安全的Web主机iptables防火墙脚本

最新推荐文章于 2025-08-22 22:29:46 发布
转载 最新推荐文章于 2025-08-22 22:29:46 发布 · 69 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/fenle/p/4614976.html
文章标签:

#网络 #操作系统 #运维

本文详细介绍了一个具体的iptables防火墙配置案例,包括默认策略设置、特殊模块加载、连接速率限制及特定IP和端口放行等关键步骤。此外还讨论了如何在实际环境中调试脚本并预防潜在问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

下面以自己的Web服务器举例说明之,系统的默认策略是INPUT 为DROP,OUTPUT、FORWARD链为ACCEPT,DROP设置得比较宽松,因为我们知道出去的数据包比较安全;为了验证脚本的通用性,我特的 查看了服务器的内核及iptables版本,命令如下所示:

1
2
3
4
5
6
7
8
9
10
uname -a
Linux ud50041 2.6.9-34.ELsmp #1 SMP Fri Feb 24 16:54:53 EST 2006 i686 i686 i386 GNU/Linux
iptables -V
iptables v1.2.11
lsb_release -a
LSB Version:    :core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch
Distributor ID:    RedHatEnterpriseAS
Description:    Red Hat Enterprise Linux AS release 4 (Nahant Update 3)
Release:    4
Codename:    NahantUpdate3

大 家可以发现,此系统为RHEL4_i386系统,系统内核版本为2.6.9-34,iptables版本为1.2.11;另外我在别的Centos5.5 x86_64机器上也成功部署了此脚本;由于后续的recent安全模块对系统内核有要求(这个作为主机防护脚本也经常用到),如果大家要采用 iptables作为主机防火墙时,建议用Centos5.6 x86_64或更高级版本,不然系统会有如下提示错误信息:

1
2
3
4
5
iptables: Unknown error 18446744073709551615
iptables:Invalid argument
tail -f /var/log/messages 时能发下面的的出错提示
ip_tables: connlimit match: invalid size 32 != 16
ip_tables: connlimit match: invalid size 32 != 24

另外,在生产环境下调试iptables脚本前,强烈建议编写crontab任务,每5分钟关闭一次iptalbes脚本,防止将SSH客户端锁在外面,命令如下所示:

1
* /5 * * * * root /etc/init .d /iptables stop

脚本代码如下所示:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
#!/bin/bash
iptables -F
iptables -F -t nat
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#load connection-tracking modules
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A INPUT -f -m limit --limit 100 /sec --limit-burst 100 -j ACCEPT
iptables -A INPUT -p icmp --icmp- type echo -request -m limit --limit 1 /s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20 /sec --limit-burst 200 -j ACCEPT
iptables -A INPUT -s 122.70.x.x -j ACCEPT
iptables -A INPUT -s 122.70.x.x -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,22 -j ACCEPT

这 里有一种特殊情况,由于此Web服务器是置于负载均衡器后面,所以与负载均衡器的连接还是很频繁的;所以我们要允许数据源地址为负载均衡器的数据包通过; 另外,我的许多基于LNMP的小网站上面也部署了此脚本,即Web服务和MySQL数据库同时安装在一台机器上,也没有开放3306端口,这个靠Web调 用PHP程序实现访问。

成功运行此脚本后系统应该是不会报错的,命令如下:

1
iptables -nv –L

此命令显示结果如下(此为另一台LNMP机器的脚本显示结果):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Chain INPUT (policy DROP 610 packets, 50967 bytes)
  pkts bytes target     prot opt in     out     source               destination      
     0     0 ACCEPT     all  -f  *      *       0.0.0.0 /0            0.0.0.0 /0           limit: avg 100 /sec burst 100
  6100  314K ACCEPT     tcp  --  *      *       0.0.0.0 /0            0.0.0.0 /0           tcp flags:0x16 /0x02 limit: avg 20 /sec burst 200
  1052 67637 ACCEPT     all  --  *      *       122.70.x.x        0.0.0.0 /0        
   986 58112 ACCEPT     all  --  *      *       122.70.x.x        0.0.0.0 /0        
   918  131K ACCEPT     all  --  lo     *       0.0.0.0 /0            0.0.0.0 /0        
97056   12M ACCEPT     all  --  *      *       0.0.0.0 /0            0.0.0.0 /0           state RELATED,ESTABLISHED
  4325  218K ACCEPT     tcp  --  *      *       0.0.0.0 /0            0.0.0.0 /0           multiport dports 80,22
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target     prot opt in     out     source               destination      
     0     0 ACCEPT     icmp --  *      *       0.0.0.0 /0            0.0.0.0 /0           icmp type 8 limit: avg 1 /sec burst 10
Chain OUTPUT (policy ACCEPT 144K packets, 155M bytes)
  pkts bytes target     prot opt in     out     source               destination      
   956  134K ACCEPT     all  --  *      lo      0.0.0.0 /0            0.0.0.0 /0

下面我稍为详细的解释下此脚本:
在主机的防护上我们配置了一些安全措施,以防止外部的ping和SYN洪水攻击,并且考虑到外部的疯狂端口扫描软件可能会影响服务器的入口带宽,所以在这里也做了限制。命令如下所示:

1
iptables -A INPUT -p tcp --syn -m limit --limit 100 /s --limit-burst 100 -j  ACCEPT

上 面的命令每秒钟最多允许100个新连接,请注意这里的新连接指的是state为New的数据包,在后面我们也配置了允许状态为ESTABLISHED和 RELATED的数据通过;另外,100这个阀值则要根据服务器的实际情况来调整,如果是并发量不大的服务器这个数值就要调小,如果是访问量非常大且并发 数不小的服务器,这个值则还需要调大。再看以下命令:

1
2
3
iptables -A INPUT -p icmp --icmp- type echo -request -m limit --limit 1 /s –limit-burst 10 -j ACCEPT
这是为了防止 ping 洪水攻击,限制每秒的 ping 包不超过10个。
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20 /sec --limit-burst 200 -j ACCEPT

上面的命令防止各种端口扫描,将SYN及ACK SYN限制为每秒钟不超过200个,免得把数务器带宽耗尽了。
iptables防火墙运行后,我们可以运行nmap工具进行扫描,命令如下:

1
nmap -P0 -sS 211.143.6.x

此命令的执行结果如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Starting Nmap 4.11 ( http: //www .insecure.org /nmap/ ) at 2009-03-29 16:21 CST
Interesting ports on 211.143.6.X:
Not shown: 1668 closed ports
PORT     STATE SERVICE
22 /tcp open   ssh
25 /tcp open   smtp
80 /tcp open   http
110 /tcp   open   pop3
111 /tcp   open   rpcbind
143 /tcp   open   imap
443 /tcp   open   https
465 /tcp   open   smtps
587 /tcp   open   submission
993 /tcp   open   imaps
995 /tcp   open   pop3s
1014 /tcp open   unknown

在 这里,我们发现一个1014端被某个进程打开了,用lsof -i:1014查看发现又是rpc.statd打开的,这服务每次用的端口都不一样啊!本来想置之不理的,但是如果rpc.statd不能正确处理 SIGPID信号,远程攻击者可利用这个漏洞关闭进程,进行拒绝服务攻击,所以还是得想办法解决掉,我们发现rpc.statd是由服务nfslock开 启的,进一步查询得知它是一个可选的进程,它允许NFS客户端在服务器上对文件加锁。这个进程对应于nfslock服务,于是我们关掉了此服务,命令如下 所示:

1
2
service nfslock stop
chkconfig nfslock off

如 果没有硬件防火墙保护的话,置于IDC机房并且有公网的Web服务器还是很有用iptables保护的必要,如果发现有人用工具恶意频繁连接我们的Web 服务器,我们可以调用recent模块来阻止它们,我们的做法是:尽量在每一台有公网IP的机器上部署iptables防火墙。

本文出自 “抚琴煮酒” 博客,请务必保留此出处http://yuhongchun.blog.51cto.com/1604432/716016

转载于:https://www.cnblogs.com/fenle/p/4614976.html

iptables+ipset自动封闭和解封频繁访问web服务的恶意IP
firehive的博客
07-28 4908
iptables直接针对ip进行封禁,在ip数量不大的时候是没什么问题的,但当有大量ip的时候性能会严重下降,iptables是O(N)的性能。而ipset就像一个集合,把需要封闭的ip地址入这个集合中,ipset 是O(1)的性能,可以有效解决iptables直接封禁大量IP的性能问题。 1. 如果是RedHat/CentOS,首先用yum(Ubuntu/Debian用将yum换为apt-g...
iptables防火墙详解
Linux运维老纪的博客
07-28 1011
iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)这篇文章给大家介绍下iptables防火墙防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,在网站内部,最常见的有iptables入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的安全组等等。
Iptables自动添加黑名单脚本
K_sheep的博客
08-02 1789
Iptables自动添加黑名单脚本(黑客防御手段之一)
Web主机iptables防火墙安全脚本
weixin_34247299的博客
03-08 65
系统的默认策略是INPUT为DROP,OUTPUT、FORWARD链为ACCEPT,DROP设置得比较宽松,因为我们知道出去的数据包比较安全;为了验证脚本的通用性,我特的查看了服务器的内核及iptables版本,命令如下所示:uname-aiptables -V如果大家要采用iptables作为主机防火墙时,建议用Centos5.6 x86_64或更高版本,不然系统会有如下错...
Linux—iptables防火墙
A6985HG的博客
07-30 2281
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux的防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
iptables 防火墙(二)
m0_74860678的博客
07-01 1304
SNAT策略的典型应用环境局域网主机共享单个公网IP地址接入InternetSNAT策略的原理源地址转换,Source Network Address Translation修改数据包的源地址开启路由转发,未设置地址转换的情况正常情况下,作为网关的 Linux 服务器必须打开路由转发,才能沟通多个网络。未使用地址转换策略时,从局域网 PC(如 192.168.1.234)访问 Internet 的数据包经过网关转发后其源 IP 地址保持不变,
保护你的Web服务器 iptables防火墙脚本全解读
weixin_34185320的博客
11-08 79
在我们的Web服务器上,系统的默认策略是INPUT为DROP,OUTPUT;FORWARD链为ACCEPT,DROP则设置得比较宽松,因为我们知道出去的数据包比较安全。 准备工作 为了验证脚本的通用性,我特地查看了服务器的内核及iptables版本: #uname-a Linuxud500412.6.9-34.ELsmp#1SMPFriF...
Iptables加固服务器安全
菜鸟运维升级之路
12-31 772
当项目过三级等保或者服务器安全测评时,常常会被客户找的第三方测评公司进行安全扫描,常被扫描出来各种系统问题,针对严重问题可以进行系统升级、服务再次改造等,如果是一些次要问题或者必须要放开一些端口时,这种情况就得使用服务器上的防火墙进行安全加固,例如:iptables、firewalld。再本文中将使用iptables的使用、原理展开学习。
iptables防火墙
Jerry00713的博客
11-06 2121
p 后接协议,可以限制对协议的访问,一般有 -p icmp 禁止ping , -p tcp 禁用所有tcp的协议的。-p udp 禁用所有udp 的协议的。没有-p http ,因为http是基于tcp基础进行通信,所以禁用tcp就是禁用http的访问,注意使用-p tcp,会导致ssh等也断开。
安全Web主机iptables防火墙脚本.docx
10-31
安全Web主机iptables防火墙脚本.docx
firewall-rules:快速而肮脏的 IPtables 防火墙脚本
06-29
我用 bash 了一个快速而肮脏的防火墙脚本 您需要修改 4 行: tcp_ports_in=() tcp_ports_out=() udp_ports_in=() udp_ports_out() 语法: tcp_ports_in=(80 443) 端口 IN 是需要打开服务器上的服务才能访问的...
交换机、网络层与传输层原理
m0_46460826的博客
08-19 1041
在当今数字化时代,网络通信已成为我们日常生活和工作中不可或缺的一部分。从简单的网页浏览到复杂的视频会议,从即时通讯到云计算服务,所有这些应用都依赖于底层网络技术的支持。然而,对于大多数普通用户来说,网络通信的底层原理往往是一个"黑箱"——我们知道它能工作,却不太清楚它究竟是如何工作的。本文将带您深入探索网络通信的核心层次:数据链路层(交换机原理)、网络层(IP的世界)和传输层(TCP vs UDP)。
三格电子——ModbusTCP 转 Profinet 主站网关应用实例
SANGEDZ_YYDS的博客
08-22 412
ModbusTCPClient 通过 ModbusTCP 控制 Profinet 接口设备, Profinet 接口设备接入DCS/工控机等。 产品是ModbusTCP和Profinet(M)网关(以下简称网关),使用数据映射 方式工作。 本产品在ModbusTCP侧作为ModbusTCP从站,接PLC、上位机、wincc屏 等;在Profinet 侧做为Profinet 主站控制器,接Profinet设备,如伺服驱动器。
鸿蒙NEXT即时通讯/IM系统RinbowTalk v2.4版发布,基于MobileIMSDK框架、ArkTS编
hellojackjiang2011的博客
08-20 297
RainbowTalk是一套基于开源即时通讯讯IM框架 MobileIMSDK 的产品级鸿蒙NEXT端IM系统。纯ArkTS编、全新开发,没有套壳、也没走捷径,每一行代码都够“纯血”。与姊妹产品RainbowChat和RainbowChat-Web 技术同源,历经考验。
误点钓鱼邮件后的完整处置流程与深度分析指南
Liu_Bruce的博客
08-22 935
钓鱼攻击是渗透的起点,初始访问的利器。本文将以一名安全工程师的视角,详细梳理从接到报告到闭环的完整应急响应流程,分享一些实用的分析技巧与工具。处理钓鱼邮件事件是对安全工程师综合能力的考验,它涉及沟通、取证、分析和处置等多个环节。遵循一个清晰的流程()是成功响应的关键。保持冷静,胆大心细,每一次应急响应都是提升企业安全防护能力的宝贵机会。标签:#网络安全 #应急响应 #钓鱼攻击 #数字取证 #恶意软件分析。希望这篇详尽的指南能对您和您的团队有所帮助。将受影响的主机视为“犯罪现场”,进行规范的数字取证。
分钟速通堆叠
ACL
08-21 686
摘要:交换机堆叠技术通过将多台设备逻辑整合为单一管理单元,提升网络可靠性和扩展性。盒式交换机采用堆叠,框式交换机采用集群。堆叠ID标识设备槽位,优先级决定主备角色,逻辑接口需方向对应(1口对2口)。支持链形和环形拓扑,可通过堆叠卡或业务口实现。堆叠分裂时采用MAD机制检测冲突,失败方端口关闭。升级方式包括智能同步、传统重启和平滑分区升级。H3C设备配置示例展示了环形堆叠、BFD检测和分步升级流程,强调操作时序对业务连续性的重要性。
Linux操作系统编程——网络
最新发布
2501_92777307的博客
08-22 679
目的:不同主机进程间通信需要解决的问题:1主机主机之间物理层面必须互联互通2,进程与进程之间在软件层面必须互联互通交换机:短距离网络通信,实现局域网内通信局域网:短距离的数据传输路由器:负责路由,即路径选择,将数据上传至广域网内的路由器广域网:多个路由器组成的数据转发集合中心。可以实现远距离数据传输IP地址:计算机的软件地址,用来标识计算机设备同一局域网中不可能出现IP地址相同的设备MAC地址:计算机的硬件地址(固定)网络的端口号:标记同一主机上的不同网络进程。
深入理解 Kubernetes 网络:四种核心通信模型详解
daihaoxin的专栏
08-22 937
本文深入解析Kubernetes网络四大核心通信模型:1)同一Pod内容器间通过共享网络命名空间通信;2)Pod间通过CNI插件实现直接通信;3)Pod通过Service的稳定地址访问服务,由kube-proxy提供负载均衡;4)外部流量通过NodePort/LoadBalancer/Ingress访问集群服务。Kubernetes网络遵循"每个Pod拥有唯一IP"原则,确保透明通信,为微服务架构奠定基础。理解这些模型对构建可靠云原生应用至关重要。
防火墙配置脚本
03-28
<think>好的,我现在需要处理用户关于防火墙配置脚本请求。首先,用户明确想要寻找防火墙配置的脚本示例或者自动化配置脚本。根据用户提供的引用内容,我看到引用[1]提到了ESXi防火墙规则的配置步骤,而引用[2]则涉及Jenkins与Snyk的集成以及Ansible的应用。我需要结合这些信息来生成相关的脚本示例。 首先,用户可能需要不同环境的脚本,比如Linux的iptables或者Windows的防火墙设置。引用[1]中的ESXi配置是通过Web控制台手动操作的,但用户可能希望自动化这个过程,所以可能需要PowerCLI脚本来自动化ESXi防火墙配置。另外,引用[2]提到了Ansible,这是一个自动化工具,可以用于配置防火墙规则,所以应该包括Ansible的Playbook示例。 接下来,我需要确保提供的脚本符合用户的需求,且语法正确。例如,在Linux中使用iptables命令,需要展示基本的规则设置,比如允许SSH和HTTP,然后保存配置。对于Windows,使用PowerShell的NetSecurity模块命令,同样需要展示启用防火墙添加规则。对于ESXi,使用PowerCLI连接到主机配置防火墙规则,这部分需要参考引用[1]中的步骤,将其转化为脚本形式。 此外,自动化部分需要考虑使用Ansible,因为引用[2]提到了Ansible与安全自动化的结合。Ansible的firewalld模块很适合这个任务,所以需要编一个简单的Playbook来开放HTTP和HTTPS端口,设置为永久生效。同时,结合引用[2]中的安全测试阶段,可以建议在自动化流水线中加入安全测试工具,比如Snyk,但用户的主要需求是防火墙配置,所以这部分可能作为扩展建议。 需要注意,用户可能对不同的平台(Linux、Windows、虚拟化环境如ESXi)有不同的需求,因此提供多平台的脚本示例会更全面。同时,要确保脚本的准确性和安全性,比如在iptables中使用-A INPUT来追加规则,而不是覆盖现有规则,避免导致服务中断。 最后,生成相关问题,帮助用户进一步探索防火墙配置的调试、自动化工具比较、安全测试集成以及云环境中的配置差异。这些问题应基于提供的脚本和引用内容,确保相关性。</think>### 防火墙配置脚本示例 以下是针对不同场景的防火墙配置脚本示例,涵盖Linux、Windows及自动化工具(如Ansible)的实现方式。 --- #### 1. **Linux iptables基础配置** ```bash #!/bin/bash # 清空现有规则 iptables -F # 允许本地回环接口 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # 允许已建立的连接 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # 开放SSH(端口22)和HTTP(端口80) iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 默认策略:拒绝所有其他入站流量 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # 保存规则(需安装iptables-persistent) netfilter-persistent save ``` --- #### 2. **Windows防火墙配置(PowerShell)** ```powershell # 启用防火墙 Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True # 允许HTTP(端口80)入站 New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow # 允许远程桌面(端口3389)仅来自特定IP New-NetFirewallRule -DisplayName "Allow RDP from 192.168.1.100" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 192.168.1.100 -Action Allow # 阻止ICMP(Ping)请求 Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv4-In)" -Enabled False ``` --- #### 3. **ESXi防火墙自动化配置(PowerCLI)** 参考[^1]中ESXi防火墙规则配置的步骤,可通过PowerCLI脚本实现自动化: ```powershell # 连接到ESXi主机 Connect-VIServer -Server 192.168.1.50 -User root -Password "your_password" # 启用DHCP客户端防火墙规则(示例规则) Get-VMHostFirewallException -Name "DHCP Client" | Set-VMHostFirewallException -Enabled $true # 配置自定义规则(如开放SSH) $sshRule = New-Object VMware.Vim.HostFirewallRule $sshRule.port = 22 $sshRule.protocol = "tcp" $sshRule.endPort = 22 $sshRule.direction = "inbound" Get-View (Get-VMHost).Id | %{ $_.FirewallSystem.UpdateRuleset("sshCustomRule", @($sshRule)) } ``` --- #### 4. **Ansible自动化防火墙配置** 结合[^2]中提到的安全编排工具,使用Ansible的`firewalld`模块: ```yaml --- - name: Configure Firewall Rules hosts: servers tasks: - name: Ensure firewalld is running ansible.builtin.service: name: firewalld state: started enabled: yes - name: Open HTTP and HTTPS ports ansible.posix.firewalld: service: "{{ item }}" state: enabled permanent: yes immediate: yes loop: - http - https - name: Allow SSH from trusted network ansible.posix.firewalld: source: 192.168.1.0/24 service: ssh state: enabled permanent: yes ``` --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值