iptables防攻击自动黑白名单脚本

在网上也看到过iptables黑白名单的脚本,拿下来都不符合,现在写了个自动黑白名单的脚本,已经在线上跑的了,有兴趣的朋友可以拿去试下。

脚本是相对简单的

1、因为crontab任务是按分来执行任务的,所以写一个每秒都执行任务的脚本,脚本如下,脚本名为“ipt.sh”

 

#!/bin/bash

SLEEPTIME=5

CONN=150

 

iptables_drop()

{

netstat -an| grep :80 | grep -v 127.0.0.1 |grep ESTABLISHED |awk '{ print $5 }' | sort|awk -F: '{print $1,$4}' | uniq -c | awk '$1>150 {print $1,$2}' > /root/black.txt

 

[ -z /root/black.txt ] && exit 0

 

for i in `awk '{print $2}' /root/black.txt`

do

    for lm in `grep "\<$i\>" /root/black.txt | awk '{print $1}'`

    do

    two=`grep "\<$i\>" /root/bak.txt` 

    if [ "$i" != "$two" ]; then

        [ $lm -gt $CONN ] && grep "\<$i\>" /root/work.txt > /dev/null

        if [ $? -ne 0 ]; then

            echo $i >> /root/bak.txt;

            /sbin/iptables -I INPUT -p tcp -s $i --dport 80 -j DROP; 

            echo "/sbin/iptables -D INPUT -p tcp -s $i --dport 80 -j DROP" | at `date -d '+20 minutes' +%H:%M`  && \

            echo "sed -i \"/\<$i\>/d\" /root/bak.txt" | at `date -d '+20 minutes' +%H:%M`

        fi

    fi

    done

    sleep 1

done

}

 

while true; do

    iptables_drop

    sleep $SLEEPTIME

done

 

详细:具体操作方法在/home/script下建立ipt.sh脚本,在/root目录下建个work.txt文件,里面写着白名单ip,这样这个白名单ip访问量再大也不会被X掉了,一般正常的访问量,单1秒的时间里同一个ip 过来的连接不会有超过150个的,所以判断1秒时间里web的连接数超过150个,直接用iptables拉黑,然后再用at任务在一定时间里将其还原,我这里设置为20分钟,基本上就是这样了......如那位朋友还有好的方案,可以拿出来一起分享,技术因为分享而快乐,呵呵

 

你可能感兴趣的:(iptables,自动,黑白)