QUICK MENU : Top | << Prev | Next >> | Recent

管理

Diary.BackNumber

バックナンバー


2010年2月13日(土) 自分でも何を言っているのかよく分からない

仕事の調子が割と良いので
もうちょっと充電時間をいただきます。

2010年2月25日(木) Linux鯖のお勉強

今いじっているLinuxサーバに対するSSHのBruteforce攻撃が死ぬほどうざいので、ここを参考にiptablesの設定を行ってみた。

、いっこうに動作する気配なし。
SSHへの攻撃のログが全然減っていない(むしろ増えているとか何事だよ)

そのときのiptables。


Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh limit: avg 3/min burst 3 mode srcip-dstip htable-expire 60000
DROP tcp -- anywhere anywhere tcp dpt:ssh


で、原因はというと、ファイヤウォールのエントリの後ろに追記したせいだったらしい。
よーするに、ファイヤウォール側ですでに全SSHパケットがACCEPTされていたため、そのあとに接続制限とかでDROP仕掛けても意味がなかったとのこと。
(参考:Redhatのドキュメント)



書き換え後↓

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh limit: avg 3/min burst 3 mode srcip-dstip htable-expire 60000
DROP tcp -- anywhere anywhere tcp dpt:ssh
RH-Firewall-1-INPUT all -- anywhere anywhere


これで今度こそ動作した。
身をもってそのトラップに引っかかってみたから確実。


うーん。
DROP判定されたものがACCEPTに復帰しないのは分かるけど、すでにACCEPTマークされているものがDROP判定の対象にならないのは、個人的に直感的じゃないなぁ・・・
まぁ、もしそんな動作だったらACCEPTに意味が無くなるけどな。

totoki_kei@hotmail.com

QUICK MENU : Top | << Prev | Next >> | Recent

Akiary v.0.61