CentOSで自宅サーバー構築(SWATCH)
http://centossrv.jp/swatch.shtml
上記サイトを参考にさせていただいて設定しておりましたが、自宅のネットワークにファイアーウォールがあるんで
サーバのiptablesポリシーに追加ではなく、ファイアーウォールの設定変更に改悪しました。
うんで、ログを見るに一度不正アクセスを試みてるIPアドレスは忘れた頃に再来襲してるっぽいんで
ファイアーウォールの拒否設定はそのまま残します。
不正アクセスするのに固定IPアドレスとかアホか・・・。ま、どっかのサーバが踏み台にされてるんでしょう。
■ファイアーウォールにアドレスグループ&ポリシーを追加
ファイアーウォールに、不正アクセスしてきたIPアドレスを追加していくアドレスグループ(例:Dust_Group)を作成しつつ
UntrustゾーンからDMZゾーンへの通信で、ソースアドレスが作成したアドレスグループにマッチしたら拒否するように
ポリシーを作成してます。
なお、下記設定はJuniper Netscreen50の場合です。
-> set group address "Untrust" "Dust_Group" -> set policy from "Untrust" to "DMZ" "Dust_Group" "Any" "ANY" deny log
■swatch_action.shの変更
# vi /usr/local/bin/swatch_action.sh if [ $cnt -ge 3 ] || [ $# -eq 2 -a "$2" = "lock" ]; then # 該当IPアドレスからのアクセスを拒否するルールを挿入 #iptables -I INPUT -s $IPADDR -j DROP #コメントアウト # 上記ルールを24時間後に削除するスケジュールを登録 # echo "iptables -D INPUT -s $IPADDR -j DROP > /dev/null 2>&1" | \ #コメントアウト # at now+720hour > /dev/null 2>&1 #コメントアウト #### 以下を追加 #### NETMASK="255.255.255.255" USERID="ファイアーウォールのユーザID" PASSWORD="パスワード" FWNAME="ファイアーウォールのホスト名" expect -c" set timeout 10 spawn telnet $FWNAME expect login send $USERID\r expect password send $PASSWORD\r expect $FWNAME send \"set address untrust Dust_$IPADDR $IPADDR $NETMASK\r\" expect $FWNAME send \"set group address untrust Dust_Group add Dust_$IPADDR\r\" expect $FWNAME send \"save\r\" expect $FWNAME send \"exit\r\" " #### ここまで ####
================================================
FW:5.4.0r17.0