精灵巫婆 发表于 2015-1-14 20:17:32

给大家带来经由过程shell剧本避免端口扫描

欢迎大家来到仓酷云论坛!网上有如今的防端口工具,如psad、portsentry,但以为设置有点贫苦,且办事器不想再装一个分外的软件。以是本人就写了个shell剧本完成这个功效。基础思绪是:利用iptables的recent模块纪录下在60秒钟内扫描凌驾10个端口的IP,并分离inotify-tools工具及时监控iptables的日记,一旦iptables日记文件有写进新的ip纪录,则利用iptables***源ip,起到了避免端口扫描的功效。

1、iptables划定规矩设置

新建剧本iptables.sh,实行此剧本。

IPT="/sbin/iptables"
$IPT--delete-chain
$IPT--flush

#DefaultPolicy
$IPT-PINPUTDROP
$IPT-PFORWARDDROP
$IPT-POUTPUTDROP

#INPUTChain
$IPT-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT
$IPT-AINPUT-ptcp-mtcp--dport80-jACCEPT
$IPT-AINPUT-ptcp-mtcp--dport22-jACCEPT
$IPT-AINPUT-ilo-jACCEPT
$IPT-AINPUT-picmp-micmp--icmp-type8-jACCEPT
$IPT-AINPUT-picmp-micmp--icmp-type11-jACCEPT
$IPT-AINPUT-ptcp--syn-mrecent--nameportscan--rcheck--seconds60--hitcount10-jLOG
$IPT-AINPUT-ptcp--syn-mrecent--nameportscan--set-jDROP
#OUTPUTChain
$IPT-AOUTPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT
$IPT-AOUTPUT-pudp-mudp--dport53-jACCEPT
$IPT-AOUTPUT-olo-jACCEPT
$IPT-AOUTPUT-picmp-micmp--icmp-type8-jACCEPT
$IPT-AOUTPUT-picmp-micmp--icmp-type11-jACCEPT

#iptablessave
serviceiptablessave
serviceiptablesrestart

注重:17-18行的两条划定规矩务必在INPUT链的最上面,别的划定规矩本人能够增补。

2、iptables日记地位变动

编纂/etc/syslog.conf,增加:

kern.warning/var/log/iptables.log

重启syslog

/etc/init.d/syslogrestart

3、防端口扫描shell剧本

起首装置inotify:

yuminstallinotify-tools

保留以下代码为ban-portscan.sh

btime=600#封ip的工夫
whiletrue;do
whileinotifywait-q-q-emodify/var/log/iptables.log;do
ip=`tail-1/var/log/iptables.log|awk-F"[=]"{print$13}|grep({1,3}.){3}{1,3}`
iftest-z"`/sbin/iptables-nL|grep$ip`";then
/sbin/iptables-IINPUT-s$ip-jDROP
{
sleep$btime&&/sbin/iptables-DINPUT-s$ip-jDROP
}&
fi
done
done

实行下令入手下手启用端口防扫描

nohup./ban-portscan.sh&
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!

莫相离 发表于 2015-1-15 16:50:11

给大家带来经由过程shell剧本避免端口扫描

我也来顶一下..

飘飘悠悠 发表于 2015-1-25 19:05:11

学习Linux应具备的。[书籍+网络资源]

老尸 发表于 2015-2-4 03:44:42

和私有操作系统不同,各个Linux的发行版本的技术支持时间都较短,这对于Linux初学者是往往不够的。

admin 发表于 2015-2-9 14:42:31

熟读Linux系统有关知识,如系统目录树,有关内容可购书阅读或搜索论坛。

蒙在股里 发表于 2015-2-27 12:07:33

掌握在Linux系统中安装软件,在安装Linux工具盘后大致日常所需的软件都会有,一般网络提供下载的软件都会有安装说明。

仓酷云 发表于 2015-3-9 15:05:11

当然你不需搭建所有服务,可以慢慢来。自己多动手,不要非等着别人帮你解决问题。

金色的骷髅 发表于 2015-3-17 03:10:15

了解Linux的网络安全,系统的安全,用户的安全等。安全对于每位用户,管理员来说是非常重要的。
页: [1]
查看完整版本: 给大家带来经由过程shell剧本避免端口扫描