RedHat9 Linux のＤＮＳサーバのログが不正アクセスでないかどうか教えて欲しいです

RedHat9 Linux でサーバを構築しています。（DMZも使用しています）
ファイアーウォールとしてiptables を使用しています。

下記のようなログがよく出ます。大丈夫でしょうか？

aaa.bbb.cc.dd1 ～ aaa.bbb.cc.dd8 まで８個のIPを取得しています。
不審なIPは、123.456.789.123 です。

May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd4 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57180 DF PROTO=TCP SPT=2987 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd5 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57182 DF PROTO=TCP SPT=2989 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57183 DF PROTO=TCP SPT=2991 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd7 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57184 DF PROTO=TCP SPT=2992 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0

No.3 回答者： xjd 回答日時： 2004/05/12 21:26

＞iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j DROP

＞iptables -A FORWARD -p udp -m multiport --source-port 135,137,138,139,445 -j DROP
＞iptables -A FORWARD -p tcp -m multiport --destination-port 135,137,138,139,445 -j DROP
＞iptables -A FORWARD -p udp -m multiport --destination-port 135,137,138,139,445 -j DROP

この書き方ですと、拒否したいポートをすべて記述する事になってしまいます。


まず最初に、FORWARDのデフォルトポリシーを拒否(DROP)にして、
iptables -P FORWARD DROP

この後に、forwardしたいポートを記述したほうが簡単です。

この回答への補足

すみません。記述はしなかったですがデフォルトポリシーはしています。

# ポリシーの設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

その後に、“ NetBIOS関連のパケットはログをとり、インターネットに出さない”などのファイアーウォールの設定を記述し、INPUTの設定をし、FORWARD の設定をしています。
FORWARD の設定としては、ICMPの許可、LANからのパケット許可（LAN → WAN 、LAN → DMZ）、返信パケットの許可（インターネット接続　WAN → LAN 、WAN → DMZ）、WAN→DMZ http８０番ポートの許可、WAN→DMZ SMTP２５番ポート許可、DMZ→DNS ５３番ポート参照許可をしています。

135,137,138,139,445のポートは空けていないですが、デフォルトポリシーの設定とFORWARD の設定の間に下記のような記述をしているので、135,137,138,139,445をアクセスしようとした不審なログがとれるかと思い下記のような記述をしてみたのですが。
間違ってますでしょうか？

補足日時：2004/05/13 09:38

この回答へのお礼

すみません。なんだか随分、長くなってしまいました。

iptables の設定は、

# ポリシーの設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# NetBIOS関連のパケットはログをとり、インターネットに出さない
iptables -N net-bios
iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###"
iptables -A net-bios -j DROP
iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios

となっています。 -N の使い方については、下記のサイトを参考にしました。
http://naoya.dyndns.org/tips/tips10.html

私が質問したかったのは、WAN側 ppp0 から DMZ側 eth1 へ、同じIPアドレスから私が取得している８個のIPを順番に、ポート135を向けてパケットが流れているので大丈夫かを聞きたかったのでした。（LAN側 は eth2 です）

お礼日時：2004/05/20 18:02

No.2 回答者： xjd 回答日時： 2004/05/11 11:46

＞iptables -N net-bios

＞iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###"
＞iptables -A net-bios -j DROP
＞iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j net-bios

net-biosルールの中でnet-biosルールを呼んでる（自分自身を呼んでる？）様に見えますね。
FORWARDをDROPしたあとで135へのFORWARDを許可して、自分を呼んでDROPしている？

こういう書き方はあまり見たことないので、よく分かりません。


＞どこかサイトでファイアーウォールの見本があったので、もってきました
見本をそのまま使って、ちゃんとセキュリティ対策ができるのですか？

この回答への補足

やろうとしていることは、“ NetBIOS関連のパケットは、インターネットに出さない "
ということです。

iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j DROP
iptables -A FORWARD -p udp -m multiport --source-port 135,137,138,139,445 -j DROP
iptables -A FORWARD -p tcp -m multiport --destination-port 135,137,138,139,445 -j DROP
iptables -A FORWARD -p udp -m multiport --destination-port 135,137,138,139,445 -j DROP

出ようとしたログもとりたいと思い、-N の定義を下記のように使ってみました。-N の定義の仕方がちょっとあいまいだったのですが、違ってますか？

参考にしたサイト

http://www.kkoba.com/linuxrouter/iptables.shtml

補足日時：2004/05/12 16:06

No.1 回答者： xjd 回答日時： 2004/05/10 21:02

＞下記のようなログがよく出ます。

大丈夫でしょうか？

これは、外部(ppp0)からPort135宛ての新規接続要求(SYN)を、forward(eth1)します。
、というログだと思います。

たとえばiptablesで以下のように設定してログを記録しているのではないですか？
iptables -A FORWARD -i ppp0 -o eth1 -j LOG --log-prefix '## NetBIOS ## '

ですが、このログだけでは、forwardを拒否した結果のログなのか、forwardに成功した
結果のログなのか回答者には判断できません。

iptablesの定義を確認してください。


MicrosoftのSMB,ファイル共有などに関連するポート42,135,138,139,445などは
攻撃の的にされていますので、よほどの必要性が無い限り、外部に公開するのは
やめておいたほうがよろしいかと思います。

この回答への補足

iptables の設定は、

# NetBIOS関連のパケットはログをとり、インターネットに出さない
iptables -N net-bios
iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###"
iptables -A net-bios -j DROP
iptables -A FORWARD -p tcp -m multiport --source-port 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p udp -m multiport --source-port 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p tcp -m multiport --destination-port 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p udp -m multiport --destination-port 135,137,138,139,445 -j net-bios

というものです。(どこかサイトでファイアーウォールの見本があったので、もってきました)
あまり意味が良くわかっていないかもしれません。

WAN（ppp0）からDMZ（eth1）の接続forwardは、80番と25番のポートしか空けてないです。

iptablesの設定が変ですか？

補足日時：2004/05/11 10:01