Web服务器安全，iptables防火墙脚本。

下面以自己的Web服务器举例说明之，系统的默认策略是INPUT为DROP，OUTPUT、FORWARD链为ACCEPT，DROP设置得比较宽松，因为我们知道出去的数据包比较安全；为了验证脚本的通用性，我特的查看了服务器的内核及iptables版本，命令如下所示：

12345678910uname -aLinux ud50041 2.6.9-34.ELsmp #1 SMP Fri Feb 24 16:54:53 EST 2006 i686 i686 i386 GNU/Linux

iptables -Viptables v1.2.11lsb_release -aLSB Version:    :core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch

Distributor ID:    RedHatEnterpriseASDescription:    Red Hat Enterprise Linux AS release 4 (Nahant Update 3)

Release:    4Codename:    NahantUpdate3大家可以发现，此系统为RHEL4_i386系统，系统内核版本为2.6.9-34，iptables版本为1.2.11；另外我在别的Centos5.5 x86_64机器上也成功部署了此脚本；由于后续的recent安全模块对系统内核有要求（这个作为主机防护脚本也经常用到），如果大家要采用iptables作为主机防火墙时，建议用Centos5.6 x86_64或更高级版本，不然系统会有如下提示错误信息：

12345iptables: Unknown error 18446744073709551615iptables:Invalid argument在tail -f /var/log/messages时能发下面的的出错提示

ip_tables: connlimit match: invalid size 32 != 16ip_tables: connlimit match: invalid size 32 != 24另外，在生产环境下调试iptables脚本前，强烈建议编写crontab任务，每5分钟关闭一次iptalbes脚本，防止将SSH客户端锁在外面，命令如下所示：

1*/5 * * * * root /etc/init.d/iptables stop脚本代码如下所示：1234567891011121314151617181920#!/bin/bashiptables -F

iptables -F -t natiptables -Xiptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT

#load connection-tracking modulesmodprobe iptable_natmodprobe ip_conntrack_ftpmodprobe ip_nat_ftpiptables -A INPUT -f -m limit –limit 100/sec –limit-burst 100 -j ACCEPT

iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 1/s –limit-burst 10 -j ACCEPTiptables -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m limit –limit 20/sec –limit-burst 200 -j ACCEPT

iptables -A INPUT -s 122.70.x.x -j ACCEPTiptables -A INPUT -s 122.70.x.x -j ACCEPTiptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPTiptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -p tcp -m multiport –dport 80,22 -j ACCEPT

这里有一种特殊情况，由于此Web服务器是置于负载均衡器后面，所以与负载均衡器的连接还是很频繁的；所以我们要允许数据源地址为负载均衡器的数据包通过；另外，我的许多基于LNMP的小网站上面也部署了此脚本，即Web服务和MySQL数据库同时安装在一台机器上，也没有开放3306端口，这个靠Web调用PHP程序实现访问。

成功运行此脚本后系统应该是不会报错的，命令如下：1iptables -nv –L此命令显示结果如下（此为另一台LNMP机器的脚本显示结果）：123456789101112131415Chain INPUT (policy DROP 610 packets, 50967 bytes)

pkts bytes target     prot opt in     out     source               destination    0     0 ACCEPT     all  -f  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 100/sec burst 100

6100  314K ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x16/0x02 limit: avg 20/sec burst 200

1052 67637 ACCEPT     all  —  *      *       122.70.x.x        0.0.0.0/0  986 58112 ACCEPT     all  —  *      *       122.70.x.x        0.0.0.0/0

918  131K ACCEPT     all  —  lo     *       0.0.0.0/0            0.0.0.0/097056   12M ACCEPT     all  —  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

4325  218K ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0          multiport dports 80,22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target     prot opt in     out     source               destination

0     0 ACCEPT     icmp —  *      *       0.0.0.0/0            0.0.0.0/0           icmptype 8 limit: avg 1/sec burst 10

Chain OUTPUT (policy ACCEPT 144K packets, 155M bytes) pkts bytes target     prot opt in     out     source               destination

956  134K ACCEPT     all  —  *      lo      0.0.0.0/0            0.0.0.0/0下面我稍为详细的解释下此脚本： 在主机的防护上我们配置了一些安全措施，以防止外部的ping和SYN洪水攻击，并且考虑到外部的疯狂端口扫描软件可能会影响服务器的入口带宽，所以在这里也做了限制。

命令如下所示：1iptables -A INPUT -p tcp –syn -m limit –limit 100/s –limit-burst 100 -j  ACCEPT上面的命令每秒钟最多允许100个新连接，请注意这里的新连接指的是state为New的数据包，在后面我们也配置了允许状态为ESTABLISHED和RELATED的数据通过；另外，100这个阀值则要根据服务器的实际情况来调整，如果是并发量不大的服务器这个数值就要调小，如果是访问量非常大且并发数不小的服务器，这个值则还需要调大。

再看以下命令：123iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 1/s –limit-burst 10 -j ACCEPT

这是为了防止ping洪水攻击，限制每秒的ping包不超过10个iptables -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m limit –limit 20/sec –limit-burst 200 -j ACCEPT。

上面的命令防止各种端口扫描，将SYN及ACK SYN限制为每秒钟不超过200个，免得把数务器带宽耗尽了 iptables防火墙运行后，我们可以运行nmap工具进行扫描，命令如下：1nmap -P0 -sS 211.143.6.x。

此命令的执行结果如下：12345678910111213141516Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST

Interesting ports on 211.143.6.X:Not shown: 1668 closed portsPORT     STATE SERVICE22/tcp open   ssh25/tcp open   smtp

80/tcp open   http110/tcp   open   pop3111/tcp   open   rpcbind143/tcp   open   imap443/tcp   open   https

465/tcp   open   smtps587/tcp   open   submission993/tcp   open   imaps995/tcp   open   pop3s1014/tcp open   unknown

在这里，我们发现一个1014端被某个进程打开了，用lsof -i:1014查看发现又是rpc.statd打开的，这服务每次用的端口都不一样啊！本来想置之不理的，但是如果rpc.statd不能正确处理SIGPID信号，远程攻击者可利用这个漏洞关闭进程，进行拒绝服务攻击，所以还是得想办法解决掉，我们发现rpc.statd是由服务nfslock开启的，进一步查询得知它是一个可选的进程，它允许NFS客户端在服务器上对文件加锁。

这个进程对应于nfslock服务，于是我们关掉了此服务，命令如下所示：12service nfslock stopchkconfig nfslock off如果没有硬件防火墙保护的话，置于IDC机房并且有公网的Web服务器还是很有用iptables保护的必要，如果发现有人用工具恶意频繁连接我们的Web服务器，我们可以调用recent模块来阻止它们，我们的做法是：尽量在每一台有公网IP的机器上部署iptables防火墙。