Q&A
現状のコードではどういう動作をするんでしょうか
現在公開中のウェブサーバへ海外からの執拗なポートスキャンを受けており,サーバへの負荷軽減のため,iptablesを用いて不特定のIPからのスキャンをブロックをしたいと思っております.以下,サンプルコードの妥当性,または,簡潔かつ効果的な設定をご教示頂ければ幸いです
サーバ環境:CentOS6.9
サンプルコード:
flooding of RST packets, smurf attack Rejection
iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -m limit --limit 2/second --limit-burst 2 -j ACCEPT
Protecting portscans
Attacking IP will be locked for 24 hours (3600 x 24 = 86400 Seconds)
iptables -A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP
iptables -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP
Remove attacking IP after 24 hours
iptables -A INPUT -m recent --name portscan --remove
iptables -A FORWARD -m recent --name portscan --remove
These rules add scanners to the portscan list, and log the attempt.
iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
ソースコードや設定等は、コード部分を選択してツールバーの <code> ボタンを利用するなどの方法で見やすく記述していただけないでしょうか。 [ソースコードを書きましょう]( https://teratail.com/help/question-tips#questionTips3-5-1 ) 参照
回答1件
0
ログ採ってREJECTする辺りまではみました。下記のURL辺りでスマートに実現できそうです。
WEBサーバ(Apacheを仮定)側の対策(Blacklist化など)も重要かと・・・
【参考URL】
フルポートスキャンから開放ポートを隠す方法
俺史上最強のiptablesをさらす
【Apache系参考URL】
DoS攻撃を防げ!今からでもできる、Apacheのセキュリティ対策
Apache DoS対策 mod_evasive の導入
投稿2019/08/18 06:26
総合スコア55
あなたの回答
tips
プレビュー
