Chinaunix首页 | 论坛 | 博客

chickenlxg的ChinaUnix博客ckunix.blog.chinaunix.net

首页 |  博文目录 |  关于我

chickenlxg

  • 博客访问: 381188
  • 博文数量: 104
  • 博客积分: 652
  • 博客等级: 上士
  • 技术积分: 1477
  • 用 户 组: 普通用户
  • 注册时间: 2012-07-04 15:20
文章分类

全部博文(104)

文章存档

2019年(1)

2015年(8)

2014年(6)

2013年(59)

2012年(30)

我的朋友
最近访客
推荐博文
相关博文
防简单攻击iptables策略

分类: LINUX

2013-10-30 14:35:49


  1. #!/bin/sh
  3. IPTABLES=/sbin/iptables
  7. # clear
  9. $IPTABLES -F
  13. # if pkg type is allow, then accept
  15. #$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  19. # 如果同时在80端口的连接数大于10,就Drop掉这个ip
  21. netstat -an | grep :80 | awk -F: '{ print $8 }' | sort | uniq -c | awk -F\ '$1>10 && $2!="" { print $2 }' >> /etc/fw.list
  23. less /etc/fw.list | sort | uniq -c | awk -F\ '$2!="" { print $2 }' > /etc/fw.list2
  25. less /etc/fw.list2 > /etc/fw.list
  27. while read line
  29. do
  31. t=`echo "$line"`
  33. $IPTABLES -A INPUT -p tcp -s $t -j DROP
  35. done < /etc/fw.list2
  39. # IP转发
  41. $IPTABLES -A INPUT -p tcp --dport 20002 -j ACCEPT
  43. $IPTABLES -A INPUT -d 172.16.204.7 -p tcp -m tcp --dport 20002 -i eth0 -j ACCEPT
  45. $IPTABLES -t nat -A PREROUTING -d 211.100.39.44 -p tcp -m tcp --dport 20002 -j DNAT --to-destination 172.16.204.7:20002
  47. $IPTABLES -t nat -A POSTROUTING -d 172.16.204.7 -p tcp -m tcp --dport 20002 -j SNAT --to-source 10.6.39.44
  51. # if pkg visit 80,7710 port then accept
  53. $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
  55. $IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT
  57. $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
  59. $IPTABLES -A INPUT -p tcp --dport 873 -j ACCEPT
  61. # $IPTABLES -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT
  63. $IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT
  65. $IPTABLES -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT
  67. $IPTABLES -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
  71. # if pkg from allow ip then accept
  73. $IPTABLES -A INPUT -p tcp -s 127.0.0.1 -j ACCEPT
  77. # if pkg not above then deny
  79. $IPTABLES -A INPUT -p tcp --syn -j DROP
  81. 下面这个防火墙测试结果更正确,能起到一定的防攻击的功能
  85. #!/bin/sh
  87. IPTABLES="/sbin/iptables"
  89. echo "1" > /proc/sys/net/ipv4/ip_forward
  91. $IPTABLES -P INPUT DROP
  93. $IPTABLES -P FORWARD DROP
  95. $IPTABLES -P OUTPUT DROP
  97. $IPTABLES -F
  99. $IPTABLES -X
  103. $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  105. $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
  107. $IPTABLES -A INPUT -p tcp --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT
  111. $IPTABLES -A OUTPUT -p tcp -s 127.0.0.1 -j ACCEPT
  113. $IPTABLES -A OUTPUT -p tcp -s 192.168.1.102 -j ACCEPT
  115. $IPTABLES -A OUTPUT -p udp -s 127.0.0.1 -j ACCEPT
  117. $IPTABLES -A OUTPUT -p udp -s 192.168.1.102 -j ACCEPT
  121. $IPTABLES -A INPUT -p tcp --syn -j DROP

阅读(658) | 评论(0) | 转发(0) |
0

上一篇:Git -- git服务器搭建

下一篇:centos使用yum时提示Segmentation fault错误的深入研究

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6