Posts

今日は久々の北西紀行。
去年11月8日以来、半年ぶりだ。

昨日のうちにHondaのオンラインサービスでナビの行き先をセットしておいたが、今朝の起床時点では少し躊躇っていた。
もう行きたい場所も特にないのだが、鯖江西山公園のツツジが昨日の時点で満開との案内に誘われ、出発した。

賤ヶ岳SAに8:19到着

駐車場は掘り起こされて大掛かりな工事中で、駐車スペースが削られ、朝から満車状態・・・

その後、敦賀で降りてR476で今庄へ向かい、再度北陸道へ。
わざわざ一旦高速道路を降りるのは、過去に今庄トンネルおよび敦賀トンネルでパニック発作を経験しており、それがトラウマになっているからだ。
あれは忘れもしない2006年6月3日の出来事だが、未だに明瞭な記憶と恐怖感が残っている・・・

その後何事もなく、南条SAに9:13到着にて風景を撮影。

南条SAのフードコートは、前回訪れた時以降に改装されたようで、印象が変わってしまっていた。
養老SAも同じだが、改装のたびに安っぽくなる印象だ・・・時代の流れか。

渋滞もなく順調に進み、9:30頃には西山公園隣の嚮陽（きょうよう）会館前駐車場に到着。
少し列ができていたが、3台目に並び、10分以内には駐車完了・・・ナイスタイミングだった。

肝心のツツジだが、残念ながら満開を通り越し、かなり散ってしまっていた・・・

明日、5月3日～5日まで、鯖江つつじまつりが開催されるが、残念ながら今年はハズレだな・・・

去年は、つつじまつり初日の5月3日に、公園周辺が大混雑する中で訪れたが、まだ6分咲きといったところだった。
それでも花弁は新鮮で、香りも立ち、色も鮮やかで、むしろ満開よりも良いのではないかと思ったほどだ。

下は去年、同じアングルで写した写真。

去年当日の記事はこちら https://sky.0t0.jp/weblog/posts/2025-05-03-112506/

桜と同じで、花の開花は読めない。
イベントも運次第といったところか。

その後、越前海岸の梅浦へ抜け、いつものコース、越前岬 → 道の駅河野へ。
暗記しているほどの風景を横目に、ひたすら呆然と走った。

なんだかんだで340kmほど走り、16:00前には帰宅。
帰路の越前海岸を走って瞑想できたのか、昨日までの疲労感が嘘のように消えている。

次は半年後の予定。
他に行くところもないので、また北西紀行（笑）

明日から5連休が始まる。
浮かれた気分には、どうしてもなれない。
むしろ憂鬱だ。
休みが長くなるほど、何かが重くのしかかってくる気がする。

退職してから、意識ががらりと変わった。
やり切った、という感覚がある。
それまで当たり前だったもの――仕事、移動、予定、義務――
そういうものが一気に消えて、代わりに「何もない時間」が残った。

旅行にはもう興味がない。
国内は一通り回っているし、お気に入りだったコースも頭に入っている。
新鮮さがない。
長距離ドライブも、体に負担を感じるようになった。
昔は気にならなかったことが、今ははっきり分かる。

毎週土曜日の習慣で、養老公園や背割堤を歩いているが、それも完全に日常になっている。
特別な何かではなく、ただの繰り返しだ。

平日は、相場を見ている。
別に金が必要なわけではない。
証券口座の資金は、おそらく生涯使わないだろうと思っている。
それでもデイトレをやっているのは、時間を埋めるためだ。
小銭を取る。資産の目減りを抑える。それ以上の意味はあまりない。

ただ、相場が動いている時はまだいい。
問題は、休場日だ。
連休になると、それがはっきり出る。
5日間も相場が動かないと、正直かなりきつい。

やることが無いわけではない。
サーバーやルーターを組んでいるし、ログ解析や設定の調整もしている。
それでも、どこかで「これは時間を潰しているだけだ」という感覚がある。

毎日が無駄に感じる。
いや、正確には、意味が薄い。

一人きりということもあるのだろう。
誰かと共有することもなく、評価されることもなく、ただ時間が過ぎていく。
そのせいか、ふと「自分には人生があったのだろうか」と思うことがある。
何もしてこなかったわけではないはずだが、振り返ると手応えが薄い。
記録も、記憶も、自分の中だけで完結している。

ブログは書いている。
だから、この虚無感も書いてみようと思った。

これが普通なのかどうかは分からない。
単に「次」が無いだけなのかもしれない。
あるいは、次を自分で作るしかない段階に来ているのかもしれない。
ただ今は、その気力もあまりない。
とりあえず、そんな状態だ。

もっとも、これが悟りへの入り口なのかもしれない。
生前に成仏する、などと大げさなことを言うつもりはないが、執着も、欲も、他者の評価も、少しずつ剥がれ落ちている。
煩悩が消えているのか、それとも単に枯れているだけなのか。
解脱とはこういう感じなのだろうか、とふと思う。

まあ、悟ったところで明日の相場は動かないのだが(笑)

ほんの二日前、「Honeypot再起動」したばかりだが、そのアクセスLOGはゴミでしかない。
長年、このゴミを眺めることが半ば習慣になっていた。
例のつきまといアクセスと、それ以外を分離して観測するための構成でもあったのだが、ここにきて突然バカバカしさが勝ってきた。
ということで、今度こそ観測自体を廃止することにした(笑)

物理的なホストは用意せず、仮想ハニーポット（192.168.1.156）として設定。
仮想ハニーポット宛のパケットはFORWARDチェインにて無条件にDROPし、実体のない「ブラックホール」として動作させ、DROPカウントのみ確認できる構成とした。

156というIPアドレスは「イチコロ」をもじって割り当てている。
文字通りイチコロである(笑)

なお、本構成では「応答を返さない」ことを優先しており、スキャン元に対してはタイムアウトを誘発させるだけの受動的な防御となる。
ログを肥大化させず、リソース消費も最小限に抑える狙いである。

●PREROUTINGチェイン

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        4   172 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 match-set firehol_level3 src to:192.168.1.156:25
2       28  1680 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 match-set firehol_level2 src to:192.168.1.156:25
3        8   380 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 match-set firehol_level1 src to:192.168.1.156:25
4       80  4752 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 match-set gcloud src to:192.168.1.156:25
5      121  6642 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set firehol_level3 src to:192.168.1.156:80
6       86  4428 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set firehol_level2 src to:192.168.1.156:80
7        4   200 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set firehol_level1 src to:192.168.1.156:80
8       13   616 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set gcloud src to:192.168.1.156:80
9      194 10556 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set firehol_level3 src to:192.168.1.156:443
10      57  2916 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set firehol_level2 src to:192.168.1.156:443
11       4   200 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set firehol_level1 src to:192.168.1.156:443
12       4   204 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set gcloud src to:192.168.1.156:443
13       0     0 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 match-set jpnet src to:192.168.1.1:22
14       2   120 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 to:192.168.1.1:25
15       2    80 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set jpnet src to:192.168.1.1:80
16       2   120 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set searchengines src to:192.168.1.1:80
17      12   692 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set jpnet src to:192.168.1.1:443
18     171  9944 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set searchengines src to:192.168.1.1:443
19       0     0 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:587 match-set jpnet src to:192.168.1.1:587
20       0     0 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:993 match-set jpnet src to:192.168.1.1:993
21     121  6684 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:192.168.1.156:80
22     120  7996 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:192.168.1.156:443
23       5   232 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:587 to:192.168.1.156:587
24      10   460 DNAT       6    --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:993 to:192.168.1.156:993

・ルール1～12
firehol_level1～3：FireHOL公開のブラックリストIPを仮想ハニーポット（192.168.1.156）へ
gcloud：スパム傾向の強いGoogle Cloud発を仮想ハニーポット（192.168.1.156）へ

一週間ほど前、「翻弄の手仕舞い」の記事にあるように、つきまといアクセスや、スキャンアクセスの分離受信を廃止したのだが・・・
例のつきまといアクセスが一向に止まず、ログに残り続ける状態となっていた。
アクセスはHTTPSへ301リダイレクトされるため、最終的にはルーターでDROPされ、相手側は何も情報を得られない。
それにもかかわらず、執拗にアクセスを繰り返してくる。

結果として、ランダムなスキャンや攻撃アクセスよりも、つきまといアクセスのログが目立つ状況に・・・
これが不快で、じわじわとストレスが蓄積していく。

そこでiptablesの構成を変更し、Honeypot（観察用サーバー）を再起動。
再び分離受信を行うことにした。

ただし、「翻弄の手仕舞い」以前の状態、「正規サイトとハニーポット切り替え詳細」の記事にある設定へ単純に戻すと、目障りなつきまといアクセスまでHoneypot側のログに残ってしまう。
そこで今回は、FireHOLデータベースに登録されているIPレンジのホストのみを、Honeypot（観察用サーバー）へDNAT転送する構成とした。

つきまとい側は、DROPを避けるためFireHOLなどのブラックリストに該当しないホストを使ってくる。
そのため逆に、FireHOL該当ホストだけを通すことで、意図的に振り分けを行う形である。

この構成であれば、スキャンアクセスの収集は維持しつつ、例のつきまといアクセスの大半を除外できる。
さらに、FireHOLで検知されるホストの中身も確認できるため、一石二鳥だ。

●PREROUTINGチェイン

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        7   352 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp match-set firehol_level3 src to:192.168.1.2:25
2        1    40 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp match-set firehol_level2 src to:192.168.1.2:25
3        0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp match-set firehol_level1 src to:192.168.1.2:25
4       44  2268 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set firehol_level3 src to:192.168.1.2:80
5        1    52 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set firehol_level2 src to:192.168.1.2:80
6        0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set firehol_level1 src to:192.168.1.2:80
7       49  2616 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set firehol_level3 src to:192.168.1.2:443
8       29  1596 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set firehol_level2 src to:192.168.1.2:443
9        7   384 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set firehol_level1 src to:192.168.1.2:443
10       1    60 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:ssh match-set jpnet src to:192.168.1.1:22
11       8   420 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp to:192.168.1.1:25
12       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set jpnet src to:192.168.1.1:80
13       1    44 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set searchengines src to:192.168.1.1:80
14       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set jpnet src to:192.168.1.1:443
15      31  1728 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set searchengines src to:192.168.1.1:443
16       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:submission match-set jpnet src to:192.168.1.1:587
17       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:imaps match-set jpnet src to:192.168.1.1:993

・firehol_level1～3 : FireHOLで公開されているブラックリストIPからのアクセスのみを Honeypot（192.168.1.2）へ振り分け
・jpnet：日本国内からのアクセスを Main Server（192.168.1.1）へ
・searchengines：主要検索エンジンのクローラを Main Server（192.168.1.1）へ