Web主机iptables防火墙安全脚本

共计 4038 个字符，预计需要花费 11 分钟才能阅读完成。

系统的默认策略是 INPUT 为 DROP，OUTPUT、FORWARD 链为 ACCEPT，DROP 设置得比较宽松，因为我们知道出去的数据包比较安全；为了验证脚本的通用性，我特的查看了服务器的内核及 iptables 版本，命令如下所示：

uname-a
iptables -V

如果大家要采用 iptables 作为主机防火墙时，建议用 CentOS5.6 x86_64 或更高版本，不然系统会有如下错误信息：

iptables: Unknown error 18446744073709551615
iptables:Invalid argument
在 tail-f /var/log/messages 时能发下面的的出错提示
ip_tables: connlimit match: invalid size 32 != 16
ip_tables: connlimit match: invalid size 32 != 24

另外，在生产环境下调试 iptables 脚本前，强烈建议编写 crontab 任务，每 5 分钟关闭一次 iptalbes 脚本，防止将 SSH 客户端锁在外面，命令如下所示：

*/5* * * * root /etc/init.d/iptablesstop

脚本代码如下所示：

#!/bin/bash
iptables -F
iptables -F -t nat
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#load connection-tracking modules
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A INPUT -f -m limit –limit 100/sec–limit-burst 100 -j ACCEPT
iptables -A INPUT -p icmp –icmp-typeecho-request -m limit –limit 1/s–limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m limit –limit 20/sec–limit-burst 200 -j ACCEPT
iptables -A INPUT -s 122.70.x.x -j ACCEPT
iptables -A INPUT -s 122.70.x.x -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport –dport 80,22 -j ACCEPT

这里有一种特殊情况，由于此 Web 服务器是置于负载均衡器后面，所以与负载均衡器的连接还是很频繁的；所以我们要允许数据源地址为负载均衡器的数据包通过；另外，我的许多基于 LNMP 的小网站上面也部署了此脚本，即 Web 服务和 MySQL 数据库同时安装在一台机器上，也没有开放 3306 端口，这个靠 Web 调用 PHP 程序实现访问。

成功运行此脚本后系统应该是不会报错的，命令如下：

iptables -nv –L

此命令显示结果如下

Chain INPUT (policy DROP 610 packets, 50967 bytes)
pkts bytes target    prot opt inout    sourcedestination     
0    0 ACCEPT    all  -f  *      *      0.0.0.0/00.0.0.0/0limit: avg 100/secburst 100
6100  314K ACCEPT    tcp  —  *      *      0.0.0.0/00.0.0.0/0tcp flags:0x16/0x02limit: avg 20/secburst 200
1052 67637 ACCEPT    all  —  *      *      122.70.x.x        0.0.0.0/0
986 58112 ACCEPT    all  —  *      *      122.70.x.x        0.0.0.0/0
918  131K ACCEPT    all  —  lo    *      0.0.0.0/00.0.0.0/0
97056  12M ACCEPT    all  —  *      *      0.0.0.0/00.0.0.0/0state RELATED,ESTABLISHED
4325  218K ACCEPT    tcp  —  *      *      0.0.0.0/00.0.0.0/0multiport dports 80,22
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target    prot opt inout    sourcedestination     
0    0 ACCEPT    icmp —  *      *      0.0.0.0/00.0.0.0/0icmp type8 limit: avg 1/secburst 10
Chain OUTPUT (policy ACCEPT 144K packets, 155M bytes)
pkts bytes target    prot opt inout    sourcedestination     
956  134K ACCEPT    all  —  *      lo      0.0.0.0/00.0.0.0/0

下面我稍为详细的解释下此脚本：
在主机的防护上我们配置了一些安全措施，以防止外部的 ping 和 SYN 洪水攻击，并且考虑到外部的疯狂端口扫描软件可能会影响服务器的入口带宽，所以在这里也做了限制。命令如下所示：

iptables -A INPUT -p tcp –syn -m limit –limit 100/s–limit-burst 100 -j  ACCEPT

上面的命令每秒钟最多允许 100 个新连接，请注意这里的新连接指的是 state 为 New 的数据包，在后面我们也配置了允许状态为 ESTABLISHED 和 RELATED 的数据通过；另外，100 这个阀值则要根据服务器的实际情况来调整，如果是并发量不大的服务器这个数值就要调小，如果是访问量非常大且并发数不小的服务器，这个值则还需要调大。

iptables -A INPUT -p icmp –icmp-typeecho-request -m limit –limit 1/s–limit-burst 10 -j ACCEPT
这是为了防止 ping 洪水攻击，限制每秒的 ping 包不超过 10 个。
iptables -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m limit –limit 20/sec–limit-burst 200 -j ACCEPT

上面的命令防止各种端口扫描，将 SYN 及 ACK SYN 限制为每秒钟不超过 200 个，免得把数务器带宽耗尽了。

iptables 防火墙运行后，我们可以运行 nmap 工具进行扫描，命令如下：

nmap -P0 -sS 211.143.6.x

此命令的执行结果如下：

Starting Nmap 4.11 (http://www.insecure.org/nmap/) at 2009-03-29 16:21 CST
Interesting ports on 211.143.6.X:
Not shown: 1668 closed ports
PORT    STATE SERVICE
22/tcpopenssh
25/tcpopensmtp
80/tcpopenhttp
110/tcpopenpop3
111/tcpopenrpcbind
143/tcpopenimap
443/tcpopenhttps
465/tcpopensmtps
587/tcpopensubmission
993/tcpopenimaps
995/tcpopenpop3s
1014/tcpopenunknown

在这里，我们发现一个 1014 端被某个进程打开了，用 lsof -i:1014 查看发现又是 rpc.statd 打开的，这服务每次用的端口都不一样啊！本来想置之不理的，但是如果 rpc.statd 不能正确处理 SIGPID 信号，远程攻击者可利用这个漏洞关闭进程，进行拒绝服务攻击，所以还是得想办法解决掉，我们发现 rpc.statd 是由服务 nfslock 开启的，进一步查询得知它是一个可选的进程，它允许 NFS 客户端在服务器上对文件加锁。这个进程对应于 nfslock 服务，于是我们关掉了此服务，命令如下所示：

service nfslock stop
chkconfig nfslock off

没有硬件防火墙保护的话，置于 IDC 机房并且有公网的 Web 服务器还是很有用 iptables 保护的必要，如果发现有人用工具恶意频繁连接我们的 Web 服务器，我们可以调用 recent 模块来阻止它们。

-A INPUT -p tcp –syn -m limit –limit 12/s –limit-burst 24 -j ACCEPT  防止 DDOS 的 SYN

推荐阅读：

iptables—包过滤（网络层）防火墙 http://www.linuxidc.com/Linux/2013-08/88423.htm

Linux 防火墙 iptables 详细教程 http://www.linuxidc.com/Linux/2013-07/87045.htm

iptables+L7+Squid 实现完善的软件防火墙 http://www.linuxidc.com/Linux/2013-05/84802.htm

iptables 的备份、恢复及防火墙脚本的基本使用 http://www.linuxidc.com/Linux/2013-08/88535.htm

Linux 下防火墙 iptables 用法规则详解 http://www.linuxidc.com/Linux/2012-08/67952.htm