预计阅读本页时间:-
6.9.1 安全的主机iptables防火墙脚本
下面以自己的线上iRedMail邮件服务器(此机器系统为CentOS 5.1 x86_64,此邮件服务器上线时间比较早,大约在2008年左右)为例进行说明,系统的默认策略是INPUT为DROP,OUTPUT、FORWARD链为ACCEPT,DROP设置得比较宽松,因为我们知道出去的数据包比较安全。
脚本代码如下:
广告:个人专属 VPN,独立 IP,无限流量,多机房切换,还可以屏蔽广告和恶意软件,每月最低仅 5 美元
#/bin/bash
iptables -F
iptables -F -t nat
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#load connection-tracking modules
modprobe ip_conntrack
modprobe iptable_nat
iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,443,25,465,110,995,143,993,587,465,22 -j ACCEPT
查看iptables的详细规则,命令如下:
iptables -nv –
L
此命令显示结果如下:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 100/sec burst 100
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 20/sec burst 200
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
26 1925 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443,25,465,110,995,143,993,587,465,22
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 10
Chain OUTPUT (policy ACCEPT 20 packets, 1873 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
在主机的防护上我们配置了一些安全措施,以防止外部的ping和SYN洪水攻击,并且考虑到外部的疯狂端口扫描软件可能会影响服务器的入口带宽,所以在这里也做了限制,命令如下:
iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j ACCEPT
上面的命令每秒钟最多允许10个新连接,请注意这里的新连接指的是state为New的数据包,后面也配置了允许状态为ESTABLISHED和RELATED的数据通过;另外,阈值(上述命令中为100)需要根据服务器的实际情况来调整,如果是并发量不大的服务器,则要将这个数值调小,如果是访问量非常大且并发数不小的服务器,则还需要将这个值调大。再来看看以下命令:
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s –
limit-burst 10 -j ACCEPT
上述命令是为了防止ping洪水攻击,限制每秒的ping包不超过10个。
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
上面的命令是防止各种端口扫描,将SYN及ACK SYN限制为每秒钟不超过200个,以免将服务器的带宽耗尽。
还可以运行nmap工具扫描此机器的公网地址211.143.1.1(此公网地址已做无害处理),命令如下:
nmap -P0 -sS 211.143.1.1
此命令的执行结果如下:
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST
Interesting ports on 211.143.1.1:
Not shown: 1668 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
1014/tcp open unknown
从结果中可以发现一个1014端被某个进程打开了,可用如下命令来查看:
lsof -i:1014
查看结果可发现又是rpc.statd打开的,这个服务每次用的端口都不一样啊!本来想置之不理的,但是如果rpc.statd不能正确处理SIGPID信号,远程攻击者就会利用这个漏洞关闭进程,进行拒绝服务攻击,所以还是得想办法解决掉这个问题才行。可以看到,rpc.statd是由服务nfslock开启的,进一步查询可得知该服务是一个可选的进程,它允许NFS客户端在服务器上对文件进行加锁操作。这个进程对应于nfslock服务,于是考虑关掉此服务,命令如下:
service nfslock stop
chkconfig nfslock off
