吹友吧 › NAS及数字生活 › [ZT]DirectAdmin(DA)增加锁定IP功能(官方iptables规则)

寂夜清风 发表于 2019-3-5 09:30

[ZT]DirectAdmin(DA)增加锁定IP功能(官方iptables规则)

https://www.zrblog.net/5899.html
安全是非常沉重的一个话题，当我们面对每天收到的暴力猜解密码的提醒邮件，以及后台看到一堆触目惊心的IP的时候，我们不要在沉默！赵容，作为技术小白加上超级懒人，叫我写个规则，一个个的IP去屏蔽，是一件很无趣的事情，下面，我们一起来看看官方帮助中心给我们的解决方案：给DA后台增加IP锁定功能！首先，我们来看看我刚刚安装的一个DA后台留下的部分蛋疼的人们的IP信息。https://www.zrblog.net/wp-content/uploads/2012/02/da-iptables_thumb.jpg我们该如何让DA管理后台可以很方便的锁定这些IP呢？下面，是来自官方帮助中心的一个方式，适合跟赵容一样不喜欢手动折腾的人们。首先，下载官方的iptables规则
cd /etc/init.d      #进入目录

mv iptables iptables.backup      #备份原文件

wget http://files1.directadmin.com/services/all/iptables         #下载新iptables文件

chmod 755 iptables      #设置文件权限

/etc/init.d/iptables restart#重启iptables


接着，下载锁定IP脚本程序，设置文件权限
cd /usr/local/directadmin/scripts/custom
wget http://files1.directadmin.com/services/all/block_ip.sh
wget http://files1.directadmin.com/services/all/show_blocked_ips.sh
wget http://files1.directadmin.com/services/all/unblock_ip.sh
chmod 700 block_ip.sh show_blocked_ips.sh unblock_ip.sh
最后，创建一个清单文本，以便查看被锁定的IP列表touch /root/blocked_ips.txt
touch /root/exempt_ips.txt

通过以上操作，我们进入DA面板后台，密码暴力猜解监控，点击监控到的IP最后的IP Info，然后在接下来的页面点击隔离该IP就可以了。如需自动锁定，请继续。
cd /usr/local/directadmin/scripts/custom
wget http://files1.directadmin.com/services/all/brute_force_notice_ip.sh
chmod 700 brute_force_notice_ip.sh

寂夜清风 发表于 2021-1-17 13:13

在centos 7中默认用Firewall替代了iptables.

/etc/sysconfig

寂夜清风 发表于 2021-1-17 13:43

CentOS7 下iptables安装与iptables使用

一、iptables安装yum install iptables -y
yum install iptables-services
查看安装情况rpm -qa|grep iptables
禁用/停止自带的firewalld服务#停止firewalld服务
systemctl stop firewalld
#禁用firewalld服务
systemctl mask firewalld

修改iptables配置文件 vi /etc/sysconfig/iptables
#firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.

*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
设置现有规则#查看iptables现有规则
iptables -L -n
#先允许所有,不然有可能会杯具
iptables -P INPUT ACCEPT
#清空所有默认规则
iptables -F
#清空所有自定义规则
iptables -X
#所有计数器归0
iptables -Z
#允许来自于lo接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT
#开放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#开放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#开放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允许ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
iptables -A INPUT -m state --stateRELATED,ESTABLISHED -j ACCEPT
#其他入站一律丢弃
iptables -P INPUT DROP
#所有出站一律绿灯
iptables -P OUTPUT ACCEPT
#所有转发一律丢弃
iptables -P FORWARD DROP

其他规则设定#如果要添加内网ip信任（接受其所有TCP请求）
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
#过滤所有非以上规则的请求
iptables -P INPUT DROP
#要封停一个IP，使用下面这条命令：
iptables -I INPUT -s ***.***.***.*** -j DROP
#要解封一个IP，使用下面这条命令:
iptables -D INPUT -s ***.***.***.*** -j DROP
保存规则设定#保存上述规则
service iptables save

开启iptables服务 #注册iptables服务
#相当于以前的chkconfig iptables on
systemctl enable iptables.service
#开启服务
systemctl start iptables.service
#查看状态
systemctl status iptables.service


解决vsftpd在iptables开启后,无法使用被动模式的问题1.首先在/etc/sysconfig/iptables-config中修改或者添加以下内容

#添加以下内容,注意顺序不能调换
IPTABLES_MODULES="ip_conntrack_ftp"
IPTABLES_MODULES="ip_nat_ftp"
2.重新设置iptables设置iptables -A INPUT -m state --stateRELATED,ESTABLISHED -j ACCEPT
开端口：iptables -A INPUT -p tcp --dport 22 -j ACCEPT
关指定IP端口：iptables -I INPUT -p tcp –dport 22 -s 192.168.0.0/24 -j DROP
启动systemctl start iptables.service
以下为完整设置脚本
#!/bin/sh
iptables -P INPUT ACCEPT
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
service iptables save
systemctl restart iptables.service




参考：https://www.cnblogs.com/kreo/p/4368811.html

查看完整版本: [ZT]DirectAdmin(DA)增加锁定IP功能(官方iptables规则)