메뉴 건너뛰기

정보통신

Home 정보통신 서버 리눅스
뷰어로 보기
2014.04.23 21:14

iptables 접속 차단 스크립트

조쉬
조회 수 7665 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 
# 초기화
iptables -F

# 포트 스캔 방지
iptables -A INPUT -d 0.0.0.0/0 -p icmp -j DROP

# DoS 공격 방지
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 12/second --limit-burst 24 -j RETURN
iptables -A syn-flood -j DROP

# ssh 정책(root, webpage 계정만 접속 가능)
# ssh 포트 : 22, root 번호: 0, webpage 번호:500 
iptables -A INPUT -p tcp --dport 22 -m owner --uid-owner 0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --gid-owner 0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --uid-owner 0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --gid-owner 0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --uid-owner 500 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --gid-owner 500 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --uid-owner 500 -j DROP
iptables -A OUTPUT -p tcp --dport 22 -m owner --gid-owner 500 -j DROP

# 1초에 15번 이상의 HTTP 접근을 할 경우 차단
iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 1 --hitcount 15 --name HTTP -j DROP

#--------------------------------------------------------------------
# 커널 컴파일 및 iptables 패치 후, connlimit 사용이 가능한 경우
# 1초에 15번 이상의 HTTP 접근을 할 경우 차단
#iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 -connlimit-mask 24 -j DROP

#메일서버의 경우 동시에 5개이상 SMTP 접근일 경우 5분동안 접근 제한
#iptables -A INPUT -m recent --name spammer --rcheck --seconds 300 -j DROP
#iptables -A INPUT -p tcp --syn --dport 25 -m connlimit --connlimit-above 5 -m recent --name spammer --set -j DROP
#---------------------------------------------------------------------

#----------------------------------------------------------------------
# STRING 필터기능
# MSN 문자열이 들어간 패킷 차단
#iptables -A FORWARD -m string --string "messenger.msn.com" -j DROP

# 싸이월드 접속차단
#iptables -A FORWARD -p tcp --dport 80 -m string --string "Host: cyworld.nate.com" -j DROP
#----------------------------------------------------------------------

# 서버가 해킹당했을 때 DoS공격지로 사용될 경우에 적용.
# DNS 쿼리 이외 UDP 패킷 전송 방지
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp ! --dport 53 -m state --state NEW -j DROP
스크립트 실행 후
# service iptables save
# service iptables restart


당연한 이야기지만, 이 스크립트는 root 권한으로 실행시켜야 한다. 
시스템이 부팅될 때 이를 실행하고자 한다면, /etc/rc.local 에 등록해두자.

이를 해제하기 위해서는 


iptables -F
iptables -F syn-flood
iptables -X syn-flood

Facebook Twitter Google Pinterest
위로 아래로 댓글로 가기 인쇄
에디터 선택하기
?
List of Articles
번호 제목 날짜 조회 수
237 확장자가 없는 파일 자동인식하는 mod_mime_magic 2016.03.18 9316
236 하루동안 실행된 쿼리 중 수행시간이 가장 긴 조회 쿼리 100개 2017.04.28 8042
235 하드디스크의 속도와 성능테스트강좌 hdparm 2014.02.27 7471
234 하드디스크 배드블록 점검 툴 - badblocks 2016.03.18 8808
233 포그라운드, 백그라운드, nohup 정리 2017.04.18 9043
232 파일 속성 명령어 : chattr, lsattr 2014.02.27 9619
231 특정 웹페이지에서 문자가 깨지는 경우 (인코딩 문제) 2016.03.18 7553
230 특정 데몬의 메모리 점유율 확인하기 2014.02.27 8051
229 컴파일을 이용하여 Apache 최신버전을 설치하자 2016.03.18 7632
228 재지향시 유의사항 (grep 재지향) 2021.03.26 179
227 작업 예약 스케줄러(크론Cron)파일,자동 백업 명령 file 2023.01.12 129
226 인코딩 깨진한글파일 삭제 방법 file 2016.07.22 8957
225 이온큐브로더(ioncube) 설치 매뉴얼 2016.03.18 10391
224 이미지 및 파일 무단링크 방지책 2019.02.14 1137
223 웹호스팅용 리눅스 서버 셋팅 file 2014.02.27 7735
222 웹호스팅용 리눅스 서버 셋팅 file 2014.03.26 7940
221 웹서버(Nginx+FastCGI PHP)구축 및 성능 시험 2017.09.20 5530
220 웹서버 모니터링 툴 awststs 2014.03.26 10270
219 웹로직 서버 시작 및 종료 스크립트 2017.04.28 8465
218 웹로직 + 아파치 연동 2017.04.13 8685
쓰기
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 12 Next
/ 12

하단 정보를 입력할 수 있습니다

© 2016 JOSHI. All Rights Reserved
© k2s0o1d4e0s2i1g5n. All Rights Reserved