返回
动态iptables防火墙

动态iptables防火墙

ID:22850102

大小:60.00 KB

页数:7页

时间:2018-11-01

动态iptables防火墙_第1页
动态iptables防火墙_第2页
动态iptables防火墙_第3页
动态iptables防火墙_第4页
动态iptables防火墙_第5页
资源描述:

《动态iptables防火墙》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、动态iptables防火墙~教育资源库  防火墙非常有趣,但在需要对防火墙规则进行快速且复杂的更改时,您会做些什么?很简单。请使用本文中演示的DanielRobbins的动态防火墙脚本。可以使用这些脚本来增加网络安全性和响应性,并激发您自己的创造性设计。  了解动态防火墙脚本好处的最佳方法是在运行时查看它们。要这样做,让我们假设我是一家ISP的系统管理员,最近我建立了基于Linux的防火墙,用于保护我的客户和内部系统免遭因特网上恶意用户的攻击。为了实现这个目的,我的防火墙使用新的Linux2.4iptables有状态功能,以允许我的客户和服务器建立新的外出连接,当然还允许

2、新的进入连接,但仅限于公共服务,如ba服务器)的连接。现在,我有一个非常不错的防火墙,它为我公司的所有客户提供了非常好的保护。  在第一个星期左右,防火墙的工作非常出色,但在这之后却发生了件讨厌的事:我最大的对手Bob(他为另一家ISP工作,是我们的竞争对手)决定用大量信息包攻击我的网络,试图阻止我向客户提供服务。糟糕的是,Bob已经仔细研究了我的防火墙,他知道我在保护内部服务时,端口25和80必定是可以公开访问的,这样我才可以接收邮件和响应HTTP请求。Bob决定利用这一点,他想用吸干带宽的方法来攻击我的p的情况之后,我确定这还是Bob实施的另一次攻击,我推算出他用于发

3、起攻击的IP地址。现在我已经有了这个信息,我需要做的就是阻止这些IP地址,我想这大概能解决问题--很简单的解决方案。  响应攻击  我迅速使用vi打开防火墙设置脚本,并开始改动iptables规则、修改防火墙,这样它就可以阻止那些Bob发出的恶意进入信息包。大约一分钟左右,我找到了添加合适DROP规则的确切位置,并添加了这些规则。然后,我启动防火墙,但又马上停止了它哎,我在添加规则时犯了一个小错。我再次装入防火墙脚本,改正问题,30秒之后,将已将防火墙调整成阻止这个月内Bob发起的所有攻击。起先,它似乎成功地挫败了攻击直到问讯台的铃声响起。显然,Bob已经中断我的网络大约

4、10分钟,现在我的客户打来询问究竟发生了什么情况。更遭的是,几分钟后,我发现上行链路又被占满了。看来Bob这次使用了一组全新的IP地址来实施攻击。我也做出响应,立即开始修改防火墙脚本,只不过这次我有一点惊慌--也许我的解决方案还不那么完美。  以下就是上述情况中出错的原因。虽然我有一个不错的防火墙,还迅速标识了网络问题的原因,但我无法修改防火墙的行为以使它能够及时应付威胁。当然,当网络受到攻击时,您希望能够立即响应,在紧急状态下被迫修改主防火墙设置脚本不仅在时间上很紧迫,而且效率非常低。  ipdrop  如果有一个特别设计的特殊ipdrop脚本,它可以插入阻止我指定的I

5、P地址所需的规则,那么情况会好多了。有了这样的脚本,阻止防火墙就不再是两分钟的折磨;它只需5秒钟。由于这个脚本可以让我不必手工编辑防火墙规则,这就消除了出错的主要根源。我所要做的只是确定要阻止的IP地址,然后输入:#        ipdrop129.24.8.1onIP129.24.8.1dropon.     ipdrop脚本会立即阻止129.24.8.1,这是本周Bob的当前恶意IP地址。这个脚本明显提高了您的防御能力,因为现在阻止IP并不是件费神的事。现在,让我们看一下ipdrop脚本的实现:  ipdropbash脚本#!/bin/bashsource/usr/

6、local/share/dynfIPADDR.Goodforobnoxious                 al        APPEND=-A  INSERT=-Irec_checkipdrop$1$1alreadyblockedon  recordipdrop$1elif[$2==off]then  #rulesent  exit1fi        #blockoutsideIPaddressthat'scausingproblems#attacker'siningTCPconnectionsinuteorsototimeout,#reduci

7、ngDoSeffectiveness.iptables$INSERTINPUT -s$1-jDROPiptables$INSERTO123下一页友情提醒:,特别!UTPUT -d$1-jDROPiptables$INSERTFORit,它使用一个TCP端口、一个速率、一个比例和on或off作为自变量:#        tcplimit8735minuteonPort873neit(5/minute,burst=5)on.     tcplimit使用新的iptablesstate模块(确保已经在内核中启用了这个模块或已经装入了

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。