一个防止端口扫描的shell脚本

发布时间:2020-08-26编辑:脚本学堂
本文介绍下,一个用于防止端口扫描的shell脚本,借助iptables的recent模块来完成,有需要的朋友,参考下吧。

实现思路:
使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP,并结合inotify-tools工具实时监控iptables的日志,一旦iptables日志文件有写入新的ip记录,则使用iptables封锁源ip,起到了防止端口扫描的功能。

1、iptables规则设置
新建脚本iptables.sh,并执行此脚本。
   

复制代码 代码示例:
IPT="/sbin/iptables"
    $IPT --delete-chain
    $IPT --flush
    
    #Default Policy
    $IPT -P INPUT DROP  
    $IPT -P FORWARD DROP 
    $IPT -P OUTPUT DROP
    
    #INPUT Chain
    $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    $IPT -A INPUT -i lo -j ACCEPT
    $IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
    $IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
    $IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG
    $IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP
    #OUTPUT Chain
    $IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    $IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
    $IPT -A OUTPUT -o lo -j ACCEPT
    $IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
    $IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
    
    #iptables save
    service iptables save
    service iptables restart

注意:17-18行的两条规则务必在INPUT链的最下面,其它规则自己可以补充。

2、iptables日志位置更改
编辑/etc/syslog.conf,添加:
 

kern.warning /var/log/iptables.log

重启syslog
/etc/init.d/syslog restart

3、防端口扫描shell/ target=_blank class=infotextkey>shell脚本
首先,安装inotify:
 

复制代码 代码示例:
yum install inotify-tools

创建文件,ban-portscan.sh,代码如下:
   

复制代码 代码示例:
btime=600 #封ip的时间
    while true;do
        while inotifywait -q -q -e modify /var/log/iptables.log;do
            ip=`tail -1 /var/log/iptables.log | linuxjishu/13830.html target=_blank class=infotextkey>awk -F"[ =]" '{print $13}' | grep '([0-9]{1,3}.){3}[0-9]{1,3}'`
            if test -z "`/sbin/iptables -nL | grep $ip`";then
                /sbin/iptables -I INPUT -s $ip -j DROP
                {
                sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP
                } &
            fi
        done
    done
 

执行脚本,启用端口防扫描功能:
 

nohup ./ban-portscan.sh &

找个扫描软件,试着扫一下,看看效果如何呢?!