Chinaunix

标题: 两天之内被5人入侵.大家帮忙看看我的iptables! [打印本页]

---

作者: agaonet    时间: 2007-01-20 02:52
标题: 两天之内被5人入侵.大家帮忙看看我的iptables!
各位老大,帮帮忙!
最近我挂在公网上的一台用于学习的Linux在两天内被多余5次入侵.原因是我改了一个弱密码,忘了改回来.
被入侵了也没太大关系,因为本来这个机器就是用来练习的.
因此,我就开始捣鼓iptables .
利用iptables关了所有端口，只放行3389(给内网机器做的映射)和65530端口(我修改了SSH端口为65530),并在22号端口上做了MIRROR.   可是却出了点问题.
只要放火墙开启后,SSH过来在输入用户名和密码后就卡住了.如果用PUTTY,在输完密码以后就直接断开.用了很多办法都没搞定.
大家帮忙看看这究竟是怎么回事啊!!!!


#!/bin/sh

Firewall="/sbin/iptables"

$Firewall -P INPUT ACCEPT
#Firewall -P FORWARD ACCEPT
$Firewall -P OUTPUT ACCEPT

$Firewall -t nat -P PREROUTING ACCEPT
$Firewall -t nat -P POSTROUTING ACCEPT
$Firewall -t nat -P OUTPUT ACCEPT

$Firewall -t mangle -P PREROUTING ACCEPT
$Firewall -t mangle -P OUTPUT ACCEPT

$Firewall -F
$Firewall -t nat -F
$Firewall -t mangle -F

$Firewall -X
$Firewall -t nat -X
$Firewall -t mangle -X


Lan_Range="172.19.15.0/27"
Lan_GateWay="172.19.15.1"
Lan_Nat_IP="172.16.19.30"
Inet_IP="202.111.141.55"
Lan_MyHost="172.16.15.20"
Inet_Inf="eth0"
Lan_Inf="eth1"

$Firewall -P INPUT DROP

echo '0' > /proc/sys/net/ipv4/ip_forward

#我修改了SSH端口为65530

$Firewall -A INPUT -p tcp -m multiport --destination-port 3389,65530 -j ACCEPT
#$Firewall -A INPUT -p tcp -m multiport --dport 3389,65530 -j ACCEPT   我感觉如果使用这种方法就会有问题。SSH就过不来！

问题是否出在这里？？？ 但是使用第一条也会过不来.不过偶尔又能SSH成功.
该系统是2.4.21 的内核. Iptables 是1.2.8的内核.

#$Firewall -A INPUT -p tcp --dport 3389 -j ACCEPT
#$Firewall -A INPUT -p tcp --dport 65530 -j ACCEPT



$Firewall -A INPUT -p tcp --dport 22 -j MIRROR


#MASQUERADE

$Firewall -t nat -A POSTROUTING -o $Inet_Inf -s $Lan_Range  -j SNAT --to-source $Inet_IP
$Firewall -A INPUT -p icmp --icmp-type 0 -j ACCEPT
$Firewall -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#-----------NAT-----------#
$Firewall -t nat -A PREROUTING  -p tcp --dport 3389 -j DNAT --to-destination $Lan_MyHost
$Firewall -t nat -A POSTROUTING -p tcp -s $Lan_MyHost --dport 3389  -j SNAT --to-source $Lan_Nat_IP

echo '1' > /proc/sys/net/ipv4/ip_forward




如果不开放火强先使用SSH连接到Linux上去,然后在启动放火墙,不会掉...

[ 本帖最后由 agaonet 于 2007-1-20 11:51 编辑 ]

---

作者: kenduest    时间: 2007-01-20 05:09
1. 又是一篇没考虑到 tcp/ip 双向问题的配置。可以阅读 iptables 常见设定 faq

http://linux.chinaunix.net/bbs/v ... &extra=page%3D1

2. 启动的服务对外服务但是本身有漏洞，比方 apache or ssh 的安全漏洞等问题要安装 linux distro 提供的 security update 来补丁，用 iptables firewall 无法阻挡这类程式本身有漏洞情况。

--

---

作者: langue    时间: 2007-01-20 08:29
====

同意。我认为只考虑 iptables 的配置是没有多大效果的。

====

---

作者: hiwoody    时间: 2007-01-20 10:42
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: agaonet    时间: 2007-01-20 11:53
谢谢老大们! 由于初学很多都搞不明白,我这儿只有一篇网络上的教材.

"4楼 发表于 2007-1-20 10:42   
发起 连接的防火墙关掉 "

这是什么意思呢???

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2