CentOSで自宅サーバー構築(SWATCH)
http://centossrv.jp/swatch.shtml
上記サイトを参考にさせていただいて設定しておりましたが、自宅のネットワークにファイアーウォールがあるんで
サーバのiptablesポリシーに追加ではなく、ファイアーウォールの設定変更に改悪しました。
うんで、ログを見るに一度不正アクセスを試みてるIPアドレスは忘れた頃に再来襲してるっぽいんで
ファイアーウォールの拒否設定はそのまま残します。
不正アクセスするのに固定IPアドレスとかアホか・・・。ま、どっかのサーバが踏み台にされてるんでしょう。
■ファイアーウォールにアドレスグループ&ポリシーを追加
ファイアーウォールに、不正アクセスしてきたIPアドレスを追加していくアドレスグループ(例:Dust_Group)を作成しつつ
UntrustゾーンからDMZゾーンへの通信で、ソースアドレスが作成したアドレスグループにマッチしたら拒否するように
ポリシーを作成してます。
なお、下記設定はJuniper Netscreen50の場合です。
-> set group address "Untrust" "Dust_Group" -> set policy from "Untrust" to "DMZ" "Dust_Group" "Any" "ANY" deny log
■swatch_action.shの変更
# vi /usr/local/bin/swatch_action.sh
if [ $cnt -ge 3 ] || [ $# -eq 2 -a "$2" = "lock" ]; then
# 該当IPアドレスからのアクセスを拒否するルールを挿入
#iptables -I INPUT -s $IPADDR -j DROP #コメントアウト
# 上記ルールを24時間後に削除するスケジュールを登録
# echo "iptables -D INPUT -s $IPADDR -j DROP > /dev/null 2>&1" | \ #コメントアウト
# at now+720hour > /dev/null 2>&1 #コメントアウト
#### 以下を追加 ####
NETMASK="255.255.255.255"
USERID="ファイアーウォールのユーザID"
PASSWORD="パスワード"
FWNAME="ファイアーウォールのホスト名"
expect -c"
set timeout 10
spawn telnet $FWNAME
expect login
send $USERID\r
expect password
send $PASSWORD\r
expect $FWNAME
send \"set address untrust Dust_$IPADDR $IPADDR $NETMASK\r\"
expect $FWNAME
send \"set group address untrust Dust_Group add Dust_$IPADDR\r\"
expect $FWNAME
send \"save\r\"
expect $FWNAME
send \"exit\r\"
"
#### ここまで ####
================================================
FW:5.4.0r17.0