iptables端口扫描检测方法详解与配置步骤

使用iptables进行端口扫描检测：一份实战指南

在网络安全的日常防御中，端口扫描往往是攻击发起前的“侦察兵”。及时发现并拦截这类行为，能有效将威胁扼杀在萌芽阶段。作为Linux系统上经典的防火墙工具，iptables不仅能控制流量出入，其灵活的模块化设计也让它具备了强大的异常行为检测能力。下面，我们就来具体看看如何配置iptables，让它成为你网络边界的“智能哨兵”。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

1. 安装iptables

工欲善其事，必先利其器。虽然绝大多数Linux发行版都已预装了iptables，但为了确保万无一失，还是先确认一下为好。如果系统里确实没有，一条简单的安装命令就能搞定：

sudo apt-get install iptables # Debian/Ubuntu
sudo yum install iptables # CentOS/RHEL

2. 设置默认策略

构建防火墙的第一原则，就是“默认拒绝”。这意味着，所有未经明确允许的流量都将被拒之门外。这是一种非常安全的基础配置策略。

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

这里将INPUT（入站）和FORWARD（转发）链的默认策略设为DROP，而OUTPUT（出站）链则设为ACCEPT，保证了服务器本身对外发起的连接不受影响。

3. 允许必要的流量

设置了“默认拒绝”之后，关键的一步就是为正常的业务流量“开绿灯”。否则，服务器可能连基本的远程管理和域名解析都无法进行。以下是一些常见必要服务的规则示例：

# 允许SSH连接（通常使用22端口）
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# 允许DNS查询（使用53端口）
sudo iptables -A INPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT

请注意，这只是一个基础示例。实际环境中，你需要根据服务器运行的具体服务（如HTTP/HTTPS、数据库端口等）来添加相应的允许规则。

4. 检测端口扫描

接下来就是核心部分了。iptables的recent模块是个“神器”，它可以追踪近期来自某个IP地址的连接行为。利用这个特性，我们可以轻松定义出端口扫描的识别规则。

sudo iptables -A INPUT -p tcp --syn -m recent --set --name PORTSCAN
sudo iptables -A INPUT -p tcp --syn -m recent --update --seconds 60 --hitcount 4 --name PORTSCAN -j DROP

这两条规则配合起来，实现了一个巧妙的逻辑：

• 第一条规则（记录者）：每当检测到一个TCP SYN包（即一个新的连接尝试），就将该源IP地址记录到一个名为PORTSCAN的临时列表中。
• 第二条规则（审判者）：同样针对SYN包，它会去检查PORTSCAN列表。如果在60秒内，来自同一个IP的SYN包达到了4次或更多，那么就判定其为端口扫描行为，并立即丢弃（DROP）该IP的所有后续数据包。

这样一来，那些在短时间内快速、连续探测多个端口的行为就会被自动拦截。

5. 查看iptables规则

规则配置好了，总得看看效果。下面这个命令可以列出当前所有生效的规则，并显示数据包和字节的计数信息，非常直观：

sudo iptables -L -v -n

6. 保存iptables规则

有一个容易踩坑的地方必须提醒：通过命令行添加的iptables规则在系统重启后会全部丢失。因此，将当前配置持久化保存是必不可少的一步。不同发行版的保存方法略有差异：

# 对于Debian/Ubuntu及其衍生系统
sudo iptables-sa ve > /etc/iptables/rules.v4

# 对于CentOS/RHEL 7及之前版本
sudo service iptables sa ve

注意事项

• 测试先行：在将任何严格的检测规则应用到生产环境之前，务必在测试环境中充分验证，避免误拦正常业务流量。
• 阈值调优：示例中的“60秒内4次”是一个通用起始值。你需要根据自身网络的实际活跃度来调整--seconds和--hitcount参数。过于敏感可能会产生误报，过于宽松则可能漏报。
• 定期维护：网络环境和威胁态势在不断变化，定期审查和更新你的iptables规则集，是保持长期有效防御的关键。

通过以上这些步骤，你就能为你的Linux服务器搭建起一道不仅能过滤、还能智能感知威胁的防火墙防线。端口扫描检测从此不再是高端设备的专属，利用好手边的工具，安全防护可以做得更主动、更精细。