构建高安全电子商务网站之Linux服务器iptables规则列表全攻略[连载之电子商务系统架构]-阿里云开发者社区

开发者社区> 技术小胖子> 正文

构建高安全电子商务网站之Linux服务器iptables规则列表全攻略[连载之电子商务系统架构]

简介:
+关注继续查看
构建高安全电子商务网站之Linux服务器iptables规则列表全攻略[连载之电子商务系统架构]
出处:http://jimmyli.blog.51cto.com/ 我站在巨人肩膀上Jimmy Li
作者:Jimmy Li
关键词:电子商务,系统架构,vsftpd,本地用户登录,虚拟用户登录
------[连载之电子商务系统架构]访问量超过100万的电子商务网站技术架构
 
服务器的安全性,一直是网站的首要考虑的任务。针对安全性有多种多样的解决方案。Linux服务器防火墙,最常用到的当然要数iptables防火墙。iptables是Linux上常用的防火墙软件,规则也非常灵活,应该最广泛。
对应要构建高安全电子商务网站,任何一台服务器少不了的安全软件,当然是iptables防火墙。规则灵活多变,功能应该之广泛,这个也是Linux系统管理员首选。iptables表链中每条规则的顺序很重要,如果首条是accept all,那末所有的数据包都会被允许通过firewall,因此应当适当的安排规则顺序。通常的法则是:拒绝所有 允许少数。
实际应用总iptables规则应用在每一台服务器,如下图.

但是如果比较了解iptables防火墙的话,完全可以自己配置,而且可以达到甚至超过硬件防火墙的效果
本文要点:
1.实例介绍高安全电子商务网站iptables规则列表。
2.在实例基础上细说,ptables的安装、清除iptables规则、iptables只开放指定端口、iptables屏蔽指定ip、ip段及解封、删除已添加的iptables规则等iptables的基本应用。
3.对关键端口的设置做具体介绍。特别是特殊的FTP,应该怎么样设置iptables规则,同时支持ftp主动模式、ftp被动模式。
iptables规则实例:
电子商务网站iptables规则列表
iptables
  1. ========================================================================
  2. # iptables conf /etc/sysconfig/iptables
  3. # Created by http://jimmyli.blog.51cto.com/
  4. # Last Updated 2010.10.17
  5. # Firewall configuration written by system-config-securitylevel
  6. # Manual customization of this file is not recommended.
  7. *filter
  8. :FORWARD ACCEPT [0:0]
  9. :INPUT ACCEPT [0:0]
  10. :RH-Firewall-1-INPUT - [0:0]
  11. :OUTPUT ACCEPT [0:0]
  12. -A INPUT -j RH-Firewall-1-INPUT
  13. -A FORWARD -j RH-Firewall-1-INPUT
  14. -A RH-Firewall-1-INPUT -i lo -j ACCEPT
  15. -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
  16. -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
  17. -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
  18. -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  19. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT
  20. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 21 --state NEW -j ACCEPT
  21. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
  22. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 873 --state NEW -j ACCEPT
  23. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 3306 --state NEW -j ACCEPT
  24. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 8080 --state NEW -j ACCEPT
  25. -A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 30000:30030 --state NEW -j ACCEPT
  26. -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
  27. COMMIT
  28. ========================================================================

 
电子商务网站iptables规则列表详细说明:
1.使用方法,把以上的内容添加或替换掉 /etc/sysconfig/iptables 文件,vim /etc/sysconfig/iptables 编辑。
2.使规则生效。然后service iptables restart即可生效
3.上面的规则中,只开放了如下端口:22(ssh),21(FTP),80(web),3306(mysql),8000等端口,30000至30030是FTP被动模式的端口,其它的都是禁止。也可以根据自己实际情况进行修改即可使用。
提示:
这个iptables规则,同时支持ftp主动模式、ftp被动模式。对FTP特殊端口应用起到关键应用。

附上系统默认模板
Python
  1. ========================================================================
  2. # Firewall configuration written by system-config-securitylevel
  3. # Manual customization of this file is not recommended.
  4. *filter
  5. :INPUT ACCEPT [0:0]
  6. :FORWARD ACCEPT [0:0]
  7. :OUTPUT ACCEPT [0:0]
  8. :RH-Firewall-1-INPUT - [0:0]
  9. -A INPUT -j RH-Firewall-1-INPUT
  10. -A FORWARD -j RH-Firewall-1-INPUT
  11. -A RH-Firewall-1-INPUT -i lo -j ACCEPT
  12. -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
  13. -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
  14. -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
  15. -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
  16. -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
  17. -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
  18. -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  19. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
  20. -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
  21. COMMIT
  22. ~
  23. ~
  24. ========================================================================

 
Linux上iptables防火墙的基本应用解说
iptables是Linux上常用的防火墙软件,下面给大家说一下iptables的安装、清除iptables规则、iptables只开放指定端口、iptables屏蔽指定ip、ip段及解封、删除已添加的iptables规则等iptables的基本应用。
关于更多的iptables的使用方法可以执行:iptables --help或网上搜索一下iptables参数的说明。
1、安装iptables防火墙
如果没有安装iptables需要先安装,CentOS执行:
yum install iptables
Debian/Ubuntu执行:
apt-get install iptables
2、清除已有iptables规则
iptables -F
iptables -X
iptables -Z
3、开放指定的端口
#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#如果有其他端口的话,规则也类似,稍微修改上述语句就行
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
4、屏蔽IP
#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
4、查看已添加的iptables规则
iptables -L -n
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在 v 的基础上,禁止自动单位换算(K、M)
n:只显示IP地址和端口号,不将ip解析为域名
5、删除已添加的iptables规则
将所有iptables以序号标记显示,执行:
iptables -L -n --line-numbers
比如要删除INPUT里序号为8的规则,执行:
iptables -D INPUT 8
6、iptables的开机启动及规则保存
CentOS上可能会存在安装好iptables后,iptables并不开机自启动,可以执行一下:
chkconfig --level 345 iptables on
将其加入开机启动。
CentOS上可以执行:service iptables save保存规则。
另外更需要注意的是Debian/Ubuntu上iptables是不会保存规则的。
需要按如下步骤进行,让网卡关闭是保存iptables规则,启动时加载iptables规则:
创建/etc/network/if-post-down.d/iptables 文件,添加如下内容:
#!/bin/bash
iptables-save > /etc/iptables.rules
执行:chmod +x /etc/network/if-post-down.d/iptables 添加执行权限。
创建/etc/network/if-pre-up.d/iptables 文件,添加如下内容:
#!/bin/bash
iptables-restore < /etc/iptables.rules
执行:chmod +x /etc/network/if-pre-up.d/iptables 添加执行权限。
 
总结:
iptables 应用无处不在,是提高系统安全性的重要防火墙软件。在Linux系统上应用非常广泛。只要是实际生产中的服务器都是必不可少iptables规则。当然构建高安全电子商务网站少不了iptables防火墙。
 
出处:http://jimmyli.blog.51cto.com/ Jimmy Li Blog 。欢迎朋友一起交流,讨论。扣扣:柒⑥柒陆叁⑤叁伍



     本文转自jimmy_lixw 51CTO博客,原文链接:http://blog.51cto.com/jimmyli/690063,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
linux系统 网站木马后门Webshell查杀工具源码
后门这东西好让人头疼,第一文件太多了,不容易找,第二,难找,需要特征匹配啊。搞了一个python版查杀php webshell后门工具,大家可以增加后门的特征码,然后甩到后台给他查杀就可以了。
2890 0
你的网站添加X-UA-Compatible meta标签了吗?
          细心的朋友会发现下面的html代码中多了一个标签!源码下载网 - 提供最新免费网站源码下载   那这个标签是什么意思呢?让我来看下msdn上的说明:   In IE8 Beta 1, that op...
709 0
《2019年上半年Web应用安全报告》发布:90%以上攻击流量来源于扫描器,IP身份不再可信
本报告根据阿里云WAF和防爬团队对2019年上半年云上流量的分析情况,为您带来最新的攻击趋势、漏洞应急情况以及一线安全专家的核心观点和防护建议。
3717 0
阿里云服务器Linux主机如何搭建网站环境
网站环境是网站运行的必备条件,因为是运行PHP,所以搭建的环境包括APACHE和MYSQL数据库。   1、使用上一节说明搭建好的FTP上传一键安装包;   2、使用putty远程登录服务器。这里不在赘述,如下图。
5196 0
构建前端安全生产体系,给前端同学「稳稳」的幸福
“前端安全⽣产”专注于前端研发全链路的⾼质量交付,在前端应⽤开发、发布、线上运⾏三个关键阶段,通过⼀系列的⾃动化流程机制,控制前端代码⻛险,保障线上业务运⾏稳定,⽤机制保护⼈,不给前端同学引发线上故障的犯错机会,最终规避损失或者降低损失。
1021 0
13262
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载