4月11日に自宅のルータが壊れたのは16日のブログに書いた通り。
色々残念な仕様だったけど、NECのルータのまま(^^;)
で、先週末にSSHで繋ごうとしたら繋がらない。
でも、ホームページは表示されてるからネットが落ちてるって事はなさそう。
う~ん。ポートマッピングを間違えたかな?と思いながら実家に帰って設定を確認したが特に問題は無く、なんだろうとNginxのログを見てみたらドイツのIPアドレスからCMSなどの脆弱性を探すような大量のアクセスが!!
あぁ。。。これね(--;)
NECのルータに禁止IPを設定する機能なんてねーよな・・・と思いながらも一応見てみたが、やっぱありませんでした(笑)
しょうがないのでとりあえずiptablesでアクセスしてくるドイツのIPをセグメントでがっつりDROPしたら外部からSSHが繋がるようになった。
う~ん、NECのルータがしょぼくてセッションオーバーだったのだろうか?同時セッション数とか気にしてなかった(--;)
このままでも良いのだけど、iptablesに直接登録してくと見づらくなるし、リスト出すのも遅くなるのでipsetを導入してみた。
CentOSならepelリポジトリにあるのでyum install ipsetでインストールが可能。
まずは、BLACKLISTという名のベタベタなのを作成w
ipset create BLACKLIST hash:net
ここに、コマンドで禁止IP(セグメント)を登録していく
ipset add BLACKLIST 5.9.0.0/16
次に、iptablesにipsetで作ったBLACKLISTを設定する
iptables -I INPUT -m set --match-set BLACKLIST src -j DROP
ipsetもiptablesと同じく再起動するとセットした内容が消えちゃうので
ipset save | tee restorecommand
てな感じでリストア用のファイルを作成。
再起動時に
ipset restore < /root/restorecommand
てな感じで読み込ませればOK。とりあえずrc.localに書いといた。
sevice iptables save
としておけば設定ファイルを作成してくれるのでOK
注意点としたら、fail2banというiptablesを制御してアタックを止めるツールが入ってるんだけど、これを動かしたままiptablesをsaveするとfail2banのルールまで保存されちゃうのでfail2banを起動したらルールが重複してしまう(--;)
iptablesをsaveする時はfail2banを一度止めましょう(^^;)
Linux Firewalls: Enhancing Security with nftables and Beyond
- 作者: Steve Suehring
- 出版社/メーカー: Addison-Wesley Professional
- 発売日: 2015/01/23
- メディア: Kindle版
- この商品を含むブログを見る
この記事を書いた大きな理由は、自分がBLACKLISTにipを追加する時にどーやったけ?となるはずなので、何を使ってどう設定して、どのコマンドでIPが追加出来るかってのを忘れないようにするため。
うん、個人的なメモだねw
この記事どころか、そもそもこのブログがそんな感じなんだけどねw
誰かに何かを返すとか、何かを発信して役に立てればとかって思いは重要だけど、それって誰かに強要されるものじゃないし、出来ない人だって居るし、押し付けになったらダメだと思う。
イベントや勉強会に行って新しい情報を吸収したり、色々な人と仲良くなるのは重要な事だと思うけど、それで終わってたら意味がないんだよね。
持ち帰った事を試してみて自分で何かしてみるのが重要と思う。
イベントの状況をFacebookやTwitterで流してるだけじゃ参加したって自己満足だけにしか見えないんだよね。
まぁ、参加すらしない奴よりかは情報量は上なんだろうけどw
