ip route コマンドで特定IP/NWのトラフィックを拒否する方法

cooltext180056392275596

 

 

インターネットにサーバを公開していると特定のIPから辞書攻撃を受けたり、WEBページへのアタックを受けて重くなる等の事案が少なからず発生します。例えば以下のログ(/var/log/secure)は、中国と思われるIPアドレスからSSHの認証を試みる通信が来ていることを示します。もちろん中国からこのサーバにログインすることはありません。よってこれは攻撃を受けている状態、といえます。

拒否したいIPが特定できれば、Linuxのルーティングテーブル操作を行うことで簡単に拒否設定が可能です。設定にはipコマンドを利用します。なお、ルーティングテーブルの操作は、rootでの操作権限が必要となります。

ルーティングテーブルの確認

現在のルーティングテーブルの確認する場合は以下コマンドを実行します。

または

一時的な拒否方法/永続的な拒否設定

以下のコマンドで拒否用の静的ルーティングルールを追加します。blackholeは送出I/Fをblackhole(null)とすることで応答パケットを結果的に捨てさせます。unreachableは不到達フラグをルーティング情報として保持させ、応答を行わせないようにしています。

または

上記コマンドは再起動によってクリアされるため、恒久的な設定を行う場合は専用のファイルで静的ルート設定を行います。(なければ作成します。)記述内容に関しては、基本的に維持したいルールをip route show コマンドで確認し、該当行をそのままコピペするだけでOKです。これでサーバ再起動後も静的ルーティングの設定が維持されます。

設定ファイルは[/etc/sysconfig/network-scripts/route-インターフェース名]です。

設定した拒否用静的ルーティングの削除

設定したルートを削除する場合は以下のコマンドを利用します。

または

以上です。

Bookmark this on Google Bookmarks
LINEで送る
Pocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です