![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?5a7ff87)
![](http://oshiete.xgoo.jp/images/v2/common/profile/M/noimageicon_setting_14.png?5a7ff87)
RedHat9 Linux でサーバを構築しています。(DMZも使用しています)
ファイアーウォールとしてiptables を使用しています。
下記のようなログがよく出ます。大丈夫でしょうか?
aaa.bbb.cc.dd1 ~ aaa.bbb.cc.dd8 まで8個のIPを取得しています。
不審なIPは、123.456.789.123 です。
May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd4 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57180 DF PROTO=TCP SPT=2987 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd5 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57182 DF PROTO=TCP SPT=2989 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57183 DF PROTO=TCP SPT=2991 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd7 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57184 DF PROTO=TCP SPT=2992 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
A 回答 (3件)
- 最新から表示
- 回答順に表示
No.3
- 回答日時:
>iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j DROP
>iptables -A FORWARD -p udp -m multiport --source-port 135,137,138,139,445 -j DROP
>iptables -A FORWARD -p tcp -m multiport --destination-port 135,137,138,139,445 -j DROP
>iptables -A FORWARD -p udp -m multiport --destination-port 135,137,138,139,445 -j DROP
この書き方ですと、拒否したいポートをすべて記述する事になってしまいます。
まず最初に、FORWARDのデフォルトポリシーを拒否(DROP)にして、
iptables -P FORWARD DROP
この後に、forwardしたいポートを記述したほうが簡単です。
この回答への補足
すみません。記述はしなかったですがデフォルトポリシーはしています。
# ポリシーの設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
その後に、“ NetBIOS関連のパケットはログをとり、インターネットに出さない”などのファイアーウォールの設定を記述し、INPUTの設定をし、FORWARD の設定をしています。
FORWARD の設定としては、ICMPの許可、LANからのパケット許可(LAN → WAN 、LAN → DMZ)、返信パケットの許可(インターネット接続 WAN → LAN 、WAN → DMZ)、WAN→DMZ http80番ポートの許可、WAN→DMZ SMTP25番ポート許可、DMZ→DNS 53番ポート参照許可をしています。
135,137,138,139,445のポートは空けていないですが、デフォルトポリシーの設定とFORWARD の設定の間に下記のような記述をしているので、135,137,138,139,445をアクセスしようとした不審なログがとれるかと思い下記のような記述をしてみたのですが。
間違ってますでしょうか?
すみません。なんだか随分、長くなってしまいました。
iptables の設定は、
# ポリシーの設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# NetBIOS関連のパケットはログをとり、インターネットに出さない
iptables -N net-bios
iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###"
iptables -A net-bios -j DROP
iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios
となっています。 -N の使い方については、下記のサイトを参考にしました。
http://naoya.dyndns.org/tips/tips10.html
私が質問したかったのは、WAN側 ppp0 から DMZ側 eth1 へ、同じIPアドレスから私が取得している8個のIPを順番に、ポート135を向けてパケットが流れているので大丈夫かを聞きたかったのでした。(LAN側 は eth2 です)
No.2
- 回答日時:
>iptables -N net-bios
>iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###"
>iptables -A net-bios -j DROP
>iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j net-bios
net-biosルールの中でnet-biosルールを呼んでる(自分自身を呼んでる?)様に見えますね。
FORWARDをDROPしたあとで135へのFORWARDを許可して、自分を呼んでDROPしている?
こういう書き方はあまり見たことないので、よく分かりません。
>どこかサイトでファイアーウォールの見本があったので、もってきました
見本をそのまま使って、ちゃんとセキュリティ対策ができるのですか?
この回答への補足
やろうとしていることは、“ NetBIOS関連のパケットは、インターネットに出さない "
ということです。
iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j DROP
iptables -A FORWARD -p udp -m multiport --source-port 135,137,138,139,445 -j DROP
iptables -A FORWARD -p tcp -m multiport --destination-port 135,137,138,139,445 -j DROP
iptables -A FORWARD -p udp -m multiport --destination-port 135,137,138,139,445 -j DROP
出ようとしたログもとりたいと思い、-N の定義を下記のように使ってみました。-N の定義の仕方がちょっとあいまいだったのですが、違ってますか?
参考にしたサイト
http://www.kkoba.com/linuxrouter/iptables.shtml
No.1
- 回答日時:
>下記のようなログがよく出ます。
大丈夫でしょうか?これは、外部(ppp0)からPort135宛ての新規接続要求(SYN)を、forward(eth1)します。
、というログだと思います。
たとえばiptablesで以下のように設定してログを記録しているのではないですか?
iptables -A FORWARD -i ppp0 -o eth1 -j LOG --log-prefix '## NetBIOS ## '
ですが、このログだけでは、forwardを拒否した結果のログなのか、forwardに成功した
結果のログなのか回答者には判断できません。
iptablesの定義を確認してください。
MicrosoftのSMB,ファイル共有などに関連するポート42,135,138,139,445などは
攻撃の的にされていますので、よほどの必要性が無い限り、外部に公開するのは
やめておいたほうがよろしいかと思います。
この回答への補足
iptables の設定は、
# NetBIOS関連のパケットはログをとり、インターネットに出さない
iptables -N net-bios
iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###"
iptables -A net-bios -j DROP
iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p udp -m multiport --source-port 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p tcp -m multiport --destination-port 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p udp -m multiport --destination-port 135,137,138,139,445 -j net-bios
というものです。(どこかサイトでファイアーウォールの見本があったので、もってきました)
あまり意味が良くわかっていないかもしれません。
WAN(ppp0)からDMZ(eth1)の接続forwardは、80番と25番のポートしか空けてないです。
iptablesの設定が変ですか?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- SQL Server ACCESSで3ファイルを結合して、表を作成するやり方を教えて下さい。 17 2022/08/15 20:34
- SQL Server ACCESSで複数テーブルを結合して、リストを作る方法を教えてください。 2 2022/08/12 19:32
- Excel(エクセル) ¥マークを含むパスの処理について(マクロ、または関数) 2 2022/12/25 02:11
- SQL Server ACCESSで表が作りたく、そのためのSQL文や設定方法を教えてください。 1 2022/08/15 12:28
- Perl perl このテキストファイルを簡単に配列に入れるには? 2 2022/04/27 20:24
- その他(データベース) カラム上の重複を削除するクエリを教えてください 3 2022/04/12 14:11
- UNIX・Linux Linuxについて質問です。 以下のhistoryの出力結果から、sedコマンドのファイル名tmp1 1 2023/02/03 20:11
- Excel(エクセル) Excel VBA 3 2023/04/22 10:46
- JavaScript jsonテキストデータの並び替えができるサービスを教えてください 2 2022/08/05 20:16
- JavaScript 指定したパスが現URLに含まれていたら特定要素を削除するJavascriptのコードを教えてください 2 2023/04/27 17:58
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ファイアウォールは必要?hosts...
-
UDPパケットのバッファサイズ変...
-
パスワード設定していないユー...
-
DNSサーバを設定したのですがns...
-
リモートデスクトップ接続でパ...
-
エクセルで#N/Aを含めた平均値...
-
同一のホスト名で何か問題があ...
-
IEのイベントログをイベントビ...
-
コマンドでのFTP転送が進まない。
-
エラーメールで"too many hops"...
-
Red Hat ES 3にPHP5.2.5インス...
-
TortoiseSVNでアクセスエラー
-
”Tortoise SVN” と ”Subversio...
-
VirtualBoxのGuestマシンのネッ...
-
至急) mac finderの場所 ネット...
-
Linuxでパスワード変更時に「it...
-
Mailの送信済みメールボックス...
-
「DNSサーバーを自動的に取得す...
-
postfixでユーザごとに最大容量...
-
PHP5.2.9インストール時に、 Or...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
chkconfig iptables --listって...
-
ファイアウォールは必要?hosts...
-
iptablesにてRDPが通らない。
-
Linux環境で、UDP514ポートが開...
-
サーバーでポート587番が開放で...
-
iptablesを使用してのDNSゾーン...
-
linuxのルーティング処理
-
UDPパケットのバッファサイズ変...
-
iptablesでNATログを取りたい。
-
CentOS6.5のiptablesについて
-
iptablesのデフォルトの設定(#...
-
Choose the correct word(s) fo...
-
scpコマンドでサーバー間のファ...
-
iptablesを設定するとメール送...
-
iptablesの設定について
-
ProFTPdとポート開放
-
RH-Firewall-1-INPUTとは?
-
プログラムに別のPCからアクセ...
-
Linuxサーバに社内からSSH接続...
-
iptablesによるルーティング
おすすめ情報