- 締切済み
RedHat9 Linux のDNSサーバのログが不正アクセスでないかどうか教えて欲しいです
RedHat9 Linux でサーバを構築しています。(DMZも使用しています) ファイアーウォールとしてiptables を使用しています。 下記のようなログがよく出ます。大丈夫でしょうか? aaa.bbb.cc.dd1 ~ aaa.bbb.cc.dd8 まで8個のIPを取得しています。 不審なIPは、123.456.789.123 です。 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd4 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57180 DF PROTO=TCP SPT=2987 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd5 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57182 DF PROTO=TCP SPT=2989 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57183 DF PROTO=TCP SPT=2991 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd7 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57184 DF PROTO=TCP SPT=2992 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- xjd
- ベストアンサー率63% (1021/1612)
>iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j DROP >iptables -A FORWARD -p udp -m multiport --source-port 135,137,138,139,445 -j DROP >iptables -A FORWARD -p tcp -m multiport --destination-port 135,137,138,139,445 -j DROP >iptables -A FORWARD -p udp -m multiport --destination-port 135,137,138,139,445 -j DROP この書き方ですと、拒否したいポートをすべて記述する事になってしまいます。 まず最初に、FORWARDのデフォルトポリシーを拒否(DROP)にして、 iptables -P FORWARD DROP この後に、forwardしたいポートを記述したほうが簡単です。
- xjd
- ベストアンサー率63% (1021/1612)
>iptables -N net-bios >iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###" >iptables -A net-bios -j DROP >iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j net-bios net-biosルールの中でnet-biosルールを呼んでる(自分自身を呼んでる?)様に見えますね。 FORWARDをDROPしたあとで135へのFORWARDを許可して、自分を呼んでDROPしている? こういう書き方はあまり見たことないので、よく分かりません。 >どこかサイトでファイアーウォールの見本があったので、もってきました 見本をそのまま使って、ちゃんとセキュリティ対策ができるのですか?
補足
やろうとしていることは、“ NetBIOS関連のパケットは、インターネットに出さない " ということです。 iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j DROP iptables -A FORWARD -p udp -m multiport --source-port 135,137,138,139,445 -j DROP iptables -A FORWARD -p tcp -m multiport --destination-port 135,137,138,139,445 -j DROP iptables -A FORWARD -p udp -m multiport --destination-port 135,137,138,139,445 -j DROP 出ようとしたログもとりたいと思い、-N の定義を下記のように使ってみました。-N の定義の仕方がちょっとあいまいだったのですが、違ってますか? 参考にしたサイト http://www.kkoba.com/linuxrouter/iptables.shtml
- xjd
- ベストアンサー率63% (1021/1612)
>下記のようなログがよく出ます。大丈夫でしょうか? これは、外部(ppp0)からPort135宛ての新規接続要求(SYN)を、forward(eth1)します。 、というログだと思います。 たとえばiptablesで以下のように設定してログを記録しているのではないですか? iptables -A FORWARD -i ppp0 -o eth1 -j LOG --log-prefix '## NetBIOS ## ' ですが、このログだけでは、forwardを拒否した結果のログなのか、forwardに成功した 結果のログなのか回答者には判断できません。 iptablesの定義を確認してください。 MicrosoftのSMB,ファイル共有などに関連するポート42,135,138,139,445などは 攻撃の的にされていますので、よほどの必要性が無い限り、外部に公開するのは やめておいたほうがよろしいかと思います。
補足
iptables の設定は、 # NetBIOS関連のパケットはログをとり、インターネットに出さない iptables -N net-bios iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###" iptables -A net-bios -j DROP iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --source-port 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --destination-port 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --destination-port 135,137,138,139,445 -j net-bios というものです。(どこかサイトでファイアーウォールの見本があったので、もってきました) あまり意味が良くわかっていないかもしれません。 WAN(ppp0)からDMZ(eth1)の接続forwardは、80番と25番のポートしか空けてないです。 iptablesの設定が変ですか?
お礼
すみません。なんだか随分、長くなってしまいました。 iptables の設定は、 # ポリシーの設定 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # NetBIOS関連のパケットはログをとり、インターネットに出さない iptables -N net-bios iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###" iptables -A net-bios -j DROP iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios となっています。 -N の使い方については、下記のサイトを参考にしました。 http://naoya.dyndns.org/tips/tips10.html 私が質問したかったのは、WAN側 ppp0 から DMZ側 eth1 へ、同じIPアドレスから私が取得している8個のIPを順番に、ポート135を向けてパケットが流れているので大丈夫かを聞きたかったのでした。(LAN側 は eth2 です)
補足
すみません。記述はしなかったですがデフォルトポリシーはしています。 # ポリシーの設定 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT その後に、“ NetBIOS関連のパケットはログをとり、インターネットに出さない”などのファイアーウォールの設定を記述し、INPUTの設定をし、FORWARD の設定をしています。 FORWARD の設定としては、ICMPの許可、LANからのパケット許可(LAN → WAN 、LAN → DMZ)、返信パケットの許可(インターネット接続 WAN → LAN 、WAN → DMZ)、WAN→DMZ http80番ポートの許可、WAN→DMZ SMTP25番ポート許可、DMZ→DNS 53番ポート参照許可をしています。 135,137,138,139,445のポートは空けていないですが、デフォルトポリシーの設定とFORWARD の設定の間に下記のような記述をしているので、135,137,138,139,445をアクセスしようとした不審なログがとれるかと思い下記のような記述をしてみたのですが。 間違ってますでしょうか?