免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3485 | 回复: 4
打印 上一主题 下一主题

两天之内被5人入侵.大家帮忙看看我的iptables! [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2007-01-20 02:52 |只看该作者 |倒序浏览
各位老大,帮帮忙!
最近我挂在公网上的一台用于学习的Linux在两天内被多余5次入侵.原因是我改了一个弱密码,忘了改回来.
被入侵了也没太大关系,因为本来这个机器就是用来练习的.
因此,我就开始捣鼓iptables .
利用iptables关了所有端口,只放行3389(给内网机器做的映射)和65530端口(我修改了SSH端口为65530),并在22号端口上做了MIRROR.   可是却出了点问题.
只要放火墙开启后,SSH过来在输入用户名和密码后就卡住了.如果用PUTTY,在输完密码以后就直接断开.用了很多办法都没搞定.
大家帮忙看看这究竟是怎么回事啊!!!!


#!/bin/sh

Firewall="/sbin/iptables"

$Firewall -P INPUT ACCEPT
#Firewall -P FORWARD ACCEPT
$Firewall -P OUTPUT ACCEPT

$Firewall -t nat -P PREROUTING ACCEPT
$Firewall -t nat -P POSTROUTING ACCEPT
$Firewall -t nat -P OUTPUT ACCEPT

$Firewall -t mangle -P PREROUTING ACCEPT
$Firewall -t mangle -P OUTPUT ACCEPT

$Firewall -F
$Firewall -t nat -F
$Firewall -t mangle -F

$Firewall -X
$Firewall -t nat -X
$Firewall -t mangle -X


Lan_Range="172.19.15.0/27"
Lan_GateWay="172.19.15.1"
Lan_Nat_IP="172.16.19.30"
Inet_IP="202.111.141.55"
Lan_MyHost="172.16.15.20"
Inet_Inf="eth0"
Lan_Inf="eth1"

$Firewall -P INPUT DROP

echo '0' > /proc/sys/net/ipv4/ip_forward

#我修改了SSH端口为65530

$Firewall -A INPUT -p tcp -m multiport --destination-port 3389,65530 -j ACCEPT
#$Firewall -A INPUT -p tcp -m multiport --dport 3389,65530 -j ACCEPT   我感觉如果使用这种方法就会有问题。SSH就过不来!

问题是否出在这里??? 但是使用第一条也会过不来.不过偶尔又能SSH成功.
该系统是2.4.21 的内核. Iptables 是1.2.8的内核.

#$Firewall -A INPUT -p tcp --dport 3389 -j ACCEPT
#$Firewall -A INPUT -p tcp --dport 65530 -j ACCEPT



$Firewall -A INPUT -p tcp --dport 22 -j MIRROR


#MASQUERADE

$Firewall -t nat -A POSTROUTING -o $Inet_Inf -s $Lan_Range  -j SNAT --to-source $Inet_IP
$Firewall -A INPUT -p icmp --icmp-type 0 -j ACCEPT
$Firewall -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#-----------NAT-----------#
$Firewall -t nat -A PREROUTING  -p tcp --dport 3389 -j DNAT --to-destination $Lan_MyHost
$Firewall -t nat -A POSTROUTING -p tcp -s $Lan_MyHost --dport 3389  -j SNAT --to-source $Lan_Nat_IP

echo '1' > /proc/sys/net/ipv4/ip_forward




如果不开放火强先使用SSH连接到Linux上去,然后在启动放火墙,不会掉...

[ 本帖最后由 agaonet 于 2007-1-20 11:51 编辑 ]

论坛徽章:
0
2 [报告]
发表于 2007-01-20 05:09 |只看该作者
1. 又是一篇没考虑到 tcp/ip 双向问题的配置。可以阅读 iptables 常见设定 faq

http://linux.chinaunix.net/bbs/v ... &extra=page%3D1

2. 启动的服务对外服务但是本身有漏洞,比方 apache or ssh 的安全漏洞等问题要安装 linux distro 提供的 security update 来补丁,用 iptables firewall 无法阻挡这类程式本身有漏洞情况。

--

论坛徽章:
0
3 [报告]
发表于 2007-01-20 08:29 |只看该作者
====

同意。我认为只考虑 iptables 的配置是没有多大效果的。

====

论坛徽章:
0
4 [报告]
发表于 2007-01-20 10:42 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽

论坛徽章:
0
5 [报告]
发表于 2007-01-20 11:53 |只看该作者
谢谢老大们! 由于初学很多都搞不明白,我这儿只有一篇网络上的教材.

"4楼 发表于 2007-1-20 10:42   
发起 连接的防火墙关掉 "

这是什么意思呢???
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP