寻觅生命中的那一片浅草......

文章带标签 iptables

iptables can not start

Today,I want to start iptables on my CentOS box for security reason
I type
service iptables start
but there is no output
then I type
service iptables status
it shows
Firewall is stopped.
After some googles,I solve it
type this command
system-config-securitylevel
set Security Level to be Enabled
hit ok
at last
service iptables start

iptables的妙用——条件限速

某些路由器具有所谓的流量控制中具有“惩罚性限速”的功能:(例如)192.168.1.100在120秒内平均速率超过100KB/S,那么把该IP
列入惩罚队列,惩罚队列速率是40KB/S.

其实,利用iptables的也可以实现类似的功能。脚本如下:

iptables -t mangle -N LMT
iptables -t mangle -N LMT2
iptables -t mangle -I FORWARD -d 192.168.1.100 -m length –length 128: -j LMT
iptables -t mangle -A LMT -m recent –rdest –name badguy –rcheck –seconds 60 -j LMT2
iptables -t mangle -A LMT -m limit –limit 100/sec –limit-burst 5000 -j RETURN
iptables -t mangle -A LMT -m recent –rdest –name badguy –set -j RETURN
iptables -t mangle -A LMT2 -m limit –limit 50/sec –limit-burst 5000 -j RETURN
iptables -t mangle -A LMT2 -j DROP
复制代码

上面代码是用limit限制计算速率,为了更准确,使用了数据包长度筛选: “-m length –length 128:”,这样更准确一点。
一般限制为100/s,按照数据包平均大小1000Bytes来算,大概就是100KB/S。
如果超出,限制变为50/sec,大约50KB/S。

当然,这只是一个示范性的例子了,其中limit模块也可以改用更为强大的hashlimit,hashsped等模块。
还可以用connlimit使用连接数作为限制条件。。。。。。。。。。
如果再把这些模块结合MARK和TC流量控制,就实现了某些路由器的所谓“条件限速”“P2P惩罚”等功能。

转载自:http://linux.chinaunix.net/bbs/thread-1156170-1-1.html

巧用Recent模块加固Linux安全

本文来自: IT运维专家网(LinuxTone.Org) 作者: 守住每一天 日期: 2009-10-3 13:45 阅读: 312 人 打印 收藏
Linux, 模块, 加固, Recent
原文链接:http://bbs.linuxtone.org/thread-3920-1-1.html IT运维专家网–“自由平等,互助分享!” 众所周知,Linux可以通过编写iptables规则对进出Linux主机的数据包进行过滤等操作,在一定程度上可以提升Linux主机的安全性,在新版本内核中,新增了recent模块,该模块可以根据源地址、目的地址统计最近一段时间内经过本机的数据包的情况,并根据相应的规则作出相应的决策,详见:http://snowman.net/projects/ipt_recent/
1、通过recent模块可以防止穷举猜测Linux主机用户口令,通常可以通过iptables限制只允许某些网段和主机连接Linux机器的22/TCP端口,如果管理员IP地址经常变化,此时iptables就很难适用这样的环境了。通过使用recent模块,使用下面这两条规则即可解决问题:
-A INPUT -p tcp -m tcp –dport 22 -m state –state NEW -m recent –update –seconds 60 –hitcount 4 –name SSH –rsource -j DROP
-A INPUT -p tcp -m tcp –dport 22 -m state –state NEW -m recent –set –name SSH –rsource -j ACCEPT
应用该规则后,如果某IP地址在一分钟之内对Linux主机22/TCP端口新发起的连接超过4次,之后的新发起的连接将被丢弃。
2、通过recent模块可以防止端口扫描。
-A INPUT -m recent –update –seconds 60 –hitcount 20 –name PORTSCAN –rsource -j DROP
-A INPUT -m recent –set –name PORTSCAN –rsource -j DROP
应用该规则后,如果某个IP地址对非Linux主机允许的端口发起连接,并且一分钟内超过20次,则系统将中断该主机与本机的连接。
详细配置如下:
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [458:123843]
-A INPUT -i lo -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT
-A INPUT -m recent –update –seconds 60 –hitcount 20 –name PORTSCAN –rsource -j DROP
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp –dport 22 -m state –state NEW -m recent –update –seconds 60 –hitcount 4 –name SSH –rsource -j DROP
-A INPUT -p tcp -m tcp –dport 22 -m state –state NEW -m recent –set –name SSH –rsource -j ACCEPT
-A INPUT -p udp -m udp –dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 53 -m state –state NEW -j ACCEPT
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -j ACCEPT
-A INPUT -p tcp -m tcp –dport 443 -m state –state NEW -j ACCEPT
-A INPUT -m recent –set –name PORTSCAN –rsource -j DROP
COMMIT

以上配置说明,本机开放可供服务的端口有22/TCP(有连接频率限制),53/TCP/UDP, 80/TCP, 443/TCP,所有发往本机的其他ip报文则认为是端口扫描,如果一分钟之内超过20次,则封禁该主机,攻击停止一分钟以上自动解封。
在这只是取个抛砖引玉的作用,通过recent模块还可以实现很多更复杂的功能,例如:22/TCP端口对所有主机都是关闭的,通过顺序访问23/TCP 24/TCP 25/TCP之后,22/TCP端口就对你一个IP地址开放等等。

用iptables的string模块禁止浏览器对80的访问

有个软件监听的是80端口,但不提供Web服务
麻烦的是又可以通过ip:80访问到,还有输出
这样就不和谐了

80是不能封的,封了客户端就连接不了
想到用iptables禁止浏览器对80的访问
问了些QQ群的朋友,可以实现

先看下有没有string这个模块
iptables -m string –help
如果有,它会提示一堆帮助信息,没有则显示
iptables v1.2.11: Couldn’t load match `string’:/lib64/iptables/libipt_string.so: cannot open shared object file: No such file or directory

已知iptables v1.3.5是有的

规则,HTTP就是我们要过滤的关键字,–algo,指定使用的算法,有2中,分别是kmp,bm
/sbin/iptables -I INPUT -p tcp -m string –string HTTP –algo kmp –dport 80 -j DROP

保存规则
/sbin/iptables-save

iptables v1.2.11: Unknown arg `–dport’

iptables -A RH-Firewall-1-INPUT -s 192.168.1.0/27 –dport 161 -j ACCEPT
iptables v1.2.11: Unknown arg `–dport’
Try `iptables -h’ or ‘iptables –help’ for more information.

改为这样就好了
iptables -A RH-Firewall-1-INPUT -p tcp -s 192.168.1.0/27 -m state –state NEW -m tcp –dport 161 -j ACCEPT

要在前面加 -p tcp

2024年三月
« 5月    
 123
45678910
11121314151617
18192021222324
25262728293031