文档章节

Gnu/Linux 防止暴力扫描及其它

晒太阳的小猪
 晒太阳的小猪
发布于 06/17 08:11
字数 982
阅读 103
收藏 1

RedHat7 手工脚本:
# iptables iptables -A INPUT -i eno16777728 -p tcp -m multiport --destination-port 135,136,137,138,139,445,4899,1900 -j LOG
iptables -A INPUT -p tcp -m multiport --destination-port 135,136,137,138,139,445,4899,1900,3389 -j DROP
# iptables iptables -A INPUT -i eno16777728 -p udp -m multiport --destination-port 135,136,137,138,139,445,4899,1900 -j LOG
iptables -A INPUT -p udp -m multiport --destination-port 135,136,137,138,139,445,4899,1900,3389 -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
####60秒内单IP超过20次连接进行阻断####
iptables -A INPUT  -p tcp -m multiport --destination-port 80,443 -m state --state NEW -m recent --update --seconds 60 --hitcount 20 --name test --rsource -j DROP
iptables -A INPUT  -p tcp -m multiport --destination-port 80,443 -m state --state NEW -m recent --set --name test --rsource
iptables -A INPUT  -p tcp -m multiport --destination-port 80,443 -m connlimit --connlimit-above 20 -j REJEC
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 80 -j ACCEPT
##########
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 7001 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 7003 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 7005 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 7007 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 3371 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 69 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 123 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 30244 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 20 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 20 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 21 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 21 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 5801:5809 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 5801:5809 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 5901:5909 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 5901:5909 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 6001:6009 -j DROP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 6001:6009 -j DROP
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP


RedHat6系统:
修改/etc/sysconfig/iptables配置文件,添加如下内容,系统即可只放行定义中的应用端口,其它端口系统将对数据包进行丢弃处理,规则如下:
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
#:INPUT ACCEPT [0:0]
:INPUT DROP [0:0]
#:FORWARD ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m state --state NEW -m multiport --destination-port 135,136,137,138,139,445,3389 -j DROP
-A INPUT -p udp -m state --state NEW -m multiport --destination-port 135,136,137,138,139,445,3389 -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT  -p tcp -m multiport --destination-port 80,443 -m state --state NEW -m recent --update --seconds 60 --hitcount 20 --name test --rsource -j DROP
-A INPUT  -p tcp -m multiport --destination-port 80,443 -m state --state NEW -m recent --set --name test --rsource
-A INPUT  -p tcp -m multiport --destination-port 80,443 -m connlimit --connlimit-above 20 -j REJEC
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 177 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 177 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 20 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 20 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 5801:5809 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 5801:5809 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 5901:5909 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 5901:5909 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 6001:6009 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m udp -p udp --dport 6001:6009 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

© 著作权归作者所有

晒太阳的小猪

晒太阳的小猪

粉丝 43
博文 46
码字总数 25261
作品 0
安康
系统管理员
私信 提问
WPScan使用完整教程之记一次对WordPress的渗透过程

使用完整教程之记一次对的渗透过程 渣渣一枚,萌新一个,会划水,会喊六六 个人博客:https://www.cnblogs.com/lxz-1263030049/ 本文已发至i春秋:https://bbs.ichunqiu.com/thread-46194-1...

落花四月
2018/09/23
0
0
记一次用WPScan辅助渗透WordPress站点

记一次用WPScan辅助渗透WordPress站点 一、什么是WPScan? 是一个扫描 漏洞的黑盒子扫描器,它可以为所有 开发人员扫描 漏洞并在他们开发前找到并解决问题。我们还使用了 ,它是一款非常棒的...

angel_kitty
2018/09/23
0
0
SSH 暴力破解趋势:从云平台向物联网设备迁移 云鼎实验室出品

  导语:近日,腾讯云发布2018上半年安全专题系列研究报告,该系列报告围绕云上用户最常遭遇的安全威胁展开,用数据统计揭露攻击现状,通过溯源还原攻击者手法,让企业用户与其他用户在应对...

FreeBuf
2018/07/13
0
0
自由软件基金会呼吁抵制Win8认证电脑

微软宣布Windows 8认证电脑必须采用“Secure Boot(安全启动)”,自由软件基金会(FSF)就此发表声明,称限制性的安全启动将会让电脑只能运行微软的操作系统,限制用户安装自由软件GNU/Linux...

红薯
2011/10/18
2.1K
33
利用 syn cookies 达到快速 TCP 连接欺骗

TCP使用32bit的Seq/Ack数字来确保两端连接正常,要成功的进行TCP欺骗必须猜出由服务器端生成的ISN(初始序列号),如果对32位的空间进行暴力尝试,现代的千兆网络大概需要12个小时,而如果系统...

oschina
2013/08/17
2.5K
3

没有更多内容

加载失败,请刷新页面

加载更多

简单的博客系统(四)Django请求HTML页面视图信息--基于函数的视图

1. 编写用于查询数据的功能函数 应用目录 下的 views.py 文件通常用于保存响应各种请求的函数或类 from django.shortcuts import renderfrom .models import BlogArticles# Create your ...

ZeroBit
28分钟前
2
0
用脚本将本地照片库批量导入到Day One中

因为目前iCloud 空间已经不足,其中95%都是照片,之前入手了DayOne,且空间没有限制,订阅费一年也不少,再加上DayOne作为一款日记App 也比较有名,功能方面最大的就是地理视图与照片视图,尤...

在山的那边
昨天
13
0
Vue-Ueditor

记录,忘了还要写啥了,先发吧,后面再补。。。 代码示例 import UEditor from '@/components/UE.vue';components: { UEditor },return {config: { //可以在此处定义工...

华山猛男
昨天
2
0
jupyter部署安装

python373 -m ipykernel install --name python373 ipython kernelspec list sc create myjupyterservice binpath="D:\apply\Python373\Scripts\jupyter-notebook --config=V:/my_work/jupyt......

mbzhong
昨天
4
0
聊聊feign的Contract

序 本文主要研究一下feign的Contract Contract feign-core-10.2.3-sources.jar!/feign/Contract.java public interface Contract { /** * Called to parse the methods in the class t......

go4it
昨天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部