- 366 名前:login:Penguin mailto:sage [2010/03/29(月) 00:12:21 ID:Id7OMS+X]
- これまではブロードバンドルータの内側で設定を行ってきたが、iptablesのルールをつめるために、
連休から一週間、日中だけだが外に出した(ブロードバンドルータと置き換え)。
次々と特権ポートを突っつかれるかとも思っていたが、期間が短いこともあってか、それほどではなかった。
とはいえ、22番ポート等に繋ごうとする輩はいて、そのIPはアジアばっかり(特に支那)。
なので、krfilterを参考に、日本のIP以外を弾くルールを追加した。
apnicとarinに無い日本のIPは、どこで調べたらいいのか分かってないので、とりあえず無視^^;
RSTフラグだけが立ったパケットを使っての、DPTが上がっていく、いかにもなポートスキャンもちらほら。
なかにはプライベートアドレスが発信元のものもあった。まぁ、スキャンされても「別に」だけど。
それに、繋ごうとする輩はスキャンなどせず、いきなり繋いでくるだろうし。
プライベートアドレスを発信元にしたものは、何故か 192.168.1.2X が多かった。
たまたまなのか、慣習なのか?
クラスAはごく僅か。クラスBは見かけなかった。
state NEW なのに syn ではないものに関しては、ほとんどが自分がらみだった。
Lan側のWindowsマシンが、特にウェブを巡回しているときに、時々だが出している。
同様に相手のウェブサーバからも時々来ている。
iptablesチュートリアルに書いてある通りだった。やれやれ('A`)
ともかく、得られた結果を参考にして、ルールの見直しをしていこう。
これを何度か繰り返したら、いつかは建てたい自宅鯖に必要なポートを開けてみようと思う。
P.S. rsyslogでのlogの分離は361のやり方で問題ないようだ。
内容別に、もう少し細かく分離しても良さそう。
ログを見るのに併用しているlogwatchの設定を変えないといけなくなるだろうけど。
|
 |
