官邸Webサイトの「桜を見る会」のページ

2011年の菅首相および2012年の野田首相のページはなかった。開催されなかったのかな?

1995年(平成7年)は阪神・淡路大震災[16]、2011年(平成23年)は東日本大震災[17]、2012年(平成24年)は北朝鮮の弾道ミサイル発射への対応を理由として中止された[18][19]。
桜を見る会 - Wikipediaより)

それにしても国立国会図書館インターネット資料収集保存事業は優秀。土屋 大洋:日米両国の行政ホームページ利用の進展-三年目の動向と課題-(PDF)によると、首相官邸ホームページは1994年8月に開設とのこと。歴代内閣情報(HP開設以降)をみると、「総理のうごき」というコンテンツができたのは小渕首相からである様子。よって、官邸Webサイト上の「桜を見る会」のページは全部残っているといえる。

 今回の桜を見る会、64回目ですが、ということでございますが、山口さんや皆さんと共に政権を奪還してから、7回目の桜を見る会となりました。12年前にも皆さん忘れておられるかもしれませんが、私1年間総理大臣をやっておりますので、私は総理大臣としては8回目となるわけでございます。

平成30年4月21日、安倍総理は、東京都内の新宿御苑で桜を見る会を開催しました。
安倍総理は、文化・芸能、スポーツなど各界からの招待客を前に、次のように挨拶しました。

平成29年4月15日、安倍総理は、東京都内の新宿御苑で桜を見る会を開催しました。
安倍総理は、文化・芸能、スポーツなど各界からの招待客を前に、次のように挨拶しました。

平成28年4月9日、安倍総理は、東京都内の新宿御苑で桜を見る会を開催しました。文化・芸能、スポーツ界等の代表者などの招待客でにぎわいました。

平成27年4月18日、安倍総理は、東京都内の新宿御苑で桜を見る会を開催しました。文化・芸能、スポーツ界等の代表者などの招待客でにぎわいました。

平成26年4月12日、安倍総理は東京都内の新宿御苑で、桜を見る会を開催しました。文化・芸能、スポーツ界等の代表者など約1万4千人の招待客でにぎわいました。

平成25年4月20日、安倍総理は東京都内の新宿御苑で、桜を見る会を開催しました。文化・芸能、スポーツ界等の代表者など約1万2千人の招待客でにぎわいました。

平成22年4月17日、鳩山総理は東京都内の新宿御苑で、桜を見る会を開催しました。 八重桜の咲く中、文化・芸能、スポーツ界等の代表者等約1万の招待者でにぎわいました。

鳩山総理は、招待客を前に「桜を見ながら、雪も見れるという大変な日になりましたが、ようこそお出ましをいただきました。このような時になると、必ず、私から申し上げる言葉があります。人生には、二人の友がいる。晴天の友と雨天の友である。晴れた時には、人知れず人は集まって来る。しかし、いったん、人生に雨が降ると、一人去り、二人去り、消えてしまうものだと、雨の時に、集まってくれる友こそ、真の友である。雨天の友という言葉がございます。皆様方はこの鳩山政権における、お一人お一人が雨天の友でございます。心からお集まりに感謝を申し上げます。」と挨拶を述べました。

平成21年4月18日、麻生総理は東京都内の新宿御苑で、桜を見る会を開催しました。 見ごろとなった八重桜のもとで、各界の代表者や、文化・芸能、スポーツ界など約1万1千人の招待者でにぎわいました。

平成20年4月12日、福田総理は東京都内の新宿御苑で桜を見る会を開催し、見ごろとなった遅咲きの八重桜と晴れ渡った空のもとで、各界の代表者や、文化・芸能、スポーツ界など約1万人の招待者でにぎわいました。

平成19年4月14日、安倍総理は東京都内の新宿御苑で桜を見る会を開催し、すっきりと晴れ渡った空のもとで、各界の代表者や、文化・芸能、スポーツ界など約1万1千人の招待者でにぎわいました。

 平成18年4月15日、総理主催の「桜を見る会」が東京都新宿区の新宿御苑で開催され、政財界や文化・芸能、スポーツ界など約11,000人の招待者でにぎわいました。

平成17年4月9日、総理主催の「桜を見る会」が東京都新宿区の新宿御苑で開催され、政財界や文化・芸能、スポーツ界など約8,700人の招待者でにぎわいました。

平成16年4月17日、総理主催の「桜を見る会」が東京都新宿区の新宿御苑で開催され、政財界や文化・スポーツ界など約8000人の招待者でにぎわいました。

平成15年4月19日、総理主催の「桜を見る会」が新宿御苑で開催され、政財界や文化・スポーツ界、国際貢献・国際ボランティア関係者など、招待者でにぎわいました。

平成14年4月20日、総理主催の「桜を見る会」が新宿御苑で開催され、政財界や文化、スポーツ界関係者など約8,000人の招待者でにぎわいました。

総理主催の「桜を見る会」が、平成13年4月21日午前、東京の新宿御苑で、政財界や文化、スポーツ界関係者、国際貢献及び国際ボランティアに参加した人達約1万人を招いて開催されました。森総理は、八重桜の下で、招待客らとの握手や記念撮影に気さくに応じました。

総理主催の「桜を見る会」が、平成12年4月15日午前、東京の新宿御苑で、政財界や文化、スポーツ界関係者、国連平和維持活動に参加した隊員ら約8500人を招いて開催された。森総理は「いろいろな問題をしっかり受けとめ、日本の新生を図っていきたい」とあいさつし、八重桜の下で、招待客らとの握手や記念撮影に気さくに応じた。

小渕総理は東京の新宿御苑で恒例の「桜を見る会」を開催し、政財界をはじめ、各国大使やスポーツ選手、文化人など約1万1000人の招待者でにぎわった。

メモ:「桜を見る会」の論点

私が感じるもやもやは以下の2つのエントリーでだいたいまとまっていた。

根本的な論点はこちらのエントリー。
note.mu

政権についた政党が、公費で後援会活動を行った場合ならば、違法にならないのか。もしそれが「脱法行為」として許されるのならアンフェアではないか。

招待名簿を「遅滞なく破棄」しているために検証ができない状態が作られるという公文書管理・情報公開の問題や、当初は政治家の招待枠がないかのように振舞っていた「虚偽答弁」あるいは「不誠実答弁」の問題については、今や永田町の日常風景になってしまった。

細かいお金周りの話はこちら
webronza.asahi.com

Debian 10 + nftables + fail2ban

はじめに

インストールはこちら

nftablesを使ったアクセス制御はこちら

fail2banとは

ログを監視してTCPで提供されているサービスに過剰にアクセスしてくるIPアドレスを一定時間アクセスさせないようにするソフトウェア。

Debian 10での注意点

Debian 9まではiptablesで動いており、Debian 10でもデフォルトの設定はiptablesベースになっている。このため、nftablesを使ってアクセス制御をしている場合には、適宜設定変更をしてあげないといけない。

fail2banのインストールと設定

インストールする。

% sudo apt install fail2ban

設定ファイルは /etc/fail2ban以下におかれる構成は以下の通り。

% ls -1
action.d/ 
fail2ban.conf
fail2ban.d/
filter.d/
jail.conf
jail.d/
paths-arch.conf
paths-common.conf
paths-debian.conf
paths-opensuse.conf

jail.conf を編集する。 ignoreipで監視対象外のIPアドレスを指定し、banactionとbanaction_allportsでiptablesからnftablesを使うように設定を変更する。

% cd /etc
% sudo cp -p jail.conf jail.conf.org
% sudo vi jail.conf
% iff jail.conf.org jail.conf
54a55
> ignoreip = 127.0.0.1/8 ::1 XXX.XXX.XXX.XXX/24  # 監視対象外のIPアドレス
167,168c168,171
< banaction = iptables-multiport
< banaction_allports = iptables-allports
---
> #banaction = iptables-multiport
> banaction = nftables-multiport
> #banaction_allports = iptables-allports
> banaction_allports = nftables-allports

Debian 10では標準でsshがfail2banの監視対象となっている。どのポート(サービス)を監視するのかは jail.confにサービスと設定の一覧があるので、それを利用する。たとえば、 SMTP, SMTP AUTH, POP3, POP3Sなどをまとめて監視する postfix-sasl は /etc/jail.conf に以下のように定義されている。

[postfix-sasl]

filter   = postfix[mode=auth]
port     = smtp,465,submission,imap,imaps,pop3,pop3s
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath  = %(postfix_log)s
backend  = %(postfix_backend)s

これを有効にする場合には以下のように /etc/jail.d/以下にファイルをおき、有効にする。

% cd jail.d/
% sudo touch postfix-sasl.conf
% sudo vi postfix-sasl.conf

postfix-sasl.confの内容は以下のように記載する。

[postfix-sasl]
enabled = true

ただし、nftablesを使っている場合は上記の設定のままではうごかない(nftablesが /etc/services に記載されているポート名を参照しているため。postfix-saslの
ルールの場合 "465"というポート名が /etc/services に存在しない)

自分用のルールを /etc/jail.localとして記載する。

% sudo touch /etc/fail2ban/jail.local
% sudo vi /etc/fail2ban/jail.local

jail.localの内容を以下のようにする。(postfix-saslから 465, imap, imapsを除いている)

[postfix-sasl-custom]

filter   = postfix[mode=auth]
port     = smtp,submission,pop3,pop3s
logpath  = %(postfix_log)s
backend  = %(postfix_backend)s

postfix-sasl.confの内容を以下のように編集する。

[postfix-sasl-custom]
enabled = true

fail2banを再起動する。

% sudo systemctl stop fail2ban
% sudo systemctl start fail2ban

しばらくたつと、fail2banがnftablesに自動的にルールを追記してくれる。fail2banの再起動時のログをみる。

% tail /var/log/fail2ban.log
2019-11-18 14:19:22,813 fail2ban.server         [30494]: INFO    Starting Fail2ban v0.10.2
2019-11-18 14:19:22,819 fail2ban.database       [30494]: INFO    Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2019-11-18 14:19:22,820 fail2ban.jail           [30494]: INFO    Creating new jail 'sshd'
2019-11-18 14:19:22,828 fail2ban.jail           [30494]: INFO    Jail 'sshd' uses pyinotify {}
2019-11-18 14:19:22,830 fail2ban.jail           [30494]: INFO    Initiated 'pyinotify' backend
2019-11-18 14:19:22,830 fail2ban.filter         [30494]: INFO      maxLines: 1
2019-11-18 14:19:22,852 fail2ban.server         [30494]: INFO    Jail sshd is not a JournalFilter instance
2019-11-18 14:19:22,853 fail2ban.filter         [30494]: INFO    Added logfile: '/var/log/auth.log' (pos = 10278741, hash = e1979e4153ef60220060b0b8d7d29f43e947154f)
2019-11-18 14:19:22,853 fail2ban.filter         [30494]: INFO      encoding: UTF-8
2019-11-18 14:19:22,854 fail2ban.filter         [30494]: INFO      maxRetry: 5
2019-11-18 14:19:22,854 fail2ban.filter         [30494]: INFO      findtime: 600
2019-11-18 14:19:22,855 fail2ban.actions        [30494]: INFO      banTime: 600
2019-11-18 14:19:22,857 fail2ban.jail           [30494]: INFO    Creating new jail 'recidive'
2019-11-18 14:19:22,857 fail2ban.jail           [30494]: INFO    Jail 'recidive' uses pyinotify {}
2019-11-18 14:19:22,860 fail2ban.jail           [30494]: INFO    Initiated 'pyinotify' backend
2019-11-18 14:19:22,863 fail2ban.server         [30494]: INFO    Jail recidive is not a JournalFilter instance
2019-11-18 14:19:22,863 fail2ban.filter         [30494]: INFO    Added logfile: '/var/log/fail2ban.log' (pos = 3405917, hash = 6fcbaf803079b747ecdbd1658eb6884f5241503f)
2019-11-18 14:19:22,865 fail2ban.filter         [30494]: INFO      encoding: UTF-8
2019-11-18 14:19:22,866 fail2ban.filter         [30494]: INFO      maxRetry: 5
2019-11-18 14:19:22,866 fail2ban.filter         [30494]: INFO      findtime: 86400
2019-11-18 14:19:22,866 fail2ban.actions        [30494]: INFO      banTime: 604800
2019-11-18 14:19:22,869 fail2ban.jail           [30494]: INFO    Creating new jail 'postfix-sasl-custom'
2019-11-18 14:19:22,870 fail2ban.jail           [30494]: INFO    Jail 'postfix-sasl-custom' uses pyinotify {}
2019-11-18 14:19:22,872 fail2ban.jail           [30494]: INFO    Initiated 'pyinotify' backend
2019-11-18 14:19:22,877 fail2ban.server         [30494]: INFO    Jail postfix-sasl-custom is not a JournalFilter instance
2019-11-18 14:19:22,878 fail2ban.filter         [30494]: INFO    Added logfile: '/var/log/mail.log' (pos = 11829048, hash = 5f203d2833f79fe76e8db1a83af3c1419b8708dd)
2019-11-18 14:19:22,879 fail2ban.filter         [30494]: INFO      encoding: UTF-8
2019-11-18 14:19:22,880 fail2ban.filter         [30494]: INFO      maxRetry: 5
2019-11-18 14:19:22,880 fail2ban.filter         [30494]: INFO      findtime: 600
2019-11-18 14:19:22,881 fail2ban.actions        [30494]: INFO      banTime: 600
2019-11-18 14:19:22,885 fail2ban.jail           [30494]: INFO    Jail 'sshd' started
2019-11-18 14:19:22,889 fail2ban.jail           [30494]: INFO    Jail 'recidive' started
2019-11-18 14:19:22,891 fail2ban.jail           [30494]: INFO    Jail 'postfix-sasl-custom' started
2019-11-18 14:19:29,395 fail2ban.filter         [30494]: INFO    [postfix-sasl-custom] Found 46.38.144.32 - 2019-11-18 14:19:29
〜省略〜

Debian 10 (buster)のnftablesでアクセス制御 - 発声練習で設定したとおりに/etc/nftable.confを設定しておくと、banしたIPアドレスが存在したときに fail2banが勝手に nftにルールを追加してくれる。たとえば以下のとおり。

# nft list ruleset
table inet filter {
	set f2b-postfix-sasl-custom {                                     # fail2banが自動追加
		type ipv4_addr                                                  # fail2banが自動追加
		elements = { 46.38.144.32, 46.38.144.179 }    # fail2banが自動追加
	}

	chain input {
		type filter hook input priority 0; policy accept;
		tcp dport { smtp, pop3, submission, pop3s } ip saddr @f2b-postfix-sasl-custom reject   # fail2banが自動追加
	}

	chain forward {
		type filter hook forward priority 0; policy accept;
	}

	chain output {
		type filter hook output priority 0; policy accept;
	}
}
〜 以下、略 〜

現時点でbanされているIPアドレスをみる場合は以下のコマンドで調べる。たとえば、私の環境では以下のようになった。

% sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	0
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	0
   |- Total banned:	0
   `- Banned IP list:	

% sudo fail2ban-client status postfix-sasl-custom
Status for the jail: postfix-sasl-custom
|- Filter
|  |- Currently failed:	5
|  |- Total failed:	66
|  `- File list:	/var/log/mail.log
`- Actions
   |- Currently banned:	5
   |- Total banned:	12
   `- Banned IP list:	46.38.144.57 46.38.144.146 92.118.38.38 46.38.144.17 92.118.38.55

トラブルシューティング: nftableへの切替設定ミス

nftablesでアクセス制限しているのに、/etc/jail.conf では iptables-multiport, iptables-allportを設定していると以下のようなエラーログが/var/log/fail2ban.logにでる。

2019-11-15 22:28:39,154 fail2ban.utils          [440]: Level 39 7f65406a1e68 -- exec: iptables -w -n -L INPUT | grep -q 'f2b-sshd[ \t]'
2019-11-15 22:28:39,154 fail2ban.utils          [440]: ERROR   7f65406a1e68 -- stderr: "iptables v1.8.2 (nf_tables): table `filter' is incompatible, use 'nft' tool."
2019-11-15 22:28:39,154 fail2ban.utils          [440]: ERROR   7f65406a1e68 -- stderr: ''
2019-11-15 22:28:39,154 fail2ban.utils          [440]: ERROR   7f65406a1e68 -- returned 1
2019-11-15 22:28:39,154 fail2ban.CommandAction  [440]: ERROR   Invariant check failed. Trying to restore a sane environment
2019-11-15 22:28:39,217 fail2ban.utils          [440]: Level 39 7f65406a1e68 -- exec: iptables -w -n -L INPUT | grep -q 'f2b-sshd[ \t]'
2019-11-15 22:28:39,218 fail2ban.utils          [440]: ERROR   7f65406a1e68 -- stderr: "iptables v1.8.2 (nf_tables): table `filter' is incompatible, use 'nft' tool."
2019-11-15 22:28:39,218 fail2ban.utils          [440]: ERROR   7f65406a1e68 -- stderr: ''
2019-11-15 22:28:39,218 fail2ban.utils          [440]: ERROR   7f65406a1e68 -- returned 1
2019-11-15 22:28:39,218 fail2ban.CommandAction  [440]: CRITICAL Unable to restore environment
2019-11-15 22:28:39,218 fail2ban.actions        [440]: ERROR   Failed to execute ban jail 'sshd' action 'iptables-multiport' info 'ActionInfo({'ip': '2
22.186.180.147', 'family': 'inet4', 'ip-rev': '147.180.186.222.', 'ip-host': None, 'fid': '222.186.180.147', 'failures': 9, 'time': 1573824514.0, 'matches': 'Nov 15 22:28:10 ホスト名 sshd[985]: Failed password for root from 222.186.180.147 port 3320 ssh2\n
〜省略〜
': 9, 'ipjailfailures': 9})': Error banning 222.186.180.147

トラブルシューティング: nftablesに設定しているルールセットと一致していないとき

デフォルトでは「chain input」であることが記載されているがnftablesに設定しているルールセットで「chain INPUT」と設定されていると以下のサイトのようなエラーがでる。

トラブルシューティング: jail.conf で設定されているルールのサービスが /etc/services に存在しない

fail2banがnftablesへのルールセットにルールを追加する際に'Error: Could not resolve service: Servname not found in nft services list'というエラーがでている。

2019-11-17 01:02:27,961 fail2ban.utils          [1958]: Level 39 7f4fa70e3e40 -- exec: nft add set inet filter f2b-postfix-sasl \{ type ipv4_addr\; \}
nft insert rule inet filter input tcp dport \{ smtp,465,submission,imap,imaps,pop3,pop3s \} ip saddr @f2b-postfix-sasl reject
2019-11-17 01:02:27,961 fail2ban.utils          [1958]: ERROR   7f4fa70e3e40 -- stderr: 'Error: Could not resolve service: Servname not found in nft services list'
2019-11-17 01:02:27,961 fail2ban.utils          [1958]: ERROR   7f4fa70e3e40 -- stderr: 'insert rule inet filter input tcp dport { smtp,465,submission,
imap,imaps,pop3,pop3s } ip saddr @f2b-postfix-sasl reject'
2019-11-17 01:02:27,961 fail2ban.utils          [1958]: ERROR   7f4fa70e3e40 -- stderr: ' ^^^^'
2019-11-17 01:02:27,961 fail2ban.utils          [1958]: ERROR   7f4fa70e3e40 -- returned 1
2019-11-17 01:02:27,962 fail2ban.actions        [1958]: ERROR   Failed to execute ban jail 'postfix-sasl' action 'nftables-multiport' info 'ActionInfo(
{'ip': '46.38.144.179', 'family': 'inet4', 'ip-rev': '179.144.38.46.', 'ip-host': None, 'fid': '46.38.144.179', 'failures': 5, 'time': 1573920146.0, 'matches': 
'Nov 17 00:58:02 ホスト名 postfix/smtpd[24572]: warning: unknown[46.38.144.179]: SASL LOGIN authentication failed: authentication failure\n 〜略〜', 'ipfailures': 5, 'ipjailfail
ures': 5})': Error starting action Jail('postfix-sasl')/nftables-multiport

/etc/servicesの行頭に列挙されたサービス名でないとエラーがでる。調べ方は以下のとおり。上の例では"465"がひっかからないのでエラーとなっている。

% grep ^smtp /etc/services
smtp		25/tcp		mail

% grep ^465 /etc/services

メモ:「平成24年児童手当の使途等に係る調査報告書」の修正

素晴らしい事例。記載ミスは残念だったけど修正を素早くしたのは素晴らしいと思う。

www.nikkei.com

www.shiratamaotama.com

www.shiratamaotama.com

www.mhlw.go.jp

www.shiratamaotama.com

www.asahi.com

www.nikkei.com

修正したのは世帯年収別の児童手当の使い道に関する調査。たとえばこれまで世帯年収1000万円以上の受給者は児童手当の32%を「大人のおこづかいや遊興費」に充てているとしていたが、正しくは0.9%だった。32%は「子どもの将来のための貯蓄・保険料」の誤りだった。取り違えが起きた原因は調査中としている。

これに伴い財務省も15日、財政制度等審議会(財務相の諮問機関)の資料を修正。世帯年収が高いほど児童手当が大人のお小遣いなどに使われているとの文言を「使う必要がなく残っている等の回答が多い」とした。児童手当の廃止を含む見直しを求める方針は変更なしとした。
児童手当の使い道、厚労省が調査結果修正 :日本経済新聞より)

Debian 10 (buster)のnftablesでアクセス制御

はじめに

Debian 10 のインストールはDebian 10 (buster)を用いたサーバ設定メモ - 発声練習

方針

Debian 10からアクセス制御をiptablesからnftablesで行うようになった。

  • Debian 9以前のiptablesの設定をテキストファイルに出力する
  • Debian 10上で iptables-restore-translate でiptablesの設定をnftablesの設定に変更する。
  • 編集したものを /etc/nftables.conf にコピーし、設定を反映させる。

(必要に応じて) iptablesの設定をテキストファイルに出力

% sudo iptables-save > iptables.conf

nftablesのインストール

% sudo apt install nftables
% sudo  systemctl enable nftables.service

現在の設定を表示する。

% sudo nft list ruleset

iptablesの設定をnftablesの設定へ変換

% sudo /usr/sbin/iptables-restore-translate -f iptables.conf > /tmp/nftables-temp.conf

/tmp/nftables-temp.conf を適宜編集する。/etc/nftables.conf の先頭2行は必ず追加しないといけない。編集したら/etc/nftables.confとして保存する。

% cd /etc
% sudo cp -p nftables.conf nftables.conf.org
% sudo cp /tmp/nftables-temp.conf nftables.conf
% sudo nft -f /etc/nftables.conf
% sudo nft list ruleset

設定例

元のiptablesの設定は そこそこセキュアなlinuxサーバーを作る - Qiitaを参考にしている。

#!/usr/sbin/nft -f

# 既存の設定をリセット
flush ruleset

table inet filter {
	chain input {
		type filter hook input priority 0;
	}
	chain forward {
		type filter hook forward priority 0;
	}
	chain output {
		type filter hook output priority 0;
	}
}

# 以下、iptables-restore-translateで変換したときに 
# INPUT, FORWARD, OUTPUTが大文字だったので小文字にした。
#
# また、 counter の後ろに ”packets 数字 bytes 数字" という記述があるがこれは削っても良いので削った。
# 以下は IPv4に対する設定。
table ip filter {
	chain input {
		type filter hook input priority 0; policy accept;
		
                # ICMPを許可 
		ip protocol icmp counter accept

                # 接続確立済みのTCPパケットを許可 
		ct state established,related counter accept

                # ローカルホスト(127.0.0.1)からのアクセス許可 
		iifname "lo" counter accept

                # ipspoofing対策
		ip saddr 10.0.0.0/8 counter drop
		ip saddr 172.16.0.0/12 counter drop
		#ip saddr 192.168.0.0/16 counter drop
		counter
		ip saddr 127.0.0.0/8 counter drop
		ip saddr 169.254.0.0/16 counter drop
		ip saddr 192.0.2.0/24 counter drop
		ip saddr 224.0.0.0/4 counter drop
		ip daddr 255.255.255.255 counter drop

                # SSH(22番ポート)へのアクセスは許可
		tcp dport ssh counter accept

                # HTTP(80番ポート)、HTTPS(443番ポート)へのアクセスは許可
		tcp dport http counter accept
		tcp dport https counter accept

                # SMTP(25番)へのアクセスは許可
		tcp dport smtp counter accept

		# SMTP AUTH on TLS(465)とPOP3S(995)へのアクセスは許可
		tcp dport urd counter accept
		tcp dport pop3s counter accept

                # muninへのアクセスはXX.XX.XX.XX/24の中からのみ許可
		ip saddr XX.XX.XX.XX/24 tcp dport munin counter accept

                # ポートスキャン対策
		meter portscan size 65535 { ip saddr limit rate 10/second burst 10 packets}  counter jump portscanner

               # 上記に当てはまらないTCP, UDPのパケットは不可
		ip protocol tcp counter reject with tcp reset
		ip protocol udp counter reject
		counter reject with icmp type prot-unreachable
	}

	chain forward {
		type filter hook forward priority 0; policy accept;
		counter reject
	}

	chain output {
		type filter hook output priority 0; policy accept;
		counter accept
	}

	chain portscanner {
		counter  drop
	}
}

ポートの開き具合をチェックする。

設定したサーバ上で開いているポートを調べる。

% lsof -i

別のマシンからサーバで開いているポートを調べる(注意:これは攻撃の第一段階のポートスキャンにあたるので自分で管理しているサーバにだけおこなうこと)。なお、当該サーバのIPアドレスをYY.YY.YY.YY とする

% sudo nmap YY.YY.YY.YY  (TCPのポートをチェック)
% sudo nmap -sU YY.YY.YY.YY (UDPのポートをチェック)