网上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是:使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP,并结合inotify-tools工具实时监控iptables的日志,一旦iptables日志文件有写入新的ip记录,则使用iptables封锁源ip,起到了防止端口扫描的功能。
1、iptables规则设置
新建脚本iptables.sh,执行此脚本。
IPT="/sbin/iptables" $IPT --delete-chain $IPT --flush #Default Policy $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT DROP #INPUT Chain $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT $IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT $IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG $IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP #OUTPUT Chain $IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT #iptables save service iptables save service iptables restart
kern.warning /var/log/iptables.log
/etc/init.d/syslog restart
yum install inotify-tools
btime=600 #封ip的时间
while true;do
while inotifywait -q -q -e modify /var/log/iptables.log;do
ip=`tail -1 /var/log/iptables.log | awk -F"[ =]" '{print $13}' | grep '\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'`
if test -z "`/sbin/iptables -nL | grep $ip`";then
/sbin/iptables -I INPUT -s $ip -j DROP
{
sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP
} &
fi
done
donenohup ./ban-portscan.sh &