用 IPTABLES 构建 Linux 防火墙

近日着手Linux服务器的安全事宜,大致做了以下工作,列出来备案:

1. 修改 ssh 端口,没想到之前大量的ssh尝试登录次数少多了,基本上等于0

2. 分析 /var/log/secure 日志,找出那些尝试登录次数较多的IP地址,加入到防火墙中去

下面是一个简单的secure日志分析脚本:

#!/bin/sh

#

#本脚本用于搜索 /var/log/secure* 文件中的登录失败记录

#然后把一些请求量比较大的ip加入到黑名单中

#

#created by yejr,2007-03-19

#

/sbin/iptables -N LOGINFAIL_LIST

/sbin/iptables -A LOGINFAIL_LIST -j REJECT

#从secure日志中找出所有的尝试登录IP

grep 'Failed password for .* from' /var/log/secure*\

|awk '{print $11}'|cut -d ':' -f 4 > /tmp/faillogin

grep 'Failed password for invalid user .* from' \

/var/log/secure*|awk '{print $12}'|cut -d ':' -f 4 >> \

/tmp/faillogin

#对这些IP按尝试次数进行排序,取出次数超过10的IP加入到防火墙中去

cat /tmp/faillogin|sort|uniq -c|sort -rn\

|egrep '[0-9]{2,} [0-9]{1,}\.'|while read LINE

do

IP=`echo $LINE|awk '{print $2}'`

#判断是否已经在防火墙中存在了

if [ `/sbin/iptables -L -n|grep -v grep|grep $IP -c` -lt 1 ] ; then

/sbin/iptables -A INPUT -s $IP -j LOGINFAIL_LIST

fi

done

3. 构建一个固定的防火墙,保护各种端口

#!/bin/sh

#

# 静态安全防火墙脚本

#

# created by yejr,2007-03-20

#

#

#定义信任IP列表

#内部ip子网

MY_IP_LIST_1=192.168.8.0/24

#外部ip子网

MY_IP_LIST_2=1.2.3.0/24

#所有

ALL_IP=0/0

#北京ADSL动态IP列表

BJADSL_IP_LIST=221.218.0.0/16

#定义端口列表

#涉及ftp端口

FTP_PORT_1=20

FTP_PORT_RANGE="1023:65535"

FTP_PORT_2=21

#dns端口

DNS_PORT=53

#httpd端口

HTTP_PORT=80

#ssh 端口

SSH_PORT=4321

IPT="/sbin/iptables"

# 内网

LC_IFACE="eth1"

LC_ADDR="192.168.8.2"

# 公网

INET_IFACE="eth0"

INET_ADDR="1.2.3.4"

# 本机

LO_IFACE="lo"

LO_ADDR=127.0.0.1

# 定义接受请求速率限制

MAX_NUM_PACKS=1024

# 核心模块

/sbin/modprobe ip_tables

# ftp模块

/sbin/modprobe ip_nat_ftp

# 限速模块

/sbin/modprobe ip_conntrack

# 重新设置防火墙到默认状态

$IPT -P INPUT ACCEPT

$IPT -P FORWARD ACCEPT

#$IPT -P OUTPUT ACCEPT

$IPT -F

$IPT -X

# 先拒绝所有请求

$IPT -P INPUT DROP

#$IPT -P OUTPUT DROP

$IPT -P FORWARD DROP

##########################################

# 设定一些内核参数

##########################################

#启动 SYN 泛洪保护

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

#启用反向路径源认证,防止欺骗

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#关闭 icom echo 广播包请求

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#拒绝源路由包

echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

#仅仅接收发给默认网关列表中网关的ICMP重定向消息

echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects

#记录来自非法ip的请求

echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

##########################################

# 建立规则

##########################################

# 无效请求包规则

$IPT -N bad_packets

# 另一个恶意 TCP 包规则

$IPT -N bad_tcp_packets

# ICMP规则(进/出)

$IPT -N icmp_packets

# 来自公网的UDP请求规则

$IPT -N inet_udp_inbound

# 从本机发往公网的UDP请求规则,默认全部允许

$IPT -N udp_outbound

# 来自公网的 TCP 请求规则

$IPT -N inet_tcp_inbound

# 从本机发往公网的 TCP 请求规则,默认全部允许

$IPT -N tcp_outbound

##########################################

# 恶意请求规则

##########################################

# 立刻断掉非法的包并且记录

$IPT -A bad_packets -p ALL -m state --state INVALID \

-j LOG --log-prefix "IPTABLES_INVALID_PACKET:"

$IPT -A bad_packets -p ALL -m state --state INVALID \

-j DROP

# 再次检查 TCP 包是否还有问题

$IPT -A bad_packets -p tcp -j bad_tcp_packets

# 都正确了,返回

$IPT -A bad_packets -p ALL -j RETURN

##########################################

# 恶意 TCP 请求

##########################################

#

# 所有的 TCP 请求都必须经过以下规则过滤. 任何新请求都

# 必须以一个 sync 包开始.

# 如果不是这样的话,很可能表示这是一个扫描动作,这些有

# NEW 状态的包会被丢弃

#

$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state \

NEW -j LOG --log-prefix "IPTABLES_NEW_NOT_SYN:"

$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state \

NEW -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j \

LOG --log-prefix "IPTABLES_STEALTH_SCAN:"

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j \

LOG --log-prefix "IPTABLES_STEALTH_SCAN:"

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH\

-j LOG --log-prefix "IPTABLES_STEALTH_SCAN:"

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH\

-j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG \

-j LOG --log-prefix "IPTABLES_STEALTH SCAN:"

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL \

SYN,RST,ACK,FIN,URG -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags \

SYN,RST SYN,RST -j LOG --log-prefix \

"IPTABLES_STEALTH SCAN:"

$IPT -A bad_tcp_packets -p tcp --tcp-flags \

SYN,RST SYN,RST -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags \

SYN,FIN SYN,FIN -j LOG --log-prefix \

"IPTABLES_STEALTH SCAN:"

$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# 都没问题了,返回

$IPT -A bad_tcp_packets -p tcp -j RETURN

##########################################

# ICMP 包规则

##########################################

#

# ICMP 包必须封装在一个2层的帧中,因此它们不会有碎片.

# 带有碎片的 ICMP 包通常被

# 标记为恶意攻击

#

$IPT -A icmp_packets --fragment -p ICMP -j LOG \

--log-prefix "IPTABLES_ICMP Fragment:"

$IPT -A icmp_packets --fragment -p ICMP -j DROP

#

# 默认地,所有丢弃的 ICMP 包都不记录日志. "冲击波"

# 以及 "蠕虫" 会导致系统发起大量

# ping 请求. 如果想要记录 icmp log 就不要把本行注释掉

#

# 允许自有服务器ip及北京地区adsl ip进行 PING

$IPT -A icmp_packets -p ICMP -s $MY_IP_LIST_2 -j ACCEPT

$IPT -A icmp_packets -p ICMP -s $BJADSL_IP_LIST -j ACCEPT

# 拒掉其他 PING

$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP

# 接受超时 icmp 包

$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

##########################################

# TCP & UDP 包规则

##########################################

##########################################

# 来自公网的 UDP 请求

##########################################

#$IPT -A inet_udp_inbound -p UDP \

-s $MY_IP_LIST_2 --dport $DNS_PORT -j ACCEPT

# 都没问题了,返回

$IPT -A inet_udp_inbound -p UDP -j RETURN

##########################################

# 发往公网的 UDP 请求

##########################################

# 都没问题了,返回

$IPT -A udp_outbound -p UDP -s 0/0 -j ACCEPT

##########################################

# 来自公网的 TCP 请求

##########################################

# sshd 只对 北京ADSL IP段开放

$IPT -A inet_tcp_inbound -p TCP \

-s $BJADSL_IP_LIST --dport $SSH_PORT -j ACCEPT

# 允许自有服务器 IP 的 FTP 端口请求

# FTP Data fix

$IPT -A inet_tcp_inbound -p TCP -s $MY_IP_LIST_2 \

--sport $FTP_PORT_1 --dport $FTP_PORT_RANGE ! --syn \

-m state --state RELATED -j ACCEPT

$IPT -A inet_tcp_inbound -p TCP -s $MY_IP_LIST_2 \

-m state --state ESTABLISHED -j ACCEPT

$IPT -A inet_tcp_inbound -p UDP -s $MY_IP_LIST_2 \

--dport $FTP_PORT_RANGE -j ACCEPT

$IPT -A inet_tcp_inbound -p TCP -s $MY_IP_LIST_2 \

--dport $FTP_PORT_1 ! --syn -j ACCEPT

$IPT -A inet_tcp_inbound -p TCP -s $MY_IP_LIST_2 \

--dport $FTP_PORT_2 -j ACCEPT

#允许所有ip访问 http 服务

$IPT -A inet_tcp_inbound -p TCP -s $ALL_IP \

--dport $HTTP_PORT -j ACCEPT

# 都没问题了,返回

$IPT -A inet_tcp_inbound -p TCP -j RETURN

##########################################

# 发往公网的 TCP 请求

##########################################

# 都没问题了,返回

$IPT -A tcp_outbound -p TCP -s 0/0 -j ACCEPT

##########################################

# 其他收到的请求

##########################################

# 允许本机及本子网间的任何通信

$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

$IPT -A INPUT -p ALL -d $LC_ADDR -j ACCEPT

# 来自信任ip的任何请求都接受

$IPT -A INPUT -p ALL -s $MY_IP_LIST_1 -j ACCEPT

$IPT -A INPUT -p ALL -s $MY_IP_LIST_2 -j ACCEPT

# 丢弃任何错误包

$IPT -A INPUT -p ALL -j bad_packets

# 拒掉 DOCSIS 请求

$IPT -A INPUT -p ALL -d 224.0.0.1 -j REJECT

# 接受 Established 连接

$IPT -A INPUT -p ALL -i $INET_IFACE -m state \

--state ESTABLISHED,RELATED -j ACCEPT

# 定义上面的几条路由规则

$IPT -A INPUT -p TCP -d $INET_ADDR -j inet_tcp_inbound

$IPT -A INPUT -p UDP -d $INET_ADDR -j inet_udp_inbound

$IPT -A INPUT -p ICMP -d $INET_ADDR -j icmp_packets

# 丢弃且不记录广播包

$IPT -A INPUT -m pkttype --pkt-type broadcast -j REJECT

# 记录其他未匹配到的包

$IPT -A INPUT -m limit --limit $MAX_NUM_PACKS/minute \

--limit-burst $MAX_NUM_PACKS -j LOG --log-prefix \

"IPTABLES_MISS_MATCH_INPUT:"

##########################################

# 其他发出的请求

##########################################

# 无论如何都丢弃错误的 ICMP 包,防止溢出

$IPT -A OUTPUT -m state -p icmp --state INVALID \

-j REJECT

# 允许对外的任何请求

$IPT -A OUTPUT -p ALL -s $ALL_IP -j ACCEPT

# 记录其他未匹配到的包

$IPT -A OUTPUT -m limit --limit $MAX_NUM_PACKS/minute \

--limit-burst $MAX_NUM_PACKS -j LOG --log-prefix \

"IPTABLES_MISS_MATCH_OUTPUT: "

上面的脚本其实是通过一个自动生成的工具产生的,然后再自己修改而成

本文转自叶金荣51CTO博客,原文链接:http://blog.51cto.com/imysql/308091,如需转载请自行联系原作者

上一篇:Juniper SSG 防火墙MIP配置
下一篇:ISA Server 2006防火墙安装与管理指南(含企业版NLB与CARP的配置)