防止被墙挡在外面技巧

  在生产环境下调试iptables脚本前,强烈建议编写crontab任务,每5分钟关闭一次iptalbes脚本,防止将SSH客户端锁在外面,命令如下所示:

  
  
  
  
  1. */5 * * * * root /etc/init.d/iptables stop 

脚本代码如下所示:

   
   
   
   
  1. #!/bin/bash 
  2. iptables -F 
  3. iptables -F -t nat 
  4. iptables -X 
  5.  
  6. iptables -P INPUT DROP 
  7. iptables -P OUTPUT ACCEPT 
  8. iptables -P FORWARD ACCEPT 
  9.  
  10. #load connection-tracking modules 
  11. modprobe iptable_nat 
  12. modprobe ip_conntrack_ftp 
  13. modprobe ip_nat_ftp 
  14.  
  15. iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT 
  16. iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT 
  17. iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT 
  18.  
  19. iptables -A INPUT -s 122.70.x.x -j ACCEPT 
  20. iptables -A INPUT -s 122.70.x.x -j ACCEPT 
  21. iptables -A INPUT -i lo -j ACCEPT 
  22. iptables -A OUTPUT -o lo -j ACCEPT 
  23. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
  24. iptables -A INPUT -p tcp -m multiport --dport 80,22 -j ACCEPT 

这里有一种特殊情况,由于此Web服务器是置于负载均衡器后面,所以与负载均衡器的连接还是很频繁的;所以我们要允许数据源地址为负载均衡器的数据包通过;另外,我的许多基于LNMP的小网站上面也部署了此脚本,即Web服务和MySQL数据库同时安装在一台机器上,也没有开放3306端口,这个靠Web调用PHP程序实现访问。

成功运行此脚本后系统应该是不会报错的,命令如下:
iptables -nv –L
此命令显示结果如下(此为另一台LNMP机器的脚本显示结果):
Chain INPUT (policy DROP 610 packets, 50967 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  -f  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 100/sec burst 100 
 6100  314K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x16/0x02 limit: avg 20/sec burst 200 
 1052 67637 ACCEPT     all  --  *      *       122.70.x.x        0.0.0.0/0           
  986 58112 ACCEPT     all  --  *      *       122.70.x.x        0.0.0.0/0           
  918  131K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
97056   12M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
 4325  218K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 80,22 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 10 

Chain OUTPUT (policy ACCEPT 144K packets, 155M bytes)
 pkts bytes target     prot opt in     out     source               destination         
  956  134K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0

下面我稍为详细的解释下此脚本:

在主机的防护上我们配置了一些安全措施,以防止外部的ping和SYN洪水攻击,并且考虑到外部的疯狂端口扫描软件可能会影响服务器的入口带宽,所以在这里也做了限制。命令如下所示:

  
  
  
  
  1. iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j  ACCEPT 

 
上面的命令每秒钟最多允许100个新连接,请注意这里的新连接指的是state为New的数据包,在后面我们也配置了允许状态为ESTABLISHED和RELATED的数据通过;另外,100这个阀值则要根据服务器的实际情况来调整,如果是并发量不大的服务器这个数值就要调小,如果是访问量非常大且并发数不小的服务器,这个值则还需要调大。再看以下命令: 

  
  
  
  
  1. iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s –limit-burst 10 -j ACCEPT 


这是为了防止ping洪水攻击,限制每秒的ping包不超过10个。

  
  
  
  
  1. iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT 

 

你可能感兴趣的:(防止被墙挡在外面技巧)