shell脚本结合iptables防端口扫描的实现
程序员文章站
2023-11-22 10:09:28
网上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是:使用i...
网上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是:使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的ip,并结合inotify-tools工具实时监控iptables的日志,一旦iptables日志文件有写入新的ip记录,则使用iptables*源ip,起到了防止端口扫描的功能。
1、iptables规则设置
新建脚本iptables.sh,执行此脚本。
复制代码 代码如下:
ipt="/sbin/iptables"
$ipt --delete-chain
$ipt --flush
#default policy
$ipt -p input drop
$ipt -p forward drop
$ipt -p output drop
#input chain
$ipt -a input -m state --state related,established -j accept
$ipt -a input -p tcp -m tcp --dport 80 -j accept
$ipt -a input -p tcp -m tcp --dport 22 -j accept
$ipt -a input -i lo -j accept
$ipt -a input -p icmp -m icmp --icmp-type 8 -j accept
$ipt -a input -p icmp -m icmp --icmp-type 11 -j accept
$ipt -a input -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j log
$ipt -a input -p tcp --syn -m recent --name portscan --set -j drop
#output chain
$ipt -a output -m state --state related,established -j accept
$ipt -a output -p udp -m udp --dport 53 -j accept
$ipt -a output -o lo -j accept
$ipt -a output -p icmp -m icmp --icmp-type 8 -j accept
$ipt -a output -p icmp -m icmp --icmp-type 11 -j accept
#iptables save
service iptables save
service iptables restart
$ipt --delete-chain
$ipt --flush
#default policy
$ipt -p input drop
$ipt -p forward drop
$ipt -p output drop
#input chain
$ipt -a input -m state --state related,established -j accept
$ipt -a input -p tcp -m tcp --dport 80 -j accept
$ipt -a input -p tcp -m tcp --dport 22 -j accept
$ipt -a input -i lo -j accept
$ipt -a input -p icmp -m icmp --icmp-type 8 -j accept
$ipt -a input -p icmp -m icmp --icmp-type 11 -j accept
$ipt -a input -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j log
$ipt -a input -p tcp --syn -m recent --name portscan --set -j drop
#output chain
$ipt -a output -m state --state related,established -j accept
$ipt -a output -p udp -m udp --dport 53 -j accept
$ipt -a output -o lo -j accept
$ipt -a output -p icmp -m icmp --icmp-type 8 -j accept
$ipt -a output -p icmp -m icmp --icmp-type 11 -j accept
#iptables save
service iptables save
service iptables restart
注意:17-18行的两条规则务必在input链的最下面,其它规则自己可以补充。
2、iptables日志位置更改
编辑/etc/syslog.conf,添加:
复制代码 代码如下:
kern.warning /var/log/iptables.log
重启syslog
复制代码 代码如下:
/etc/init.d/syslog restart
3、防端口扫描shell脚本
首先安装inotify:
复制代码 代码如下:
yum install inotify-tools
保存以下代码为ban-portscan.sh
复制代码 代码如下:
btime=600 #封ip的时间
while true;do
while inotifywait -q -q -e modify /var/log/iptables.log;do
ip=`tail -1 /var/log/iptables.log | awk -f"[ =]" '{print $13}' | grep '\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'`
if test -z "`/sbin/iptables -nl | grep $ip`";then
/sbin/iptables -i input -s $ip -j drop
{
sleep $btime && /sbin/iptables -d input -s $ip -j drop
} &
fi
done
done
while true;do
while inotifywait -q -q -e modify /var/log/iptables.log;do
ip=`tail -1 /var/log/iptables.log | awk -f"[ =]" '{print $13}' | grep '\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'`
if test -z "`/sbin/iptables -nl | grep $ip`";then
/sbin/iptables -i input -s $ip -j drop
{
sleep $btime && /sbin/iptables -d input -s $ip -j drop
} &
fi
done
done
执行命令开始启用端口防扫描
复制代码 代码如下:
nohup ./ban-portscan.sh &
上一篇: php编译安装常见错误大全和解决方法