|
一个用于防止端口扫描的shell脚本,借助iptables的recent模块来完成
实现思路:
1、iptables规则设置
复制代码代码示例:
IPT="/sbin/iptables"
$IPT --delete-chain $IPT --flush #Default Policy $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT DROP #INPUT Chain $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT $IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT $IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG $IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP #OUTPUT Chain $IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT #iptables save service iptables save service iptables restart 注意:17-18行的两条规则务必在INPUT链的最下面,其它规则自己可以补充。
2、iptables日志位置更改
kern.warning /var/log/iptables.log
重启syslog
3、防端口扫描shell脚本
复制代码代码示例:
yum install inotify-tools
创建文件,ban-portscan.sh,代码如下:
复制代码代码示例:
btime=600 #封ip的时间
while true;do while inotifywait -q -q -e modify /var/log/iptables.log;do ip=`tail -1 /var/log/iptables.log | awk -F"[ =]" '{print $13}' | grep '\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'` if test -z "`/sbin/iptables -nL | grep $ip`";then /sbin/iptables -I INPUT -s $ip -j DROP { sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP } & fi done done
执行脚本,启用端口防扫描功能:
nohup ./ban-portscan.sh &
找个扫描软件,试着扫一下,看看效果如何呢?! (责任编辑:IT) |