你能告诉我我的 iptables 脚本是否好用吗?最终规则可防止 DOS 攻击。它们有用吗?我没有服务器,我的电脑仅用于上网。
这是我的脚本:
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -A INPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
or
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT
#if I want to open a port:
iptables -t filter -A INPUT -s 192.168.0.0/24 --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -s 192.168.0.0/24 --sport 110 -j ACCEPT
#
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
提前致谢。
#所以我改变了脚本。
基本连接(无服务器,无路由器,无 DHCP 并且 Ipv6 已禁用)
我编写了 2 个脚本。我希望第二个脚本更安全。您觉得如何?
脚本一:
iptables -F
iptables -X -t filter
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
iptables -A OUTPUT -o lo -j ACCEPT
#CONNECTION
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
#PING ACCEPTED AND OPENING PORTS THAT I NEED
iptables -A INPUT -p icmp --icmp-type echo-request -m conntrack --ctstate NEW -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
iptables -A INPUT -p udp --dport xxxx -j ACCEPT
#LOG
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
iptables -A FORWARD -j LOG
脚本2(更安全):
iptables -F
iptables -X -t filter
iptables -P INPUT -j DROP
iptables -P FORWARD DROP
iptables -P OUTPUT -j DROP
modprobe ip-conntrack
#lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
iptables -A OUTPUT -o lo -j ACCEPT
#connection
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT
#PING ACCEPTED AND OPENING PORTS THAT I NEED
iptables -A INPUT -p icmp --icmp-type echo-request -m conntrack --ctstate NEW -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -d 0.0.0.0/0 -p tcp --sport xxxx -m state --state ESTABLISHED -j ACCEPT (I don't know if I must add 0.0.0.0/0 or 192.168.0.0/24)
iptables -A INPUT -m limit --limit 7/s -j LOG
#LOG
iptables -A OUTPUT -m limit --limit 7/s -j LOG
iptables -A FORWARD -m limit --limit 7/s -j LOG
提前致谢。
答案1
该答案特定于第二组脚本中的脚本编号2。
首先:请至少在将脚本发布到这里之前尝试加载它,并整理语法。
- 您仍在引用一个不存在的名为“过滤器”的表。
- 无需强制加载模块,一旦引用它们就会自动加载。
- 我建议始终对每一行日志使用唯一的日志前缀,因为这样可以更轻松地将日志条目与脚本位置关联起来以进行调试,并且更加清晰。
- 您的特定端口行中无需指定目标地址,但是您不想使用 dport 而不是 sport 吗?
- 无论如何都不需要那一行,因为前面更通用的 ESTABLISHED 行意味着该规则永远不会被满足。
- 我不知道您在使用 ESTABLISHED 而不是 RELATED,ESTABLISHED 时是否会遇到麻烦。
- 如前所述,您不需要任何 FORWARD 规则,但我明白也许您只是想记录它,以防万一。
- 对于您的 ping 操作,我不清楚您是否会通过该规则实现目标,尽管我承认我不知道您的目标是什么。我仍然能够像您那样对计算机进行大量 ping。也许您需要专门处理另一条路径,即不触发规则的路径。看看我做了什么。
因此,我正在运行这个:
#!/bin/sh
# See: http://askubuntu.com/questions/858878/i-need-advice-for-iptables-rules
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
iptables -A OUTPUT -o lo -j ACCEPT
#PING ACCEPTED AND OPENING PORTS THAT I NEED
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
#connection
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT
#LOG
iptables -A INPUT -m limit --limit 7/s -j LOG --log-prefix "ICATCH:" --log-level info
iptables -A OUTPUT -m limit --limit 7/s -j LOG --log-prefix "OCATCH:" --log-level info
iptables -A FORWARD -m limit --limit 7/s -j LOG --log-prefix "FCATCH:" --log-level info
到目前为止:
$ sudo iptables -v -x -n -L
Chain INPUT (policy DROP 218 packets, 21841 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 REJECT all -- !lo * 0.0.0.0/0 127.0.0.0/8 reject-with icmp-port-unreachable
5 420 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 1/sec burst 1
329 27636 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
3081 206772 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
213 21380 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 7/sec burst 5 LOG flags 0 level 6 prefix "ICATCH:"
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 7/sec burst 5 LOG flags 0 level 6 prefix "FCATCH:"
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
5726 7988360 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ! state INVALID
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 7/sec burst 5 LOG flags 0 level 6 prefix "OCATCH:"
答案2
不,你的 iptables 脚本不太好(如果听起来很刺耳,请原谅)。
不,你的 DOS 攻击规则没有用,我认为 INPUT 链可能会妨碍正常性能。你的 FORWARD 链不需要,因为你没有使用 FORWARD 链(你的计算机没有充当路由器)。
您有很多-t filter行,但是您还没有定义名为“过滤器”的链。
我不熟悉该pkttype模块,因此无法对该行发表评论。
我认为您需要允许一些 DHCP(端口 67 和 68)流量,具体取决于您如何分配 IP 地址。