如何利用iptables修复安全漏洞

随着网络安全威胁的不断增加，安全中心扫描越来越频繁。尤其是在大数据安全中心的漏洞报告中，许多漏洞在生产环境中无法通过服务升级来修复，例如：

Oracle MySQL cURL 组件输入验证错误漏洞（CVE-2022-32221）

MySQL 拒绝服务漏洞（CVE-2023-21912）

Oracle MySQL 安全漏洞（CVE-2022-37434）

Oracle MySQL curl/libcURL 安全漏洞（CVE-2023-38545）

生产环境直接升级 MySQL 版本往往不可行。因此，可以通过配置 iptables 规则限制流量和访问权限，间接修复这些安全漏洞。iptables 是 Linux 系统上功能强大且灵活的防火墙工具，能够通过精细化规则实现流量控制和访问限制。本文将介绍如何利用 iptables 修复常见的安全漏洞。

下载安装iptables(centos（在线、离线）安装iptables_离线安装iptables-CSDN博客[1])

如果 iptables 正在运行，通常会有规则生效，可以通过以下命令查看规则是否存在：

 

 

iptables -L -n -v

 

规则策略

 

 

#iptables 规则具有顺序依赖性
# 添加允许特定IP地址访问3306端口的规则
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.194 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.197 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.199 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.196 --dport 3306 -j ACCEPT
 
# 添加拒绝所有其他IP地址访问3306端口的规则
# 这条规则会匹配所有到3306端口的TCP流量，但由于前面的允许规则,它只会对那些未被允许的IP地址生效。
iptables -A INPUT -p tcp --dport 3306 -j DROP
或者
iptables -A INPUT -p tcp --dport 3306 -j REJECT

 

执行效果

来自 127.0.0.1、192.167.10.194、192.167.10.197、192.167.10.199、192.167.10.196 的连接会被允许通过。

所有其他 IP 地址（即不在允许列表中的 IP 地址）将被拒绝访问端口 3306。

DROP和REJECT区别：

1. DROP

功能：直接丢弃数据包，不发送任何响应给发送方。

效果：从发送方的角度来看，请求像是被“忽略”了，没有任何反馈。

适用场景：

增加安全性：攻击者无法得知端口是否开放。

防止端口扫描：让对方认为端口是“隐形的”。

节省带宽：不需要发送拒绝的响应。

2. REJECT

功能：拒绝数据包，同时向发送方发送一个拒绝响应（如 ICMP 错误消息）。

效果：发送方会收到明确的“拒绝”反馈。

适用场景：

明确拒绝：告知合法用户端口不可用。

快速恢复：避免发送方一直尝试连接被阻止的端口。

测试调试：便于检查网络规则或通信问题。

补充：

iptables 会按规则顺序匹配，早匹配的规则优先级高，因此插入位置至关重要。

如果要在现有的策略上更新，可以使用 -I（插入）选项而不是 -A（追加）例：

如果你想在所有现有的 INPUT 链规则之前添加一条允许来自某个特定 IP 地址（比如 192.167.10.200）访问 3306 端口的规则，你可以使用以下命令：

 

 

iptables -I INPUT -p tcp -s 192.167.10.200 --dport 3306 -j ACCEPT

 

这条命令会将新的规则插入到 INPUT 链的最前面，从而确保它优先于其他所有现有的 INPUT 链规则被处理。

链接：https://blog.csdn.net/m0_63004677/article/details/144269012?spm=1001.2014.3001.5502