- PR -

iptablesの設定 NetBIOS関連のログを取る

参照元記事 | 同じ記事を参照しているスレッド一覧
1
投稿者投稿内容
coolkun
ベテラン
会議室デビュー日: 2003/11/18
投稿数: 70
投稿日時: 2004-05-25 17:04
RedHat9 Linux でサーバ兼ルータを構築しています。(DMZも使用しています)
(WAN側 ppp0 、DMZ側 eth1、LAN側 eth2)

iptables の設定として、

# ポリシーの設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# NetBIOS関連のパケットはログをとり、インターネットに出さない
iptables -N net-bios
iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###"
iptables -A net-bios -j DROP
iptables -A INPUT -i ppp0 -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios
iptables -A INPUT -i ppp0 -p udp -m multiport --sport 135,137,138,139,445 -j net-bios
iptables -A INPUT -i ppp0 -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios
iptables -A INPUT -i ppp0 -p udp -m multiport --dport 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios
iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios

というのを設定しました。

下記のサイトを参考にしました。

http://www.kkoba.com/linuxrouter/iptables.shtml

ところで、NetBIOS関連のパケットはログをとり、インターネットに出さない

という設定は必要ですか?

これだと異常にたくさんのログが取れてしまいますが。。
kalze
ぬし
会議室デビュー日: 2003/10/23
投稿数: 406
お住まい・勤務地: 東京・東京
投稿日時: 2004-05-25 17:45
まったく同じ文面で、マルチポストはあまり関心しませんが・・・。

>NetBIOS関連のパケットはログをとり、インターネットに出さない

インターネットにださない必要はあるかと思いますが、
ログが必要かどうかは、貴方次第だとおもいます。
NetBIOS関係のログが必要なら、ログをとればいいとおもいますし、
そのログが不要ならとらなくてもよいとおもいます。


_________________
coolkun
ベテラン
会議室デビュー日: 2003/11/18
投稿数: 70
投稿日時: 2004-05-26 10:03
あ、すみません。気がつきましたか。。

ちなみに、NetBIOS関連のパケットから不正を行なおうとするもの(ポート135,137,138,139,445を開けた場合の不正というのでしょうか)にはどのようなものがあるのですか?

それと、この設定だと、今、ネット上に飛び交っている不正パケットの大半を
拾ってしまうとしても、ログに、

May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd4 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=***** DF PROTO=TCP SPT=2987 DPT=135 WINDOW=***** RES=0x00 SYN URGP=0

とありますが、ポートは80と25しか開けてないのに、135のポートを通過したパケットを拾った時に、SRC=123.456.789.123 というふうに実際のIPアドレスがとれるのはなぜですか?



[ メッセージ編集済み 編集者: coolkun 編集日時 2004-05-26 10:54 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-05-26 13:31
こんにちわ.
引用:

coolkunさんの書き込み (2004-05-26 10:03) より:

ちなみに、NetBIOS関連のパケットから不正を行なおうとするもの(ポート135,137,138,139,445を開けた場合の不正というのでしょうか)にはどのようなものがあるのですか?

それは挙げ始めたらキリがないかと.

引用:

それと、この設定だと、今、ネット上に飛び交っている不正パケットの大半を
拾ってしまうとしても、ログに、

May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd4 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=***** DF PROTO=TCP SPT=2987 DPT=135 WINDOW=***** RES=0x00 SYN URGP=0

とありますが、ポートは80と25しか開けてないのに、135のポートを通過したパケットを拾った時に、SRC=123.456.789.123 というふうに実際のIPアドレスがとれるのはなぜですか?

この log が「通過している」というのはどのあたりで判断されているのでしょう?
source 123.456.789.123 の port 2987 から distination aaa.bbb.cc.dd4 の port 135 へ「通信要求があったよ」という内容に見えますが...

マルチなポストすると「あっちで答えてくれるだろ」と思われたり,それぞれでいろんな答え方されて,纏めるのが大変だと思いますよ,好意的に見れば.
coolkun
ベテラン
会議室デビュー日: 2003/11/18
投稿数: 70
投稿日時: 2004-05-26 15:35
あ、すみません。表現が変でした。

ポートは80と25しか開けてないのに、135のポートを通過したパケットを拾った時に、SRC=123.456.789.123 というふうに実際のIPアドレスがとれるのはなぜですか?



ポートは80と25しか開けてないのに、source 123.456.789.123 の port 2987 から distination aaa.bbb.cc.dd4 の port 135 へ「通信要求があったよ」というログがとれますが、これはどうゆうことをしようとしたことが考えられますか?
SRC=123.456.789.123 というふうに実際のIPアドレスが表示されていますが。

このように変更したいと思います。

kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-05-26 16:03
引用:

coolkunさんの書き込み (2004-05-26 15:35) より:

ポートは80と25しか開けてないのに、source 123.456.789.123 の port 2987 から distination aaa.bbb.cc.dd4 の port 135 へ「通信要求があったよ」というログがとれますが、これはどうゆうことをしようとしたことが考えられますか?
SRC=123.456.789.123 というふうに実際のIPアドレスが表示されていますが。

おそらく考えようがないと思います.
単に Windows で通信をしようと試みたことが判るだけで,それこそいろんな事が考えられます.頻繁に接続しに来ているわけではないなら,あまり深く考えなくて良いと思います.


[ メッセージ編集済み 編集者: kaz 編集日時 2004-05-26 16:11 ]
1

スキルアップ/キャリアアップ(JOB@IT)