[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:29435] Re: [Q] tcp/www が破棄される理由は?



碇と申します。

On Wed, 8 Aug 2001 09:27:27 +0900
Kawasaki Kayoko <kayokok@xxxxxxxxxxxxxxxx> さんは書きました:
> # FILTERING POLICY
>   pre-up /sbin/ipchains -P output ACCEPT
>   pre-up /sbin/ipchains -P input DENY
> # ACCEPT www
>   pre-up /sbin/ipchains -A input -p tcp -i eth0 -s 0.0.0.0/0 www -j ACCEPT

送信元が80/tcpなんで、httpの返答パケットだけ許可になっているので
下のログは、このホストの80/tcpにアクセスしにきたのをはじいているだけだと
思います。webサーバを立ち上げていなければ問題ないはずです。

# ACCEPT no-SYN Packet
  pre-up /sbin/ipchains -A input -p tcp -i eth0 ! --syn -j ACCEPT

でもこれがあるんで、サーバを立てるつもりが無いならtcpの設定のところは
無い方がいいと思います。FTPはPASSIVを使わなければ駄目ですけど。
source-port 80からのコネクション要求を全部受け付けてしまうので気持ち悪い
です。

> --- /var/log/kern.log の内容
> Aug  8 09:02:06 judau kernel: Packet log: input DENY eth0 PROTO=6 
> S0.S0.S0.S0:3306 D.D.D.D:80 L=48 S=0x00 I=60729 F=0x4000 T=117 SYN (#12)
> Aug  8 09:02:47 judau kernel: Packet log: input DENY eth0 PROTO=6 
> S1.S1.S1.S1:4537 D.D.D.D:80 L=48 S=0x00 I=9797 F=0x4000 T=116 SYN (#12)
> Aug  8 09:02:49 judau kernel: Packet log: input DENY eth0 PROTO=6 
> S2.S2.S2.S2:4537 D.D.D.D:80 L=48 S=0x00 I=10024 F=0x4000 T=116 SYN (#12)
>    ( 延々と続きます )

たぶんCodeRedの新しい奴なので正しい動きだと思うんですけど、
認識が間違っていたらごめんなさい。
http://www.jpcert.or.jp/at/2001/at010019.txt

> 自宅でIPマスカレードを行って、インターネットに接続しております。
> 使用しているのはpotatoで、カーネルは2.2.19pre17です。
> 

ところで、
http://www.securityfocus.com/archive/1/200361
これはどうなったんでしょうか?


急がず 焦らず 参ろうか
   碇 永志 <ikari@xxxxxxxxx>