[plamo:22046] Re: iptables 設定utility quaqui

[早間義博]

From: "Tadashi Nakamura" <tn_mls@hotmail.com>
Subject: [plamo:22045] Re: iptables 設定 utility quaqui
Date: Mon, 16 Feb 2004 20:29:26 +0900
Message-ID: <BAY2-DAV29mBySsxVY60001a02e@hotmail.com>

> 
> 丁度昨日、iptables を詳細に理解したいと思って
> 実験環境を作ったところです。
> どうしてもできない、でも、どうしてもやりたい
> アクセス制限がありまして、、、
> 

私のところには、昨年末から DNS を更新するアクセスがあります。
/var/log/syslog に更新を拒否したログが残っていたのです。
53/tcp は特定のホスト以外は iptables で reject しているのですが効
き目はありません。
snort でもこのパケットの検出は出来ません。
iptables の patch-o-matic の中にパケット中の特定文字列を検出して
フィルタするものがありますが、使用していません。

今は、/var/log/syslog に named のログで正規表現で 
/update .+ denied/ の文字列が現れると共にログされる IP アドレスに
対して全面 reject する設定を router の iptables に挿入しています。 

あらかじめ空のテーブルを作成してあります。
 iptables -t filter -N switch
INPUT FORWARD の先頭に
 iptables -t filter -A INPUT -j switch
 iptables -t filter -A FORWARD -j switch
を入れてあります。
前記の条件が発生するとテーブル switch に
  iptables -t filter -A switch -s xx.xx.xx.xx -j reject
を挿入します。
（実際は別の削除用テーブルに jump させます。
  理由は、一定時間アクセスが無いときに reject の設定を外すためにロ
 グをするためです。３時間以上当該ホストからのアクセスが無くなった
 時には削除しています。） 

その他、別途定めた条件を満たすホストが発生すると同様に一定時間全面
reject をしています。

実行されたログです。
219.112.124.113 Mon Feb 16 11:20:58 JST 2004
219.112.53.157 Mon Feb 16 12:13:25 JST 2004
219.112.53.247 Mon Feb 16 14:15:39 JST 2004
219.112.124.24 Mon Feb 16 15:00:39 JST 2004 relesed Last atacked 11:17
219.112.124.113 Mon Feb 16 15:00:39 JST 2004 relesed Last atacked 11:24
219.112.53.157 Mon Feb 16 17:00:07 JST 2004 relesed Last atacked 13:57

上の３行は発生です。下の３行は解除です。219.112.124.24 は発生が
 
219.112.124.24 Sat Feb 14 15:03:34 JST 2004

随分長くがんばったようです。中には１ヶ月以上も削除され続けても毎日
4000 件を越える reject をしているうるさいホストもあります。

解除の時間は毎時0分頃です。毎回チェックするのではなく毎時0分頃の
log データで実行しています。 

-- 早間  yossi@yedo.src.co.jp