ブログトップ 記事一覧 ログイン 無料ブログ開設

それはそれ。これはこれ。 このページをアンテナに追加 RSSフィード

2003 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 03 | 04 | 05 | 06 | 07 | 09 | 10 | 11 | 12 |
2012 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 11 | 12 |
2013 | 01 | 02 | 04 | 05 | 07 | 08 | 10 | 11 | 12 |
2014 | 02 | 03 | 07 | 08 | 09 | 10 | 11 | 12 |
2015 | 01 | 02 | 03 | 05 | 06 | 07 | 11 |
2016 | 07 |
2017 | 01 | 03 | 06 | 07 |

2011-05-02(月)

[]「さくらVPSファイアーウォール設定 「さくらのVPS」ファイアーウォール設定を含むブックマーク 「さくらのVPS」ファイアーウォール設定のブックマークコメント

iptablesについて調べて*1設定してみた。初期設定ではiptablesプロセスは起動するが全部通しになっている。

方針は、

  • 中継は使わないのでDROP
  • 送信はとりあえず全部通しだが、ブロードキャストだけDROPしておく
  • 受信は必要と思われる物だけ通して、他はDROP
  • DROPしたものログに書いておく(件数制限も)

設定する方法として、

  1. iptablesコマンドで設定する
  2. ファイルに書いてiptables-restoreで読み込む

の二通りの方法があるようだが、コマンドは面倒なので後者のやり方で。


*filter
# INPUTチェーンのデフォルトは条件に合わない物は後でDROPするのでどっちでも良いがDROPと書いておく
:INPUT DROP [0:0]
# 中継はDROP
:FORWARD DROP [0:0]
# OUTPUTチェーンのデフォルトはACCEPT
:OUTPUT ACCEPT [0:0]
# ログに書いてDROPするというユーザー定義チェーンを作る
:DROPLOG - [0:0]
##### 入力パケットについて
# loopbackからはACCEPT
-A INPUT -i lo -j ACCEPT
# ICMPはとりあえずACCEPTにしておく。やっぱり止めるかも
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
# 通信途中の物はACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 開始パケットはsshとhttpとsmtpはACCEPT。sshのポート番号は22でなく変更した物を書く
-A INPUT -p tcp -m state --state NEW -m tcp --dport sshポートの番号 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
# それ以外の物はログに書いてDROP
-A INPUT -j DROPLOG
##### 出力パケットについて
# ブロードキャストはログに書いてDROP
-A OUTPUT -d 255.255.255.255 -j DROPLOG
-A OUTPUT -d 自分のサブネットのブロードキャストアドレス -j DROPLOG
##### ユーザー定義チェーンの内容
# ログに書くのは1時間に3件まで。メッセージ先頭に目印を付ける
-A DROPLOG -m limit --limit 3/hour -j LOG --log-prefix "DROP:"
# ログを書いた後DROP
-A DROPLOG -j DROP
# 反映する
COMMIT

上記をファイル /root/iptables に書いて、

# iptables-restore < /root/iptables

この状態で一通りテストする。間違えてsshセッションが切れた場合は、管理パネルのコンソールからリブートすれば元に戻る。

問題がなければ、起動時に読み込む設定ファイルに書き込む。これで次回起動からも設定が生きる。

# iptables-save > /etc/sysconfig/iptables

Dropbox攻撃

ログを見てみると、そばのサーバーから17500ポートUDPパケットが30秒ごとに2つずつ来ている。

グルと、Dropboxオプションによりそうなるようだ。

さくらへ、問い合わせフォームから要望を出しておく。

xx.xx.xx.xx から 30秒ごとに2回、ポート 17500 にUDPブロードキャストが来ます。

上記サーバーユーザに下記のメッセージを送ってください。

========================================

xx.xx.xx.xx の管理者殿

あなたサーバーから周りの他のサーバーに大量の無駄ネットワーク通信が行われています。

通信内容からDropboxの設定で「Enable LAN sync」をオンにしていると思われますが、そのオプションは、同一LAN内の他のコンピューター上のDropboxと同期するための物です。

あなたが xx.xx.xx.xx と同じLANに別のサーバーを借りていて両方のサーバーDropboxを動かしていて、その間で同期をしたい」

と言うことでない限り、無意味オプションですので、すぐにオフにして、他のサーバーへの迷惑を停止してください。

何が迷惑かというと、せっかくDROPしたパケット情報ログに書くことにしたのに、このパケットだらけになって無意味