メモ書きアウン

この記事では、Ubuntu 24 ServerにクリーンインストールしたAdGuard Homeの管理画面を、Let's Encryptの証明書を使ってSSL化（HTTPS化）し、さらにその証明書を完全に自動で更新し続けるための設定手順を、誰でも再現できるように詳しく解説します。 目次 1. はじめに：前提条件 2. Step 1: AdGuard Homeのインストール 3. Step 2: Certbotのインストール 4. Step 3: 証明書の取得と自動更新の設定（最重要） 5. Step 4: AdGuard Homeへの証明書設定 6. Step 5: 動作確認と最終テスト 7. まとめ 1. はじめに：前提条件 このガイドを進めるにあたり、以下の環境が整っていることを前提とします。 Ubuntu 24 Server がインストールされ、SSHでアクセスできる状態。 独自ドメイン を取得済みであること。（例: adguard.your-domain.com ） 上記ドメインの Aレコード （またはAAAAレコード）が、お使いのサーバーのグローバルIPアドレスを指すように設定済みであること。 ルーター等で、 ポート80（TCP） と ポート443（TCP） がサーバーのローカルIPアドレスに転送（ポートフォワーディング）されていること。 2. Step 1: AdGuard Homeのインスト...

AdGuard Home × Fail2Ban × ipset で TXT／RRSIG 攻撃を自動防御する こんにちは、あうんです！ DNS を公開していると必ずと言っていいほど飛んでくる TXT レコード攻撃 と RRSIG（DNSSEC 署名）クエリ攻撃 を、 AdGuard Home × Fail2Ban × ipset でガッチリ自動防御する手順をまとめました。 🧨 なにが危ないの？ 特定ドメインに向けた 大量 TXT リクエスト それに紛れた RRSIG クエリ爆撃 放置すると 自分の DNS が踏み台 になり DDoS に加担するリスク💦 🛠 構成の流れ AdGuard Home → querylog.json ↓ Fail2Ban（フィルタ & BAN） ↓ iptables + ipset（高速ブロック） 1️⃣ Fail2Ban の設定 🔎 フィルタ定義 /etc/fail2ban/filter.d/adguard-dns-abuse.conf [Definition] failregex = .*"QT":"TXT".*"IP":"<HOST>".* .*"QT":"RRSIG".*"IP":"<HOST>".* 🔐 Jail /etc/fail2ban/jail.local [adguard-dns-abuse] enabled = true backend = systemd filter = adguard-dns-abuse journalmatch = _SYSTEMD_UNIT=AdGuardHome.service maxretry = 1 findtime = 10m bantime = 10m banaction = iptables-ipset-proto4[name=AG-DNS,protocol=udp,...

最近、AdGuard HomeのDNSログに不審なTXTリクエストが大量に来て困っていませんか？ ボットネットによるスキャン、リフレクション攻撃の準備、あるいは単なる嫌がらせ…その正体は謎ですが、明らかにおかしな挙動ですよね🧟‍♂️🧟‍♀️💣 💡 解決方法：この1行をカスタムルールに追加するだけ！ ||*^$dnstype=txt,dnsrewrite=REFUSED これで、 あらゆるTXTレコードへのクエリに対して「拒絶（REFUSED）」を返す ことができます。 あるいは、 ||*^$dnstype=txt,dnsrewrite=NOERROR;TXT; これで、 あらゆるTXTレコードへのクエリに対して「空にして応答（NOERROR）」を返す ことができます。 🔍 どんなときに有効？ DNSリフレクション攻撃の踏み台にされそうなとき 不審なボットからのTXTクエリが継続的に来ているとき fail2banだけではさばききれない大量の分散アクセス対策に ⚠️ 注意：正規のTXTクエリも無効になります！ このルールは すべてのドメインのTXTクエリに適用される ため、SPF/DKIM/DMARCなどのメール送信認証も空で返すようになってしまいます。 そのため、以下のような 有名ドメインを除外するルール も併せて追加するのがおすすめです👇 @@||google.com^$dnstype=txt @@||microsoft.com^$dnstype=txt @@||cloudflare.com^$dnstype=txt @@||apple.com^$dnstype=txt これで必要なドメインだけはちゃんとTXT応答を通すことができます🙆‍♀️ 🎯 まとめ AdGuard HomeでのTXT爆撃対策に、 超シンプルな1行ルール が超強力！ 汎用的な空応答で攻撃効果をゼロに！ 正規のサービスへの影響を避けるには「除外ルール」も忘れずに✨ どんどん高度化してくるボットネット...

DNSサーバーなどを公開してると、中国からのマナーの悪いアクセスでログが埋まっちゃうことがあるよね💦 そこで！firewalldを使って中国からのIPアドレスをスッキリ遮断しちゃおう！✨ 🔧 Step 1: 必要なツールをインストール sudo dnf install -y firewalld curl ※ firewalld が無効なら以下で有効にして起動してね👇 sudo systemctl enable firewalld sudo systemctl start firewalld sudo firewall-cmd --state # → running になればOK 📥 Step 2: 中国のIPリストを取得しよう IPv4: cn-aggregated.zone (IPv4) IPv6: cn-aggregated.zone (IPv6) 🚀 Step 3: 初回の手動登録（まずこれやろう！） # firewalldを一時的に設定（永続化は次の手順） # IPv4のIPリスト登録 curl -s https://www.ipdeny.com/ipblocks/data/aggregated/cn-aggregated.zone \ | xargs -n1 -I{} sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="{}" reject' # IPv6のIPリスト登録（エラーになるIPもあるので注意） curl -s https://www.ipdeny.com/ipv6/ipaddresses/aggregated/cn-aggregated.zone \ | xargs -n1 -I{} sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address=...

🌐 はじめに 😊 DNSサーバーを公開していると… 広告目的っぽいリクエストが増える 特定のURLばかり指定される 特に中国からのアクセスはマナーが良くないことが多くて😓 ログがどんどん埋まっちゃうんだよね💦 そこで、中国IPをサクッと遮断すると… ログがスッキリ！✨ サーバー負荷も軽減👍 とっても気持ちいいからオススメだよ🎉 📘 参考IPリスト IPv4： https://www.ipdeny.com/ipblocks/data/aggregated/cn-aggregated.zone IPv6： https://www.ipdeny.com/ipv6/ipaddresses/aggregated/cn-aggregated.zone 注意 firewalledと競合する可能性があるので併用不可です。 sudo systemctl stop firewalld sudo systemctl disable firewalld sudo dnf remove -y firewalld 🔥 方法：CentOS 9＋iptables/ipsetで中国IPをブロック 以下は CentOS 9 環境に対応した、安全＆軽量なブロック手順だよ👍 ① 必要パッケージをインストール sudo dnf install -y ipset curl ② 自動更新スクリプトを作成 sudo vi /usr/local/bin/update-china-block.sh #!/bin/bash # === 設定 === IPV4_URL="https://www.ipdeny.com/ipblocks/data/aggregated/cn-aggregated.zone" IPV6_URL="https://www.ipdeny.com/ipv6/ipaddresses/aggregated/cn-aggregated.zone" SET4="china-ipv4" SET6="china-ipv6" # === ipset作成（存在しないときだけ）=== ipse...

AdGuard HomeでTXTレコード攻撃をガードしよう！💪 こんにちは〜！😊 今日は「AdGuard Home」が大量のTXTクエリに踏み台にされるリスクを減らす、 対策 を紹介するよ〜！ ⚙️ fail2ban＋rsyslog で自動ブロック 次は「疑わしきTXTクエリを送ってきたIPを自動でBAN」しちゃう仕組みを作るよ！ 1 fail2banを入れよう sudo dnf install -y epel-release sudo dnf install -y fail2ban sudo systemctl enable --now fail2ban sudo systemctl status fail2ban 2 AdGuard Homeのクエリログ設定 ログをJSONで書き出すように、設定ファイルにポン！ # vi /opt/AdGuardHome/AdGuardHome.yaml querylog: dir_path: "/var/log/adguardhome" ignored: [] interval: 24h size_memory: 1000 enabled: true file_enabled:true 設定後は： sudo systemctl restart AdGuardHome 3 rsyslogでTXTクエリだけピックアップ JSONログを5秒ごとにチェック → TXT行だけ専用ファイルに保存！ # /etc/rsyslog.d/adguard-txt.conf module(load="imfile" PollingInterval="5") input(type="imfile" File="/var/log/adguardhome/querylog.json" Tag="adg...