[plamo:23958] Re: bind 9.3.0

[早間義博]

早間です。
小山さん、ありがとうございます。

From: Kaihei^Rastaman^Koyama <koyama@kct.co.jp>
Subject: [plamo:23956] Re: bind 9.3.0
Date: Thu, 28 Oct 2004 00:27:45 +0900
Message-ID: <20041028001638.FBDD.KOYAMA@kct.co.jp>

> 小山＠倉敷です。
> 
> 想像の域ですけど。
> 
> それは Wed, 27 Oct 2004 15:48:02 +0900 (JST) 頃のことでした。
> yossi@yedo.src.co.jp さんはおっしゃいました...
> 
> > iptables のログです。
> > Oct 27 05:29:04 router kernel: IPTSWED IN=ppp0 OUT=eth1
> > SRC=niftyのDNS DST=Lan内のDNS LEN=176 TOS=0x00 PREC=0x00
> > TTL=243 ID=8363 DF PROTO=UDP SPT=53 DPT=4845 LEN=156 
> 
> 見た感じ DNS の戻りのパケットに思えますよね。
> 

同感です。

> > iptables では次の設定が指定してあるのでどの程度か判りませんが内部
> > からアクセスした行動のリアクションならば通過すると思うのですがブロッ
> > クされました。
> > 
> > ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
> 
> bind 以外の何らかの理由で、これが効いていないとか？
>

パケットフィルタリングでほとんどのポートを閉じています。
Web を見ることも出来ます、ftp で passive を使わなくても働きます。
時々働かなくなるのでしょうか

> > 原因は何が考えられるのでしょう。
> >  応答が遅過ぎた
> >  iptables がRELATED,ESTABLISHED の状態から変わるのが早すぎる。
> >  何たら テーブルがパンク
> 
> iptables で使用している module の中の一部の問題により、
> state RELATED,ESTABLISHED の指定まわりだけ正常に動作して
> くれなかった経験はあります。他、IP や PORT での指定は
> ちゃんと動作していました。
> 
> ただ、この場合は kernel がちゃんとメッセージを拾って
> くれそうな気もしますが...
>

iptables の -j LOG 以外のメッセージを確認していません。

再起動はしていないのですが、昨日午前９時以降(手動改修以降)再現して
いません。再現しても被害に気がつかないのが問題です。
ポート 25 からのアクセスに限れば調べられるのですが、他に起こった場
合は調べる事が出来ません。 

伝家の「秘技、電源落し」しか無いのでしょうか。

-- 早間  yossi@yedo.src.co.jp
   一時接続回線からプロバイダの mailaddress メイルを直接送信した
   場合、受信しないことがありますのでご承知置き下さい。 
   詳しくは http://www.src.co.jp/greylisting.html をご覧ください。