我が家のサーバー、SMTPのPORTを外部に開けているのだが、ずっと不正なアクセスがあり困っていた。
一応、SMTPでリレーは規制かけているのだが、ログに不正アクセスが記録され、気持ちの良いものではない。
ずっと、仕事で疲れていたので、対策をしなければと思いながら手を抜いていた。
で、退職が近づき、時間に余裕が出てきたので、とりあえず、サーバにipfwを機能させることにした。
本来なら、ルータで出来れば良いのだが、安いルータで、その手の機能が充実していないので、サーバー側で行うことに・・・
今回実施したのは、まずはrc.confでipfwを有効に。
firewall_enable="YES" firewall_type=open firewall_type="/etc/ipfw.conf"
で、/etc/ipfw.confに以下の記述を
add 200 deny all from any to 127.0.0.0/8 add 300 deny ip from 127.0.0.0/8 to any add 400 deny tcp from any to any frag add 500 deny ip from 59.60.0.0/15 to any add 500 deny ip from 114.112.0.0/14 to any add 500 deny ip from 173.219.109.0/24 to any add 500 deny ip from 195.22.126.0/23 to any
で、以下のコマンドで有効化
# /etc/rc.conf/ipfw start
/var/log/maillogを監視していて、アクセスされていないようで、これでしばらく様子を見、別なIPアドレスからアクセスあれば/etc/ipfw.confに追加して行くことにします。