読者です 読者をやめる 読者になる 読者になる

自宅サーバにSSHで繋がらなかった件

4月11日に自宅のルータが壊れたのは16日のブログに書いた通り。

色々残念な仕様だったけど、NECのルータのまま(^^;)

で、先週末にSSHで繋ごうとしたら繋がらない。

VNCWindowsにも繋がらない。

でも、ホームページは表示されてるからネットが落ちてるって事はなさそう。

う~ん。ポートマッピングを間違えたかな?と思いながら実家に帰って設定を確認したが特に問題は無く、なんだろうとNginxのログを見てみたらドイツのIPアドレスからCMSなどの脆弱性を探すような大量のアクセスが!!

あぁ。。。これね(--;)

NECのルータに禁止IPを設定する機能なんてねーよな・・・と思いながらも一応見てみたが、やっぱありませんでした(笑)

しょうがないのでとりあえずiptablesでアクセスしてくるドイツのIPをセグメントでがっつりDROPしたら外部からSSHが繋がるようになった。

う~ん、NECのルータがしょぼくてセッションオーバーだったのだろうか?同時セッション数とか気にしてなかった(--;)

このままでも良いのだけど、iptablesに直接登録してくと見づらくなるし、リスト出すのも遅くなるのでipsetを導入してみた。

CentOSならepelリポジトリにあるのでyum install ipsetでインストールが可能。

まずは、BLACKLISTという名のベタベタなのを作成w

  ipset create BLACKLIST hash:net

ここに、コマンドで禁止IP(セグメント)を登録していく

  ipset add BLACKLIST 5.9.0.0/16

次に、iptablesにipsetで作ったBLACKLISTを設定する

  iptables -I INPUT -m set --match-set BLACKLIST src -j DROP

 

ipsetもiptablesと同じく再起動するとセットした内容が消えちゃうので

   ipset save | tee restorecommand

てな感じでリストア用のファイルを作成。

再起動時に

  ipset restore < /root/restorecommand
てな感じで読み込ませればOK。とりあえずrc.localに書いといた。

iptables

  sevice iptables save

としておけば設定ファイルを作成してくれるのでOK

注意点としたら、fail2banというiptablesを制御してアタックを止めるツールが入ってるんだけど、これを動かしたままiptablesをsaveするとfail2banのルールまで保存されちゃうのでfail2banを起動したらルールが重複してしまう(--;)

iptablesをsaveする時はfail2banを一度止めましょう(^^;)

 

 

Linux Firewalls: Enhancing Security with nftables and Beyond

Linux Firewalls: Enhancing Security with nftables and Beyond

 

 

 この記事を書いた大きな理由は、自分がBLACKLISTにipを追加する時にどーやったけ?となるはずなので、何を使ってどう設定して、どのコマンドでIPが追加出来るかってのを忘れないようにするため。

うん、個人的なメモだねw

この記事どころか、そもそもこのブログがそんな感じなんだけどねw

誰かに何かを返すとか、何かを発信して役に立てればとかって思いは重要だけど、それって誰かに強要されるものじゃないし、出来ない人だって居るし、押し付けになったらダメだと思う。

 

 

イベントや勉強会に行って新しい情報を吸収したり、色々な人と仲良くなるのは重要な事だと思うけど、それで終わってたら意味がないんだよね。

持ち帰った事を試してみて自分で何かしてみるのが重要と思う。

イベントの状況をFacebookTwitterで流してるだけじゃ参加したって自己満足だけにしか見えないんだよね。

まぁ、参加すらしない奴よりかは情報量は上なんだろうけどw