iptables

时间：2016-02-15 10:37:45 阅读：248 评论：0 收藏：0 [点我收藏+]

1 iptables实现字符串匹配,URL过滤,安全策略

通过string匹配域名来过滤，范例如下：

iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP
iptables -I OUTPUT -p udp -m string --string "qq.com" --algo kmp -j DROP

防止入侵的方法
iptables -I INPUT 1 -p tcp --dport 80 -m string --string "cmd.exe" --algo bm -j DROP
iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe"
保护DDOS服务
iptables -I INPUT 1 -p tcp --dport 80 -m string --string "domain.com" --algo kmp -j DROP
防止电子邮件欺骗
iptables -I INPUT -p tcp --dport 25 -m string --string "Subject" --algo bm -j DROP
做个最优规则
iptables -I INPUT -p tcp --dport 25 -m string --string "Subject"  --algo bm --to 15000 -j DROP

使用string模块来匹配16进制的报文内容, 如果报文中存在00 00 ff 00 01时就丢弃该请求, 这里的 00 00 ff 00 01 匹配的是请求ANY的DNS query

iptables -A INPUT -p udp --dport 53 -m string --hex-string "|00 00 ff 00 01|" --algo bm --to 255 -j DROP

2 使用recent模块, 在60s内同一IP发起的链接超过10个时, 之后的请求全都丢弃, 用来降低恶意DNS间隔.

iptables -A INPUT -p udp --dport 53 -m recent --set --name dnsdosiptables -A INPUT -p udp --dport 53 -m recent --update --seconds 60 --hitcount 11 --name dnsdos -j DROP

3 ?使用connlimit模块, 同一IP发起超过3个连接之后的所有连接都直接丢弃, 这样可以限制恶意DNS请求的瞬时速率.

iptables -A INPUT -p udp --dport 53 -m connlimit --connlimit-above 3 -j DROP

4 ?另外如果想把奇怪的请求都记录下来, 可以通过下面这个命令记录到日志里, 以便后续的检查.

iptables -A INPUT -p udp -m udp --dport 53 -m string --hex-string "|00 00 ff 00 01|" --algo bm --to 255 -m limit --limit 1/min -j LOG --log-prefix "ANY DRDOS: "

iptables

原文：http://www.cnblogs.com/wangxusummer/p/5189981.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)