124 0.0.0.0/0
DROP all -- 195.234.42.1 0.0.0.0/0
DROP all -- 88.191.64.64 0.0.0.0/0
DROP all -f 0.0.0.0/0 0.0.0.0/0
DROP tcp -- !222.222.222.222/32 0.0.0.0/0 multiport dports 135,137,138,139,445
DROP udp -- !222.222.222.222/32 0.0.0.0/0 multiport dports 135,137,138,139,445
DROP all -- 0.0.0.0/0 255.255.255.255
DROP all -- 0.0.0.0/0 224.0.0.1
DROP_COUNTRY all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0
となり一番上の 222.228.130.124が問題のip(プロバイダ)です
昨日から1日たった今日も./iptables.shを実行した後も昨日と同じくホームページもsshでも入れません。
まだホームページを見れない人たちがいるかと思うと悩めます。

どなたかおわかりになる方ご教授ください。よろしくお願いします。

*環境
サーバOS  CentOS5
*iptables -L INPUT -n|grep DROPで表示の説明
222.222.222.222は実IPアドレスではありません一応グローバルアドレスです。
222.228.130.124 は、今問題になっているプロバイダのネームサーバのアドレスのよう。
なお、このプロバイダは hosts.allow許可プロバイダの設定あり。

よろしくお願いいたします。
記事編集 編集
Re: 現在の設定にiptablesとSWATCHの追記の変 このメッセージに返信する
日時: 2008/03/05 00:55
名前: sada
URL:
その後わかったことを書きます。
ファイアウォール構築(iptables)」修正は問題ありませんでした。
問題はログ監視ツール導入(SWATCH)」のmessages.confの変更で問題発生するようです。

# logfile /var/log/messages

# BINDのバージョン照会を検知したら該当ホストからのアクセスを24時間規制
# ※DNSサーバー(BIND)構築済であること
watchfor /query \'VERSION\.BIND\/TXT\/CH\' denied/
pipe "/usr/local/bin/swatch_action.sh 7 lock"
throttle=00:00:10

なら問題なし。

しかし
# アクセス無許可ホストからのDNS使用を検知したら該当ホストからのアクセスを24時間>規制の

watchfor /named.*client.*query.*denied/
pipe "/usr/local/bin/swatch_action.sh 7 lock"
を追加すると問題発生

サーバと同じプロバイダのADSl回線でserverに入れない。(わかっている事)
○ TCP22番ポート(SSH)へのアクセスできない
○ TCP80番ポート(HTTP)へのアクセスできない
○ TCP143番ポート(IMAP)へのアクセスできない
○ TCP993番ポート(IMAPS)へのアクセスができない等

#watchfor /named.*client.*query.*denied/
#pipe "/usr/local/bin/swatch_action.sh 7 lock"
のようにコメントアウトしリブートするとなんの問題もなく動きます。
ここまで再現するので書き込みました。


*サーバと関係ないプロバイダのADSL回線は問題無しに動いています。

初心者ですが、おわかりになる方御指導をお願いします。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -