shell脚本结合iptables防端口扫描的实现
网上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是:使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP,并结合inotify-tools工具实时监控iptables的日志,一旦iptables日志文件有写入新的ip记录,则使用iptables封锁源ip,起到了防止端口扫描的功能。
1、iptables规则设置
新建脚本iptables.sh,执行此脚本。
IPT="/sbin/iptables" $IPT--delete-chain $IPT--flush #DefaultPolicy $IPT-PINPUTDROP $IPT-PFORWARDDROP $IPT-POUTPUTDROP #INPUTChain $IPT-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT $IPT-AINPUT-ptcp-mtcp--dport80-jACCEPT $IPT-AINPUT-ptcp-mtcp--dport22-jACCEPT $IPT-AINPUT-ilo-jACCEPT $IPT-AINPUT-picmp-micmp--icmp-type8-jACCEPT $IPT-AINPUT-picmp-micmp--icmp-type11-jACCEPT $IPT-AINPUT-ptcp--syn-mrecent--nameportscan--rcheck--seconds60--hitcount10-jLOG $IPT-AINPUT-ptcp--syn-mrecent--nameportscan--set-jDROP #OUTPUTChain $IPT-AOUTPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT $IPT-AOUTPUT-pudp-mudp--dport53-jACCEPT $IPT-AOUTPUT-olo-jACCEPT $IPT-AOUTPUT-picmp-micmp--icmp-type8-jACCEPT $IPT-AOUTPUT-picmp-micmp--icmp-type11-jACCEPT #iptablessave serviceiptablessave serviceiptablesrestart
注意:17-18行的两条规则务必在INPUT链的最下面,其它规则自己可以补充。
2、iptables日志位置更改
编辑/etc/syslog.conf,添加:
kern.warning/var/log/iptables.log
重启syslog
/etc/init.d/syslogrestart
3、防端口扫描shell脚本
首先安装inotify:
yuminstallinotify-tools
保存以下代码为ban-portscan.sh
btime=600#封ip的时间
whiletrue;do
whileinotifywait-q-q-emodify/var/log/iptables.log;do
ip=`tail-1/var/log/iptables.log|awk-F"[=]"'{print$13}'|grep'\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'`
iftest-z"`/sbin/iptables-nL|grep$ip`";then
/sbin/iptables-IINPUT-s$ip-jDROP
{
sleep$btime&&/sbin/iptables-DINPUT-s$ip-jDROP
}&
fi
done
done执行命令开始启用端口防扫描
nohup./ban-portscan.sh&