os:freebsd:blacklistd
差分
このページの2つのバージョン間の差分を表示します。
| 両方とも前のリビジョン前のリビジョン次のリビジョン | 前のリビジョン | ||
| os:freebsd:blacklistd [2024/07/02 04:19] – [準備] seirios | os:freebsd:blacklistd [2024/07/02 04:32] (現在) – [blacklistdに関連するpfctlのコマンド] seirios | ||
|---|---|---|---|
| 行 100: | 行 100: | ||
| * Interface $IFextn (xn1)において、 | * Interface $IFextn (xn1)において、 | ||
| * Incomming(外から入ってくる通信)に対して、 | * Incomming(外から入ってくる通信)に対して、 | ||
| - | * blacklistdが作成するAnchorデータを適用する | + | * blacklistdが作成するAnchorルールを適用する |
| ということになる。 | ということになる。 | ||
| 行 140: | 行 140: | ||
| # WhiteLists | # WhiteLists | ||
| - | # adr/ | + | # adr/ |
| [remote] | [remote] | ||
| - | # Never block 10.1.0.0/16 | + | # Never block localhost |
| - | 127.0.0.1/ | + | 127.0.0.1/ |
| + | [:: | ||
| </ | </ | ||
| 行 155: | 行 156: | ||
| </ | </ | ||
| * -rは、最後にblacklistdを修了した時のBlacklistデータを読み込む | * -rは、最後にblacklistdを修了した時のBlacklistデータを読み込む | ||
| - | * -t [数値]は、登録されたIP Address情報をDBと比較して必要な更新を行うInterval time | + | * -t [数値]は、登録されたIP Address情報をDBと比較して必要な更新を行うInterval time |
| * このInterval timeはあくまでもDBとメモリー情報を同期するものであって、fail 回数を初期化するものではないことに注意 | * このInterval timeはあくまでもDBとメモリー情報を同期するものであって、fail 回数を初期化するものではないことに注意 | ||
| * -fを起動時引数に与えると、DBを初期化してから起動する | * -fを起動時引数に与えると、DBを初期化してから起動する | ||
| 行 171: | 行 172: | ||
| * '' | * '' | ||
| * Rulesetに記載された全てのAnchorを含むRulesetを確認 | * Rulesetに記載された全てのAnchorを含むRulesetを確認 | ||
| - | * Anchor業が展開される | + | * Anchor行が展開される |
| * < | * < | ||
| anchor " | anchor " | ||
| 行 189: | 行 190: | ||
| # pfctl -a " | # pfctl -a " | ||
| block drop in quick proto tcp from < | block drop in quick proto tcp from < | ||
| + | </ | ||
| * それぞれのTableを確認 | * それぞれのTableを確認 | ||
| * Configを見れば自明だが、一応コマンドで取得 | * Configを見れば自明だが、一応コマンドで取得 | ||
| 行 243: | 行 245: | ||
| </ | </ | ||
| * '' | * '' | ||
| - | * Blacklistに載っている「まだfailではない」リストを表示 | + | * Blacklistに載っている「まだblockするほどではない」リストを表示 |
| * < | * < | ||
| # blacklistctl dump -r | # blacklistctl dump -r | ||
| 行 272: | 行 274: | ||
| </ | </ | ||
| - | === 落穂拾い === | + | ===== 落穂拾い |
| <WRAP round info> | <WRAP round info> | ||
| - | === name === | + | ==== name ==== |
| nameフィールドは、使用するパケットフィルタールールの名前である。 | nameフィールドは、使用するパケットフィルタールールの名前である。 | ||
| 行 286: | 行 288: | ||
| <WRAP round info> | <WRAP round info> | ||
| - | === disable / duration === | + | ==== disable / duration |
| このフィールドには '' | このフィールドには '' | ||
| 行 305: | 行 307: | ||
| <WRAP round tip> | <WRAP round tip> | ||
| - | === 自分の接続元IPアドレスがblacklistに登録された === | + | ==== 自分の接続元IPアドレスがblacklistに登録された |
| 現在 blocklistctl には登録されているアドレスを削除する機能が無い。(というよりdumpしかできない) | 現在 blocklistctl には登録されているアドレスを削除する機能が無い。(というよりdumpしかできない) | ||
| 行 314: | 行 316: | ||
| <WRAP round info> | <WRAP round info> | ||
| - | === どうやって過去のAddressデータを保存しているのか? === | + | ==== どうやって過去のAddressデータを保存しているのか? |
| blacklistdは、''/ | blacklistdは、''/ | ||
| 行 322: | 行 324: | ||
| <WRAP round Alert> | <WRAP round Alert> | ||
| - | === blacklistdのデータを複数台で共有 === | + | ==== blacklistdのデータを複数台で共有 |
| Blacklistdは、sourcecodeを見る限り、DBファイルに対してLockなどの操作を行っていないように見える。 | Blacklistdは、sourcecodeを見る限り、DBファイルに対してLockなどの操作を行っていないように見える。 | ||
| 行 331: | 行 333: | ||
| 本文中におまけはあるんだけど、こっちにやられた時の顛末とかのおまけを記載します。 | 本文中におまけはあるんだけど、こっちにやられた時の顛末とかのおまけを記載します。 | ||
| - | === 解析した内容 === | + | ==== 解析した内容 |
| 全てはmaillogからの解析。 | 全てはmaillogからの解析。 | ||
| * 攻撃は、常に、定常的に、いろいろなIP Addressから来ている。 | * 攻撃は、常に、定常的に、いろいろなIP Addressから来ている。 | ||
| 行 343: | 行 345: | ||
| という挙動だった | という挙動だった | ||
| - | === 雑感 === | + | ==== 雑感 |
| 今回は、送付先のメールサーバーがSMTPUTF8受け付けなかったからエラーメールになって帰ってきて、だから気づけたけど、はっきり言って、これは運がよかっただけ。 | 今回は、送付先のメールサーバーがSMTPUTF8受け付けなかったからエラーメールになって帰ってきて、だから気づけたけど、はっきり言って、これは運がよかっただけ。 | ||
| 転送失敗してなかったら気づかなかったまであるわけで。 | 転送失敗してなかったら気づかなかったまであるわけで。 | ||
os/freebsd/blacklistd.1719861585.txt.gz · 最終更新: by seirios