Tips:limit限制所有,connlimit限制单个
Icmp策略(ping)
若input和output都为drop
同时加了
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m limit –limit 6/m –limit-burst 5 -j ACCEPT
不会有限制
去掉-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT或者在output也加上
-A OUTPUT -p icmp -m limit –limit 6/m –limit-burst 5 -j ACCEPT可实现
或者只在output发现加也可以
开始有5个通行证,用完之后每10秒增加一个
ssh策略——减少密码猜测
同一ip的并发连接上线为3,单ip在1min之内只能建立三个连接
若input和output都为drop
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp –dport 22 -m connlimit –connlimit-above 3 -j DROP
-A INPUT -p tcp –dport 22 -m state –state NEW -m recent –name
SSHPOOL –rcheck –seconds 60 –hitcount 3 -j DROP
-A INPUT -p tcp –dport 22 -m state –state NEW -m recent –name SSHPOOL –set -j ACCEPT
-A OUTPUT -p tcp –sport 22 -j ACCEPT
若input为accept
-A INPUT -p tcp –dport 22 -m connlimit –connlimit-above 3 -j DROP
-A INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –nameSSH
-A INPUT -p tcp –dport 22 -m state –state NEW -m recent –rcheck –seconds 60 –hitcount 3 –name SSH -j DROP
防止SYN攻击,轻量级预防(范围比较广)
#iptables -N syn-flood
#iptables -A INPUT -p tcp –syn -j syn-flood
#iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
#iptables -A syn-flood -j REJECT
80端口限制
-A INPUT -p tcp –dport 80 -m connlimit –connlimit-above 4 -j REJECT
-A INPUT -p tcp –dport 80 -m state –state NEW -m recent –name ?SSHPOOL –rcheck –seconds 60 –hitcount 3 -j LOG –log-prefix “SSHOPEN: ” #添加日志记录
-A INPUT -p tcp –dport 80 -m state –state NEW -m recent –name HTTPPOOL –rcheck –seconds 60 –hitcount 3 -j DROP #60s内只能有三次访问
-A INPUT -p tcp –dport 80 -m state –state NEW -m recent –name HTTPPOOL –set -j ACCEPT
每个IP目标端口为80的新连接会记录在案,可在/proc/net/xt_recent/目录内查看,rcheck检查此IP是否在案及请求次数,如果超过规则就丢弃数据包,否则进入下条规则并更新列表信息。
Iptables日志默认记录在/var/log/messages中,可以进行匹配查找
测试
while true
do
nmap -sT -sV -p 80 -n ip
done
#iptables -A INPUT -p tcp –dport 80 -m limit –limit 25/minute –limit-burst 100 -j ACCEPT
#-m limit: 启用limit扩展
#–limit 25/minute: 允许最多每分钟25个连接
#–limit-burst 100: 当达到100个连接后,才启用上述25/minute限制
服务器上的深度防护策略
#ssh
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 15 -j REJECT
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --rcheck --seconds 60 --hitcount 10 -j DROP
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --set -j ACCEPT
#http
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --name HTTPPOOL --rcheck --seconds 60 --hitcount 10 -j DROP
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --name HTTPPOOL --set -j ACCEPT
iptables的日志(log)由syslogd纪录和管理。初始存放在 /var/log/messages里面。
一些好玩设置
芝麻开门,默认封闭SSH端口,为您的SSH服务器设置开门暗语。
#iptables -A INPUT -p tcp –dport 50001 –syn -j LOG –log-prefix “SSHOPEN: “#记录日志,前缀SSHOPEN:
#iptables -A INPUT -p tcp –dport 50001 –syn -m recent –set –name sshopen –rsource -j REJECT –reject-with tcp-reset #目标端口tcp50001的新数据设定列表为sshopen返回TCP重置,并记录源地址。
#iptables -A INPUT -p tcp –dport 22 –syn -m recent –rcheck –seconds 15 –name sshopen –rsource -j ACCEPT #开启SSH端口,15秒内允许记录的源地址登录SSH。
测试
开门钥匙
nc host 50001
telnet host 50001
nmap -sS host 50001
指定端口容易被破解密钥,可以使用ping指定数据包大小为开门钥匙。
#iptables -A INPUT -p icmp –icmp-type 8 -m length –length 78 -j LOG –log-prefix “SSHOPEN: ” #记录日志,前缀SSHOPEN:
#iptables -A INPUT -p icmp –icmp-type 8 -m length –length 78 -m recent –set –name sshopen –rsource -j ACCEPT #指定数据包78字节,包含IP头部20字节,ICMP头部8字节。
#iptables -A INPUT -p tcp –dport 22 –syn -m recent –rcheck –seconds 15 –name sshopen –rsource -j ACCEPT
测试
ping -s 50 host #Linux下解锁
ping -l 50 host #Windows下解锁