构建高安全电子商务网站之Linux服务器iptables规矩列表全攻略[连载之电子商务体系架构]51CTO博客 - 超凡娱乐

构建高安全电子商务网站之Linux服务器iptables规矩列表全攻略[连载之电子商务体系架构]51CTO博客

2019年04月02日15时18分36秒 | 作者: 乐蓉 | 标签: 规矩,电子商务,网站 | 浏览: 3070

构建高安全电子商务网站之Linux效劳器iptables规矩列表全攻略[连载之电子商务体系架构] 出处: size="4"> 我站在伟人膀子上Jimmy Li
作者:Jimmy Li
要害词:电子商务,体系架构,vsftpd,本地用户登录,虚拟用户登录
[连载之电子商务体系架构]拜访量超越100万的电子商务网站技能架构
  效劳器的安全性,一直是网站的首要考虑的使命。针对安全性有多种多样的解决方案。Linux效劳器防火墙,最常用到的当然要数iptables防火墙。iptables是Linux上常用的防火墙软件,规矩也十分灵敏,应该最广泛。 对应要构建高安全电子商务网站,任何一台效劳器少不了的安全软件,当然是iptables防火墙。规矩灵敏多变,功用应该之广泛,这个也是Linux体系管理员首选。iptables表链中每条规矩的次序很重要,假如首条是accept all,那末一切的数据包都会被答应经过firewall,因而应当恰当的组织规矩次序。一般的法则是:回绝一切 答应少量。
实践运用总iptables规矩运用在每一台效劳器,如下图.

可是假如比较了解iptables防火墙的话,完全能够自己装备,并且能够到达乃至超越硬件防火墙的作用 本文要害:
1.实例介绍高安全电子商务网站iptables规矩列表。
2.在实例基础上细说,ptables的装置、铲除iptables规矩、iptables只敞开指定端口、iptables屏蔽指定ip、ip段及解封、删去已增加的iptables规矩等iptables的根本运用。
3.对要害端口的设置做具体介绍。特别是特别的FTP,应该怎么样设置iptables规矩,一同支撑ftp主动形式、ftp被动形式。
iptables规矩实例: 电子商务网站iptables规矩列表
iptables
  1. # iptables conf /etc/sysconfig/iptables
  2. # Created by
  3. # Last Updated 2010.10.17
  4. # Firewall configuration written by system-config-securitylevel
  5. # Manual customization of this file is not recommended.
  6. *filter
  7. :FORWARD ACCEPT [0:0]
  8. :INPUT ACCEPT [0:0]
  9. :RH-Firewall-1-INPUT - [0:0]
  10. :OUTPUT ACCEPT [0:0]
  11. -A INPUT -j RH-Firewall-1-INPUT
  12. -A FORWARD -j RH-Firewall-1-INPUT
  13. -A RH-Firewall-1-INPUT -i lo -j ACCEPT
  14. -A RH-Firewall-1-INPUT -p icmp icmp-type any -j ACCEPT
  15. -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
  16. -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
  17. -A RH-Firewall-1-INPUT -m state state ESTABLISHED,RELATED -j ACCEPT
  18. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp dport 22 state NEW -j ACCEPT
  19. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp dport 21 state NEW -j ACCEPT
  20. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp dport 80 state NEW -j ACCEPT
  21. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp dport 873 state NEW -j ACCEPT
  22. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp dport 3306 state NEW -j ACCEPT
  23. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp dport 8080 state NEW -j ACCEPT
  24. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp dport 30000:30030 state NEW -j ACCEPT
  25. -A RH-Firewall-1-INPUT -j REJECT reject-with icmp-host-prohibited
  26. COMMIT

 
电子商务网站iptables规矩列表具体阐明: 1.运用方法,把以上的内容增加或替换掉 /etc/sysconfig/iptables 文件,vim /etc/sysconfig/iptables 修正。
2.使规矩收效。然后service iptables restart即可收效
3.上面的规矩中,只敞开了如下端口:22(ssh),21(FTP),80(web),3306(mysql),8000等端口,30000至30030是FTP被动形式的端口,其它的都是制止。也能够依据自己实践情况进行修正即可运用。
提示:
这个iptables规矩,一同支撑ftp主动形式、ftp被动形式。对FTP特别端口运用起到要害运用。

附上体系默许模板
Python
  1. # Firewall configuration written by system-config-securitylevel
  2. # Manual customization of this file is not recommended.
  3. *filter
  4. :INPUT ACCEPT [0:0]
  5. :FORWARD ACCEPT [0:0]
  6. :OUTPUT ACCEPT [0:0]
  7. :RH-Firewall-1-INPUT - [0:0]
  8. -A INPUT -j RH-Firewall-1-INPUT
  9. -A FORWARD -j RH-Firewall-1-INPUT
  10. -A RH-Firewall-1-INPUT -i lo -j ACCEPT
  11. -A RH-Firewall-1-INPUT -p icmp icmp-type any -j ACCEPT
  12. -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
  13. -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
  14. -A RH-Firewall-1-INPUT -p udp dport 5353 -d 224.0.0.251 -j ACCEPT
  15. -A RH-Firewall-1-INPUT -p udp -m udp dport 631 -j ACCEPT
  16. -A RH-Firewall-1-INPUT -p tcp -m tcp dport 631 -j ACCEPT
  17. -A RH-Firewall-1-INPUT -m state state ESTABLISHED,RELATED -j ACCEPT
  18. -A RH-Firewall-1-INPUT -m state state NEW -m tcp -p tcp dport 22 -j ACCEPT
  19. -A RH-Firewall-1-INPUT -j REJECT reject-with icmp-host-prohibited
  20. COMMIT
  21. ~
  22. ~

 
Linux上iptables防火墙的根本运用阐明 iptables是Linux上常用的防火墙软件,下面给我们说一下iptables的装置、铲除iptables规矩、iptables只敞开指定端口、iptables屏蔽指定ip、ip段及解封、删去已增加的iptables规矩等iptables的根本运用。 关于更多的iptables的运用方法能够履行:iptables help或网上查找一下iptables参数的阐明。 1、装置iptables防火墙
假如没有装置iptables需求先装置,CentOS履行:
yum install iptables
Debian/Ubuntu履行:
apt-get install iptables
2、铲除已有iptables规矩
iptables -F
iptables -X
iptables -Z
3、敞开指定的端口
#答应本地回环接口(即运转本机拜访本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 答应已树立的或相干系的通行
iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT
#答应一切本机向外的拜访
iptables -A OUTPUT -j ACCEPT
# 答应拜访22端口
iptables -A INPUT -p tcp dport 22 -j ACCEPT
#答应拜访80端口
iptables -A INPUT -p tcp dport 80 -j ACCEPT
#答应FTP效劳的21和20端口
iptables -A INPUT -p tcp dport 21 -j ACCEPT
iptables -A INPUT -p tcp dport 20 -j ACCEPT
#假如有其他端口的话,规矩也相似,略微修正上述句子就行
#制止其他未答应的规矩拜访
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
4、屏蔽IP
#假如仅仅想屏蔽IP的话“3、敞开指定的端口”能够直接越过。
#屏蔽单个IP的指令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的指令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的指令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的指令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
4、检查已增加的iptables规矩
iptables -L -n
v:显现具体信息,包含每条规矩的匹配包数量和匹配字节数
x:在 v 的基础上,制止主动单位换算(K、M)
n:只显现IP地址和端口号,不将ip解析为域名
5、删去已增加的iptables规矩
将一切iptables以序号符号显现,履行:
iptables -L -n line-numbers
比如要删去INPUT里序号为8的规矩,履行:
iptables -D INPUT 8
6、iptables的开机发动及规矩保存
CentOS上可能会存在装置好iptables后,iptables并不开机自发动,能够履行一下:
chkconfig level 345 iptables on
将其参加开机发动。
CentOS上能够履行:service iptables save保存规矩。 别的更需求注意的是Debian/Ubuntu上iptables是不会保存规矩的。 需求按如下过程进行,让网卡封闭是保存iptables规矩,发动时加载iptables规矩: 创立/etc/network/if-post-down.d/iptables 文件,增加如下内容: #!/bin/bash
iptables-save > /etc/iptables.rules
履行:chmod +x /etc/network/if-post-down.d/iptables 增加履行权限。
创立/etc/network/if-pre-up.d/iptables 文件,增加如下内容: #!/bin/bash
iptables-restore < /etc/iptables.rules
履行:chmod +x /etc/network/if-pre-up.d/iptables 增加履行权限。
  总结:
iptables 运用无处不在,是进步体系安全性的重要防火墙软件。在Linux体系上运用十分广泛。只要是实践生产中的效劳器都是必不可少iptables规矩。当然构建高安全电子商务网站少不了iptables防火墙。
  出处: Jimmy Li Blog 。欢迎朋友一同沟通,评论。扣扣:柒⑥柒陆叁⑤叁伍
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表超凡娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章