Web主机iptables防火墙安全脚本

系统的默认策略是INPUT为DROP，OUTPUT、FORWARD链为ACCEPT，DROP设置得比较宽松，因为我们知道出去的数据包比较安全；为了验证脚本的通用性，我特的查看了服务器的内核及iptables版本，命令如下所示：

uname-a
iptables -V

如果大家要采用iptables作为主机防火墙时，建议用CentOS5.6 x86_64或更高版本，不然系统会有如下错误信息：

iptables: Unknown error 18446744073709551615
iptables:Invalid argument
在tail-f /var/log/messages时能发下面的的出错提示
ip_tables: connlimit match: invalid size 32 != 16
ip_tables: connlimit match: invalid size 32 != 24

另外，在生产环境下调试iptables脚本前，强烈建议编写crontab任务，每5分钟关闭一次iptalbes脚本，防止将SSH客户端锁在外面，命令如下所示：

*/5* * * * root /etc/init.d/iptablesstop

脚本代码如下所示：

#!/bin/bash
iptables -F
iptables -F -t nat
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#load connection-tracking modules
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A INPUT -f -m limit --limit 100/sec--limit-burst 100 -j ACCEPT
iptables -A INPUT -p icmp --icmp-typeecho-request -m limit --limit 1/s--limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec--limit-burst 200 -j ACCEPT
iptables -A INPUT -s 122.70.x.x -j ACCEPT
iptables -A INPUT -s 122.70.x.x -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,22 -j ACCEPT

这里有一种特殊情况，由于此Web服务器是置于负载均衡器后面，所以与负载均衡器的连接还是很频繁的；所以我们要允许数据源地址为负载均衡器的数据包通过；另外，我的许多基于LNMP的小网站上面也部署了此脚本，即Web服务和MySQL数据库同时安装在一台机器上，也没有开放3306端口，这个靠Web调用PHP程序实现访问。

成功运行此脚本后系统应该是不会报错的，命令如下：

iptables -nv –L

此命令显示结果如下

Chain INPUT (policy DROP 610 packets, 50967 bytes)
pkts bytes target    prot opt inout    sourcedestination     
0    0 ACCEPT    all  -f  *      *      0.0.0.0/00.0.0.0/0limit: avg 100/secburst 100
6100  314K ACCEPT    tcp  --  *      *      0.0.0.0/00.0.0.0/0tcp flags:0x16/0x02limit: avg 20/secburst 200
1052 67637 ACCEPT    all  --  *      *      122.70.x.x        0.0.0.0/0
986 58112 ACCEPT    all  --  *      *      122.70.x.x        0.0.0.0/0
918  131K ACCEPT    all  --  lo    *      0.0.0.0/00.0.0.0/0
97056  12M ACCEPT    all  --  *      *      0.0.0.0/00.0.0.0/0state RELATED,ESTABLISHED
4325  218K ACCEPT    tcp  --  *      *      0.0.0.0/00.0.0.0/0multiport dports 80,22
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target    prot opt inout    sourcedestination     
0    0 ACCEPT    icmp --  *      *      0.0.0.0/00.0.0.0/0icmp type8 limit: avg 1/secburst 10
Chain OUTPUT (policy ACCEPT 144K packets, 155M bytes)
pkts bytes target    prot opt inout    sourcedestination     
956  134K ACCEPT    all  --  *      lo      0.0.0.0/00.0.0.0/0

下面我稍为详细的解释下此脚本：
在主机的防护上我们配置了一些安全措施，以防止外部的ping和SYN洪水攻击，并且考虑到外部的疯狂端口扫描软件可能会影响服务器的入口带宽，所以在这里也做了限制。命令如下所示：

iptables -A INPUT -p tcp --syn -m limit --limit 100/s--limit-burst 100 -j  ACCEPT

上面的命令每秒钟最多允许100个新连接，请注意这里的新连接指的是state为New的数据包，在后面我们也配置了允许状态为ESTABLISHED和RELATED的数据通过；另外，100这个阀值则要根据服务器的实际情况来调整，如果是并发量不大的服务器这个数值就要调小，如果是访问量非常大且并发数不小的服务器，这个值则还需要调大。