隨著網(wǎng)絡(luò)安全威脅的不斷增加，安全中心掃描越來越頻繁。尤其是在大數(shù)據(jù)安全中心的漏洞報(bào)告中，許多漏洞在生產(chǎn)環(huán)境中無法通過服務(wù)升級來修復(fù)，例如：

Oracle MySQL cURL 組件輸入驗(yàn)證錯(cuò)誤漏洞（CVE-2022-32221）

MySQL 拒絕服務(wù)漏洞（CVE-2023-21912）

Oracle MySQL 安全漏洞（CVE-2022-37434）

Oracle MySQL curl/libcURL 安全漏洞（CVE-2023-38545）

生產(chǎn)環(huán)境直接升級 MySQL 版本往往不可行。因此，可以通過配置 iptables 規(guī)則限制流量和訪問權(quán)限，間接修復(fù)這些安全漏洞。iptables 是 Linux 系統(tǒng)上功能強(qiáng)大且靈活的防火墻工具，能夠通過精細(xì)化規(guī)則實(shí)現(xiàn)流量控制和訪問限制。本文將介紹如何利用 iptables 修復(fù)常見的安全漏洞。

下載安裝iptables(centos（在線、離線）安裝iptables_離線安裝iptables-CSDN博客[1])

如果iptables正在運(yùn)行，通常會(huì)有規(guī)則生效，可以通過以下命令查看規(guī)則是否存在：

iptables -L -n -v

規(guī)則策略

#iptables 規(guī)則具有順序依賴性
# 添加允許特定IP地址訪問3306端口的規(guī)則
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.194 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.197 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.199 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.196 --dport 3306 -j ACCEPT
 
# 添加拒絕所有其他IP地址訪問3306端口的規(guī)則
# 這條規(guī)則會(huì)匹配所有到3306端口的TCP流量，但由于前面的允許規(guī)則,它只會(huì)對那些未被允許的IP地址生效。
iptables -A INPUT -p tcp --dport 3306 -j DROP
或者
iptables -A INPUT -p tcp --dport 3306 -j REJECT

執(zhí)行效果

來自127.0.0.1、192.167.10.194、192.167.10.197、192.167.10.199、192.167.10.196的連接會(huì)被允許通過。

所有其他 IP 地址（即不在允許列表中的 IP 地址）將被拒絕訪問端口 3306。

DROP和REJECT區(qū)別：

1.DROP

功能：直接丟棄數(shù)據(jù)包，不發(fā)送任何響應(yīng)給發(fā)送方。

效果：從發(fā)送方的角度來看，請求像是被“忽略”了，沒有任何反饋。

適用場景：

增加安全性：攻擊者無法得知端口是否開放。

防止端口掃描：讓對方認(rèn)為端口是“隱形的”。

節(jié)省帶寬：不需要發(fā)送拒絕的響應(yīng)。

2.REJECT

功能：拒絕數(shù)據(jù)包，同時(shí)向發(fā)送方發(fā)送一個(gè)拒絕響應(yīng)（如 ICMP 錯(cuò)誤消息）。

效果：發(fā)送方會(huì)收到明確的“拒絕”反饋。

適用場景：

明確拒絕：告知合法用戶端口不可用。

快速恢復(fù)：避免發(fā)送方一直嘗試連接被阻止的端口。

測試調(diào)試：便于檢查網(wǎng)絡(luò)規(guī)則或通信問題。

補(bǔ)充：

iptables 會(huì)按規(guī)則順序匹配，早匹配的規(guī)則優(yōu)先級高，因此插入位置至關(guān)重要。

如果要在現(xiàn)有的策略上更新，可以使用 -I（插入）選項(xiàng)而不是 -A（追加）例：

如果你想在所有現(xiàn)有的 INPUT 鏈規(guī)則之前添加一條允許來自某個(gè)特定 IP 地址（比如 192.167.10.200）訪問 3306 端口的規(guī)則，你可以使用以下命令：

iptables -I INPUT -p tcp -s 192.167.10.200 --dport 3306 -j ACCEPT

這條命令會(huì)將新的規(guī)則插入到 INPUT 鏈的最前面，從而確保它優(yōu)先于其他所有現(xiàn)有的 INPUT 鏈規(guī)則被處理。

鏈接：https://blog.csdn.net/m0_63004677/article/details/144269012?spm=1001.2014.3001.5502