本文章使用的CentOS 6.5的操作系統,可以使用如下命令查看自帶的iptables版本:
[root@private ~]# iptables --version
iptables v1.4.7
[root@private ~]# uname -r
2.6.32-431.el6.x86_64
由於這裡的服務器都涉及生產服務器,為了防止發生意外事件,所以在調試iptables腳本之前,先配置一個Crontab計劃任務,每5分鐘關閉一次防火牆,以免將自己千里之外的防火牆SSH連接也斷掉了,那樣就得不償失了,編輯/etc/crontab計劃任務的命令如下:
*/5 * * * * root /etc/init.d/iptables stop
等確保iptables萬無一失以後,才能清除掉此計劃任務。
本Linux系統的默認策略是INPUT為DROP,OUTPUT、FORWARD鏈為ACCEPT,DROP設置得比較寬鬆,因為我們知道出去的數據包比較安全。
腳本如下:
[root@private Script]# cat iptables_work.sh
#!/bin/bash
# 線上Linux生產服務器iptables腳本
iptables -F
iptables -F -t nat
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -F FORWARD ACCEPT
# load connection-tracking modules
modprobe ip_conntrack
modprobe iptable_nat
iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,22 -j ACCEPT
[root@private Script]#
查看iptables的詳細規則,命令如下:
iptables -nv -L
在主機的防護上我們配置了一些安全措施,以防止外部的ping和SYN洪水攻擊,並且考慮到外部的瘋狂端口掃描軟件可能會影響服務器的入口帶寬,所以在這裡也做了限制,命令如下:
iptables -A INPUT -p tcp ——syn -m limit ——limit 100/s ——limit-burst 100 -j ACCEPT
上面的命令每秒鐘最多允許10個新連接,請注意這裡的新連接指的是state為New的數據包,後面也配置了允許狀態為ESTABLISHED和RELATED的數據通過;另外,閾值(上述命令中為100)需要根據服務器的實際情況來調整,如果是併發量不大的服務器,則要將這個數值調小,如果是訪問量非常大且併發數不小的服務器,則還需要將這個值調大。再來看看以下命令:
iptables -A FORWARD -p icmp ——icmp-type echo-request -m limit ——limit 1/s –limit-burst 10 -j ACCEPT
上述命令是為了防止ping洪水攻擊,限制每秒的ping包不超過10個。
iptables -A INPUT -p tcp -m tcp ——tcp-flags SYN,RST,ACK SYN -m limit ——limit 20/sec ——limit-burst 200 -j ACCEPT
上面的命令是防止各種端口掃描,將SYN及ACK SYN限制為每秒鐘不超過200個,以免將服務器的帶寬耗盡。
還可以運行nmap工具掃描此機器的公網地址211.143.1.1(此公網地址已做無害處理),命令如下:
nmap -P0 -sS 211.143.1.1
此命令的執行結果如下:
可以用命令lsof -i:80 來查看:
閱讀更多 海淵haiyuan 的文章
