ch4 生产环境如何维护iptables

生产中，一般第一次添加规则命令行或者脚本加入然后一次性保存成文件，然后可以改配置文件管理：

bash

1
2
3
4
5
6
7
8
9
$  cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Wed Nov 23 09:18:12 2016
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [115:13341]
-A INPUT -p tcp -m tcp --dport 52113 -j ACCEPT 
COMMIT
# Completed on Wed Nov 23 09:18:12 2016

生产维护：

⑴ 确定规则

1
2
3
4
5
vim /etc/sysconfig/iptables
# 加入想要的规则：例如：
-A INPUT -p tcp -m tcp --dport 873 -j ACCEPT
/etc/init.d/iptables reload
# 或者修改配置的同时命令行再执行，也是永久生效

⑵ 命令行试错，没问题了，然后放配置文件。这时不需要重启了。

封IP，第一行封。10.0.0.115 这个机器攻击我们服务器或者在BBS里发垃圾帖子。

手工封IP：

1
2
iptables -I INPUT -s 10.0.0.115 -j DROP # 范围大，外部攻击者。
iptables -I INPUT -p tcp -s 10.0.0.106 --dport 80 -j DROP # 细，范围小 内部

自动封IP：分析web或应用日志或者网络连接状态封掉垃圾IP

详见：shell笔记

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
#!/bin/sh

IPT=/sbin/iptables
# remove any existing rules
$IPT -F
$IPT -X
$IPT -Z
#setting default firewall policy
$IP

#setting forloopback interface
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# source address spoofing and other bad addresses
$IPT -A INPUT -i eth0 -s 192.168.2.0/24 -j DROP
$IPT -A INPUT -i eth0 -s 0.0.0.0/8 -j DROP

#prevent all stealth scans and tcp state flags
$IPT -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#All of the bits are cleared
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$IPT -A INPUT -p tcp --tcp-flags ALL,FIN,URG,PSH -j DROP

#SYN and RST are both set
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
#SYN and FIN are both set
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# FIN is the only bit set ,whitout the expected accompanying ACK
$IPT -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
# PSH is the only bit set ,whitout the expected accompanying ACK
$IPT -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
# URG is the only bit set ,whitout the expected accompanying ACK
$IPT -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

#setting access rules
#one,ip access rules,allow, all the ips of
$IPT -A INPUT -s 10.0.10.0/24 -p tcp --dport 5666 -j ACCEPT
$IPT -A INPUT -s 10.0.0.0/24 -p tcp --dport 5666 -j ACCEPT
#db
$IPT -A INPUT -s 10.0.0.0/24 -p tcp --dport 3306 -j ACCEPT
$IPT -A INPUT -s 10.0.0.0/24 -p tcp --dport 3307 -j ACCEPT
#ssh difference from other servers here
$IPT -A INPUT -s 10.0.0.0/24 -p tcp --dport 52113 -j ACCEPT
$IPT -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j ACCEPT
#http
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
#snmp
$IPT -A INPUT -s 10.0.0.0/24 -p UDP --dport 161 -j ACCEPT
#rsync
$IPT -A INPUT -s 10.0.0.0/24 -p tcp --dport 873 -j ACCEPT
$IPT -A INPUT -s 10.0.10.0/24 -p tcp --dport 873 -j ACCEPT
#icmp
$IPT -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
#others RELATED
$IPT -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#setting default firewall rules
$IPT -P OUTPUT ACCEPT
$IPT --policy FORWARD DROP
$IPT --policy INPUT DROP

技巧：具备外网IP的服务器上不对外的服务最好要做源地址限制。

对外提供服务，不能做源地址限制，例如：80端口。

问题：企业硬件防火墙和IPTABLES防火墙是否要同时用。

解决：可以同时用。

举例：

企业硬件防火墙一般放在网关位置，相当于大厦的保安。

但是，楼道里的每个屋子还是需要有人或者锁门的（iptables）

问题：IDC机房部署了硬件防火墙，我们的服务器可以不开防火墙吗？

解答：绝对不可以！大厦有保安，你的办公室就不锁门么？

相关阅读