本文介紹的是一個自動分析黑名單和白名單的iptables 腳本，即/root/deny_100.sh，腳本實(shí)現(xiàn)功能如下：

①此腳本能自動過濾掉企業(yè)中通過NAT出去的白名單IP，很多企業(yè)都是通過NAT軟路由上網(wǎng)，我們可以將一些與我們有往來的公司及本公司的安全I(xiàn)P添加進(jìn)白名單，以防誤剔;

②閥值DEFIIN這里定義的是100，其實(shí)這個值應(yīng)該根據(jù)具體生產(chǎn)環(huán)境而定，50-100之間較好；

③此腳本原理其實(shí)很簡單，判斷瞬間連接數(shù)是否大于100，如果是白名單里的IP則跳過；如果不是，則用iptables -I來自動剔除，這里不能用-A，A是在iptables的規(guī)則的最后添加，往往達(dá)不到即時剔除的效果；

④此腳本最后更新時間為2010年5月24日，這里衷心感謝3158.com的技術(shù)總監(jiān)唐老師，謝謝您在安全相關(guān)的指導(dǎo)；

⑤25是mail端口的，其它可依次類推，比如22,再比如80等，具體看你的服務(wù)器的應(yīng)用；

⑥如有疑問，請聯(lián)系撫琴煮酒yuhongchun027@163.com。

[root@mail ~]# cat /root/deny_100.sh

#/bin/bash

netstat -an| grep :80 | grep -v 127.0.0.1 |awk '{ print $5 }' | sort|awk -F: '{print $1,$4}' | uniq -c | awk '$1 >50 {print $1,$2}' > /root/black.txt

for i in `awk '{print $2}' /root/black.txt`

do

COUNT=`grep $i /root/black.txt | awk '{print \$1}'`

DEFINE="50"

ZERO="0"

if [ $COUNT -gt $DEFINE ];

 then

grep $i /root/white.txt > /dev/null

if [ $? -gt $ZERO ];

 then

 echo "$COUNT $i"

iptables -I INPUT -p tcp -s $i -j DROP 

fi

fi

done

2009年3月30日下午14:25分，用下列命令監(jiān)控時:

netstat -an| grep :25 | grep -v 127.0.0.1 |awk '{ print $5 }' | sort|awk -F: '{print $1}' | uniq -c | awk '$1 >100'

1122 219.136.163.207

17 61.144.157.236

用http://www.ip138.com一查，發(fā)現(xiàn)

ip138.com IP查詢(搜索IP地址的地理位置)

您查詢的IP:219.136.163.207

本站主數(shù)據(jù)：廣東省廣州市 電信(荔灣區(qū))

參考數(shù)據(jù)一：廣東省廣州市 電信(荔灣區(qū))

參考數(shù)據(jù)二：廣東省廣州市荔灣區(qū) 電信ADSL

調(diào)用deny_100.sh后將此IP Drop掉，再運(yùn)行./root/count.sh后無顯示，顯示成功，可用iptables –nL驗(yàn)證，所以將此安全腳本寫進(jìn)crontab里

*/1 * * * * root /bin/sh /root/deny_100.sh

效果如下：

工作中的Linux防火墻經(jīng)驗(yàn)心得

一、iptables防火墻并不能阻止DDOS攻擊，建議在項(xiàng)目實(shí)施中采購硬件防火墻,置于整個系統(tǒng)之前，用于防DDOS攻擊和端口映射；如果對安全有特殊要求，可再加上應(yīng)用層級的防火墻，比如天泰防火墻，其功能強(qiáng)大如此:①天泰WEB應(yīng)用防火墻基于對數(shù)據(jù)報文頭部和載荷完整的檢測，對WEB應(yīng)用客戶端輸入進(jìn)行驗(yàn)證，從而對各類已知的及新興的WEB應(yīng)用威脅提供全方位的防護(hù)，如SQL注入、跨站腳本、蠕蟲、黑客掃描和攻擊等；②天泰WEB應(yīng)用防火墻提供對目前國內(nèi)比較泛濫的DDOS攻擊的防護(hù)。針對WEB應(yīng)用進(jìn)行的帶寬和資源耗盡型DDOS攻擊，都可輕松應(yīng)對。尤其針對應(yīng)用層的DDOS攻擊，提供細(xì)粒度的防護(hù)，其它優(yōu)點(diǎn)這里不一一介紹了。

二、在項(xiàng)目實(shí)施中建議關(guān)閉服務(wù)器的iptables防火墻，目的為:①更好的提高后端服務(wù)器網(wǎng)絡(luò)性能；②方便數(shù)據(jù)流在整個業(yè)務(wù)系統(tǒng)內(nèi)部流通，安全方面工作由硬件防火墻來承擔(dān)。

三、我目前主要將iptables用于內(nèi)部作NAT防火墻，它的性能和方便管理性確實(shí)強(qiáng)悍，經(jīng)迅雷測試可發(fā)現(xiàn)，公司內(nèi)部的10M帶寬能被利用得一絲無余；武漢地區(qū)比較常用的軟件路由器是海蜘蛛，這個其實(shí)也是iptables的二次開發(fā)；前二年替朋友網(wǎng)吧布署網(wǎng)吧的路由器，我強(qiáng)烈推薦的是讓iptables作NAT路由轉(zhuǎn)發(fā)，事實(shí)證明效果很好。

四、iptables的L是命令,而-v和-n只是作為選項(xiàng)，它們不能進(jìn)行組合，如-Lvn；如果要列出防火墻詳細(xì)規(guī)則，可采用iptables -nv -L;

五、如果是使用遠(yuǎn)程來調(diào)試iptables防火墻,最好是設(shè)置crontab作業(yè)是定時停止防火墻，以防自己被鎖定，5分鐘停止一次iptables即可，等整個腳本完全穩(wěn)定后再關(guān)閉此crontab作業(yè)。

六、如果使用默認(rèn)禁止一切策略，即應(yīng)立即使用回環(huán)接口lo(因?yàn)榻挂磺邪薼o)；附注：回環(huán)接口lo在Linux系統(tǒng)中被用來提供本地、基于網(wǎng)絡(luò)的服務(wù)的專用網(wǎng)絡(luò)接口，不用把本地數(shù)據(jù)流通過網(wǎng)絡(luò)接口驅(qū)動器發(fā)送，而是采用操作系統(tǒng)通過回環(huán)接口發(fā)送，采取的捷徑，大大提高了性能。

七、如果是電信或雙線機(jī)房托管的服務(wù)器，在沒有配置前端硬件防火墻的情況下，Linux主機(jī)一定要開啟iptables防火墻，windows2003主機(jī)開啟它自帶的系統(tǒng)防火墻，并禁ping。