Chinaunix首页 | 论坛 | 博客

Venwa的博客

首页 |  博文目录 |  关于我

842349591

  • 博客访问: 656885
  • 博文数量: 220
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1961
  • 用 户 组: 普通用户
  • 注册时间: 2014-11-04 21:54
文章分类

全部博文(220)

文章存档

2018年(1)

2015年(140)

2014年(79)

我的朋友
最近访客
推荐博文
相关博文
防简单攻击iptables策略

分类: 网络与安全

2015-03-18 17:27:53


点击(此处)折叠或打开

  1. #!/bin/sh

  3. IPTABLES=/sbin/iptables



  7. # clear

  9. $IPTABLES -F



  13. # if pkg type is allow, then accept

  15. #$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



  19. # 如果同时在80端口的连接数大于10,就Drop掉这个ip

  21. netstat -an | grep :80 | awk -F: '{ print $8 }' | sort | uniq -c | awk -F\ '$1>10 && $2!="" { print $2 }' >> /etc/fw.list

  23. less /etc/fw.list | sort | uniq -c | awk -F\ '$2!="" { print $2 }' > /etc/fw.list2

  25. less /etc/fw.list2 > /etc/fw.list

  27. while read line

  29.        do

  31.        t=`echo "$line"`

  33.        $IPTABLES -A INPUT -p tcp -s $t -j DROP

  35. done < /etc/fw.list2



  39. # IP转发

  41. $IPTABLES -A INPUT -p tcp --dport 20002 -j ACCEPT

  43. $IPTABLES -A INPUT -d 172.16.204.7 -p tcp -m tcp --dport 20002 -i eth0 -j ACCEPT

  45. $IPTABLES -t nat -A PREROUTING -d 211.100.39.44 -p tcp -m tcp --dport 20002 -j DNAT --to-destination 172.16.204.7:20002

  47. $IPTABLES -t nat -A POSTROUTING -d 172.16.204.7 -p tcp -m tcp --dport 20002 -j SNAT --to-source 10.6.39.44



  51. # if pkg visit 80,7710 port then accept

  53. $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT

  55. $IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT

  57. $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT

  59. $IPTABLES -A INPUT -p tcp --dport 873 -j ACCEPT

  61. # $IPTABLES -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT

  63. $IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT

  65. $IPTABLES -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT

  67. $IPTABLES -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT



  71. # if pkg from allow ip then accept

  73. $IPTABLES -A INPUT -p tcp -s 127.0.0.1 -j ACCEPT



  77. # if pkg not above then deny

  79. $IPTABLES -A INPUT -p tcp --syn -j DROP

  81. 下面这个防火墙测试结果更正确,能起到一定的防攻击的功能



  85. #!/bin/sh

  87. IPTABLES="/sbin/iptables"

  89. echo "1" > /proc/sys/net/ipv4/ip_forward

  91. $IPTABLES -P INPUT DROP

  93. $IPTABLES -P FORWARD DROP

  95. $IPTABLES -P OUTPUT DROP

  97. $IPTABLES -F

  99. $IPTABLES -X



  103. $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  105. $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT

  107. $IPTABLES -A INPUT -p tcp --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT



  111. $IPTABLES -A OUTPUT -p tcp -s 127.0.0.1 -j ACCEPT

  113. $IPTABLES -A OUTPUT -p tcp -s 192.168.1.102 -j ACCEPT

  115. $IPTABLES -A OUTPUT -p udp -s 127.0.0.1 -j ACCEPT

  117. $IPTABLES -A OUTPUT -p udp -s 192.168.1.102 -j ACCEPT



  121. $IPTABLES -A INPUT -p tcp --syn -j DROP

阅读(1167) | 评论(0) | 转发(0) |
0

上一篇:一大波实用的 bash 别名和函数

下一篇:网站使用CDN服务后统计网站真实的用户访问情况获取真实IP

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6