ルータにWZR-HP-G300NHを使っていて、出先からのsshのloginやァイルコピーのために、 ルータのVPNサーバの機能を使っている。 しかし、知らぬ間にパスワード総当たり攻撃などでクラックされたら、 筒抜けになるのは怖い。

そこで、VPNが使われたら携帯に警告メールを出したい。 最初、arpalert で監視すればいいと思ったけど、ルータ経由で入れるようになるんだから、 検知できるはずがない。 その代わりに、nagios で検出を考えたけど、どうすればいいのか？

WZR-HP-G300NHでは、"Internet/LAN"→"PPTPサーバ"→"拡張設定"→"サーバIPアドレス" にて、手動設定のアドレスを書き込んである。 そして、VPN未接続時に、このアドレスのpingチェックをすればいい。 ただし、pingが通らないのが通常状態で、pingが通ると"侵入の可能性あり"。

そこで、nagiosの設定は、negate を使う。

(( /etc/nagios-plugin/config/host-down.cfg ))
# 'check-host-down' command definition
define command{
command_name check-host-down
command_line /usr/lib/nagios/plugins/negate
/usr/lib/nagios/plugins/check_ping
-H '$HOSTADDRESS$' -w 50,100% -c 50,100% -p 1
}
(( /etc/nagios3/conf.d/localnet_nagios2.cfg ))
define host{
use        generic-host
host_name  router-vpn
alias      router-vpn
address    192.168.XX.1
check_command check-host-down
}