shell脚本结合iptables防端口扫描的实现

 更新时间:2014年05月27日 10:16:01   作者:  
这篇文章主要介绍了shell脚本结合iptables防端口扫描的实现,中间使用了inotify-tools工具,需要的朋友可以参考下

网上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是:使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP,并结合inotify-tools工具实时监控iptables的日志,一旦iptables日志文件有写入新的ip记录,则使用iptables封锁源ip,起到了防止端口扫描的功能。

1、iptables规则设置

新建脚本iptables.sh,执行此脚本。

复制代码 代码如下:
IPT="/sbin/iptables"
$IPT --delete-chain
$IPT --flush

#Default Policy
$IPT -P INPUT DROP  
$IPT -P FORWARD DROP 
$IPT -P OUTPUT DROP

#INPUT Chain
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
$IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG
$IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP
#OUTPUT Chain
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

#iptables save
service iptables save
service iptables restart

注意:17-18行的两条规则务必在INPUT链的最下面,其它规则自己可以补充。

2、iptables日志位置更改

编辑/etc/syslog.conf,添加:
复制代码 代码如下:
kern.warning /var/log/iptables.log

重启syslog
复制代码 代码如下:
/etc/init.d/syslog restart


3、防端口扫描shell脚本

首先安装inotify:
复制代码 代码如下:
yum install inotify-tools

保存以下代码为ban-portscan.sh
复制代码 代码如下:
btime=600 #封ip的时间
while true;do
    while inotifywait -q -q -e modify /var/log/iptables.log;do
        ip=`tail -1 /var/log/iptables.log | awk -F"[ =]" '{print $13}' | grep '\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'`
        if test -z "`/sbin/iptables -nL | grep $ip`";then
            /sbin/iptables -I INPUT -s $ip -j DROP
            {
            sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP
            } &
        fi
    done
done

执行命令开始启用端口防扫描
复制代码 代码如下:
nohup ./ban-portscan.sh &

相关文章

  • 处理JSON最强命令jq使用场景

    处理JSON最强命令jq使用场景

    jq命令是处理json字符串的神器, 主要用于获取JSON属性/简单重组JSON字符串,本章详细介绍jq的主要应用场景,感兴趣的朋友跟随小编一起看看吧
    2023-07-07
  • Linux Shell编程绘制国际象棋棋盘

    Linux Shell编程绘制国际象棋棋盘

    这篇文章主要介绍了Linux Shell编程绘制国际象棋棋盘,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2019-05-05
  • 详解Linux中的wget命令

    详解Linux中的wget命令

    Linux系统中的wget是一个下载文件的工具,它用在命令行下。对于Linux用户是必不可少的工具,我们经常要下载一些软件或从远程服务器恢复备份到本地服务器。下面通过本文给大家介绍Linux中的wget命令,一起看看吧
    2017-09-09
  • Linux命令之cat和tail的用法介绍

    Linux命令之cat和tail的用法介绍

    这篇文章主要,给大家带来的是 Linux 命令系列,要介绍的是两个常用的查看文件内容的命令:cat 和 tail 命令,文中代码示例介绍的非常详细,需要的朋友可以参考下
    2023-06-06
  • Linux系统如何修改防火墙配置

    Linux系统如何修改防火墙配置

    这篇文章主要介绍了Linux系统如何修改防火墙配置,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2019-11-11
  • Linux启动过程详细介绍

    Linux启动过程详细介绍

    这篇文章主要介绍了Linux启动过程详细介绍的相关资料,需要的朋友可以参考下
    2017-06-06
  • Hadoop单机版和全分布式(集群)安装

    Hadoop单机版和全分布式(集群)安装

    Hadoop,分布式的大数据存储和计算, 免费开源,本文介绍Hadoop单机版、集群安装步骤。
    2013-10-10
  • 一个简单的linux命令 touch

    一个简单的linux命令 touch

    这篇文章主要介绍了一个简单的linux命令touch,touch命令用来修改文件时间戳,或者新建一个不存在的文件,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2016-12-12
  • 开发者常用及实用Linux Shell命令备忘录(小结)

    开发者常用及实用Linux Shell命令备忘录(小结)

    这篇文章主要介绍了开发者常用及实用Linux Shell命令备忘录(小结),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2019-11-11
  • linux禁止普通用户切换至root用户的实例讲解

    linux禁止普通用户切换至root用户的实例讲解

    今天小编就为大家分享一篇linux禁止普通用户切换至root用户的实例讲解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2018-06-06

最新评论