返回
动态iptables防火墙dynfw

动态iptables防火墙dynfw

ID:22406489

大小:59.00 KB

页数:7页

时间:2018-10-29

动态iptables防火墙dynfw_第1页
动态iptables防火墙dynfw_第2页
动态iptables防火墙dynfw_第3页
动态iptables防火墙dynfw_第4页
动态iptables防火墙dynfw_第5页
资源描述:

《动态iptables防火墙dynfw》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、动态iptables防火墙dynfw~教育资源库  防火墙是一个非常重要的网络安全工具,但是如果在需要对防火墙规则进行快速、复杂的动态修改时你该如何实现呢?如果你使用本文介绍的DanielRobbins的动态防火墙脚本,这将是一件非常容易的工作。你可以利用这些脚本来增强你网络的安全性和对网络攻击的实时响应性,并基于该脚本进行自己的创造性设计。  理解动态防火墙的脚本能够带来的益处的最好方法就是看它们在实际中的应用。假设我是某个ISP的系统管理员,我最近架设了一个基于Linux的防火墙来保护我的客户和内部系统,防止外部恶意用户的攻击。为了实现该系统我使

2、用了新版Linux2.4内核的iptables工具来实现,防火墙允许客户和内部服务器向Inter建立连接,也允许从Inter向内部系统的公共服务如ba服务的连接是被拒绝的。目前我已经有了一个功能完备的、满足安全需求的防火墙系统,其能对ISP的所有用户提供很好的保护。  刚刚开始的一个星期防火墙工作情况良好,但是随后一些糟糕的事情发生了。Bob-一个攻击者对我的网络进行了攻击,它采用了使用垃圾数据报淹没我的ISP网络的方法来对我的客户进行Dos攻击。不幸的是Bob已经对我的防火墙进行了仔细的研究,知道虽然我对内部服务进行了保护但是25端口和80端口都是

3、开放的以收发Emai和开放服务。Bob决定对我的Email和服务器进行Dos的攻击。  Bob开始攻击的1-2分钟以后我发现我的线路出现严重的拥塞情况。通过tcpdump察看我发现这是Bob进行的一次攻击。并且我得到了它的攻击源地址。现在我就需要阻止这些IP地址对我的公共服务器的连接。下面我就讨论一种简单方便的解决方案。  阻止攻击  我马上采取行动,加载我的防火墙启动脚本并使用vi对iptables规则进行编辑,来阻塞这些Bob发出的恶意攻击数据的源地址的数据报。大约一分钟以后我找到了在防火墙启动脚本中添加新的DROP规则的位置,我马上添加了新的规

4、则并重新启动了防火墙。很快防火墙发挥了作用,Bob的攻击得到了遏制。现在看起来我成功的击溃了Bob的攻击,可是不久网络值班又响了起来,原来是客户发现网络不可用而打过来的投诉。可是更加糟糕的是几分钟以后我注意到我的Inter连接线路又开始出现严重阻塞。我仔细察看原来是Bob使用了新的IP地址进行攻击行动。我只好不得不再次修改防火墙启动脚本来阻止它的攻击。我就这样一直在Bob的屁股后面疲于奔命。  问题出在哪里呢?虽然我建立了功能完备的、满足安全需求的防火墙系统并且快速的发现了网络出现问题的原因,但是我却不能在第一时间内对我的防火墙规则进行调整来响应Bo

5、b的攻击。当网络被攻击时,被动慌乱地快速对攻击做出防范反应,对防火墙规则配置脚本进行修改不但是压力巨大,而且效率低下。  ipdrop  如果能创建一个特殊的ipdrop脚本,其被设计为能方便地插入一个规则来阻塞指定的IP,那么将上面的工作将非常容易。通过该脚本阻塞某个IP将是非常容易的工作,只需要几秒钟就可以实现。而且通过该脚本还可以防止手工加入规则时容易出现的错误。因此阻塞Bob的攻击将变为确定其攻击源地址。然后通过如下命令:  #ipdrop129.24.8.1on  IP129.24.8.1dropon.  ipdrop脚本将立即阻塞129.

6、24.8.1。通过使用该脚本能显著地提高你的防卫能力。下面就是ipdrop脚本的实现:  Theipdropbashscript  #!/bin/bash  source/usr/local/share/dynfIPADDR.Goodforobnoxiousal  APPEND=-A  INSERT=-I  rec_checkipdrop$1$1alreadyblockedon  recordipdrop$1  elif[$2==off]  then  #rulesent  exit1  fi  #blockoutsideIPaddressthats

7、causingproblems  #attackersiningTCPconnectionsinuteorsototimeout,  #reducingDoSeffectiveness.  iptables$INSERTINPUT-s$1-jDROP  iptables$INSERTOUTPUT-d$1-jDROP  iptables$INSERTFORWARD-d$1-jDROP  iptables$INSERTFORWARD-s$1-jDR123下一页友情提醒:,特别!OP  echoIP${1}drop${2}.  ipdrop:解释  从上面

8、的脚本源代码中最后四行内容可以看到实际的命令是在防火墙表中插入适当的规则。可以看到$INSERT变量的值取决

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。