本文章使用的CentOS 6.5的操作系统,可以使用如下命令查看自带的iptables版本:
[root@private ~]# iptables --version
iptables v1.4.7
[root@private ~]# uname -r
2.6.32-431.el6.x86_64
由于这里的服务器都涉及生产服务器,为了防止发生意外事件,所以在调试iptables脚本之前,先配置一个Crontab计划任务,每5分钟关闭一次防火墙,以免将自己千里之外的防火墙SSH连接也断掉了,那样就得不偿失了,编辑/etc/crontab计划任务的命令如下:
*/5 * * * * root /etc/init.d/iptables stop
等确保iptables万无一失以后,才能清除掉此计划任务。
本Linux系统的默认策略是INPUT为DROP,OUTPUT、FORWARD链为ACCEPT,DROP设置得比较宽松,因为我们知道出去的数据包比较安全。
脚本如下:
[root@private Script]# cat iptables_work.sh
#!/bin/bash
# 线上Linux生产服务器iptables脚本
iptables -F
iptables -F -t nat
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -F FORWARD ACCEPT
# load connection-tracking modules
modprobe ip_conntrack
modprobe iptable_nat
iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,22 -j ACCEPT
[root@private Script]#
查看iptables的详细规则,命令如下:
iptables -nv -L
在主机的防护上我们配置了一些安全措施,以防止外部的ping和SYN洪水攻击,并且考虑到外部的疯狂端口扫描软件可能会影响服务器的入口带宽,所以在这里也做了限制,命令如下:
iptables -A INPUT -p tcp ——syn -m limit ——limit 100/s ——limit-burst 100 -j ACCEPT
上面的命令每秒钟最多允许10个新连接,请注意这里的新连接指的是state为New的数据包,后面也配置了允许状态为ESTABLISHED和RELATED的数据通过;另外,阈值(上述命令中为100)需要根据服务器的实际情况来调整,如果是并发量不大的服务器,则要将这个数值调小,如果是访问量非常大且并发数不小的服务器,则还需要将这个值调大。再来看看以下命令:
iptables -A FORWARD -p icmp ——icmp-type echo-request -m limit ——limit 1/s –limit-burst 10 -j ACCEPT
上述命令是为了防止ping洪水攻击,限制每秒的ping包不超过10个。
iptables -A INPUT -p tcp -m tcp ——tcp-flags SYN,RST,ACK SYN -m limit ——limit 20/sec ——limit-burst 200 -j ACCEPT
上面的命令是防止各种端口扫描,将SYN及ACK SYN限制为每秒钟不超过200个,以免将服务器的带宽耗尽。
还可以运行nmap工具扫描此机器的公网地址211.143.1.1(此公网地址已做无害处理),命令如下:
nmap -P0 -sS 211.143.1.1
此命令的执行结果如下:
可以用命令lsof -i:80 来查看:
閱讀更多 海淵haiyuan 的文章