centos服务器防止端口扫描的shell脚本
时间:2014-09-10 10:47 来源:linux.it.net.cn 作者:it
首先把防火墙配置好 如下:
1、iptables规则设置新建脚本iptables.sh,执行此脚本。
-
IPT="/sbin/iptables"
-
$IPT --delete-chain
-
$IPT --flush
-
#Default Policy
-
$IPT -P INPUT DROP
-
$IPT -P FORWARD DROP
-
$IPT -P OUTPUT DROP
-
#INPUT Chain
-
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-
$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-
$IPT -A INPUT -i lo -j ACCEPT
-
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-
$IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-
$IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG
-
$IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP
-
#OUTPUT Chain
-
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-
$IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-
$IPT -A OUTPUT -o lo -j ACCEPT
-
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-
#iptables save
-
service iptables save
-
service iptables restart
17-18行的两条规则务必在INPUT链的最下面,其它规则根据自己相对应的服务器补充
2、iptables日志位置更改编辑/etc/syslog.conf,添加:
-
kern.warning /var/log/iptables.log
重启syslog
-
/etc/init.d/syslog restart
3、防端口扫描shell脚本首先安装inotify:
-
yum install inotify-tools
保存以下代码为ban-portscan.sh
-
btime=600 #封ip的时间
-
while true;do
-
-
-
-
-
-
-
-
-
-
done
执行命令开始启用端口防扫描
-
nohup ./ban-portscan.sh &
(责任编辑:IT)
| 首先把防火墙配置好 如下: 1、iptables规则设置新建脚本iptables.sh,执行此脚本。
17-18行的两条规则务必在INPUT链的最下面,其它规则根据自己相对应的服务器补充 2、iptables日志位置更改编辑/etc/syslog.conf,添加:
重启syslog
3、防端口扫描shell脚本首先安装inotify:
保存以下代码为ban-portscan.sh
执行命令开始启用端口防扫描
|