忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT 视频 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
查看: 52262 | 回复: 58

防简单攻击iptables策略 [复制链接]

论坛徽章:
0
发表于 2012-01-19 21:30 |显示全部楼层
防简单攻击iptables策略
  1. #!/bin/sh

  2. IPTABLES=/sbin/iptables



  3. # clear

  4. $IPTABLES -F



  5. # if pkg type is allow, then accept

  6. #$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



  7. # 如果同时在80端口的连接数大于10,就Drop掉这个ip

  8. netstat -an | grep :80 | awk -F: '{ print $8 }' | sort | uniq -c | awk -F\   '$1>10 && $2!="" { print $2 }' >> /etc/fw.list

  9. less /etc/fw.list | sort | uniq -c | awk -F\   '$2!="" { print $2 }' > /etc/fw.list2

  10. less /etc/fw.list2 > /etc/fw.list

  11. while read line

  12.        do

  13.        t=`echo "$line"`

  14.        $IPTABLES -A INPUT -p tcp -s $t -j DROP

  15. done < /etc/fw.list2



  16. # IP转发

  17. $IPTABLES -A INPUT -p tcp --dport 20002 -j ACCEPT

  18. $IPTABLES -A INPUT -d 172.16.204.7 -p tcp -m tcp --dport 20002 -i eth0 -j ACCEPT

  19. $IPTABLES -t nat -A PREROUTING -d 211.100.39.44 -p tcp -m tcp --dport 20002 -j DNAT --to-destination 172.16.204.7:20002

  20. $IPTABLES -t nat -A POSTROUTING -d 172.16.204.7 -p tcp -m tcp --dport 20002 -j SNAT --to-source 10.6.39.44



  21. # if pkg visit 80,7710 port then accept

  22. $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT

  23. $IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT

  24. $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT

  25. $IPTABLES -A INPUT -p tcp --dport 873 -j ACCEPT

  26. # $IPTABLES -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT

  27. $IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT

  28. $IPTABLES -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT

  29. $IPTABLES -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT



  30. # if pkg from allow ip then accept

  31. $IPTABLES -A INPUT -p tcp -s 127.0.0.1   -j ACCEPT



  32. # if pkg not above then deny

  33. $IPTABLES -A INPUT -p tcp --syn -j DROP

  34. 下面这个防火墙测试结果更正确,能起到一定的防攻击的功能



  35. #!/bin/sh

  36. IPTABLES="/sbin/iptables"

  37. echo "1" > /proc/sys/net/ipv4/ip_forward

  38. $IPTABLES -P INPUT DROP

  39. $IPTABLES -P FORWARD DROP

  40. $IPTABLES -P OUTPUT DROP

  41. $IPTABLES -F

  42. $IPTABLES -X



  43. $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  44. $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT

  45. $IPTABLES -A INPUT -p tcp --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT



  46. $IPTABLES -A OUTPUT -p tcp -s 127.0.0.1 -j ACCEPT

  47. $IPTABLES -A OUTPUT -p tcp -s 192.168.1.102 -j ACCEPT

  48. $IPTABLES -A OUTPUT -p udp -s 127.0.0.1 -j ACCEPT

  49. $IPTABLES -A OUTPUT -p udp -s 192.168.1.102 -j ACCEPT



  50. $IPTABLES -A INPUT -p tcp --syn -j DROP
  51. 复制代码
复制代码

论坛徽章:
0
发表于 2012-01-19 21:53 |显示全部楼层
谢谢分享

论坛徽章:
0
发表于 2012-01-20 23:36 |显示全部楼层
收藏收藏收藏

论坛徽章:
0
发表于 2012-02-01 16:45 |显示全部楼层
这个是好东西哦,来收藏一下

论坛徽章:
0
发表于 2012-02-07 09:09 |显示全部楼层
回复能看吗,多谢

论坛徽章:
9
巳蛇
日期:2013-12-05 15:03:33戌狗
日期:2013-12-10 20:52:35白羊座
日期:2014-12-30 14:11:58处女座
日期:2015-01-15 14:33:442015年亚洲杯纪念徽章
日期:2015-01-28 13:37:36羊年新春福章
日期:2015-01-30 15:03:352015年亚洲杯之约旦
日期:2015-02-09 17:07:552015年亚洲杯之韩国
日期:2015-03-26 15:04:132015年亚洲杯之卡塔尔
日期:2015-04-04 16:35:54
发表于 2012-02-13 21:27 |显示全部楼层
支持。

论坛徽章:
0
发表于 2012-02-15 19:46 |显示全部楼层
不错 收藏

论坛徽章:
0
发表于 2012-03-09 20:05 |显示全部楼层
不错。第一次看看iptables可以用那么多限制条件。

论坛徽章:
0
发表于 2012-03-19 10:18 |显示全部楼层
谢谢分享

论坛徽章:
0
发表于 2012-03-25 05:01 |显示全部楼层
这个内容不错
您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号:1101082001
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP