安全的web主机iptables防火墙脚本-凯发app官方网站

下面以自己的web服务器举例说明之，系统的默认策略是input为drop，output、forward链为accept，drop设置得比较宽松，因为我们知道出去的数据包比较安全；为了验证脚本的通用性，我特的查看了服务器的内核及iptables版本，命令如下所示：
[root@ud50041 ~]# uname -a
linux ud50041 2.6.9-34.elsmp #1 smp fri feb 24 16:54:53 est 2006 i686 i686 i386 gnu/linux
[root@ud50041 ~]# iptables -v
iptables v1.2.11
[root@ud50041 ~]# lsb_release -a
lsb version:    :core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch
distributor id:    redhatenterpriseas
description:    red hat enterprise linux as release 4 (nahant update 3)
release:    4
codename:    nahantupdate3
大家可以发现，此系统为rhel4_i386系统，系统内核版本为2.6.9-34，iptables版本为1.2.11；另外我在别的centos5.5 x86_64机器上也成功部署了此脚本；由于后续的recent安全模块对系统内核有要求（这个作为主机防护脚本也经常用到），如果大家要采用iptables作为主机防火墙时，建议用centos5.6 x86_64或更高级版本，不然系统会有如下提示错误信息：
iptables: unknown error 18446744073709551615
iptables:invalid argument
在tail -f /var/log/messages时能发下面的的出错提示
ip_tables: connlimit match: invalid size 32 != 16
ip_tables: connlimit match: invalid size 32 != 24
另外，在生产环境下调试iptables脚本前，强烈建议编写crontab任务，每5分钟关闭一次iptalbes脚本，防止将ssh客户端锁在外面，命令如下所示：
*/5 * * * * root /etc/init.d/iptables stop
脚本代码如下所示：

1. #!/bin/bash 
2. iptables -f 
3. iptables -f -t nat 
4. iptables -x 
6. iptables -p input drop 
7. iptables -p output accept 
8. iptables -p forward accept 
10. #load connection-tracking modules 
11. modprobe iptable_nat 
12. modprobe ip_conntrack_ftp 
13. modprobe ip_nat_ftp 
15. iptables -a input -f -m limit --limit 100/sec --limit-burst 100 -j accept 
16. iptables -a input -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j accept 
17. iptables -a input -p tcp -m tcp --tcp-flags syn,rst,ack syn -m limit --limit 20/sec --limit-burst 200 -j accept 
19. iptables -a input -s 122.70.x.x -j accept 
20. iptables -a input -s 122.70.x.x -j accept 
21. iptables -a input -i lo -j accept 
22. iptables -a output -o lo -j accept 
23. iptables -a input -m state --state established,related -j accept 
24. iptables -a input -p tcp -m multiport --dport 80,22 -j accept 

这里有一种特殊情况，由于此web服务器是置于负载均衡器后面，所以与负载均衡器的连接还是很频繁的；所以我们要允许数据源地址为负载均衡器的数据包通过；另外，我的许多基于lnmp的小网站上面也部署了此脚本，即web服务和mysql数据库同时安装在一台机器上，也没有开放3306端口，这个靠web调用php程序实现访问。

成功运行此脚本后系统应该是不会报错的，命令如下：
iptables -nv –l
此命令显示结果如下（此为另一台lnmp机器的脚本显示结果）：
chain input (policy drop 610 packets, 50967 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 accept     all  -f  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 100/sec burst 100 
 6100  314k accept     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x16/0x02 limit: avg 20/sec burst 200 
 1052 67637 accept     all  --  *      *       122.70.x.x        0.0.0.0/0           
  986 58112 accept     all  --  *      *       122.70.x.x        0.0.0.0/0           
  918  131k accept     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
97056   12m accept     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state related,established 
 4325  218k accept     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 80,22 

chain forward (policy accept 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 accept     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 10 

chain output (policy accept 144k packets, 155m bytes)
 pkts bytes target     prot opt in     out     source               destination         
  956  134k accept     all  --  *      lo      0.0.0.0/0            0.0.0.0/0

下面我稍为详细的解释下此脚本：
在主机的防护上我们配置了一些安全措施，以防止外部的ping和syn洪水攻击，并且考虑到外部的疯狂端口扫描软件可能会影响服务器的入口带宽，所以在这里也做了限制。命令如下所示：
iptables -a input -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j  accept 
上面的命令每秒钟最多允许100个新连接，请注意这里的新连接指的是state为new的数据包，在后面我们也配置了允许状态为established和related的数据通过；另外，100这个阀值则要根据服务器的实际情况来调整，如果是并发量不大的服务器这个数值就要调小，如果是访问量非常大且并发数不小的服务器，这个值则还需要调大。再看以下命令： 
iptables -a input -p icmp --icmp-type echo-request -m limit --limit 1/s –limit-burst 10 -j accept
这是为了防止ping洪水攻击，限制每秒的ping包不超过10个。
iptables -a input -p tcp -m tcp --tcp-flags syn,rst,ack syn -m limit --limit 20/sec --limit-burst 200 -j accept
上面的命令防止各种端口扫描，将syn及ack syn限制为每秒钟不超过200个，免得把数务器带宽耗尽了。

iptables防火墙运行后，我们可以运行nmap工具进行扫描，命令如下：
nmap -p0 -ss 211.143.6.x
此命令的执行结果如下：
starting nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 cst
interesting ports on 211.143.6.x:
not shown: 1668 closed ports
port     state service
22/tcp open   ssh
25/tcp open   smtp
80/tcp open   http
110/tcp   open   pop3
111/tcp   open   rpcbind
143/tcp   open   imap
443/tcp   open   https
465/tcp   open   smtps
587/tcp   open   submission
993/tcp   open   imaps
995/tcp   open   pop3s
1014/tcp open   unknown

在这里，我们发现一个1014端被某个进程打开了，用lsof -i:1014查看发现又是rpc.statd打开的，这服务每次用的端口都不一样啊！本来想置之不理的，但是如果rpc.statd不能正确处理sigpid信号，远程攻击者可利用这个漏洞关闭进程，进行拒绝服务攻击，所以还是得想办法解决掉，我们发现rpc.statd是由服务nfslock开启的，进一步查询得知它是一个可选的进程，它允许nfs客户端在服务器上对文件加锁。这个进程对应于nfslock服务，于是我们关掉了此服务，命令如下所示：
service nfslock stop
chkconfig nfslock off

如果没有硬件防火墙保护的话，置于idc机房并且有公网的web服务器还是很有用iptables保护的必要，如果发现有人用工具恶意频繁连接我们的web服务器，我们可以调用recent模块来阻止它们，我们的做法是：尽量在每一台有公网ip的机器上部署iptables防火墙。