通信が多く、Linuxのiptablesのセッション管理テーブル(ip_conntrack)
を使い果たした場合、NATが働かず、通信できなくなったり検査できなく
なることがあります。
これは、問題発生後のdmesgコマンドで以下のエラーのメッセージが
出力されかで確認できます。(診断情報ではsystem/dmesg.txt)
ip_conntrack: table full, dropping packet.

なぜかこの状態になった。一部のIPアドレスから頻度の高いアクセスがあるなぁとは思っていたけれど、そんなにあるとは想定外。

/proc/net/ip_conntrack を調べてみると、以下のような ESTABLISHEDがある特定のIPアドレス群から大量に記録されていて、テーブルがいっぱいになってしまったらしい。困ったものだ。

上記、F-secureの情報を参考に /etc/sysctl.conf に 以下の行を加えた。327520は元々の10倍だが、メモリもあるのでたぶん大丈夫。

確認する。

ESTABLISHED が保持されるのは 432000秒=(5日間)だそうなので、これを短くするという方法もあるらしい。場所は、/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established。

5日間というのは長すぎる気もするけど、何か意味はあるのだろう。D-Link DSL-G604T Wireless ADSL Router - サポートフォーラム - eXpansys Japan を見ると書き換えちゃったりしてますが、大丈夫なのかどうかは不明。

1. hosts.denyで特定のIPアドレスからしか入れないようにする
2. firewallで特定のIPアドレスからしか入れないようにする
3. 公開鍵認証にする

等をやっておくのが基本的な解決だろうとは思いますが、公開鍵認証だけの場合、攻撃側にその事がわからないようで延々アタックを続けられたりします。攻撃側の接続頻度が高い場合自分が接続できなかったりしてリソースの無駄遣いだなぁと思ったりしたので、denyhostsを入れてみることにしました。

denyhostsは、同一のIPアドレスからsshの認証エラーが続いた場合に、/etc/hosts.deny にそのIPアドレスを追加して一定期間(任意の時間に設定可能)接続をご遠慮いただく(banする)というものです。

Welcome to DenyHosts
http://denyhosts.sourceforge.net/

↑のDownloadリンクから最新版をゲットします。最新版といっても2006年12月ですが、メンテされてないというよりは安定していると考えることにします。

RPMファイルもあるようですが、今回はパッケージ管理してないサーバからインストールを始めたのでソースから入れてみました。

これで /usr/share/denyhosts に関連ファイルがインストールされます。

自動起動するようにします。

とりあえず今回は手動で起動します。

denyhosts.cfg の設定を変更することにより、何回の認証エラーでbanするかや、banする期間を変更したり、banしたIPアドレスをメールで送信したりすることができます。

他にもいろいろありますが、このへんで。

私は携帯にメールを送るようにしていますが、結構な量のメールが届きます。

それと、自分でopensshをコンパイルしてdaemonとして動かしている場合は、configureオプションで --with-tcp-wrappers をつけてないと機能しません。

/etc/hosts.deny は以下のような感じで書き換えられます。