리눅스 - iptables 접속 차단 스크립트

# 초기화
iptables -F

# 포트 스캔 방지
iptables -A INPUT -d 0.0.0.0/0 -p icmp -j DROP

# DoS 공격 방지
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 12/second --limit-burst 24 -j RETURN
iptables -A syn-flood -j DROP

# ssh 정책(root, webpage 계정만 접속 가능)
# ssh 포트 : 22, root 번호: 0, webpage 번호:500 
iptables -A INPUT -p tcp --dport 22 -m owner --uid-owner 0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --gid-owner 0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --uid-owner 0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --gid-owner 0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --uid-owner 500 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m owner --gid-owner 500 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m owner --uid-owner 500 -j DROP
iptables -A OUTPUT -p tcp --dport 22 -m owner --gid-owner 500 -j DROP

# 1초에 15번 이상의 HTTP 접근을 할 경우 차단
iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 1 --hitcount 15 --name HTTP -j DROP

#--------------------------------------------------------------------
# 커널 컴파일 및 iptables 패치 후, connlimit 사용이 가능한 경우
# 1초에 15번 이상의 HTTP 접근을 할 경우 차단
#iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 -connlimit-mask 24 -j DROP

#메일서버의 경우 동시에 5개이상 SMTP 접근일 경우 5분동안 접근 제한
#iptables -A INPUT -m recent --name spammer --rcheck --seconds 300 -j DROP
#iptables -A INPUT -p tcp --syn --dport 25 -m connlimit --connlimit-above 5 -m recent --name spammer --set -j DROP
#---------------------------------------------------------------------

#----------------------------------------------------------------------
# STRING 필터기능
# MSN 문자열이 들어간 패킷 차단
#iptables -A FORWARD -m string --string "messenger.msn.com" -j DROP

# 싸이월드 접속차단
#iptables -A FORWARD -p tcp --dport 80 -m string --string "Host: cyworld.nate.com" -j DROP
#----------------------------------------------------------------------

# 서버가 해킹당했을 때 DoS공격지로 사용될 경우에 적용.
# DNS 쿼리 이외 UDP 패킷 전송 방지
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp ! --dport 53 -m state --state NEW -j DROP

스크립트 실행 후

# service iptables save

# service iptables restart

당연한 이야기지만, 이 스크립트는 root 권한으로 실행시켜야 한다.
시스템이 부팅될 때 이를 실행하고자 한다면, /etc/rc.local 에 등록해두자.

이를 해제하기 위해서는

iptables -F
iptables -F syn-flood
iptables -X syn-flood

List of Articles
번호	제목	날짜	조회 수
77	LINUX - 특정 파일이 속한 RPM 패키지 확인 및 설정 파일 경로	2014.02.27	7940
76	LILO, GRUB root 패스워드 리셋	2014.02.27	7895
75	libphp5.so: undefined symbol: unixd_config	2016.03.18	9575
74	kernel panic 복구	2014.02.27	9320
73	iptable에서 TCP SYN Flooding 차단 설정	2014.02.27	9555
»	iptables 접속 차단 스크립트	2014.04.23	7665
71	iptables GEOIP 모듈 설치. (국가별 IP 차단)	2014.02.27	7864
70	iptables + 스크립트를 이용한 중국 IP 차단	2014.02.27	8696
69	iconv 추가 설치	2014.03.26	8603
68	httpd.conf 기타 설정 사항	2015.07.16	7368
67	htaccess를 이용한 특정 디렉토리 접근 관리하기	2014.02.27	7122
66	htaccess를 이용한 특정 디렉토리 접근 관리하기	2014.02.27	7136
65	hp Smart Array CLI 사용해서 논리드라이브 복구(Linux)	2015.06.16	9058
64	history 파일 삭제 제한하기	2014.02.27	7788
63	ftp passive mode 설정	2014.02.27	8095
62	find명령과 grep명령을 이용하여 파일안의 문자열 찾기	2014.02.27	7287
61	find 명령어로 특정 디렉토리 내 특정 파일들의 특정 문자열 일괄 변경	2014.02.27	7195
60	find 명령어 정리	2014.02.27	7320
59	find 명령어	2021.03.26	162
58	find - 파일 검색	2014.04.29	7200

LINUX - 특정 파일이 속한 RPM 패키지 확인 및 설정 파일 경로

2014.02.27

7940

LILO, GRUB root 패스워드 리셋

2014.02.27

7895

libphp5.so: undefined symbol: unixd_config

2016.03.18