[debian-users:24922] Re: ipchains のログ機能

[MATSUDA Yoh-ichi / 松田陽一 <yoh@xxxxxxxxxxxx>]

こんにちは。松田陽一@三鷹です。

From: ikari <ikari@xxxxxxxxx>
Subject: [debian-users:24856] ipchains のログ機能
Date: Fri, 27 Oct 2000 18:56:40 +0900

> いつもお世話になっております。
> 碇です。

どうもです。^^

> 今まで、不正アクセスのログを取るのにiploggerを
> 使っていたのですが、替わりにsnortを入れようと思っていた矢先に
> ipchains の -lオプション でログが取れる事を知りました(^^)
> snortでポートスキャンのログをとっても、そんなの日常茶飯事
> なので、どうだろうと思っていたのでちょっとうれしかったです。

確かに、 ipchains -l でパケットのログは取れますが、碇さんは
どのような指定で不正アクセスのログを取ってらっしゃいますか?

例えば、私のように何も考えずに /etc/ppp/ip-up に

/sbin/ipchains -N ppp-in
/sbin/ipchains -A input -i ppp0 -j ppp-in
/sbin/ipchains -A ppp-in -p tcp -s 0/0 -d $PPP_LOCAL smtp -j DENY
/sbin/ipchains -A ppp-in -p tcp -s 0/0 -d $PPP_LOCAL 137:139 -j DENY
/sbin/ipchains -A ppp-in -p udp -s 0/0 -d $PPP_LOCAL 137:139 -j DENY
/sbin/ipchains -A ppp-in -p tcp -s 0/0 -d $PPP_LOCAL 6000 -j DENY
/sbin/ipchains -A ppp-in -p tcp -s 0/0 -d $PPP_LOCAL 7000 -j DENY
/sbin/ipchains -A ppp-in -s 0/0 -d $PPP_LOCAL -l

とすると、 ppp0 に入ってくるパケット全てが記録されてしまいま
す。
そんな訳で、今までは /var/log/daemon.log に記録される、
tcpwrapper の結果だけを見ていました。
/etc/hosts.allow で、ローカル IP 以外は全部拒絶していますので。

不正アクセスであることを特定する為に、どのような工夫をされて
るのか、素人の私に教えて頂ければ幸いです。(__)
--
♪そぉ〜っとぉ〜☆彡
松田 陽一(yoh)
mailto:yoh@xxxxxxxxxxxx
http://www2.palnet.or.jp/~matsuda/index.htm