리눅스 - iptables 접속 차단 스크립트

# 초기화
iptables -F

# 포트 스캔 방지
iptables -A INPUT -d 0.0.0.0/0 -p icmp -j DROP

# DoS 공격 방지
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 12/second --limit-burst 24 -j RETURN
iptables -A syn-flood -j DROP

# ssh 정책(root, webpage 계정만 접속 가능)
# ssh 포트 : 22, root 번호: 0, webpage 번호:500 
iptables -A INPUT -p tcp --dport 22 -m owner --uid-owner 0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --gid-owner 0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --uid-owner 0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --gid-owner 0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --uid-owner 500 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --gid-owner 500 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --uid-owner 500 -j DROP
iptables -A OUTPUT -p tcp --dport 22 -m owner --gid-owner 500 -j DROP

# 1초에 15번 이상의 HTTP 접근을 할 경우 차단
iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 1 --hitcount 15 --name HTTP -j DROP

#--------------------------------------------------------------------
# 커널 컴파일 및 iptables 패치 후, connlimit 사용이 가능한 경우
# 1초에 15번 이상의 HTTP 접근을 할 경우 차단
#iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 -connlimit-mask 24 -j DROP

#메일서버의 경우 동시에 5개이상 SMTP 접근일 경우 5분동안 접근 제한
#iptables -A INPUT -m recent --name spammer --rcheck --seconds 300 -j DROP
#iptables -A INPUT -p tcp --syn --dport 25 -m connlimit --connlimit-above 5 -m recent --name spammer --set -j DROP
#---------------------------------------------------------------------

#----------------------------------------------------------------------
# STRING 필터기능
# MSN 문자열이 들어간 패킷 차단
#iptables -A FORWARD -m string --string "messenger.msn.com" -j DROP

# 싸이월드 접속차단
#iptables -A FORWARD -p tcp --dport 80 -m string --string "Host: cyworld.nate.com" -j DROP
#----------------------------------------------------------------------

# 서버가 해킹당했을 때 DoS공격지로 사용될 경우에 적용.
# DNS 쿼리 이외 UDP 패킷 전송 방지
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp ! --dport 53 -m state --state NEW -j DROP

스크립트 실행 후

# service iptables save

# service iptables restart

당연한 이야기지만, 이 스크립트는 root 권한으로 실행시켜야 한다.
시스템이 부팅될 때 이를 실행하고자 한다면, /etc/rc.local 에 등록해두자.

이를 해제하기 위해서는

iptables -F
iptables -F syn-flood
iptables -X syn-flood

List of Articles
번호	제목	날짜	조회 수
237	split 명령어 (파일 나누기)	2021.03.26	76757
236	[CentOS 7] SSH 무작위 로그인 시도 막기 ( Fail2Ban )	2018.03.28	69716
235	tomcat - server.xml 설정	2017.03.11	67361
234	리눅스서버 모니터링 rstatd 설치	2017.04.28	27358
233	fdisk로 파티션 삭제하기	2015.06.10	26047
232	fdisk로 파티션 삭제하기	2015.06.09	21723
231	CentOS6.6+httpd2.4.16+Mariadb10.0.20+php5.6.11 Source 설치....	2016.09.25	14749
230	bash 스크립트에서 네트워크 정보 확인하기	2014.02.27	14284
229	원격 접속 FreeNX (NOMACHINE) 설치/접속 (vnc 보다 훨	2014.02.27	12307
228	리눅스 읽기전용 파일시스템 / 파일 입/출력 오류	2016.07.22	12175
227	Centos7 64bit 웹서버 만들기-PHP설치 CAP5	2015.07.17	11979
226	php-5.2.17 make시에 오류 발생 make: *** [ext/dom/node.lo] 오류 1	2016.03.18	10746
225	이온큐브로더(ioncube) 설치 매뉴얼	2016.03.18	10391
224	CentOS 7 에 아파치(httpd) 설치	2015.07.16	10308
223	웹서버 모니터링 툴 awststs	2014.03.26	10270
222	파일 속성 명령어 : chattr, lsattr	2014.02.27	9619
221	libphp5.so: undefined symbol: unixd_config	2016.03.18	9577
220	iptable에서 TCP SYN Flooding 차단 설정	2014.02.27	9555
219	[CentOS 6.5] Tomcat 설치 및 구동	2017.03.11	9483
218	MySQL Linux Port 방화벽 설정(3306)	2017.03.11	9470

237

split 명령어 (파일 나누기)

2021.03.26

76757

236

[CentOS 7] SSH 무작위 로그인 시도 막기 ( Fail2Ban )

2018.03.28

69716