用 IPTABLES 构建 Linux 防火墙
1. 修改 ssh 端口,没想到之前大量的ssh尝试登录次数少多了,基本上等于0
2. 分析 /var/log/secure 日志,找出那些尝试登录次数较多的IP地址,加入到防火墙中去
下面是一个简单的secure日志分析脚本:
#!/bin/sh # #本脚本用于搜索 /var/log/secure* 文件中的登录失败记录 #然后把一些请求量比较大的ip加入到黑名单中 # #created by yejr,2007-03-19 # /sbin/iptables -N LOGINFAIL_LIST /sbin/iptables -A LOGINFAIL_LIST -j REJECT #从secure日志中找出所有的尝试登录IP grep 'Failed password for .* from' /var/log/secure*\ |awk '{print $11}'|cut -d ':' -f 4 > /tmp/faillogin grep 'Failed password for invalid user .* from' \ /var/log/secure*|awk '{print $12}'|cut -d ':' -f 4 >> \ /tmp/faillogin #对这些IP按尝试次数进行排序,取出次数超过10的IP加入到防火墙中去 cat /tmp/faillogin|sort|uniq -c|sort -rn\ |egrep '[0-9]{2,} [0-9]{1,}\.'|while read LINE doIP=`echo $LINE|awk '{print $2}'`#判断是否已经在防火墙中存在了if [ `/sbin/iptables -L -n|grep -v grep|grep $IP -c` -lt 1 ] ; then/sbin/iptables -A INPUT -s $IP -j LOGINFAIL_LISTfi done
#!/bin/sh # # 静态安全防火墙脚本 # # created by yejr,2007-03-20 # # #定义信任IP列表 #内部ip子网 MY_IP_LIST_1=192.168.8.0/24 #外部ip子网 MY_IP_LIST_2=1.2.3.0/24 #所有 ALL_IP=0/0 #北京ADSL动态IP列表 BJADSL_IP_LIST=221.218.0.0/16 #定义端口列表 #涉及ftp端口 FTP_PORT_1=20 FTP_PORT_RANGE="1023:65535" FTP_PORT_2=21 #dns端口 DNS_PORT=53 #httpd端口 HTTP_PORT=80 #ssh 端口 SSH_PORT=4321 IPT="/sbin/iptables" # 内网 LC_IFACE="eth1" LC_ADDR="192.168.8.2" # 公网 INET_IFACE="eth0" INET_ADDR="1.2.3.4" # 本机 LO_IFACE="lo" LO_ADDR=127.0.0.1 # 定义接受请求速率限制 MAX_NUM_PACKS=1024 # 核心模块 /sbin/modprobe ip_tables # ftp模块 /sbin/modprobe ip_nat_ftp # 限速模块 /sbin/modprobe ip_conntrack # 重新设置防火墙到默认状态 $IPT -P INPUT ACCEPT $IPT -P FORWARD ACCEPT #$IPT -P OUTPUT ACCEPT $IPT -F $IPT -X # 先拒绝所有请求 $IPT -P INPUT DROP #$IPT -P OUTPUT DROP $IPT -P FORWARD DROP ########################################## # 设定一些内核参数 ########################################## #启动 SYN 泛洪保护 echo "1" > /proc/sys/net/ipv4/tcp_syncookies #启用反向路径源认证,防止欺骗 echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter #关闭 icom echo 广播包请求 echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #拒绝源路由包 echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route #仅仅接收发给默认网关列表中网关的ICMP重定向消息 echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects #记录来自非法ip的请求 echo "1" > /proc/sys/net/ipv4/conf/all/log_martians ########################################## # 建立规则 ########################################## # 无效请求包规则 $IPT -N bad_packets # 另一个恶意 TCP 包规则 $IPT -N bad_tcp_packets # ICMP规则(进/出) $IPT -N icmp_packets # 来自公网的UDP请求规则 $IPT -N inet_udp_inbound # 从本机发往公网的UDP请求规则,默认全部允许 $IPT -N udp_outbound # 来自公网的 TCP 请求规则 $IPT -N inet_tcp_inbound # 从本机发往公网的 TCP 请求规则,默认全部允许 $IPT -N tcp_outbound ########################################## # 恶意请求规则 ########################################## # 立刻断掉非法的包并且记录 $IPT -A bad_packets -p ALL -m state --state INVALID \ -j LOG --log-prefix "IPTABLES_INVALID_PACKET:" $IPT -A bad_packets -p ALL -m state --state INVALID \ -j DROP # 再次检查 TCP 包是否还有问题 $IPT -A bad_packets -p tcp -j bad_tcp_packets # 都正确了,返回 $IPT -A bad_packets -p ALL -j RETURN ########################################## # 恶意 TCP 请求 ########################################## # # 所有的 TCP 请求都必须经过以下规则过滤. 任何新请求都 # 必须以一个 sync 包开始. # 如果不是这样的话,很可能表示这是一个扫描动作,这些有 # NEW 状态的包会被丢弃 # $IPT -A bad_tcp_packets -p tcp ! --syn -m state --state \ NEW -j LOG --log-prefix "IPTABLES_NEW_NOT_SYN:" $IPT -A bad_tcp_packets -p tcp ! --syn -m state --state \ NEW -j DROP $IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j \ LOG --log-prefix "IPTABLES_STEALTH_SCAN:" $IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j DROP $IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j \ LOG --log-prefix "IPTABLES_STEALTH_SCAN:" $IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j DROP $IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH\-j LOG --log-prefix "IPTABLES_STEALTH_SCAN:" $IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH\-j DROP $IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG \ -j LOG --log-prefix "IPTABLES_STEALTH SCAN:" $IPT -A bad_tcp_packets -p tcp --tcp-flags ALL \ SYN,RST,ACK,FIN,URG -j DROP $IPT -A bad_tcp_packets -p tcp --tcp-flags \ SYN,RST SYN,RST -j LOG --log-prefix \ "IPTABLES_STEALTH SCAN:" $IPT -A bad_tcp_packets -p tcp --tcp-flags \ SYN,RST SYN,RST -j DROP $IPT -A bad_tcp_packets -p tcp --tcp-flags \ SYN,FIN SYN,FIN -j LOG --log-prefix \ "IPTABLES_STEALTH SCAN:" $IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP # 都没问题了,返回 $IPT -A bad_tcp_packets -p tcp -j RETURN ########################################## # ICMP 包规则 ########################################## # # ICMP 包必须封装在一个2层的帧中,因此它们不会有碎片. # 带有碎片的 ICMP 包通常被 # 标记为恶意*** # $IPT -A icmp_packets --fragment -p ICMP -j LOG \ --log-prefix "IPTABLES_ICMP Fragment:" $IPT -A icmp_packets --fragment -p ICMP -j DROP # # 默认地,所有丢弃的 ICMP 包都不记录日志. "冲击波" # 以及 "蠕虫" 会导致系统发起大量 # ping 请求. 如果想要记录 icmp log 就不要把本行注释掉 # # 允许自有服务器ip及北京地区adsl ip进行 PING $IPT -A icmp_packets -p ICMP -s $MY_IP_LIST_2 -j ACCEPT $IPT -A icmp_packets -p ICMP -s $BJADSL_IP_LIST -j ACCEPT # 拒掉其他 PING $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP # 接受超时 icmp 包 $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT ########################################## # TCP & UDP 包规则 ########################################## ########################################## # 来自公网的 UDP 请求 ########################################## #$IPT -A inet_udp_inbound -p UDP \ -s $MY_IP_LIST_2 --dport $DNS_PORT -j ACCEPT # 都没问题了,返回 $IPT -A inet_udp_inbound -p UDP -j RETURN ########################################## # 发往公网的 UDP 请求 ########################################## # 都没问题了,返回 $IPT -A udp_outbound -p UDP -s 0/0 -j ACCEPT ########################################## # 来自公网的 TCP 请求 ########################################## # sshd 只对 北京ADSL IP段开放 $IPT -A inet_tcp_inbound -p TCP \ -s $BJADSL_IP_LIST --dport $SSH_PORT -j ACCEPT # 允许自有服务器 IP 的 FTP 端口请求 # FTP Data fix $IPT -A inet_tcp_inbound -p TCP -s $MY_IP_LIST_2 \ --sport $FTP_PORT_1 --dport $FTP_PORT_RANGE ! --syn \ -m state --state RELATED -j ACCEPT $IPT -A inet_tcp_inbound -p TCP -s $MY_IP_LIST_2 \ -m state --state ESTABLISHED -j ACCEPT $IPT -A inet_tcp_inbound -p UDP -s $MY_IP_LIST_2 \ --dport $FTP_PORT_RANGE -j ACCEPT $IPT -A inet_tcp_inbound -p TCP -s $MY_IP_LIST_2 \ --dport $FTP_PORT_1 ! --syn -j ACCEPT $IPT -A inet_tcp_inbound -p TCP -s $MY_IP_LIST_2 \ --dport $FTP_PORT_2 -j ACCEPT #允许所有ip访问 http 服务 $IPT -A inet_tcp_inbound -p TCP -s $ALL_IP \ --dport $HTTP_PORT -j ACCEPT # 都没问题了,返回 $IPT -A inet_tcp_inbound -p TCP -j RETURN ########################################## # 发往公网的 TCP 请求 ########################################## # 都没问题了,返回 $IPT -A tcp_outbound -p TCP -s 0/0 -j ACCEPT ########################################## # 其他收到的请求 ########################################## # 允许本机及本子网间的任何通信 $IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT $IPT -A INPUT -p ALL -d $LC_ADDR -j ACCEPT # 来自信任ip的任何请求都接受 $IPT -A INPUT -p ALL -s $MY_IP_LIST_1 -j ACCEPT $IPT -A INPUT -p ALL -s $MY_IP_LIST_2 -j ACCEPT # 丢弃任何错误包 $IPT -A INPUT -p ALL -j bad_packets # 拒掉 DOCSIS 请求 $IPT -A INPUT -p ALL -d 224.0.0.1 -j REJECT # 接受 Established 连接 $IPT -A INPUT -p ALL -i $INET_IFACE -m state \ --state ESTABLISHED,RELATED -j ACCEPT # 定义上面的几条路由规则 $IPT -A INPUT -p TCP -d $INET_ADDR -j inet_tcp_inbound $IPT -A INPUT -p UDP -d $INET_ADDR -j inet_udp_inbound $IPT -A INPUT -p ICMP -d $INET_ADDR -j icmp_packets # 丢弃且不记录广播包 $IPT -A INPUT -m pkttype --pkt-type broadcast -j REJECT # 记录其他未匹配到的包 $IPT -A INPUT -m limit --limit $MAX_NUM_PACKS/minute \ --limit-burst $MAX_NUM_PACKS -j LOG --log-prefix \ "IPTABLES_MISS_MATCH_INPUT:" ########################################## # 其他发出的请求 ########################################## # 无论如何都丢弃错误的 ICMP 包,防止溢出 $IPT -A OUTPUT -m state -p icmp --state INVALID \ -j REJECT # 允许对外的任何请求 $IPT -A OUTPUT -p ALL -s $ALL_IP -j ACCEPT # 记录其他未匹配到的包 $IPT -A OUTPUT -m limit --limit $MAX_NUM_PACKS/minute \ --limit-burst $MAX_NUM_PACKS -j LOG --log-prefix \ "IPTABLES_MISS_MATCH_OUTPUT: "
用 IPTABLES 构建 Linux 防火墙相关推荐
- 防火墙策略添加linux,通过iptables设置Linux防火墙INPUT策略
原标题:通过iptables设置Linux防火墙INPUT策略 小白电脑课堂开课啦!游戏团战就死机,多半是废了.大家好我是小白.说到防火墙,同学们都会想到开了防火墙就会卡的Windows.而在Linu ...
- linux防火墙iptables
目录 一.防火墙iptables的概述 1.防火墙的作用 2.netfilter和iptables的关系 3.四表五链 4.常用的控制类型 二.配置基础iptables 1.配置格式 2.查看配置列表 ...
- linux 防火墙文件路径,linux防火墙设置
手机评站网今天精心准备的是<linux防火墙设置>,下面是详解! linux如何关闭防火墙 一.Linux下开启/关闭防火墙命令 1) 永久性生效,重启后不会复原 开启: chkconfi ...
- 如何禁用linux防火墙,linux防火墙如何禁用
linux防火墙有时候觉得太烦人了,想禁用下,该怎么办呢?下面由学习啦小编给你做出详细的linux防火墙禁用方法介绍!希望对你有帮助! linux防火墙禁用方法一: Linux中现主要有两套管理服务的 ...
- linux显示 防火墙配置文件,怎么查看Linux防火墙配置方法
当Linux系统的防火墙的状态和信息时候,我们可以用哪些命令查看呢.下面由学习啦小编为大家整理了查看Linux系统防火墙的命令详解,希望对大家有帮助! 查看Linux系统防火墙的命令详解 查看Linu ...
- Linux防火墙与iptables命令
Linux防火墙与iptables命令 防火墙概念 一.Firewalld与iptables简介 1.1Firewalld 1.2Firewalld.iptables 二.iptables 2.1四表 ...
- Linux 防火墙开放特定端口 (iptables)
iptables是linux下的防火墙,同时也是服务名称. service iptables status 查看防火墙状态 service iptables start 开启防火墙 service i ...
- Linux防火墙iptables学习
http://blog.chinaunix.net/uid-9950859-id-98277.html 要在网上传输的数据会被分成许多小的数据包,我们一旦接通了网络,会有很多数据包进入,离开,或者经过 ...
- linux 防火墙iptables简明教程
前几天微魔部落再次遭受到个别别有用心的攻击者的攻击,顺便给自己充个电,复习了一下linux下常见的防火墙iptables的一些内容,但是无奈网上的很多教程都较为繁琐,本着简明化学习的目的,微魔为大家剔 ...
- 共创Linux防火墙,Linux防火墙iptables简明教程
前几天微魔部落再次遭受到个别别有用心的攻击者的攻击,顺便给自己充个电,复习了一下linux下常见的防火墙iptables的一些内容,但是无奈网上的很多教程都较为繁琐,本着简明化学习的目的,微魔为大家剔 ...
最新文章
- 关于Tomcat上请求的编解码问题
- HDU1716(全排列)
- HDU - 6746 Civilization(贪心+模拟)
- js 获取td高度_JS或jQuery获取宽高度
- 机器学习(课程笔记4)——逼近参数算法牛顿方法;
- 行星齿轮设计_行星减速机内部结构图与传动原理
- nodejs中使用node-sass
- Ansible复制文件copy和执行脚本shell(学习笔记二)
- Spring的Aop授权不起作用,例如Shiro的注解(@RequiresRoles,@RequiresPermissions)
- python自定义函数如何命名_Python 自定义类之函数和运算符重载
- ceph存储修改vm密钥(密码)
- JAVAweb之SSH框架
- C# AES填充加密解密
- 学术诚信的重要性_坚守学术道德,弘扬学术诚信
- Python入门——文件读写
- WIFI系列协议--802.11s--Mesh网络
- python文件怎么另存为,python文件怎么保存
- 龙之气息服务器维修,龙之气息转职NPC位置大全 转职NPC在哪找
- Autojs: 坚果云文本文件上传/下载
- 计算机考研高数范围,考研数学一范围