[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:29434] [Q] tcp/www が破棄される理由は?
お世話になっております、かわさきです。
自宅でIPマスカレードを行って、インターネットに接続しております。
使用しているのはpotatoで、カーネルは2.2.19pre17です。
パケットフィルタリングの設定は、UNIX USER(2001-3)のやなぎはらよしあきさん
の記事に従い行いました。
ログ自身は、全然取っていなかったのですが、最近、モデムの受信ランプが頻繁に
点滅するので、入ってきて破棄されるパケットのログを見てみようと
/var/log/kern.logを確認したところ、TCPの80ポートに対するパケットが破棄され
ているようです。
送信元は、IPアドレスで見る限り、DNSでホスト名を特定出来ない多数のPCで、間
隔も10秒以内と短いものばかりが、一日中飛んできているように見えます。
こんな目に遭うのが初めてなので戸惑いもありましたが、一応、プロバイダの方に
は連絡しておいたので悪質なアタックでないことを期待したいところです。
ところでここからが本題なのですが、/var/log/kern.logをみるとTCPの80ポートに
対してinput DENY なのですけど、元々 tcp/www は ACCEPT しているハズなのに、
なんで input DENY とログに残るのでしょうか?私自身なにか誤解をしているのか
な?もちろん内部から外部のwww ブラウズにはなんの問題もありません。
初歩的なことだとは思うのですが、よろしくご教示下さい。
--- /var/log/kern.log の内容
Aug 8 09:02:06 judau kernel: Packet log: input DENY eth0 PROTO=6
S0.S0.S0.S0:3306 D.D.D.D:80 L=48 S=0x00 I=60729 F=0x4000 T=117 SYN (#12)
Aug 8 09:02:47 judau kernel: Packet log: input DENY eth0 PROTO=6
S1.S1.S1.S1:4537 D.D.D.D:80 L=48 S=0x00 I=9797 F=0x4000 T=116 SYN (#12)
Aug 8 09:02:49 judau kernel: Packet log: input DENY eth0 PROTO=6
S2.S2.S2.S2:4537 D.D.D.D:80 L=48 S=0x00 I=10024 F=0x4000 T=116 SYN (#12)
( 延々と続きます )
--- /etc/network/interfeces の内容(抜粋)
# The first network card
iface eth0 inet dhcp
# FILTERING POLICY
pre-up /sbin/ipchains -P output ACCEPT
pre-up /sbin/ipchains -P input DENY
pre-up /sbin/ipchains -P forward DENY
# ACCEPT lo,eth1,eth2 interface
pre-up /sbin/ipchains -A input -i ! eth0 -j ACCEPT
# ACCEPT icmp
pre-up /sbin/ipchains -A input -p icmp -i eth0 -j ACCEPT
# ACCEPT domain(DNS)
pre-up /sbin/ipchains -A input -p udp -i eth0 -s 0.0.0.0/0 domain -j ACCEPT
pre-up /sbin/ipchains -A input -p tcp -i eth0 -s 0.0.0.0/0 domain -j ACCEPT
# ACCEPT ftp
pre-up /sbin/ipchains -A input -p tcp -i eth0 -s 0.0.0.0/0 ftp -j ACCEPT
pre-up /sbin/ipchains -A input -p tcp -i eth0 -s 0.0.0.0/0 ftp-data -j ACCEPT
# ACCEPT mail/pop3
pre-up /sbin/ipchains -A input -p tcp -i eth0 -s 0.0.0.0/0 smtp -j ACCEPT
pre-up /sbin/ipchains -A input -p tcp -i eth0 -s 0.0.0.0/0 pop3 -j ACCEPT
pre-up /sbin/ipchains -A input -p udp -i eth0 -s 0.0.0.0/0 pop3 -j ACCEPT
# ACCEPT www
pre-up /sbin/ipchains -A input -p tcp -i eth0 -s 0.0.0.0/0 www -j ACCEPT
# ACCEPT no-SYN Packet
pre-up /sbin/ipchains -A input -p tcp -i eth0 ! --syn -j ACCEPT
#
pre-up /sbin/ipchains -A input -p tcp -i eth0 --log -j DENY
# MASQ
pre-up /sbin/ipchains -A forward -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQ
# CLEAR FILTERING RULES
post-down /sbin/ipchains -F
post-down /sbin/ipchains -P output ACCEPT
post-down /sbin/ipchains -P input ACCEPT
post-down /sbin/ipchains -P forward ACCEPT
--- ipchains -L の結果
Chain input (policy DENY):
target prot opt source destination ports
ACCEPT all ------ anywhere anywhere n/a
ACCEPT icmp ------ anywhere anywhere any -> any
ACCEPT udp ------ anywhere anywhere domain -> any
ACCEPT tcp ------ anywhere anywhere domain -> any
ACCEPT tcp ------ anywhere anywhere ftp -> any
ACCEPT tcp ------ anywhere anywhere ftp-data -> any
ACCEPT tcp ----l- anywhere anywhere smtp -> any
ACCEPT tcp ------ anywhere anywhere pop3 -> any
ACCEPT udp ------ anywhere anywhere pop3 -> any
ACCEPT tcp ------ anywhere anywhere www -> any
ACCEPT tcp !y---- anywhere anywhere any -> any
DENY tcp ----l- anywhere anywhere any -> any
Chain forward (policy DENY):
target prot opt source destination ports
MASQ all ------ 192.168.1.0/24 anywhere n/a
Chain output (policy ACCEPT):
------
川崎香代子 ( Kawasaki Kayoko )
mail : kayokok@xxxxxxxxxxxxxxxx