パスワード総当たり攻撃2
で,block 行の記述は正しかったのだが,ampr.org IP-in-IPトンネルが載っているイーサの入り口で無条件に pass させていたという凡ミスであった.
block drop in log quick proto tcp to 44.129.xxx.yyy port ssh
block drop in log quick proto tcp to 44.129.xxx.yyy port pop3
これで pop3-login プロセスが増殖してプロセステーブルが溢れるのは避けられそう.しかし悪い奴が多いなぁ.その多くは攻撃元の人為的なものではなくウィルスの仕業で踏み台にされているのだろうが…