English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
Texto
IPTABLES= -iptables es una herramienta importante de seguridad de red para servidores de Linux, considerando que la mayoría de los servidores tienen un equipo de administración dedicado, los administradores de servidores tienen la mayoría del tiempo que solo pueden administrar de forma remota a través de SSH, en caso de seguridad permitida, asegurar la conexión legítima de SSH, se debe hacer la siguiente configuración. IPTABLES= -F IPTABLES= -A INPUT -P INPUT ACCEPT -j ACCEPT IPTABLES= -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT IPTABLES= -A INPUT -p tcp --dport 22 -j ACCEPT IPTABLES= -P INPUT DROP IPTABLES= -P FORWARD DROP IPTABLES= -i lo IPTABLES= -P OUTPUT ACCEPT -L
v22Esto asegura que SSH
obtener el puerto de tránsito legal, luego ejecutar service iptables save para guardar la configuración anterior. /etc/A través de cat/sysconfig
iptables puede ver la información del archivo de configuración de iptables, en el futuro se puede editar directamente el archivo, agregar o eliminar entradas de configuración. -Ver la instrucción de regla de iptables en ejecución: lsmod | buscar ip_tables o iptables
L。
#!/bin/sh
El editor agrega un conocimiento: estrategia de iptables para la prevención de ataques simples/sbin/IPTABLES=
iptables
$IPTABLES -F
# borrar
# si el tipo de paquete es permitir, entonces aceptar -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# #$IPTABLES8# Si está activo al mismo tiempo10Descarta esta ip si el número de conexiones en el puerto 0 es mayor que
netstat -an | buscar :80 | awk -F: '{ print $8 }' | ordenar | único -c | awk -F\ '$1>10 && $2!="" { print $2 }' >> /etc/fw.list
menos /etc/fw.list | ordenar | único -c | awk -F\ '$2!="" { print $2 }' > /etc/fw.list2
menos /etc/fw.list2 > /etc/fw.list
mientras read line
hacer
t=`echo "$line"`
$IPTABLES -A INPUT -p tcp -s $t -j DROP
hecho < /etc/fw.list2
# IP reenvío
$IPTABLES -A INPUT -p tcp --dport 20002 -j ACCEPT
$IPTABLES -A INPUT -d 172.16.204.7 -p tcp -m tcp --dport 20002 -i eth0 -j ACCEPT
$IPTABLES -t nat -UNA PREROUTING -d 211.100.39.44 -p tcp -m tcp --dport 20002 -j DNAT --to-destino 172.16.204.7:20002
$IPTABLES -t nat -UNA POSTROUTING -d 172.16.204.7 -p tcp -m tcp --dport 20002 -j SNAT --to-source 10.6.39.44
# if pkg visit 80,7710 port then accept
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 873 -j ACCEPT
# $IPTABLES -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT
$IPTABLES -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
# if pkg from allow ip then accept
$IPTABLES -A INPUT -p tcp -s 127.0.0.1 -j ACCEPT
# if pkg not above then deny
$IPTABLES -A INPUT -p tcp --syn -j DROP
Este resultado de prueba de firewall es más correcto y puede起到一定的防攻击功能
#!/bin/sh
IPTABLES="/sbin/iptables"
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -F
$IPTABLES -X
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s 192.168.1.102 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s 192.168.1.102 -j ACCEPT
$IPTABLES -A INPUT -p tcp --syn -j DROP
Esto es todo el contenido de este artículo, espero que sea útil para su aprendizaje y que todos los ayuden a apoyar el tutorial de gritos.
Declaración: el contenido de este artículo se obtiene de la red, pertenece al propietario original, se contribuye y carga de manera autónoma por los usuarios de Internet. Este sitio no posee los derechos de propiedad, no realiza procesamiento editorial manual y no asume responsabilidad alguna por las responsabilidades legales. Si encuentra contenido sospechoso de copyright, le invitamos a enviar un correo electrónico a: notice#oldtoolbag.com (al enviar un correo electrónico, reemplace # con @) para denunciar y proporcionar evidencia relevante. Una vez verificada, este sitio eliminará inmediatamente el contenido sospechoso de infracción.