安全的Web主機iptables防火牆腳本

下面以本身的Web服務器舉例說明之,系統的默認策略是INPUT爲DROP,OUTPUT、FORWARD鏈爲ACCEPT,DROP設置得比較寬鬆,由於咱們知道出去的數據包比較安全;爲了驗證腳本的通用性,我特的查看了服務器的內核及iptables版本,命令以下所示:
[root@ud50041 ~]# uname -a
Linux ud50041 2.6.9-34.ELsmp #1 SMP Fri Feb 24 16:54:53 EST 2006 i686 i686 i386 GNU/Linux
[root@ud50041 ~]# iptables -V
iptables v1.2.11
[root@ud50041 ~]# lsb_release -a
LSB Version:    :core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch
Distributor ID:    RedHatEnterpriseAS
Description:    Red Hat Enterprise Linux AS release 4 (Nahant Update 3)
Release:    4
Codename:    NahantUpdate3
你們能夠發現,此係統爲RHEL4_i386系統,系統內核版本爲2.6.9-34,iptables版本爲1.2.11;另外我在別的Centos5.5 x86_64機器上也成功部署了此腳本;因爲後續的recent安全模塊對系統內核有要求(這個做爲主機防禦腳本也常常用到),若是你們要採用iptables做爲主機防火牆時,建議用Centos5.6 x86_64或更高級版本,否則系統會有以下提示錯誤信息:
iptables: Unknown error 18446744073709551615
iptables:Invalid argument
在tail -f /var/log/messages時能發下面的的出錯提示
ip_tables: connlimit match: invalid size 32 != 16
ip_tables: connlimit match: invalid size 32 != 24
另外,在生產環境下調試iptables腳本前,強烈建議編寫crontab任務,每5分鐘關閉一次iptalbes腳本,防止將SSH客戶端鎖在外面,命令以下所示:
*/5 * * * * root /etc/init.d/iptables stop
腳本代碼以下所示:數據庫

   
   
   
   
  1. #!/bin/bash 
  2. iptables -F 
  3. iptables -F -t nat 
  4. iptables -X 
  5.  
  6. iptables -P INPUT DROP 
  7. iptables -P OUTPUT ACCEPT 
  8. iptables -P FORWARD ACCEPT 
  9.  
  10. #load connection-tracking modules 
  11. modprobe iptable_nat 
  12. modprobe ip_conntrack_ftp 
  13. modprobe ip_nat_ftp 
  14.  
  15. iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT 
  16. iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT 
  17. iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT 
  18.  
  19. iptables -A INPUT -s 122.70.x.x -j ACCEPT 
  20. iptables -A INPUT -s 122.70.x.x -j ACCEPT 
  21. iptables -A INPUT -i lo -j ACCEPT 
  22. iptables -A OUTPUT -o lo -j ACCEPT 
  23. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
  24. iptables -A INPUT -p tcp -m multiport --dport 80,22 -j ACCEPT 

這裏有一種特殊狀況,因爲此Web服務器是置於負載均衡器後面,因此與負載均衡器的鏈接仍是很頻繁的;因此咱們要容許數據源地址爲負載均衡器的數據包經過;另外,個人許多基於LNMP的小網站上面也部署了此腳本,即Web服務和MySQL數據庫同時安裝在一臺機器上,也沒有開放3306端口,這個靠Web調用PHP程序實現訪問。

成功運行此腳本後系統應該是不會報錯的,命令以下:
iptables -nv –L
此命令顯示結果以下(此爲另外一臺LNMP機器的腳本顯示結果):
Chain INPUT (policy DROP 610 packets, 50967 bytes)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     all  -f  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 100/sec burst 100
 6100  314K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x16/0x02 limit: avg 20/sec burst 200
 1052 67637 ACCEPT     all  --  *      *       122.70.x.x        0.0.0.0/0          
  986 58112 ACCEPT     all  --  *      *       122.70.x.x        0.0.0.0/0          
  918  131K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          
97056   12M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
 4325  218K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 80,22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 10

Chain OUTPUT (policy ACCEPT 144K packets, 155M bytes)
 pkts bytes target     prot opt in     out     source               destination        
  956  134K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0

下面我稍爲詳細的解釋下此腳本:
在主機的防禦上咱們配置了一些安全措施,以防止外部的ping和SYN洪水***,而且考慮到外部的瘋狂端口掃描軟件可能會影響服務器的入口帶寬,因此在這裏也作了限制。命令以下所示:
iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j  ACCEPT
上面的命令每秒鐘最多容許100個新鏈接,請注意這裏的新鏈接指的是state爲New的數據包,在後面咱們也配置了容許狀態爲ESTABLISHED和RELATED的數據經過;另外,100這個閥值則要根據服務器的實際狀況來調整,若是是併發量不大的服務器這個數值就要調小,若是是訪問量很是大且併發數不小的服務器,這個值則還須要調大。再看如下命令:
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s –limit-burst 10 -j ACCEPT
這是爲了防止ping洪水***,限制每秒的ping包不超過10個。
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
上面的命令防止各類端口掃描,將SYN及ACK SYN限制爲每秒鐘不超過200個,省得把數務器帶寬耗盡了。

iptables防火牆運行後,咱們能夠運行nmap工具進行掃描,命令以下:
nmap -P0 -sS 211.143.6.x
此命令的執行結果以下:
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST
Interesting ports on 211.143.6.X:
Not shown: 1668 closed ports
PORT     STATE SERVICE
22/tcp open   ssh
25/tcp open   smtp
80/tcp open   http
110/tcp   open   pop3
111/tcp   open   rpcbind
143/tcp   open   imap
443/tcp   open   https
465/tcp   open   smtps
587/tcp   open   submission
993/tcp   open   imaps
995/tcp   open   pop3s
1014/tcp open   unknown

在這裏,咱們發現一個1014端被某個進程打開了,用lsof -i:1014查看發現又是rpc.statd打開的,這服務每次用的端口都不同啊!原本想置之不理的,可是若是rpc.statd不能正確處理SIGPID信號,遠程***者可利用這個漏洞關閉進程,進行拒絕服務***,因此仍是得想辦法解決掉,咱們發現rpc.statd是由服務nfslock開啓的,進一步查詢得知它是一個可選的進程,它容許NFS客戶端在服務器上對文件加鎖。這個進程對應於nfslock服務,因而咱們關掉了此服務,命令以下所示:
service nfslock stop
chkconfig nfslock off

若是沒有硬件防火牆保護的話,置於IDC機房而且有公網的Web服務器仍是頗有用iptables保護的必要,若是發現有人用工具惡意頻繁鏈接咱們的Web服務器,咱們能夠調用recent模塊來阻止它們,咱們的作法是:儘可能在每一臺有公網IP的機器上部署iptables防火牆。安全

本文出自 「撫琴煮酒」 博客,請務必保留此出處http://andrewyu.blog.51cto.com/1604432/716016bash

相關文章
相關標籤/搜索