[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:22108] Re: ホストベ−スのFirewall



>  -A OUTPUT -s 192.168.10.8 -j ACCEPT
> の様に送信規制を外してテストしてみたら如何でしょう。

送信規制をはずしますと、
Operation Not Permitted は出なくなります。
外部の上位 DNS への問い合わせもできるようになります。
Port Scan のような動きもなくなります。

驚いたのは(?)、DNS機を別の筐体に変更して
Password を変えても、Port Scan の様な動きが出ていたことです。
別の場所(自宅)で、DNS を設定して、職場の LAN に
持ち込むと例の Port Scan のような動きが一部(?)
見られました。

どうも named そのものが、出口を探して
Port Scan のような動きをしている、としか思えません。

----- Original Message ----- 
From: "早間義博" <yossi@yedo.src.co.jp>
To: <plamo@linet.gr.jp>
Sent: Sunday, February 29, 2004 7:53 AM
Subject: [plamo:22107] Re: ホストベ−スの Firewall


> 早間です。
>
> From: "Tadashi Nakamura" <tn_mls@hotmail.com>
> Subject: [plamo:22106] Re: ホストベ−スの Firewall
> Date: Sun, 29 Feb 2004 04:40:36 +0900
> Message-ID: <BAY2-DAV51NQo3N3eCV0000e4fc@hotmail.com>
>
> >
> > > named が出しているのです。 DNS を何をご利用になっているのか判りま
> > > せんがnamedの設定はどのようになっているのでしょう。
> >
> > bind は 8.2.4 だったと思います。
> > /etc/named.conf の最初の部分は
> > options {
> >         directory "/var/named";
> >         forward first;
> >         forwarders {
> >                 202.224.32.1;
> >                 202.224.32.2;
> >         };
> >         allow-transfer { localhost; };
> >         allow-recursion { 192.168.10.0/24; localhost; };
> > };
> >
>
> エラーは
> asm/errno.h:#define EPERM 1 /* Operation not permitted */
> でないかと思います。
>
> bind-8.2.4 のソースをちょっと覗いて見たのですが ns_forw.c にそれら
> しいところがありました。(自信はありません)
> このエラーと iptables のフィルタリングとの関連は判りません。
> テストするとすれば、
> 53/tcp を許可する。
> $IPTABLES -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED
>   --sport 53 -j ACCEPT
> 或いは
>  -A OUTPUT -s 192.168.10.8 -j ACCEPT
> の様に送信規制を外してテストしてみたら如何でしょう。
>
> /var/log/messages のログに何かありませんか。
>
> > 実は、この DNS機 へ LAN 内から ssh にて login を許している
> > 192.158.10.99 に対して以下のような Port Scan と思われる
> > 状況が発生しています。これは 192.158.10.99 側の
> > Personal Firewall にて記録されているものです。
> > 192.168.10.8 が DNS機の IP Address です。
> >
> > Firewall 0:01:28 IN UDP 192.168.10.8 53 192.168.10.99 1091
> > Firewall 0:01:30 IN UDP 192.168.10.8 53 192.168.10.99 1092
>
> 192.158.10.99 の設定を変更してはいないのですか。
> なぜ、192.168.10.8:53/udp が 192.158.10.99 のログに記載されるので
> すか。
> DNS 機の iptables の設定を外したら直りますか。
> $IPTABLES -F
> $IPTABLES -P INPUT ACCEPT
> $IPTABLES -P OUTPUT ACCEPT
> に変更したら変わりますか。
>
> 疑問が一杯湧いて来ます。
>
> -- 早間  yossi@yedo.src.co.jp
>
>

Follow-Ups
[plamo:22109] Re: ホストベ−スのFirewall, Tadashi Nakamura
References
[plamo:22102] Re: ホストベ−スのFirewall, Tadashi Nakamura
[plamo:22103] Re: ホストベ−スのFirewall, 早間義博
[plamo:22106] Re: ホストベ−スのFirewall, Tadashi Nakamura
[plamo:22107] Re: ホストベ−スのFirewall, 早間義博

[検索ページ] [メール一覧]
Plamo ML 公開システム