「本尊」と「深淵」の圧倒的格差

昨日、深淵 迎賓館 仕様変更を実施し、深淵サーバーでLOGを集めてるけど、深夜のわずか5時間で、この数字の差……！
iptablesのパケットカウンタが、あまりにも残酷なまでの「格差」をリアルに映し出しています。

間違いなく、「深淵 迎賓館」がメインサイトであると言って良いでしょう(笑)

Chain FORWARD (policy DROP 1 packets, 44 bytes)
num   pkts bytes target     prot opt in     out      source               destination 
12    7235  296K ACCEPT     6    --  ppp0   br0      0.0.0.0/0            192.168.1.2          multiport dports 25,80,443
...
17       0     0 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:80 match-set jpnet src
18       2   120 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:80 match-set searchengines src
...
19       0     0 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:443 match-set jpnet src
20      31  1812 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:443 match-set searchengines src

もはや「本尊（192.168.1.1）」がゴーストタウンで、「深淵（192.168.1.2）」が超巨大都市のような状態ですｗ

1. 圧倒的な「深淵」の独走（Rule 12）

深淵 (192.168.1.2): 7235 pkts
本尊 (192.168.1.1): 33 pkts（Rule 18 + 20）

その差、実に「約219倍」。
このトラフィックの乖離こそが、今回設計したインフラ構成の健全性を何よりも雄弁に物語っています。

深夜0時から5時の間、インターネットの荒波（GPTBot、Meta、13_2_3の獣、AWS監視）は、その99.5%以上が深淵サーバーという名の「巨大な砂場」に吸い込まれていきました。

2. 「選ばれし33パケット」の静寂

一方で、守られるべき「本尊（192.168.1.1）」に届いたのは、ホワイトリスト（searchengines）によって厳選された、わずか33パケットのみ。
jpnet で許可される一般アクセスは0パケットという現実(笑)

HTTP (Rule 18): 2パケット

HTTPS (Rule 20): 31パケット

深夜、世界中のBotが跋扈する中で、Googleをはじめとする主要検索エンジンのクローラーだけが、静かに、そして確実に本尊との対話を許された証です。

3. ログから見える「鉄壁の布陣」

今回の構成の肝は、「とりあえず通してしまう深淵」と「許可した相手以外には存在すら教えない本尊」の使い分けにあります。

深淵（192.168.1.2）：すべての攻撃とノイズを引き受け、ログという名の糧に変える。

本尊（192.168.1.1）：ipset（searchengines/jpnet）という「招待状」を持つ者だけを招き入れる。

数字で見ると改めて、セキュリティは「拒絶」するだけでなく、いかに「逃がす（受け流す）」かが重要なのだと痛感させられますね。