下面以自己的Web服務器舉例說明之,系統的默認策略是INPUT為DROP,OUTPUT、FORWARD鏈為ACCEPT,DROP設置得比較寬松,因為我們知道出去的數據包比較安全;為了驗證腳本的通用性,我特的查看了服務器的內核及iptables版本,命令如下所示:
[root@ud50041 ~]# uname -a
Linux ud50041 2.6.9-34.ELsmp #1 SMP Fri Feb 24 16:54:53 EST 2006 i686 i686 i386 GNU/Linux
[root@ud50041 ~]# iptables -V
iptables v1.2.11
[root@ud50041 ~]# lsb_release -a
LSB Version: :core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch
Distributor ID: RedHatEnterpriseAS
Description: Red Hat Enterprise Linux AS release 4 (Nahant Update 3)
Release: 4
Codename: NahantUpdate3
大家可以發現,此系統為RHEL4_i386系統,系統內核版本為2.6.9-34,iptables版本為1.2.11;另外我在別的Centos5.5 x86_64機器上也成功部署了此腳本;由于后續的recent安全模塊對系統內核有要求(這個作為主機防護腳本也經常用到),如果大家要采用iptables作為主機防火墻時,建議用Centos5.6 x86_64或更高級版本,不然系統會有如下提示錯誤信息:
iptables: Unknown error 18446744073709551615
iptables:Invalid argument
在tail -f /var/log/messages時能發下面的的出錯提示
ip_tables: connlimit match: invalid size 32 != 16
ip_tables: connlimit match: invalid size 32 != 24
另外,在生產環境下調試iptables腳本前,強烈建議編寫crontab任務,每5分鐘關閉一次iptalbes腳本,防止將SSH客戶端鎖在外面,命令如下所示:
*/5 * * * * root /etc/init.d/iptables stop
腳本代碼如下所示:
- #!/bin/bash
- iptables -F
- iptables -F -t nat
- iptables -X
- iptables -P INPUT DROP
- iptables -P OUTPUT ACCEPT
- iptables -P FORWARD ACCEPT
- #load connection-tracking modules
- modprobe iptable_nat
- modprobe ip_conntrack_ftp
- modprobe ip_nat_ftp
- iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
- iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT
- iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
- iptables -A INPUT -s 122.70.x.x -j ACCEPT
- iptables -A INPUT -s 122.70.x.x -j ACCEPT
- iptables -A INPUT -i lo -j ACCEPT
- iptables -A OUTPUT -o lo -j ACCEPT
- iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -p tcp -m multiport --dport 80,22 -j ACCEPT
這里有一種特殊情況,由于此Web服務器是置于負載均衡器后面,所以與負載均衡器的連接還是很頻繁的;所以我們要允許數據源地址為負載均衡器的數據包通過;另外,我的許多基于LNMP的小網站上面也部署了此腳本,即Web服務和MySQL數據庫同時安裝在一臺機器上,也沒有開放3306端口,這個靠Web調用PHP程序實現訪問。
成功運行此腳本后系統應該是不會報錯的,命令如下:
iptables -nv –L
此命令顯示結果如下(此為另一臺LNMP機器的腳本顯示結果):
Chain INPUT (policy DROP 610 packets, 50967 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 100/sec burst 100
6100 314K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 20/sec burst 200
1052 67637 ACCEPT all -- * * 122.70.x.x 0.0.0.0/0
986 58112 ACCEPT all -- * * 122.70.x.x 0.0.0.0/0
918 131K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
97056 12M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
4325 218K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,22
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 10
Chain OUTPUT (policy ACCEPT 144K packets, 155M bytes)
pkts bytes target prot opt in out source destination
956 134K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
下面我稍為詳細的解釋下此腳本:
在主機的防護上我們配置了一些安全措施,以防止外部的ping和SYN洪水攻擊,并且考慮到外部的瘋狂端口掃描軟件可能會影響服務器的入口帶寬,所以在這里也做了限制。命令如下所示:
iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j ACCEPT
上面的命令每秒鐘最多允許100個新連接,請注意這里的新連接指的是state為New的數據包,在后面我們也配置了允許狀態為ESTABLISHED和RELATED的數據通過;另外,100這個閥值則要根據服務器的實際情況來調整,如果是并發量不大的服務器這個數值就要調小,如果是訪問量非常大且并發數不小的服務器,這個值則還需要調大。再看以下命令:
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s –limit-burst 10 -j ACCEPT
這是為了防止ping洪水攻擊,限制每秒的ping包不超過10個。
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
上面的命令防止各種端口掃描,將SYN及ACK SYN限制為每秒鐘不超過200個,免得把數務器帶寬耗盡了。
iptables防火墻運行后,我們可以運行nmap工具進行掃描,命令如下:
nmap -P0 -sS 211.143.6.x
此命令的執行結果如下:
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST
Interesting ports on 211.143.6.X:
Not shown: 1668 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
1014/tcp open unknown
在這里,我們發現一個1014端被某個進程打開了,用lsof -i:1014查看發現又是rpc.statd打開的,這服務每次用的端口都不一樣啊!本來想置之不理的,但是如果rpc.statd不能正確處理SIGPID信號,遠程攻擊者可利用這個漏洞關閉進程,進行拒絕服務攻擊,所以還是得想辦法解決掉,我們發現rpc.statd是由服務nfslock開啟的,進一步查詢得知它是一個可選的進程,它允許NFS客戶端在服務器上對文件加鎖。這個進程對應于nfslock服務,于是我們關掉了此服務,命令如下所示:
service nfslock stop
chkconfig nfslock off
如果沒有硬件防火墻保護的話,置于IDC機房并且有公網的Web服務器還是很有用iptables保護的必要,如果發現有人用工具惡意頻繁連接我們的Web服務器,我們可以調用recent模塊來阻止它們,我們的做法是:盡量在每一臺有公網IP的機器上部署iptables防火墻。
渝公網安備 50024202000196號
域名注冊知識
虛擬主機知識
網站建設知識
網絡推廣知識
網絡營銷知識
常見技術問題
QQ空間
新浪微博
開心網
人人網