shellスクリプトiptablesポートスキャン防止コード
4787 ワード
shellスクリプトはiptablesポートスキャン防止の実装と組み合わせてinotify-toolsツールを使用しています.
ネット上にはpsad、portsentryなどの現在のポート防止ツールがありますが、構成が面倒で、サーバは追加のソフトウェアをインストールしたくないと思っています.だから自分でshellスクリプトと書いてこの機能を実現しました.基本的な考え方は、iptablesのrecentモジュールを使用して60秒以内に10ポート以上のIPをスキャンし、inotify-toolsツールと組み合わせてiptablesのログをリアルタイムで監視し、iptablesログファイルに新しいipレコードが書き込まれると、iptablesを使用してソースipをブラックアウトし、ポートスキャンを防止する機能を果たすことです.
1、iptablesルール新規スクリプトを設定iptables.sh、このスクリプトを実行します.
注意:17-18行の2つのルールは必ずINPUTチェーンの一番下にあり、他のルールは自分で補充することができます.
2、iptablesログ位置変更www.jbxue.com
編集/etc/sysyslog.conf,追加:kern.warning/var/log/iptables.log
syslog/etc/initを再起動します.d/syslog restart
3、ポートスキャン防止shellスクリプト
まず、inotify:yum install inotify-toolsをインストールします.
以下のコードをban-portscanとして保存する.sh
ポートスキャンの有効化を開始するコマンドを実行します.
nohup ./ban-portscan.sh &
ネット上にはpsad、portsentryなどの現在のポート防止ツールがありますが、構成が面倒で、サーバは追加のソフトウェアをインストールしたくないと思っています.だから自分でshellスクリプトと書いてこの機能を実現しました.基本的な考え方は、iptablesのrecentモジュールを使用して60秒以内に10ポート以上のIPをスキャンし、inotify-toolsツールと組み合わせてiptablesのログをリアルタイムで監視し、iptablesログファイルに新しいipレコードが書き込まれると、iptablesを使用してソースipをブラックアウトし、ポートスキャンを防止する機能を果たすことです.
1、iptablesルール新規スクリプトを設定iptables.sh、このスクリプトを実行します.
IPT="/sbin/iptables"
$IPT --delete-chain
$IPT --flush
#Default Policy
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
#INPUT Chain
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
$IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG
$IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP
#OUTPUT Chain
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
#iptables save
service iptables save
service iptables restart
注意:17-18行の2つのルールは必ずINPUTチェーンの一番下にあり、他のルールは自分で補充することができます.
2、iptablesログ位置変更www.jbxue.com
編集/etc/sysyslog.conf,追加:kern.warning/var/log/iptables.log
syslog/etc/initを再起動します.d/syslog restart
3、ポートスキャン防止shellスクリプト
まず、inotify:yum install inotify-toolsをインストールします.
以下のコードをban-portscanとして保存する.sh
btime=600 # ip
while true;do
while inotifywait -q -q -e modify /var/log/iptables.log;do
ip=`tail -1 /var/log/iptables.log | awk -F"[ =]" '{print $13}' | grep '\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'`
if test -z "`/sbin/iptables -nL | grep $ip`";then
/sbin/iptables -I INPUT -s $ip -j DROP
{
sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP
} &
fi
done
done
ポートスキャンの有効化を開始するコマンドを実行します.
nohup ./ban-portscan.sh &