- ベストアンサー
Linuxで動的にIPアドレスのフィルタリングを
- LinuxでIPアドレスによるフィルタリングをする方法についてご相談です。
- IPアドレスによるフィルタリングを利用シーンや制限方法について考えています。
- iptables以外の動的なフィルタリングソフトウェアについて教えていただけないでしょうか。
- miruha2011
- お礼率94% (94/99)
- その他([技術者向] コンピューター)
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
>運用中に制限するIPアドレスが増えることを想定していますのでiptablesではダメなのかなと思っています。(定義ファイルを書き換えてiptablesの再起動というのはNG) 定義ファイル書き換えなくても、iptablesのコマンドでルールの追加/削除/変更は可能ですよ。 http://okwave.jp/qa/q7927383.html でちょこっと回答していますけど。 >B.iptablesのフィルタリングを動的に増やす運用の方法 SSHブルートフォースアタックを受けた時に拒否リストに登録する。 という方法をシェルスクリプトなどで対処しているパターンがあります。 「ssh 攻撃 iptables」辺りで検索すると見つかるかと。 # syslog-ng使うパターンやSwatchで監視するパターンなど……。 今回の場合は、どうやって送信元のIPアドレスを取得するか? が問題かも知れませんけど。 # iptablesのLOGとかでしょうかねぇ……。 ってワケで… >ソケットに接続された時点でIPアドレスを確認して制限することはできますが、できれば接続すらされなくしたいのです。 1回は許容する必要があるかも知れません。
その他の回答 (1)
- Wr5
- ベストアンサー率53% (2173/4061)
>今は中国、韓国、ロシアからのアドレスを拒否するリストを使っているのですが何しろ行数が多すぎて読み込みに相当時間がかかってしまっています。 地道にやっていくしかない…かと思われます。 まぁ、私なら… ・1回の接続は許容する。(諦める) ・接続されたらIPアドレスから拒否対象かチェックする。(拒否したいIPアドレスのリスト(ネットマスク付きとか)で判定する) ・拒否確定の場合にiptablesで拒否対象に追加。 ってところでしょうか。 iptables再起動したら戻ってしまいますが。 あとは…どのポート使っているのか? が問題でしょうかねぇ。 # 非標準ポートに変更する。というのは対策としてそこそこ効果があるかと。 # 私のトコの自宅サーバではsshが3つ程非標準ポートで空いていますが、接続試行された形跡はないですね。 # sshは公開鍵認証に設定しているので1回くらい接続されたところでまず問題ないから…というのもありますが。
お礼
やはり地道にリストを追加するしかありませんか・・・ 参考になりました。 どうもありがとうございます。
お礼
ありがとうございます。 iptablesは定義ファイルからしか読み込めないものかと思っていました。 おかげで光が見えました。 ちなみに、国内のIPしか接続を許可しないようなiptablesの簡単な設定をご存知ないでしょうか? 今は中国、韓国、ロシアからのアドレスを拒否するリストを使っているのですが何しろ行数が多すぎて読み込みに相当時間がかかってしまっています。