服务器安全--Iptables进阶

最新推荐文章于 2019-01-21 11:24:17 发布
最新推荐文章于 2019-01-21 11:24:17 发布
阅读量479 收藏 1
点赞数
分类专栏: 安全防护 文章标签: 服务器安全 iptables limit connlimit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tshangshi/article/details/52214443
版权

Tips:limit限制所有,connlimit限制单个

Icmp策略(ping)

若input和output都为drop
同时加了

-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m limit –limit 6/m –limit-burst 5 -j ACCEPT
不会有限制
去掉-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT或者在output也加上
-A OUTPUT -p icmp -m limit –limit 6/m –limit-burst 5 -j ACCEPT可实现
或者只在output发现加也可以

开始有5个通行证,用完之后每10秒增加一个

ssh策略——减少密码猜测

同一ip的并发连接上线为3,单ip在1min之内只能建立三个连接
若input和output都为drop

-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp –dport 22 -m connlimit –connlimit-above 3 -j DROP
-A INPUT -p tcp –dport 22 -m state –state NEW -m recent –name
SSHPOOL –rcheck –seconds 60 –hitcount 3 -j DROP
-A INPUT -p tcp –dport 22 -m state –state NEW -m recent –name SSHPOOL –set -j ACCEPT
-A OUTPUT -p tcp –sport 22 -j ACCEPT

若input为accept

-A INPUT -p tcp –dport 22 -m connlimit –connlimit-above 3 -j DROP
-A INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –nameSSH
-A INPUT -p tcp –dport 22 -m state –state NEW -m recent –rcheck –seconds 60 –hitcount 3 –name SSH -j DROP

防止SYN攻击,轻量级预防(范围比较广)

#iptables -N syn-flood
#iptables -A INPUT -p tcp –syn -j syn-flood
#iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
#iptables -A syn-flood -j REJECT

80端口限制

-A INPUT -p tcp –dport 80 -m connlimit –connlimit-above 4 -j REJECT
-A INPUT -p tcp –dport 80 -m state –state NEW -m recent –name ?SSHPOOL –rcheck –seconds 60 –hitcount 3 -j LOG –log-prefix “SSHOPEN: ” #添加日志记录
-A INPUT -p tcp –dport 80 -m state –state NEW -m recent –name HTTPPOOL –rcheck –seconds 60 –hitcount 3 -j DROP #60s内只能有三次访问 
-A INPUT -p tcp –dport 80 -m state –state NEW -m recent –name HTTPPOOL –set -j ACCEPT

每个IP目标端口为80的新连接会记录在案,可在/proc/net/xt_recent/目录内查看,rcheck检查此IP是否在案及请求次数,如果超过规则就丢弃数据包,否则进入下条规则并更新列表信息。
Iptables日志默认记录在/var/log/messages中,可以进行匹配查找

测试
while true
do
nmap -sT -sV -p 80 -n ip
done

#iptables -A INPUT -p tcp –dport 80 -m limit –limit 25/minute –limit-burst 100 -j ACCEPT

#-m limit: 启用limit扩展
#–limit 25/minute: 允许最多每分钟25个连接
#–limit-burst 100: 当达到100个连接后,才启用上述25/minute限制

服务器上的深度防护策略

#ssh
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 15 -j REJECT
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --rcheck --seconds 60 --hitcount 10 -j DROP
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --set -j ACCEPT
#http
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --name HTTPPOOL --rcheck --seconds 60 --hitcount 10 -j DROP
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --name  HTTPPOOL --set -j ACCEPT

iptables的日志(log)由syslogd纪录和管理。初始存放在 /var/log/messages里面。

一些好玩设置

芝麻开门,默认封闭SSH端口,为您的SSH服务器设置开门暗语。

#iptables -A INPUT -p tcp –dport 50001 –syn -j LOG –log-prefix “SSHOPEN: “#记录日志,前缀SSHOPEN:
#iptables -A INPUT -p tcp –dport 50001 –syn -m recent –set –name sshopen –rsource -j REJECT –reject-with tcp-reset #目标端口tcp50001的新数据设定列表为sshopen返回TCP重置,并记录源地址。
#iptables -A INPUT -p tcp –dport 22 –syn -m recent –rcheck –seconds 15 –name sshopen –rsource -j ACCEPT #开启SSH端口,15秒内允许记录的源地址登录SSH。

测试
开门钥匙

nc host 50001
telnet host 50001
nmap -sS host 50001

指定端口容易被破解密钥,可以使用ping指定数据包大小为开门钥匙。

#iptables -A INPUT -p icmp –icmp-type 8 -m length –length 78 -j LOG –log-prefix “SSHOPEN: ” #记录日志,前缀SSHOPEN:
#iptables -A INPUT -p icmp –icmp-type 8 -m length –length 78 -m recent –set –name sshopen –rsource -j ACCEPT #指定数据包78字节,包含IP头部20字节,ICMP头部8字节。
#iptables -A INPUT -p tcp –dport 22 –syn -m recent –rcheck –seconds 15 –name sshopen –rsource -j ACCEPT

测试

ping -s 50 host #Linux下解锁
ping -l 50 host #Windows下解锁

tshangshi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
怎样将系统防御升到服务器级别,教大家十五招提升服务器安全等级
weixin_33643788的博客
07-31 179
安全十五招,具体介绍请看下文。1.经常更改系统管理员密码。---->且密码最好是大小写都有2.定期更新系统补丁。---->开启自动更新,并设定到晚上重启。3.检查系统是否多出超级管理员,检查是否有帐号被克隆在“开始”>运行中输入“cmd”>在输入 net localgroup administrators4.在“开始”>运行中输入“msconfig”检查随机启动的程序...
iptables详解
liukuan73的专栏
11-26 4758
http://hhktony.com/2017/03/06/iptables%E8%AF%A6%E8%A7%A3/ 前言 防火墙,就是用于实现访问控制的功能的,它分为硬件的和软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略-规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上
iptables使用总结
热门推荐
懒人日志
03-17 1万+
iptables为linux的防火墙提供支持,而android也支持使用iptables创建防火墙。该功能需要ROOT支持。iptables是个好东西,但是各种规则对于刚上手的朋友来说很不友好,一开始会 摸不着头脑。傻东经过一段时间的研究,终于摸着点门道,不敢私藏,更怕 忘记,因此写下此文,与大家分享。本文中的内容是终端下输的命令,不是/etc/sysconfig/iptables中的内容。第一页
iptables中关于limitlimit-burst的解释
多少钱一斤?
09-02 2191
<br />Limit match<br />    这个匹配操作必须由-m limit明确指定才能使用。有了它的帮助,就可以对指定的规则的日志数量加以限制,以免你被信息的洪流淹没哦。比如,你可以事先设定一个限定值,当符合条件的包的数量不超过它时,就记录;超过了,就不记录了。我们可以控制某条规则在一段时间内的匹配次数(也就是可以匹配的包的数量),这样就能够减少DoS syn flood攻击的影响。这是它的主要作用,当然,还有很多其他作用(注:比如,对于某些不常用的服务可以限制连接数量,以免影响其他服务)。l
Linux系统里面iptables命令使用
aischang
01-21 765
#开启DHCP上网 #dhcpd eth0 #加载相关的内核模块 /sbin/modprobe ip_tables /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack_ftp # 清除预设表 filter 中,所有规则链中的规则  /sbin/iptables -F  # 清除nat表中,所有规则链中的规则    /sbin/iptables...
IPTABLES进阶
不再疯要傻
07-21 694
这篇主要讲述iptables模块,由于iptables模块太多,所以只能慢慢补充,用到哪个加哪个 ========================================================================================================== iptables -A INPUT [-m state] [--模块参数 状态]
iptables源代码分析之set集合模块
脚踏实地,不断突破自我,每天有收获就OK
12-11 5132
适合的读者 1.能够熟练使用iptables和ipset命令,增删改查等 2.心里好奇iptables的命令是如何生效的? 3.对研究netfilter源代码有浓厚兴趣的技术人员 4.用户态的iptables和内核态的netfilter是如何交互的 一、研究背景 使用iptables来针对某ip指定规则,从而达到抵御网络攻击的目的。但有时可能对成千上万的ip进行封禁,如过添加成千上万条iptabl...
如何在Linux下大量屏蔽恶意IP地址
Commander
05-28 2605
很多情况下,你可能需要在Linux下屏蔽IP地址。比如,作为一个终端用户,你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员,你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止某些国家访问你的web服务。在许多情况下,然而,你的IP地址屏蔽列表可能会很快地增长到几万的IP。该如何处理这个?
解决docker安装完成报:bridge-nf-call-iptables is disabled问题
01-20
WARNING: bridge-nf-call-iptables is disabled WARNING: bridge-nf-call-ip6tables is disabled 2)解决方法: 修改系统文件是的机器bridge模式开启 设置机器开机启动的时候执行下面两条命令 编辑vim /etc/rc.d/rc...
rust-iptables:iptables的Rust绑定
05-07
iptables 此板条箱为Linux中的应用程序提供了绑定(受启发)。 这个板条箱使用iptables二进制文件来操作链和表。 此源代码是根据MIT许可(可在LICENSE文件中找到)许可的。 [ dependencies ]iptables = " 0.4 ...
iptables及firewalld加固服务器安全思维导图
05-05
iptables及firewalld加固服务器安全思维导图
iptables-uwu:iptables以uwu的外发数据包为目标
04-06
iptables-uwu 这是一个xtables模块,可以将传出的数据包发送出去,主要是作为便笺,也可以作为我将来如何在内核空间中篡改传出数据包的xtables模块的参考。 此回购协议主要基于 ,很多代码都从中改编而来。 GPL-2...
qt-creator-opensource-linux-x86_64-13.0.0.run
04-17
qt-creator-opensource-linux-x86_64-13.0.0.run
2023-04-06-项目笔记 - 第一百零六阶段 - 4.4.2.104全局变量的作用域-104 -2024.04.17
04-17
2023-04-06-项目笔记-第一百零六阶段-课前小分享_小分享1.坚持提交gitee 小分享2.作业中提交代码 小分享3.写代码注意代码风格 4.3.1变量的使用 4.4变量的作用域与生命周期 4.4.1局部变量的作用域 4.4.2全局变量的作用域 4.4.2.1全局变量的作用域_1 4.4.2.104全局变量的作用域_104 - 2024-04-17
1.zip
最新发布
04-17
1
一个简单的Fortran脚本示例,它会读取用户输入的两个整数,然后计算它们的和与乘积,最后将结果输出到屏幕上
04-17
Fortran是一种编译型语言,这意味着你需要先使用编译器将源代码编译成可执行文件,然后才能运行它。 在这个示例中,我们使用了Fortran 90/95/2003/2008/2018的语法,因为它是最广泛使用的现代Fortran版本之一。Fortran的不同版本在语法和特性上可能会有所不同,但这个示例应该在大多数现代Fortran编译器中工作。 implicit none语句用于确保所有变量在使用前都必须显式声明,这是一种良好的编程实践,可以避免潜在的错误。 print *和read *分别用于输出和输入操作。星号*表示输出/输入应该使用默认的格式。
5V继电器控制模块原理图+教程.7z
04-17
5V继电器控制模块原理图+教程.7z
firewall-cmd 与iptables 区别
07-13
firewall-cmd 和 iptables 都是 Linux 系统中用于配置防火墙的工具,但它们在实现和用法上有一些区别。 iptables 是一个底层的防火墙工具,它基于内核的 netfilter 框架,可以通过命令行来配置和管理防火墙规则。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值