当前位置：移动技术网 > 网络运营>服务器>Linux > shell脚本结合iptables防端口扫描的实现

shell脚本结合iptables防端口扫描的实现

2017年12月12日 | 移动技术网网络运营 | 我要评论

网上有现在的防端口工具，如psad、portsentry，但觉得配置有点麻烦，且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是：使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的ip，并结合inotify-tools工具实时监控iptables的日志，一旦iptables日志文件有写入新的ip记录，则使用iptables封锁源ip，起到了防止端口扫描的功能。

1、iptables规则设置

新建脚本iptables.sh，执行此脚本。

复制代码代码如下:

ipt="/sbin/iptables"
$ipt --delete-chain
$ipt --flush

#default policy
$ipt -p input drop   
$ipt -p forward drop 
$ipt -p output drop

#input chain
$ipt -a input -m state --state related,established -j accept
$ipt -a input -p tcp -m tcp --dport 80 -j accept
$ipt -a input -p tcp -m tcp --dport 22 -j accept
$ipt -a input -i lo -j accept
$ipt -a input -p icmp -m icmp --icmp-type 8 -j accept
$ipt -a input -p icmp -m icmp --icmp-type 11 -j accept
$ipt -a input -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j log
$ipt -a input -p tcp --syn -m recent --name portscan --set -j drop
#output chain
$ipt -a output -m state --state related,established -j accept
$ipt -a output -p udp -m udp --dport 53 -j accept
$ipt -a output -o lo -j accept
$ipt -a output -p icmp -m icmp --icmp-type 8 -j accept
$ipt -a output -p icmp -m icmp --icmp-type 11 -j accept

#iptables save
service iptables save
service iptables restart

注意：17-18行的两条规则务必在input链的最下面，其它规则自己可以补充。

2、iptables日志位置更改

编辑/etc/syslog.conf，添加：

复制代码代码如下:

kern.warning /var/log/iptables.log

重启syslog

复制代码代码如下:

/etc/init.d/syslog restart

3、防端口扫描shell脚本

首先安装inotify:

复制代码代码如下:

yum install inotify-tools

保存以下代码为ban-portscan.sh

复制代码代码如下:

btime=600 #封ip的时间
while true;do
    while inotifywait -q -q -e modify /var/log/iptables.log;do
        ip=`tail -1 /var/log/iptables.log | awk -f"[ =]" '{print $13}' | grep '\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'`
        if test -z "`/sbin/iptables -nl | grep $ip`";then
            /sbin/iptables -i input -s $ip -j drop
            {
            sleep $btime && /sbin/iptables -d input -s $ip -j drop
            } &
        fi
    done
done

执行命令开始启用端口防扫描

复制代码代码如下:

nohup ./ban-portscan.sh &

您可能感兴趣的文章:

如对本文有疑问，点击进行留言回复！！

Linux服务器搭建nvidia-docker环境过程详解

docker相当于一个容器，其可以根据你所需要的运行环境构建相应的运行环境，此时各个环境之间彼此隔离，就不会存在在需要跑一个新的代码的时候破坏原来跑的代码所需要... [阅读全文]
linux服务器显卡崩溃解决方案

在登录界面出现分辨率特别大，整个图形界面特别大，并且怎么也登录不上去的情况时对于这种情况，一般就是显卡驱动崩了的原因，所以我们可以首先检查显卡驱动是否有问题nv... [阅读全文]
《算法竞赛进阶指南》贪心篇防晒（贪心+平衡树）

防晒题目链接：链接题目大意：有n头奶牛，它们需要晒太阳，但是接受的太阳光强度有一个区间，必须抹上防晒霜，然后... [阅读全文]
如何在mac上查看gcc版本号

linux能够很方便得查看gcc版本号，只需要输入gcc --version就能得到如下结果，能一目了然gcc版... [阅读全文]
Linux C http下载文件

简单粗暴懒得说，上代码#include <sys/socket.h>#include <sys... [阅读全文]
Nginx/Httpd反代tomcat配置教程

在上一篇博客中，我们了解了tomcat的server.xml中各组件的用法和作用；其中对于tomcat连接器来说，它分三类，一类是http连接器，一类是http... [阅读全文]
Linux cut 命令详解

cut 命令在linux和unix中的作用是从文件中的每一行中截取出一些部分，并输出到标准输出中。我们可以使用 cut 命令从一行字符串中于以字节，字符，字段（... [阅读全文]
Linux中stat函数和stat命令使用详解

stat函数和stat命令linux文件里的【inode = index node】解释：要理解inode必须了解磁盘和【目录项】，inode实际是连接【目录项... [阅读全文]
nginx解决图片显示过慢，下载不完全的问题

写在前面最近，一名读者跟我说他通过浏览器访问自己的服务器时，图片显示的非常慢，以至于在浏览器中都无法完全加载出来，下载文件时，更是恼火，文件根本就无法完全下载下... [阅读全文]
为Nginx动态添加模块的方法

写在前面很多时候，我们根据当时的项目情况和业务需求安装完nginx后，后续随着业务的发展，往往会给安装好的nginx添加其他的功能模块。在为nginx添加功能模... [阅读全文]

网友评论


验证码：

shell脚本结合iptables防端口扫描的实现

2017年12月12日 | 移动技术网网络运营 | 我要评论

您可能感兴趣的文章:

相关文章:

网友评论