画像やリンクが無効になっている可能性もあるのでご了承下さい。
ここ数日、Munin によるサーバー監視ステータス見ていたら Postfix の所がなんか
怪しい事になっていた。
1 日中ずーーと人んちのメールサーバーを踏み台にしようとしているホストがおった。
こいつを Linux 側のファイアーウォールで REJECT していたハズなんだけど一向に
収まらなかった。
「iptables-save -c | grep REJCT」なんてコマンドうって見ると REJECT している
パケットが全て 0 となっていた。
なんでだーろってよくみてみた。
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4245094:2816788087]
:RH-Firewall-1-INPUT – [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -s 122.116.0.0/255.255.0.0 -j REJECT –reject-with icmp-port-unreachable
なんてかたちでここに弾くホスト列挙。
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp –icmp-type any -j ACCEPT
アホでした orz
入ってきたパケットがすぐ RH-Firewall-1-INPUT のポリシーに飛ぶから
合間にはいっていた REJECT するルールが完全シカトされていたのでした・・・。
これ修正してやって「/etc/init.d/iptables restart」としてやった後、数分時間をおいたら
早速ひっかかって REJECT してくれた。もちろんメールサーバーにアクセスできないから
踏み台に使用として失敗こいてるログも消えてすきーり爽やか (*´∀`)
[18:936] -A INPUT -s 122.116.0.0/255.255.0.0 -j REJECT –reject-with icmp-port-unreachable
iptables よりも BSD の IPF のが使いやすいような気がしてならない。
Solaris 8 か 10 で触ったときにこれいいなと思った代物だった。
コメント