網上有現在的防埠工具如psad、portsentry但覺得配置有點麻煩且伺服器不想再裝一個額外的軟體。所以可以自己寫個shell指令碼實現這個功能。基本思路是使用iptables的recent模組記錄下在60秒鐘內掃描超過10個埠的IP並結合inotify-tools工具實時監控iptables的日誌一旦iptables日誌檔案有寫入新的ip記錄則使用iptables封鎖源ip起到了防止埠掃描的功能。

1、iptables規則設定

新建指令碼iptables.sh執行此指令碼。

IPT="/sbin/iptables"
   $IPT --delete-chain
   $IPT --flush

   #Default Policy
   $IPT -P INPUT DROP  
   $IPT -P FORWARD DROP
   $IPT -P OUTPUT DROP

   #INPUT Chain
   $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
   $IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
   $IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
   $IPT -A INPUT -i lo -j ACCEPT
   $IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
   $IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
   $IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG
   $IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP
   #OUTPUT Chain
   $IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
   $IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
   $IPT -A OUTPUT -o lo -j ACCEPT
   $IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
   $IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

   #iptables save
   service iptables save
   service iptables restart

注意17-18行的兩條規則務必在INPUT鏈的最下面其它規則自己可以補充。

2、iptables日誌位置更改

編輯/etc/syslog.conf

新增kern.warning /var/log/iptables.log

重啟syslog
/etc/init.d/syslog restart

3、防埠掃描shell指令碼

首先安裝inotify:

yum install inotify-tools

儲存以下程式碼為ban-portscan.sh

   btime=600 #封ip的時間
   while true;do
       while inotifywait -q -q -e modify /var/log/iptables.log;do
           ip=`tail -1 /var/log/iptables.log | awk -F"[ =]" '{print $13}' | grep '[0−9]{1,3}\.\{3\}[0-9]\{1,3\}'`
           if test -z "`/sbin/iptables -nL | grep $ip`";then
               /sbin/iptables -I INPUT -s $ip -j DROP
               {
               sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP
               } &
           fi
       done
   done

執行命令開始啟用埠防掃描

nohup ./ban-portscan.sh &