• 欢迎访问开心洋葱网站,在线教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入开心洋葱 QQ群
  • 为方便开心洋葱网用户,开心洋葱官网已经开启复制功能!
  • 欢迎访问开心洋葱网站,手机也能访问哦~欢迎加入开心洋葱多维思维学习平台 QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏开心洋葱吧~~~~~~~~~~~~~!
  • 由于近期流量激增,小站的ECS没能经的起亲们的访问,本站依然没有盈利,如果各位看如果觉着文字不错,还请看官给小站打个赏~~~~~~~~~~~~~!

shell脚本防止端口扫描

服务器 开心洋葱 2701次浏览 0个评论

网上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是:使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP,并结合inotify-tools工具实时监控iptables的日志,一旦iptables日志文件有写入新的ip记录,则使用iptables封锁源ip,起到了防止端口扫描的功能。

1、iptables规则设置

新建脚本iptables.sh,执行此脚本。

  1. IPT=”/sbin/iptables”
  2. $IPT –delete-chain
  3. $IPT –flush
  4. #Default Policy
  5. $IPT -P INPUT DROP
  6. $IPT -P FORWARD DROP 
  7. $IPT -P OUTPUT DROP
  8. #INPUT Chain
  9. $IPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
  10. $IPT -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT
  11. $IPT -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT
  12. $IPT -A INPUT -i lo -j ACCEPT
  13. $IPT -A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT
  14. $IPT -A INPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT
  15. $IPT -A INPUT -p tcp –syn -m recent –name portscan –rcheck –seconds 60 –hitcount 10 -j LOG
  16. $IPT -A INPUT -p tcp –syn -m recent –name portscan –set -j DROP
  17. #OUTPUT Chain
  18. $IPT -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
  19. $IPT -A OUTPUT -p udp -m udp –dport 53 -j ACCEPT
  20. $IPT -A OUTPUT -o lo -j ACCEPT
  21. $IPT -A OUTPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT
  22. $IPT -A OUTPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT
  23. #iptables save
  24. service iptables save
  25. service iptables restart

注意:17-18行的两条规则务必在INPUT链的最下面,其它规则自己可以补充。

2、iptables日志位置更改

编辑/etc/syslog.conf,添加:

  1. kern.warning /var/log/iptables.log

重启syslog

  1. /etc/init.d/syslog restart

3、防端口扫描shell脚本

首先安装inotify:

  1. yum install inotify-tools

保存以下代码为ban-portscan.sh

  1. btime=600 #封ip的时间
  2. while true;do
  3.     while inotifywait -q -q -e modify /var/log/iptables.log;do
  4.         ip=`tail -1 /var/log/iptables.log | awk -F”[ =]” ‘{print $13}’ | grep ‘\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}’`
  5.         if test -z “`/sbin/iptables -nL | grep $ip`”;then
  6.             /sbin/iptables -I INPUT -s $ip -j DROP
  7.             {
  8.             sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP
  9.             } &
  10.         fi
  11.     done
  12. done

执行命令开始启用端口防扫描

  1. nohup ./ban-portscan.sh &


开心洋葱 , 版权所有丨如未注明 , 均为原创丨未经授权请勿修改 , 转载请注明shell脚本防止端口扫描
喜欢 (0)

您必须 登录 才能发表评论!

加载中……