之前服务器放在网宿托管机房,遇到过几次服务器中招向外发包的情况,网宿为了保证自己的业务会自动把外网断了,让你通过内网处理好服务器再开放。
很多人的思路是把服务器中毒的木马找出来,然后删除,再让网宿开通外网。
如果被网宿断的的业务是很重要的,越快恢复越好,你这样慢慢找木马病毒,一般情况也得花20分钟这样吧。你这样玩黄瓜菜都凉了!
比较好的处理方式是:先把主动向外发包的全部不让通过,向服务器请求的放过,保证业务正常运行!再慢慢找木马病毒
实验
外网:eth0 192.168.8.165
内网:eth1 192.168.3.165
iptables禁止服务器主动向外发包,但外面可以访问该服务器的任何资源
iptables -P INPUT ACCEPT
iptables -F
iptables -X
iptables -Z
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 192.168.3.165 -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state NEW -j DROP
iptables -P OUTPUT DROP
iptables -n -L
或者:放行非第一个包,其它源地址为外网的禁止(意思就是外网状态为NEW和INVALID的包不让通过)
iptables -n -L
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -X
iptables -Z
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.8.165 -p all -j DROP
iptables -n -L
#加多-v会看到更多的信息
#iptables -n -L -v
#只允许127.0.1和192.168.3.165
iptables -A OUTPUT -s 192.168.8.165 -j DROP
实验效果:
#在此服务器上通过内网telnet问外一台服务器,发现OK
telnet 192.168.3.75 3306
#在此服务器上通过外网telnet另一台服务器,相当于主动发包,发现失败。验证生效了
telnet 192.168.8.75 3306
网友评论