仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 644|回复: 6
打印 上一主题 下一主题

[CentOS(社区)] 带来一篇宁静的Web主机iptables防火墙剧本

[复制链接]
兰色精灵 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:30:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!上面以本人的Web办事器举例申明之,体系的默许战略是INPUT为DROP,OUTPUT、FORWARD链为ACCEPT,DROP设置得对照宽松,由于我们晓得进来的数据包对照宁静;为了考证剧本的通用性,我特的检察了办事器的内核及iptables版本,下令以下所示:
[root@ud50041~]#uname-a
Linuxud500412.6.9-34.ELsmp#1SMPFriFeb2416:54:53EST2006i686i686i386GNU/Linux
[root@ud50041~]#iptables-V
iptablesv1.2.11
[root@ud50041~]#lsb_release-a
LSBVersion::core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch
DistributorID:RedHatEnterpriseAS
Description:RedHatEnterpriseLinuxASrelease4(NahantUpdate3)
Release:4
Codename:NahantUpdate3
人人能够发明,此体系为RHEL4_i386体系,体系内核版本为2.6.9-34,iptables版本为1.2.11;别的我在其余Centos5.5x86_64呆板上同样成功安排了此剧本;因为后续的recent宁静模块对体系内核有请求(这个作为主机防护剧本也常常用到),假如人人要接纳iptables作为主机防火墙时,倡议用Centos5.6x86_64或更初级版本,否则体系会有以下提醒毛病信息:
iptables:Unknownerror18446744073709551615
iptables:Invalidargument
在tail-f/var/log/messages时能发上面的的堕落提醒
ip_tables:connlimitmatch:invalidsize32!=16
ip_tables:connlimitmatch:invalidsize32!=24
别的,在临盆情况下调试iptables剧本前,激烈倡议编写crontab义务,每5分钟封闭一次iptalbes剧本,避免将SSH客户端锁在表面,下令以下所示:
*/5****root/etc/init.d/iptablesstop
剧本代码以下所示:

  1. #!/bin/bashiptables-Fiptables-F-tnatiptables-Xiptables-PINPUTDROPiptables-POUTPUTACCEPTiptables-PFORWARDACCEPT#loadconnection-trackingmodulesmodprobeiptable_natmodprobeip_conntrack_ftpmodprobeip_nat_ftpiptables-AINPUT-f-mlimit--limit100/sec--limit-burst100-jACCEPTiptables-AINPUT-picmp--icmp-typeecho-request-mlimit--limit1/s--limit-burst10-jACCEPTiptables-AINPUT-ptcp-mtcp--tcp-flagsSYN,RST,ACKSYN-mlimit--limit20/sec--limit-burst200-jACCEPTiptables-AINPUT-s122.70.x.x-jACCEPTiptables-AINPUT-s122.70.x.x-jACCEPTiptables-AINPUT-ilo-jACCEPTiptables-AOUTPUT-olo-jACCEPTiptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPTiptables-AINPUT-ptcp-mmultiport--dport80,22-jACCEPT
复制代码

这里有一种特别情形,因为此Web办事器是置于负载平衡器前面,以是与负载平衡器的毗连仍是很频仍的;以是我们要同意数据源地点为负载平衡器的数据包经由过程;别的,我的很多基于LNMP的小网站下面也安排了此剧本,即Web办事和MySQL数据库同时装置在一台呆板上,也没有开放3306端口,这个靠Web挪用PHP步伐完成会见。

乐成运转此剧本后体系应当是不会报错的,下令以下:
iptables-nvCL
此下令显现了局以下(此为另外一台LNMP呆板的剧本显现了局):
ChainINPUT(policyDROP610packets,50967bytes)
pktsbytestargetprotoptinoutsourcedestination
00ACCEPTall-f**0.0.0.0/00.0.0.0/0limit:avg100/secburst100
6100314KACCEPTtcp--**0.0.0.0/00.0.0.0/0tcpflags:0x16/0x02limit:avg20/secburst200
105267637ACCEPTall--**122.70.x.x0.0.0.0/0
98658112ACCEPTall--**122.70.x.x0.0.0.0/0
918131KACCEPTall--lo*0.0.0.0/00.0.0.0/0
9705612MACCEPTall--**0.0.0.0/00.0.0.0/0stateRELATED,ESTABLISHED
4325218KACCEPTtcp--**0.0.0.0/00.0.0.0/0multiportdports80,22

ChainFORWARD(policyACCEPT0packets,0bytes)
pktsbytestargetprotoptinoutsourcedestination
00ACCEPTicmp--**0.0.0.0/00.0.0.0/0icmptype8limit:avg1/secburst10

ChainOUTPUT(policyACCEPT144Kpackets,155Mbytes)
pktsbytestargetprotoptinoutsourcedestination
956134KACCEPTall--*lo0.0.0.0/00.0.0.0/0

上面我稍为具体的注释下此剧本:
在主机的防护上我们设置了一些宁静办法,以避免内部的ping和SYN大水打击,而且思索到内部的猖狂端口扫描软件大概会影响办事器的出口带宽,以是在这里也做了限定。下令以下所示:
iptables-AINPUT-ptcp--syn-mlimit--limit100/s--limit-burst100-jACCEPT
下面的下令每秒钟最多同意100个新毗连,请注重这里的新毗连指的是state为New的数据包,在前面我们也设置了同意形态为ESTABLISHED和RELATED的数据经由过程;别的,100这个阀值则要依据办事器的实践情形来调剂,假如是并发量不年夜的办事器这个数值就要调小,假如是会见量十分年夜且并发数不小的办事器,这个值则还必要调年夜。再看以下下令:
iptables-AINPUT-picmp--icmp-typeecho-request-mlimit--limit1/sClimit-burst10-jACCEPT
这是为了避免ping大水打击,限定每秒的ping包不凌驾10个。
iptables-AINPUT-ptcp-mtcp--tcp-flagsSYN,RST,ACKSYN-mlimit--limit20/sec--limit-burst200-jACCEPT
下面的下令避免各类端口扫描,将SYN及ACKSYN限定为每秒钟不凌驾200个,以免把数务器带宽耗尽了。

iptables防火墙运转后,我们能够运转nmap工具举行扫描,下令以下:
nmap-P0-sS211.143.6.x
此下令的实行了局以下:
StartingNmap4.11(http://www.insecure.org/nmap/)at2009-03-2916:21CST
Interestingportson211.143.6.X:
Notshown:1668closedports
PORTSTATESERVICE
22/tcpopenssh
25/tcpopensmtp
80/tcpopenhttp
110/tcpopenpop3
111/tcpopenrpcbind
143/tcpopenimap
443/tcpopenhttps
465/tcpopensmtps
587/tcpopensubmission
993/tcpopenimaps
995/tcpopenpop3s
1014/tcpopenunknown

在这里,我们发明一个1014端被某个历程翻开了,用lsof-i:1014检察发明又是rpc.statd翻开的,这办事每次用的端口都纷歧样啊!原本想充耳不闻的,可是假如rpc.statd不克不及准确处置SIGPID旌旗灯号,近程打击者可使用这个毛病封闭历程,举行回绝办事打击,以是仍是得想举措办理失落,我们发明rpc.statd是由办事nfslock开启的,进一步查询得知它是一个可选的历程,它同意NFS客户端在办事器上对文件加锁。这个历程对应于nfslock办事,因而我们关失落了此办事,下令以下所示:
servicenfslockstop
chkconfignfslockoff

假如没有硬件防火墙回护的话,置于IDC机房而且有公网的Web办事器仍是很有效iptables回护的需要,假如发明有人用工具歹意频仍毗连我们的Web办事器,我们能够挪用recent模块来制止它们,我们的做法是:只管在每台有公网IP的呆板上安排iptables防火墙。

欢迎大家来到仓酷云论坛!
admin 该用户已被删除
沙发
发表于 2015-1-16 18:52:58 | 只看该作者

带来一篇宁静的Web主机iptables防火墙剧本

永中office2004增强版安装只需要默认安装即可使用并操作大多与win系统雷同,打印机的配置和管理,记录光盘等。
再见西城 该用户已被删除
板凳
发表于 2015-1-21 12:20:12 | 只看该作者
就这样,我们一边上OS理论课,一边上这个实验,这样挺互补的,老师讲课,一步一步地布置任务
爱飞 该用户已被删除
地板
发表于 2015-2-6 15:17:38 | 只看该作者
以前觉得Linux就跟dos一样,全是用命令窗口,相对于窗口界面来说多麻烦呀。
小女巫 该用户已被删除
5#
发表于 2015-3-5 11:41:27 | 只看该作者
掌握硬件配置,如显卡,声卡,网卡等,硬件只要不是太老或太新一般都能被支持,作为一名Linux系统管理员建议多阅读有关硬件配置文章,对各种不支持或支持不太好的硬件有深刻的了解。
灵魂腐蚀 该用户已被删除
6#
发表于 2015-3-12 08:09:46 | 只看该作者
发问的时候一定要注意到某些礼节。因为Linux社区是一个松散的组织、也不承担回复每个帖子的义务。它不是技术支持。
若天明 该用户已被删除
7#
发表于 2015-3-19 21:40:59 | 只看该作者
和私有操作系统不同,各个Linux的发行版本的技术支持时间都较短,这对于Linux初学者是往往不够的。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 09:22

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表