サーバーアクセス制限を強化

半年近く続いている不審なアクセスについて、現在のところ原因は特定できていないものの、個人的には以前の人間関係や環境が影響している可能性も否定できないと感じている。

ただし、技術的には海外クラウドやスキャナーによる通常の自動アクセスである可能性も高く、どちらとも断定はできない。
とはいえ、同じパターンが長期にわたって続くことや、アクセスの時間帯・性質に一定の特徴があることから、単なる一般的なトラフィック以上の何かを感じてしまうのも正直なところだ。

この数か月、アクセス動向を観察するために、あえて設定を変えて反応を見てきたが、期待したような建設的な兆候は得られず、むしろ予測しづらい動きが多かった。
また、海外アクセスを数日間だけ開放した際には、20年以上続けているブログ「海辺の放浪記」の古い記事まで一気に取得される動きがあり、さすがに気味の悪さを感じた。

そこで今回、海外からの不審な接続を減らす目的で、ルーター側のDNATや iptables/ipset ルールを大幅に見直し、より厳格なアクセス制御に切り替えた。

① ブラックリスト → 国別ブロックが先頭
2 DROP firehol_level1　（FireHOLで公開されているIPブラックリスト）
3 DROP firehol_level2　（FireHOLで公開されているIPブラックリスト）
4 DROP cn_block　　（中国全域）
5 DROP other_block　（その他、しつこく不審アクセスがあったネットワーク）

→ 海外 AWS/GCP/中国/その他 が最初に落ちる。

② LAN → WAN を許可
12 ACCEPT br0→ppp0 192.168.1.0/24 → ANY

→ 家庭内のPCやスマホの外向き通信は全部通る。

③ WAN → LAN（サーバー）を「国内限定」許可
13 SSH (22) 国内
15 HTTP (80) 国内
16 HTTP (80) サーチボット
17 HTTPS (443) 国内
18 HTTPS (443) サーチボット

→ 想定通り 日本からのアクセスしか新規接続できない。
Googlebot/Bingbot も明示的に許可されているため問題なし。

④ 国内限定制限ポート（22/80/443）の最終 DROP
21 DROP 22
22 DROP 80
23 DROP 443

→ 国内限定を通過できなかった残りの海外はここに落ちる。

⑤ 最後に RELATED,ESTABLISHED （パフォーマンス向上の為、先頭に配置）
1 ACCEPT state RELATED,ESTABLISHED

新規接続がすべてチェックされた後、すでに確立したセッションの戻りだけ許可される。

-----------------
過去にいくつか嫌な出来事もあったため、最近は人間関係から距離を置き、外部の雑音を少し遮断して静かに暮らしている。
しばらくは一歩引いた場所から物事を眺めつつ、淡々と環境を整えていくつもりだ。
世俗の喧騒と少し距離を置くくらいが、今の自分にはちょうどいいのかもしれない(笑)