리눅스 - iptables 접속 차단 스크립트

# 초기화
iptables -F

# 포트 스캔 방지
iptables -A INPUT -d 0.0.0.0/0 -p icmp -j DROP

# DoS 공격 방지
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 12/second --limit-burst 24 -j RETURN
iptables -A syn-flood -j DROP

# ssh 정책(root, webpage 계정만 접속 가능)
# ssh 포트 : 22, root 번호: 0, webpage 번호:500 
iptables -A INPUT -p tcp --dport 22 -m owner --uid-owner 0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --gid-owner 0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --uid-owner 0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --gid-owner 0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --uid-owner 500 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --gid-owner 500 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --uid-owner 500 -j DROP
iptables -A OUTPUT -p tcp --dport 22 -m owner --gid-owner 500 -j DROP

# 1초에 15번 이상의 HTTP 접근을 할 경우 차단
iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 1 --hitcount 15 --name HTTP -j DROP

#--------------------------------------------------------------------
# 커널 컴파일 및 iptables 패치 후, connlimit 사용이 가능한 경우
# 1초에 15번 이상의 HTTP 접근을 할 경우 차단
#iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 -connlimit-mask 24 -j DROP

#메일서버의 경우 동시에 5개이상 SMTP 접근일 경우 5분동안 접근 제한
#iptables -A INPUT -m recent --name spammer --rcheck --seconds 300 -j DROP
#iptables -A INPUT -p tcp --syn --dport 25 -m connlimit --connlimit-above 5 -m recent --name spammer --set -j DROP
#---------------------------------------------------------------------

#----------------------------------------------------------------------
# STRING 필터기능
# MSN 문자열이 들어간 패킷 차단
#iptables -A FORWARD -m string --string "messenger.msn.com" -j DROP

# 싸이월드 접속차단
#iptables -A FORWARD -p tcp --dport 80 -m string --string "Host: cyworld.nate.com" -j DROP
#----------------------------------------------------------------------

# 서버가 해킹당했을 때 DoS공격지로 사용될 경우에 적용.
# DNS 쿼리 이외 UDP 패킷 전송 방지
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp ! --dport 53 -m state --state NEW -j DROP

스크립트 실행 후

# service iptables save

# service iptables restart

당연한 이야기지만, 이 스크립트는 root 권한으로 실행시켜야 한다.
시스템이 부팅될 때 이를 실행하고자 한다면, /etc/rc.local 에 등록해두자.

이를 해제하기 위해서는

iptables -F
iptables -F syn-flood
iptables -X syn-flood

List of Articles
번호	제목	날짜	조회 수
237	Rocky Linux 8에 docker 설치하기	2024.04.23	5
236	centos 7 APM 최신버전 설치 ( mariadb 10.4 / apache 2.4.39 / php 7.3.8 )	2024.02.07	48
235	작업 예약 스케줄러(크론Cron)파일,자동 백업 명령	2023.01.12	133
234	root 계정 su 명령 제한	2023.01.20	145
233	우분투 작업 스케줄러 Crontab 사용법, 디버깅, 주의 사항	2023.01.12	154
232	다중명령어(세미콜론(;), 파이프pipe(\|), 더블 엔퍼센트 &&, \|\|)의미,사용법과 차이점	2023.01.12	158
231	find 명령어	2021.03.26	162
230	기본 허가권,퍼미션 지정(제어, 설정)하기(umask와 작동 원리)	2023.01.12	166
229	재지향시 유의사항 (grep 재지향)	2021.03.26	185
228	centos 시작시 네트워크 모듈 추가	2021.03.26	207
227	netstat 명령어	2021.03.26	210
226	crontab 사용법	2021.03.26	248
225	리눅스 vsftpd 500 OOPS 에러 (CENTOS 7)	2020.03.04	298
224	CentOS ImageMagick 설치 php 연동	2021.03.26	312
223	명령어 모음	2021.03.26	373
222	tar.gz 파일 묶기, 압축하기, 압축 풀기	2021.03.26	407
221	centos7 sendmail 설치 및 세팅	2020.12.31	470
220	apache2 트래픽 모듈 mod_cband 사용법	2019.02.14	1129
219	이미지 및 파일 무단링크 방지책	2019.02.14	1137
218	php_screw를 이용한 php 소스 암호화 하기	2019.02.14	1420

237

Rocky Linux 8에 docker 설치하기 file