阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

Web主机iptables防火墙安全脚本

126次阅读
没有评论

共计 4038 个字符,预计需要花费 11 分钟才能阅读完成。

系统的默认策略是 INPUT 为 DROP,OUTPUT、FORWARD 链为 ACCEPT,DROP 设置得比较宽松,因为我们知道出去的数据包比较安全;为了验证脚本的通用性,我特的查看了服务器的内核及 iptables 版本,命令如下所示:

uname-a
iptables -V

如果大家要采用 iptables 作为主机防火墙时,建议用 CentOS5.6 x86_64 或更高版本,不然系统会有如下错误信息:

iptables: Unknown error 18446744073709551615
iptables:Invalid argument
在 tail-f /var/log/messages 时能发下面的的出错提示
ip_tables: connlimit match: invalid size 32 != 16
ip_tables: connlimit match: invalid size 32 != 24

另外,在生产环境下调试 iptables 脚本前,强烈建议编写 crontab 任务,每 5 分钟关闭一次 iptalbes 脚本,防止将 SSH 客户端锁在外面,命令如下所示:

*/5* * * * root /etc/init.d/iptablesstop

脚本代码如下所示:

#!/bin/bash
iptables -F
iptables -F -t nat
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#load connection-tracking modules
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A INPUT -f -m limit –limit 100/sec–limit-burst 100 -j ACCEPT
iptables -A INPUT -p icmp –icmp-typeecho-request -m limit –limit 1/s–limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m limit –limit 20/sec–limit-burst 200 -j ACCEPT
iptables -A INPUT -s 122.70.x.x -j ACCEPT
iptables -A INPUT -s 122.70.x.x -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport –dport 80,22 -j ACCEPT

这里有一种特殊情况,由于此 Web 服务器是置于负载均衡器后面,所以与负载均衡器的连接还是很频繁的;所以我们要允许数据源地址为负载均衡器的数据包通过;另外,我的许多基于 LNMP 的小网站上面也部署了此脚本,即 Web 服务和 MySQL 数据库同时安装在一台机器上,也没有开放 3306 端口,这个靠 Web 调用 PHP 程序实现访问。

成功运行此脚本后系统应该是不会报错的,命令如下:

iptables -nv –L

此命令显示结果如下

Chain INPUT (policy DROP 610 packets, 50967 bytes)
pkts bytes target    prot opt inout    sourcedestination     
0    0 ACCEPT    all  -f  *      *      0.0.0.0/00.0.0.0/0limit: avg 100/secburst 100
6100  314K ACCEPT    tcp  —  *      *      0.0.0.0/00.0.0.0/0tcp flags:0x16/0x02limit: avg 20/secburst 200
1052 67637 ACCEPT    all  —  *      *      122.70.x.x        0.0.0.0/0
986 58112 ACCEPT    all  —  *      *      122.70.x.x        0.0.0.0/0
918  131K ACCEPT    all  —  lo    *      0.0.0.0/00.0.0.0/0
97056  12M ACCEPT    all  —  *      *      0.0.0.0/00.0.0.0/0state RELATED,ESTABLISHED
4325  218K ACCEPT    tcp  —  *      *      0.0.0.0/00.0.0.0/0multiport dports 80,22
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target    prot opt inout    sourcedestination     
0    0 ACCEPT    icmp —  *      *      0.0.0.0/00.0.0.0/0icmp type8 limit: avg 1/secburst 10
Chain OUTPUT (policy ACCEPT 144K packets, 155M bytes)
pkts bytes target    prot opt inout    sourcedestination     
956  134K ACCEPT    all  —  *      lo      0.0.0.0/00.0.0.0/0

下面我稍为详细的解释下此脚本:
在主机的防护上我们配置了一些安全措施,以防止外部的 ping 和 SYN 洪水攻击,并且考虑到外部的疯狂端口扫描软件可能会影响服务器的入口带宽,所以在这里也做了限制。命令如下所示:

iptables -A INPUT -p tcp –syn -m limit –limit 100/s–limit-burst 100 -j  ACCEPT

上面的命令每秒钟最多允许 100 个新连接,请注意这里的新连接指的是 state 为 New 的数据包,在后面我们也配置了允许状态为 ESTABLISHED 和 RELATED 的数据通过;另外,100 这个阀值则要根据服务器的实际情况来调整,如果是并发量不大的服务器这个数值就要调小,如果是访问量非常大且并发数不小的服务器,这个值则还需要调大。

iptables -A INPUT -p icmp –icmp-typeecho-request -m limit –limit 1/s–limit-burst 10 -j ACCEPT
这是为了防止 ping 洪水攻击,限制每秒的 ping 包不超过 10 个。
iptables -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m limit –limit 20/sec–limit-burst 200 -j ACCEPT

上面的命令防止各种端口扫描,将 SYN 及 ACK SYN 限制为每秒钟不超过 200 个,免得把数务器带宽耗尽了。

iptables 防火墙运行后,我们可以运行 nmap 工具进行扫描,命令如下:

nmap -P0 -sS 211.143.6.x

此命令的执行结果如下:

Starting Nmap 4.11 (http://www.insecure.org/nmap/) at 2009-03-29 16:21 CST
Interesting ports on 211.143.6.X:
Not shown: 1668 closed ports
PORT    STATE SERVICE
22/tcpopenssh
25/tcpopensmtp
80/tcpopenhttp
110/tcpopenpop3
111/tcpopenrpcbind
143/tcpopenimap
443/tcpopenhttps
465/tcpopensmtps
587/tcpopensubmission
993/tcpopenimaps
995/tcpopenpop3s
1014/tcpopenunknown

在这里,我们发现一个 1014 端被某个进程打开了,用 lsof -i:1014 查看发现又是 rpc.statd 打开的,这服务每次用的端口都不一样啊!本来想置之不理的,但是如果 rpc.statd 不能正确处理 SIGPID 信号,远程攻击者可利用这个漏洞关闭进程,进行拒绝服务攻击,所以还是得想办法解决掉,我们发现 rpc.statd 是由服务 nfslock 开启的,进一步查询得知它是一个可选的进程,它允许 NFS 客户端在服务器上对文件加锁。这个进程对应于 nfslock 服务,于是我们关掉了此服务,命令如下所示:

service nfslock stop
chkconfig nfslock off

没有硬件防火墙保护的话,置于 IDC 机房并且有公网的 Web 服务器还是很有用 iptables 保护的必要,如果发现有人用工具恶意频繁连接我们的 Web 服务器,我们可以调用 recent 模块来阻止它们。

-A INPUT -p tcp –syn -m limit –limit 12/s –limit-burst 24 -j ACCEPT  防止 DDOS 的 SYN

推荐阅读:

iptables—包过滤(网络层)防火墙 http://www.linuxidc.com/Linux/2013-08/88423.htm

Linux 防火墙 iptables 详细教程 http://www.linuxidc.com/Linux/2013-07/87045.htm

iptables+L7+Squid 实现完善的软件防火墙 http://www.linuxidc.com/Linux/2013-05/84802.htm

iptables 的备份、恢复及防火墙脚本的基本使用 http://www.linuxidc.com/Linux/2013-08/88535.htm

Linux 下防火墙 iptables 用法规则详解 http://www.linuxidc.com/Linux/2012-08/67952.htm

正文完
星哥说事-微信公众号
post-qrcode
 
星锅
版权声明:本站原创文章,由 星锅 2022-01-20发表,共计4038字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中