如何利用iptables修复安全漏洞

随着网络安全威胁的不断增加，安全中心扫描越来越频繁。尤其是在大数据安全中心的漏洞报告中，许多漏洞在生产环境中无法通过服务升级来修复，例如：

Oracle MySQL cURL 组件输入验证错误漏洞（CVE-2022-32221）

MySQL 拒绝服务漏洞（CVE-2023-21912）

Oracle MySQL 安全漏洞（CVE-2022-37434）

Oracle MySQL curl/libcURL 安全漏洞（CVE-2023-38545）

生产环境直接升级 MySQL 版本往往不可行。因此，可以通过配置 iptables 规则限制流量和访问权限，间接修复这些安全漏洞。iptables 是 Linux 系统上功能强大且灵活的防火墙工具，能够通过精细化规则实现流量控制和访问限制。本文将介绍如何利用 iptables 修复常见的安全漏洞。

下载安装iptables(centos（在线、离线）安装iptables_离线安装iptables-CSDN博客[1])

如果iptables正在运行，通常会有规则生效，可以通过以下命令查看规则是否存在：

iptables -L -n -v

规则策略

#iptables 规则具有顺序依赖性
# 添加允许特定IP地址访问3306端口的规则
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.194 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.197 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.199 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.196 --dport 3306 -j ACCEPT
 
# 添加拒绝所有其他IP地址访问3306端口的规则
# 这条规则会匹配所有到3306端口的TCP流量，但由于前面的允许规则,它只会对那些未被允许的IP地址生效。
iptables -A INPUT -p tcp --dport 3306 -j DROP
或者
iptables -A INPUT -p tcp --dport 3306 -j REJECT

执行效果

来自127.0.0.1、192.167.10.194、192.167.10.197、192.167.10.199、192.167.10.196的连接会被允许通过。

所有其他 IP 地址（即不在允许列表中的 IP 地址）将被拒绝访问端口 3306。

DROP和REJECT区别：

1.DROP

功能：直接丢弃数据包，不发送任何响应给发送方。

效果：从发送方的角度来看，请求像是被“忽略”了，没有任何反馈。

适用场景：

增加安全性：攻击者无法得知端口是否开放。

防止端口扫描：让对方认为端口是“隐形的”。

节省带宽：不需要发送拒绝的响应。

2.REJECT

功能：拒绝数据包，同时向发送方发送一个拒绝响应（如 ICMP 错误消息）。

效果：发送方会收到明确的“拒绝”反馈。

适用场景：

明确拒绝：告知合法用户端口不可用。

快速恢复：避免发送方一直尝试连接被阻止的端口。

测试调试：便于检查网络规则或通信问题。

补充：

iptables 会按规则顺序匹配，早匹配的规则优先级高，因此插入位置至关重要。

如果要在现有的策略上更新，可以使用 -I（插入）选项而不是 -A（追加）例：

如果你想在所有现有的 INPUT 链规则之前添加一条允许来自某个特定 IP 地址（比如 192.167.10.200）访问 3306 端口的规则，你可以使用以下命令：

iptables -I INPUT -p tcp -s 192.167.10.200 --dport 3306 -j ACCEPT

这条命令会将新的规则插入到 INPUT 链的最前面，从而确保它优先于其他所有现有的 INPUT 链规则被处理。

链接：https://blog.csdn.net/m0_63004677/article/details/144269012?spm=1001.2014.3001.5502