linux iptables 脚本,Linux实用iptables脚本

最新推荐文章于 2024-04-01 10:50:40 发布
最新推荐文章于 2024-04-01 10:50:40 发布
阅读量272 收藏 1
点赞数
文章标签: linux iptables 脚本

有一段时间木有回来写博客了,最近比较忙又或者是本人不是太习惯写作,这次趁着空闲特上来写一次博客,这次回来主要是这段时间要弄一些基本的防御,能抵御轻量级的***,所以特写个iptables的脚本,如有不好的地方,见谅,不废话了,直接上代码:#!/bin/bash

#

# 适用于Web等服务的Linux iptables防火墙脚本。

# 根据网上的一些脚本整理而来

#

#

# 注意1:该脚本需要根据实际情况修改后才能使用。

# 注意2:如果需要开发ftp服务,仅仅开放TCP20,21端口是不够的,必须加载ip_conntrack_ftp以及ip_nat_ftp。

#     方法是修改/etc/sysconfig/iptables-config, 增加/修改为以下一行内容:

#   IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"

#

##############

# 可信任的主机或者网段

##############

TRUSTHOSTS=( "10.0.0.0/8" "xxx.xxx.xxx.xxx" )

##############

# 只开放给可信任主机的管理用端口

##############

ADMIN_TCP_PORTS="22,3306"

##############

# 对公网开放的服务端口

##############

SERVICE_TCP_PORTS="22,20,21,25,80,443"

SERVICE_UDP_PORTS="53"

##############

# 清空原来的iptables设置

##############

iptables -F

iptables -X

##############

# 设置默认规则

# 通常INPUT及FORWARD设为DROP,OUTPUT设置为ACCEPT就足够了

# 极端情况下,可以将OUTPUT也设置成默认DROP。然后针对OUTPUT逐条增加过滤规则

##############

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

##############

# 允许lo, PING, 以及所有内部发起的访问

##############

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -p icmp -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT

##############

# 允许可信任主机访问管理端口

##############

for TRUSTHOST in ${TRUSTHOSTS[@]}

do

iptables -A INPUT  -p tcp -j ACCEPT -m multiport --dport $ADMIN_TCP_PORTS -s $TRUSTHOST

done

##############

# 放开TCP及UDP服务端口

##############

iptables -A INPUT  -p tcp -j ACCEPT -m multiport --dport $SERVICE_TCP_PORTS

iptables -A INPUT  -p udp -j ACCEPT -m multiport --dport $SERVICE_UDP_PORTS

#######################

# 防止DDOS***:Ping of Death

#######################

iptables -N PING_OF_DEATH

iptables -A PING_OF_DEATH -p icmp --icmp-type echo-request \

-m hashlimit \

--hashlimit 1/s \

--hashlimit-burst 10 \

--hashlimit-htable-expire 300000 \

--hashlimit-mode srcip \

--hashlimit-name t_PING_OF_DEATH \

-j RETURN

iptables -A PING_OF_DEATH -j LOG --log-prefix "ping_of_death_attack: "

iptables -A PING_OF_DEATH -j DROP

iptables -A INPUT -p icmp --icmp-type echo-request -j PING_OF_DEATH

#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃

iptables -A INPUT -s 192.186.0.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃

iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "

iptables -A INPUT -p icmp -j DROP

#######################################################################

sysctl -w net.ipv4.ip_forward=1 &>/dev/null

#打开转发

#######################################################################

sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null

#打开 syncookie (轻量级预防 DOS ***)

sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null

#设置默认 TCP 连接痴呆时长为 3800 秒(此选项可以大大降低连接数)

sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/null

#设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)

#######################

# 防止DDOS***:SYN FLOOD

#######################

iptables -N SYN_FLOOD

iptables -A SYN_FLOOD -p tcp --syn \

-m hashlimit \

--hashlimit 200/s \

--hashlimit-burst 3 \

--hashlimit-htable-expire 300000 \

--hashlimit-mode srcip \

--hashlimit-name t_SYN_FLOOD \

-j RETURN

iptables -A SYN_FLOOD -j LOG --log-prefix "syn_flood_attack: "

iptables -A SYN_FLOOD -j DROP

iptables -A INPUT -p tcp --syn -j SYN_FLOOD

#######################

# 防止DDOS***:stealth scan

#######################

iptables -N STEALTH_SCAN

iptables -A STEALTH_SCAN -j LOG --log-prefix "stealth_scan_attack: "

iptables -A STEALTH_SCAN -j DROP

iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j STEALTH_SCAN

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j STEALTH_SCAN

iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN         -j STEALTH_SCAN

iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST         -j STEALTH_SCAN

iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j STEALTH_SCAN

iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j STEALTH_SCAN

iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN     -j STEALTH_SCAN

iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH     -j STEALTH_SCAN

iptables -A INPUT -p tcp --tcp-flags ACK,URG URG     -j STEALTH_SCAN

service iptables save

是因为太久
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙iptables基本配置脚本,可以自己扩充
DoubleJing的博客
04-27 162
#!/bin/bash PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin export PATH function support_distro(){ if [ -z "`egrep -i "centos" /etc/issue`" ];then echo "Sorry,iptables script only support centos system now."
iptables 自动屏蔽访问网站频繁的IP脚本
最新发布
ducanwang的博客
05-31 345
DATE=$(date +"%a %b %e %H:%M") #星期月天时分 %e单数字时显示7,而%d显示07。#先tail防止文件过大,读取慢,数字可调整每分钟最大的访问量。awk不能直接过滤日志,因为包含特殊字符。#gsub是将第五列(客户端IP)的冒号和端去掉。2)屏蔽每分钟SSH尝试登录超过10次的IP。方法1:根据访问日志(Nginx为例)1)屏蔽每分钟访问超过200的IP。方法2:通过TCP建立的连接。方法2:通过日志获取登录状态。场景:恶意访问,安全防范。
根据nginx访问日志,对非法请求URL 自动设置iptables软防火墙 封禁IP脚本
qq_36667924的博客
04-01 379
通过elk等工具,发现web服务器经常受到公网的非法请求(如下图所属),所以增加自动封禁脚本
使用 hashlimit 限制 新建连接 速率
Andrew Yang's Note
05-08 1104
新建连接速率控制 后台指令 作用: 使用 hashlimit 限制 新建连接 速率。 源 ip 新建连接速率控制 iptables 指令: iptables -A FORWARD -s <src_ip>/<src_ip_mask> -m state --state NEW -m hashlimit --hashlimit-name <limit_name> ...
超详细的iptables脚本
m0_55877125的博客
05-24 381
这个脚本在比较详细地介绍了如何在 iptables 中设置和应用各种规则,包括默认的策略、回环接、已建立相关连接、HTTP/HTTPS/SSH等协议和端、SYN Flood攻击、本地网络、邮件服务、DNS服务、FTP服务、MySQL服务、NTP、SNMP和ICMP协议包等。大家可以结合自己的实际需求进行修改和使用。
iptables hashlimit模块介绍(zz)
不用此栏
05-25 4559
这几天正在捣鼓防火墙,用到了hashlimit模块。Google了一圈发现相关的文档无论英文还 是中文都很少, 所以我就把自己的折腾的心得记录下来吧。 hashlimit是iptables的一个匹配模块,用它结合iptables的其它命令可以实现限速的功能 。(注意,单独hashlimit模块 是无法限速的)。 不过首先必须明确,hashlimit本身只是一个“匹配”模块。我们知道,iptable
Shell实现的iptables管理脚本分享
09-15
主要介绍了Shell实现的iptables管理脚本分享,本文脚本实现了添加、删除、查看、停止、启动等,需要的朋友可以参考下
iptables配置脚本_iptables配置脚本.sh_
10-02
最基础的iptables配置脚本,一键加固Linux防火墙
web服务器iptables配置脚本实现代码
09-15
主要介绍了web服务器iptables配置脚本实现代码的相关资料,需要的朋友可以参考下
linux基线检查脚本.rar
04-08
Linux基线检查脚本是运维工作中非常重要的工具,它用于系统级别的安全性、稳定性和性能评估。这个RAR压缩包中包含的脚本可能是基于bash或者其他解释器编写的,目的是按照特定的Linux配置基线进行自动化检查。基线...
Shell脚本实现监控iptables运行状态
09-15
主要介绍了Shell脚本实现监控iptables运行状态,本文直接给出实现代码,需要的朋友可以参考下
linux iptables 脚本
yanhui007的专栏
05-11 668
#!/bin/sh # # iptables Start iptables firewall # # chkconfig: 2345 08 92 # description: Starts, stops and saves iptables firewall # # config: /etc/sysconfig/iptables # config: /etc/sysconfig/iptables-config # ### BEGIN INIT INFO # Provides: iptables ...
linux通过防火墙iptables做隔离端脚本
80工龄程序员
09-28 635
dodone。
一个简单实用iptables设置脚本
smstong的成长轨迹
01-10 2189
echo "------------------ iptables firewall seting ------------------"; echo "old settings are:" iptables -L -n echo "seting now..." iptables -F     # delete filters in input,output,forward iptabl
常用的 iptables配置脚本
weixin_33920401的博客
06-08 310
因为日常管理中经常要限制IP访问,于是写了个iptables的配置脚本,这样就不用换一台机器配置一个了,一个脚本搞定 首先是iptables的基本命令: iptables [-t表名] <-A| I |D |R > 链名[规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网][--sport 源端号] [-d 目...
linux iptables新增和保存
黄啊码
09-22 6730
Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。 方法一,过滤一些IP访问本服务器 要封停一个IP,使用下面这条命令:  代码如下 复制代码 iptables -I INPUT -s ***.***.***.*** -j DROP 要解封一个IP,使用下面这条命
linux iptables脚本
05-18
下面是一个简单的iptables脚本,可以阻止所有入站流量,允许所有出站流量: ``` #!/bin/bash # 清空所有规则 iptables -F # 设置默认策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值