安全的Web主机iptables防火墙脚本

时间 2020-01-23

原文原文链接

下面以本身的Web服务器举例说明之，系统的默认策略是INPUT为DROP，OUTPUT、FORWARD链为ACCEPT，DROP设置得比较宽松，由于咱们知道出去的数据包比较安全；为了验证脚本的通用性，我特的查看了服务器的内核及iptables版本，命令以下所示：
[root@ud50041 ~]# uname -a
Linux ud50041 2.6.9-34.ELsmp #1 SMP Fri Feb 24 16:54:53 EST 2006 i686 i686 i386 GNU/Linux
[root@ud50041 ~]# iptables -V
iptables v1.2.11
[root@ud50041 ~]# lsb_release -a
LSB Version:    :core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch
Distributor ID:    RedHatEnterpriseAS
Description:    Red Hat Enterprise Linux AS release 4 (Nahant Update 3)
Release:    4
Codename:    NahantUpdate3
你们能够发现，此系统为RHEL4_i386系统，系统内核版本为2.6.9-34，iptables版本为1.2.11；另外我在别的Centos5.5 x86_64机器上也成功部署了此脚本；因为后续的recent安全模块对系统内核有要求（这个做为主机防御脚本也常常用到），若是你们要采用iptables做为主机防火墙时，建议用Centos5.6 x86_64或更高级版本，否则系统会有以下提示错误信息：
iptables: Unknown error 18446744073709551615
iptables:Invalid argument
在tail -f /var/log/messages时能发下面的的出错提示
ip_tables: connlimit match: invalid size 32 != 16
ip_tables: connlimit match: invalid size 32 != 24
另外，在生产环境下调试iptables脚本前，强烈建议编写crontab任务，每5分钟关闭一次iptalbes脚本，防止将SSH客户端锁在外面，命令以下所示：
*/5 * * * * root /etc/init.d/iptables stop
脚本代码以下所示：数据库

   
   
   
   
    
    
    
    #!/bin/bash 
    
    
    
    iptables -F 
    
    
    
    iptables -F -t nat 
    
    
    
    iptables -X 
    
    
    
     
    
    
    
    iptables -P INPUT DROP 
    
    
    
    iptables -P OUTPUT ACCEPT 
    
    
    
    iptables -P FORWARD ACCEPT 
    
    
    
     
    
    
    
    #load connection-tracking modules 
    
    
    
    modprobe iptable_nat 
    
    
    
    modprobe ip_conntrack_ftp 
    
    
    
    modprobe ip_nat_ftp 
    
    
    
     
    
    
    
    iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT 
    
    
    
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT 
    
    
    
    iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT 
    
    
    
     
    
    
    
    iptables -A INPUT -s 122.70.x.x -j ACCEPT 
    
    
    
    iptables -A INPUT -s 122.70.x.x -j ACCEPT 
    
    
    
    iptables -A INPUT -i lo -j ACCEPT 
    
    
    
    iptables -A OUTPUT -o lo -j ACCEPT 
    
    
    
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
    
    
    
    iptables -A INPUT -p tcp -m multiport --dport 80,22 -j ACCEPT

这里有一种特殊状况，因为此Web服务器是置于负载均衡器后面，因此与负载均衡器的链接仍是很频繁的；因此咱们要容许数据源地址为负载均衡器的数据包经过；另外，个人许多基于LNMP的小网站上面也部署了此脚本，即Web服务和MySQL数据库同时安装在一台机器上，也没有开放3306端口，这个靠Web调用PHP程序实现访问。

成功运行此脚本后系统应该是不会报错的，命令以下：
iptables -nv –L
此命令显示结果以下（此为另外一台LNMP机器的脚本显示结果）：
Chain INPUT (policy DROP 610 packets, 50967 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all -f *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 100/sec burst 100
6100 314K ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x16/0x02 limit: avg 20/sec burst 200
1052 67637 ACCEPT     all -- *      *       122.70.x.x        0.0.0.0/0
986 58112 ACCEPT     all -- *      *       122.70.x.x        0.0.0.0/0
918 131K ACCEPT     all -- lo     *       0.0.0.0/0            0.0.0.0/0
97056   12M ACCEPT     all -- *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
4325 218K ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 80,22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     icmp -- *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 10

Chain OUTPUT (policy ACCEPT 144K packets, 155M bytes)
pkts bytes target     prot opt in     out     source               destination
956 134K ACCEPT     all -- *      lo      0.0.0.0/0            0.0.0.0/0

下面我稍为详细的解释下此脚本：
在主机的防御上咱们配置了一些安全措施，以防止外部的ping和SYN洪水***，而且考虑到外部的疯狂端口扫描软件可能会影响服务器的入口带宽，因此在这里也作了限制。命令以下所示：
iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j ACCEPT
上面的命令每秒钟最多容许100个新链接，请注意这里的新链接指的是state为New的数据包，在后面咱们也配置了容许状态为ESTABLISHED和RELATED的数据经过；另外，100这个阀值则要根据服务器的实际状况来调整，若是是并发量不大的服务器这个数值就要调小，若是是访问量很是大且并发数不小的服务器，这个值则还须要调大。再看如下命令：
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s –limit-burst 10 -j ACCEPT
这是为了防止ping洪水***，限制每秒的ping包不超过10个。
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
上面的命令防止各类端口扫描，将SYN及ACK SYN限制为每秒钟不超过200个，省得把数务器带宽耗尽了。

iptables防火墙运行后，咱们能够运行nmap工具进行扫描，命令以下：
nmap -P0 -sS 211.143.6.x
此命令的执行结果以下：
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST
Interesting ports on 211.143.6.X:
Not shown: 1668 closed ports
PORT     STATE SERVICE
22/tcp open   ssh
25/tcp open   smtp
80/tcp open   http
110/tcp   open   pop3
111/tcp   open   rpcbind
143/tcp   open   imap
443/tcp   open   https
465/tcp   open   smtps
587/tcp   open   submission
993/tcp   open   imaps
995/tcp   open   pop3s
1014/tcp open   unknown

在这里，咱们发现一个1014端被某个进程打开了，用lsof -i:1014查看发现又是rpc.statd打开的，这服务每次用的端口都不同啊！原本想置之不理的，可是若是rpc.statd不能正确处理SIGPID信号，远程***者可利用这个漏洞关闭进程，进行拒绝服务***，因此仍是得想办法解决掉，咱们发现rpc.statd是由服务nfslock开启的，进一步查询得知它是一个可选的进程，它容许NFS客户端在服务器上对文件加锁。这个进程对应于nfslock服务，因而咱们关掉了此服务，命令以下所示：
service nfslock stop
chkconfig nfslock off

若是没有硬件防火墙保护的话，置于IDC机房而且有公网的Web服务器仍是颇有用iptables保护的必要，若是发现有人用工具恶意频繁链接咱们的Web服务器，咱们能够调用recent模块来阻止它们，咱们的作法是：尽可能在每一台有公网IP的机器上部署iptables防火墙。安全

本文出自 “抚琴煮酒” 博客，请务必保留此出处http://andrewyu.blog.51cto.com/1604432/716016bash