防止端口扫描shell脚本

网上有现在的防端口工具，如psad、portsentry，但觉得配置有点麻烦，且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是：使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP，并结合inotify-tools工具实时监控iptables的日志，一旦iptables日志文件有写入新的ip记录，则使用iptables封锁源ip，起到了防止端口扫描的功能。

1、iptables规则设置

新建脚本iptables.sh，执行此脚本。

1. IPT="/sbin/iptables"
2. $IPT --delete-chain
3. $IPT --flush
4.  
5. #Default Policy
6. $IPT -P INPUT DROP   
7. $IPT -P FORWARD DROP 
8. $IPT -P OUTPUT DROP
9.  
10. #INPUT Chain
11. $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
12. $IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
13. $IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
14. $IPT -A INPUT -i lo -j ACCEPT
15. $IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
16. $IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
17. $IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG
18. $IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP
19. #OUTPUT Chain
20. $IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
21. $IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
22. $IPT -A OUTPUT -o lo -j ACCEPT
23. $IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
24. $IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
25.  
26. #iptables save
27. service iptables save
28. service iptables restart

注意：17-18行的两条规则务必在INPUT链的最下面，其它规则自己可以补充。

2、iptables日志位置更改

编辑/etc/syslog.conf，添加：

1. kern.warning /var/log/iptables.log

重启syslog

1. /etc/init.d/syslog restart

3、防端口扫描shell脚本

首先安装inotify:

1. yum install inotify-tools

保存以下代码为ban-portscan.sh

1. btime=600 #封ip的时间
2. while true;do
3.     while inotifywait -q -q -e modify /var/log/iptables.log;do
4.         ip=`tail -1 /var/log/iptables.log | awk -F"[ =]" '{print $13}' | grep '\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'`
5.         if test -z "`/sbin/iptables -nL | grep $ip`";then
6.             /sbin/iptables -I INPUT -s $ip -j DROP
7.             {
8.             sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP
9.             } &
10.         fi
11.     done
12. done

执行命令开始启用端口防扫描

1. nohup ./ban-portscan.sh &

点击打开链接