阅读量:106
使用Debian iptables进行入侵检测可按以下步骤操作:
- 更新规则与查看状态
确保规则最新,用iptables -L -n -v查看当前规则及流量统计。 - 配置基础防御规则
- 允许必要服务(如SSH、HTTP):
iptables -A INPUT -p tcp --dport 22 -j ACCEPT(SSH)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT(HTTP) - 拒绝其他未明确允许的流量:
iptables -P INPUT DROP。
- 允许必要服务(如SSH、HTTP):
- 记录异常流量
用LOG模块记录被拒绝的连接,例如:
iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: " --log-level 4。 - 限制连接速率
防止DDoS或暴力破解,如限制每秒SYN请求不超过3次:
iptables -A INPUT -p tcp --syn -m limit --limit 3/s -j ACCEPT。 - 封禁恶意IP
手动添加恶意IP到黑名单:iptables -A INPUT -s 1.2.3.4 -j DROP。 - 保存与监控日志
- 保存规则:
iptables-save > /etc/iptables/rules.v4。 - 监控日志:
grep "IPTables-Dropped" /var/log/syslog。
- 保存规则:
- 结合高级工具
- 用Fail2Ban自动封禁多次攻击的IP:安装后配置
/etc/fail2ban/jail.local。 - 用Snort进行实时流量分析(需额外安装配置)。
- 用Fail2Ban自动封禁多次攻击的IP:安装后配置
注意:操作前建议备份规则,测试环境验证规则有效性,避免误封合法流量。