动态iptables防火墙dynfw(2)

　　问题出在哪里呢？虽然我建立了功能完备的、满足安全需求的防火墙系统并且快速的发现了网络出现问题的原因，但是我却不能在第一时间内对我的防火墙规则进行调整来响应Bob的攻击。当网络被攻击时，被动慌乱地快速对攻击做出防范反应，对防火墙规则配置脚本进行修改不但是压力巨大，而且效率低下。

　　ipdrop

　　如果能创建一个特殊的"ipdrop"脚本，其被设计为能方便地插入一个规则来阻塞指定的IP，那么将上面的工作将非常容易。通过该脚本阻塞某个IP将是非常容易的工作，只需要几秒钟就可以实现。而且通过该脚本还可以防止手工加入规则时容易出现的错误。因此阻塞Bob的攻击将变为确定其攻击源地址。然后通过如下命令：

　　# ipdrop 129.24.8.1 on

　　IP 129.24.8.1 drop on.

　　ipdrop脚本将立即阻塞129.24.8.1。通过使用该脚本能显著地提高你的防卫能力。下面就是ipdrop脚本的实现：

　　The ipdrop bash script

　　#!/bin/bash

　　source /usr/local/share/dynfw.sh

　　args 2 $# "${0} IPADDR {on/off}" "Drops packets to/from IPADDR. Good for obnoxious networks/hosts/DoS"

　　if [ "$2" == "on" ]

　　then

　　#rules will be appended or inserted as normal

　　APPEND="-A"

　　INSERT="-I"

　　rec_check ipdrop $1 "$1 already blocked" on

　　record ipdrop $1

　　elif [ "$2" == "off" ]

　　then

　　#rules will be deleted instead

　　APPEND="-D"

　　INSERT="-D"

　　rec_check ipdrop $1 "$1 not currently blocked" off

　　unrecord ipdrop $1

　　else

　　echo "Error: "off" or "on" expected as second argument"

　　exit 1

　　fi

　　#block outside IP address thats causing problems

　　#attackers incoming TCP connections will take a minute or so to time out,

　　#reducing DoS effectiveness.

　　iptables $INSERT INPUT -s $1 -j DROP

　　iptables $INSERT OUTPUT -d $1 -j DROP

　　iptables $INSERT FORWARD -d $1 -j DROP

　　iptables $INSERT FORWARD -s $1 -j DROP

　　echo "IP ${1} drop ${2}."

　　ipdrop:解释

　　从上面的脚本源代码中最后四行内容可以看到实际的命令是在防火墙表中插入适当的规则。可以看到$INSERT变量的值取决于在命令行参数中是使用"on"还是"off"模式。当iptables行被执行时特定的规则将被适当的插入或删除。

　　现在我们看看这些规则本身的功能，它们能和任何类型的防火墙一起发挥作用，甚至在没有部署防火墙的系统上。需要的条件仅仅是支持iptables的 Linux2.4版本的内核。我们阻塞来自恶意IP的攻击数据报(第一条iptables语句)，阻塞发向恶意攻击IP的数据报(第二条iptables 语句)，并且对该IP关闭任意方向的数据转发(最后两条iptables工具)。一旦这些规则发挥作用系统将丢弃满足这些条件的任何数据报。