背景:昨天是2017年第一天上班,作者依然开开心心的带着2017年新的目标来到了公司,一如既往的打开电脑,打开“程序猿”们都熟悉的idea准备开始工作,呵呵!有点啰嗦。当我打开常用的数据库mongo客户端时发现,咦?怎么多了个奇怪的数据库,于是打开查看了一下顿时傻眼!
哎吆!我去!17年收到黑客大礼,虽然不能证明什么,最起码证明我们的数据还是比较值钱的,心喜!亡羊补牢为时不晚,赶紧滴提升服务器的安全级别。
方案: 由于mongo的特殊性,默认是不开启权限认证的,它允许使用者不需要输入用户名密码只需要知道ip及port即可访问数据,我们采用通过服务器的防火墙限制访问的ip及port端口号来提升访问的安全性,服务器系统是Centos7。
1.安装iptables
- 由于centos7默认是使用firewall作为防火墙,下面介绍如何将系统的防火墙设置为iptables。
①关闭firewall #停止firewall systemctl stop firewall.service #禁止firewall开机启动 systemctl disable firewall.service②安装iptables防火墙 #安装iptables yum install iptables-services
2.编辑防火墙拦截规则
$ vim /etc/sysconfig/iptables
注:iptables命令使用详解
举例:
以下是允许“xxxx.xxxx.xxx.xxxx”ip地址访问本机的80端口:
-A INPUT -s xxxx.xxxx.xxx.xxxx -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
以下是端口,先全部封再开某些的IP
-A INPUT -p tcp --dport 9889 -j DROP-A INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
先关闭所有的80端口,开启ip段192.168.1.0/24端的80口,开启ip段211.123.16.123/24端ip段的80口
-A INPUT -p tcp --dport 80 -j DROP -A INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT-A INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
如果用了NAT转发记得配合以下才能生效
-A FORWARD -p tcp --dport 80 -j DROP-A FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
常用的IPTABLES规则如下: 只能收发邮件,别的都关闭
-I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP-I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT-I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT-I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT
IPSEC NAT 策略
-I PFWanPriv -d 192.168.100.2 -j ACCEPT-t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80-t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723-t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723-t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500-t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
FTP服务器的NAT
-I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT-t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21
只允许访问指定网址
-A Filter -p udp --dport 53 -j ACCEPT-A Filter -p tcp --dport 53 -j ACCEPT-A Filter -d www.3322.org -j ACCEPT-A Filter -d img.cn99.com -j ACCEPT-A Filter -j DROP
开放一个IP的一些端口,其它都封闭
-A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACCEPT-A Filter -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT-A Filter -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT-A Filter -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT-A Filter -p tcp --dport 53 -j ACCEPT-A Filter -p udp --dport 53 -j ACCEPT-A Filter -j DROP
多个端口
-A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT
连续端口
-A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT
指定时间上网
-A Filter -s 10.10.10.253 -m time --timestart 6:00 --timestop 11:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP-A Filter -m time --timestart 12:00 --timestop 13:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT-A Filter -m time --timestart 17:30 --timestop 8:30 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
禁止多个端口服务
-A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT
将WAN 口NAT到PC
-t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
将WAN口8000端口NAT到192。168。100。200的80端口
-t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
MAIL服务器要转的端口
-t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110-t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
只允许PING 202。96。134。133,别的服务都禁止
-A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT-A Filter -j DROP
禁用BT配置
–A Filter –p tcp –dport 6000:20000 –j DROP
禁用QQ防火墙配置
-A Filter -p udp --dport ! 53 -j DROP-A Filter -d 218.17.209.0/24 -j DROP-A Filter -d 218.18.95.0/24 -j DROP-A Filter -d 219.133.40.177 -j DROP
基于MAC,只能收发邮件,其它都拒绝
-I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP-I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT-I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT
禁用MSN配置
-A Filter -p udp --dport 9 -j DROP-A Filter -p tcp --dport 1863 -j DROP-A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP-A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
只允许PING 202。96。134。133 其它公网IP都不许PING
-A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT-A Filter -p icmp -j DROP
禁止某个MAC地址访问internet:
-I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
禁止某个IP地址的PING:
–A Filter –p icmp –s 192.168.0.1 –j DROP
禁止某个IP地址服务:
–A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP–A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
只允许某些服务,其他都拒绝(2条规则)
-A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT-A Filter -j DROP
禁止某个IP地址的某个端口服务
-A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT-A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
禁止某个MAC地址的某个端口服务
-I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
禁止某个MAC地址访问internet:
-I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
禁止某个IP地址的PING:
–A Filter –p icmp –s 192.168.0.1 –j DROP
3.防火墙规则生效
重启防火墙使配置文件生效
systemctl restart iptables.service
设置iptables防火墙为开机启动项
systemctl enable iptables.service
