構(gòu)建高安全電子商務(wù)網(wǎng)站之Linux服務(wù)器iptables規(guī)則列表全攻略

服務(wù)器的安全性，一直是網(wǎng)站的首要考慮的任務(wù)。針對(duì)安全性有多種多樣的解決方案。Linux服務(wù)器防火墻，最常用到的當(dāng)然要數(shù)iptables防火墻。iptables是Linux上常用的防火墻軟件，規(guī)則也非常靈活，應(yīng)該最廣泛。

對(duì)應(yīng)要構(gòu)建高安全電子商務(wù)網(wǎng)站，任何一臺(tái)服務(wù)器少不了的安全軟件，當(dāng)然是iptables防火墻。規(guī)則靈活多變，功能應(yīng)該之廣泛，這個(gè)也是Linux系統(tǒng)管理員首選。iptables表鏈中每條規(guī)則的順序很重要，如果首條是accept all,那末所有的數(shù)據(jù)包都會(huì)被允許通過(guò)firewall，因此應(yīng)當(dāng)適當(dāng)?shù)陌才乓?guī)則順序。通常的法則是：拒絕所有 允許少數(shù)。

實(shí)際應(yīng)用總iptables規(guī)則應(yīng)用在每一臺(tái)服務(wù)器,如下圖.

但是如果比較了解iptables防火墻的話，完全可以自己配置，而且可以達(dá)到甚至超過(guò)硬件防火墻的效果

本文要點(diǎn)：

1.實(shí)例介紹高安全電子商務(wù)網(wǎng)站iptables規(guī)則列表。

2.在實(shí)例基礎(chǔ)上細(xì)說(shuō)，ptables的安裝、清除iptables規(guī)則、iptables只開(kāi)放指定端口、iptables屏蔽指定ip、ip段及解封、刪除已添加的iptables規(guī)則等iptables的基本應(yīng)用。

3.對(duì)關(guān)鍵端口的設(shè)置做具體介紹。特別是特殊的FTP，應(yīng)該怎么樣設(shè)置iptables規(guī)則，同時(shí)支持ftp主動(dòng)模式、ftp被動(dòng)模式。

iptables規(guī)則實(shí)例：

電子商務(wù)網(wǎng)站iptables規(guī)則列表

========================================================================

# iptables conf /etc/sysconfig/iptables

# Created by http://jimmyli.blog.51cto.com/

# Last Updated 2010.10.17

# Firewall configuration written by system-config-securitylevel

# Manual customization of this file is not recommended.

*filter

:FORWARD ACCEPT [0:0]

:INPUT ACCEPT [0:0]

:RH-Firewall-1-INPUT - [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p 50 -j ACCEPT

-A RH-Firewall-1-INPUT -p 51 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 21 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 873 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 3306 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 8080 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 30000:30030 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

========================================================================

電子商務(wù)網(wǎng)站iptables規(guī)則列表詳細(xì)說(shuō)明：

1.使用方法，把以上的內(nèi)容添加或替換掉 /etc/sysconfig/iptables 文件，vim /etc/sysconfig/iptables 編輯。

2.使規(guī)則生效。然后service iptables restart即可生效

3.上面的規(guī)則中，只開(kāi)放了如下端口:22（ssh）,21（FTP）,80（web）,3306（mysql）,8000等端口，30000至30030是FTP被動(dòng)模式的端口，其它的都是禁止。也可以根據(jù)自己實(shí)際情況進(jìn)行修改即可使用。

提示：

這個(gè)iptables規(guī)則，同時(shí)支持ftp主動(dòng)模式、ftp被動(dòng)模式。對(duì)FTP特殊端口應(yīng)用起到關(guān)鍵應(yīng)用。

附上系統(tǒng)默認(rèn)模板

========================================================================

# Firewall configuration written by system-config-securitylevel

# Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p 50 -j ACCEPT

-A RH-Firewall-1-INPUT -p 51 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

~

~

========================================================================

Linux上iptables防火墻的基本應(yīng)用解說(shuō)

iptables是Linux上常用的防火墻軟件，下面vps偵探給大家說(shuō)一下iptables的安裝、清除iptables規(guī)則、iptables只開(kāi)放指定端口、iptables屏蔽指定ip、ip段及解封、刪除已添加的iptables規(guī)則等iptables的基本應(yīng)用。

關(guān)于更多的iptables的使用方法可以執(zhí)行：iptables --help或網(wǎng)上搜索一下iptables參數(shù)的說(shuō)明。

1、安裝iptables防火墻

如果沒(méi)有安裝iptables需要先安裝，CentOS執(zhí)行：

yum install iptables

Debian/Ubuntu執(zhí)行：

apt-get install iptables

2、清除已有iptables規(guī)則

iptables -F

iptables -X

iptables -Z

3、開(kāi)放指定的端口

#允許本地回環(huán)接口(即運(yùn)行本機(jī)訪問(wèn)本機(jī))

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

# 允許已建立的或相關(guān)連的通行

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#允許所有本機(jī)向外的訪問(wèn)

iptables -A OUTPUT -j ACCEPT

# 允許訪問(wèn)22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#允許訪問(wèn)80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#允許FTP服務(wù)的21和20端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 20 -j ACCEPT

#如果有其他端口的話，規(guī)則也類似，稍微修改上述語(yǔ)句就行

#禁止其他未允許的規(guī)則訪問(wèn)

iptables -A INPUT -j REJECT

iptables -A FORWARD -j REJECT

4、屏蔽IP

#如果只是想屏蔽IP的話“3、開(kāi)放指定的端口”可以直接跳過(guò)。

#屏蔽單個(gè)IP的命令是

iptables -I INPUT -s 123.45.6.7 -j DROP

#封整個(gè)段即從123.0.0.1到123.255.255.254的命令

iptables -I INPUT -s 123.0.0.0/8 -j DROP

#封IP段即從123.45.0.1到123.45.255.254的命令

iptables -I INPUT -s 124.45.0.0/16 -j DROP

#封IP段即從123.45.6.1到123.45.6.254的命令是

iptables -I INPUT -s 123.45.6.0/24 -j DROP

4、查看已添加的iptables規(guī)則

iptables -L -n

v：顯示詳細(xì)信息，包括每條規(guī)則的匹配包數(shù)量和匹配字節(jié)數(shù)

x：在 v 的基礎(chǔ)上，禁止自動(dòng)單位換算（K、M） vps偵探

n：只顯示IP地址和端口號(hào)，不將ip解析為域名

5、刪除已添加的iptables規(guī)則

將所有iptables以序號(hào)標(biāo)記顯示，執(zhí)行：

iptables -L -n --line-numbers

比如要?jiǎng)h除INPUT里序號(hào)為8的規(guī)則，執(zhí)行：

iptables -D INPUT 8

6、iptables的開(kāi)機(jī)啟動(dòng)及規(guī)則保存

CentOS上可能會(huì)存在安裝好iptables后，iptables并不開(kāi)機(jī)自啟動(dòng)，可以執(zhí)行一下：

chkconfig --level 345 iptables on

將其加入開(kāi)機(jī)啟動(dòng)。

CentOS上可以執(zhí)行：service iptables save保存規(guī)則。

另外更需要注意的是Debian/Ubuntu上iptables是不會(huì)保存規(guī)則的。

需要按如下步驟進(jìn)行，讓網(wǎng)卡關(guān)閉是保存iptables規(guī)則，啟動(dòng)時(shí)加載iptables規(guī)則：

創(chuàng)建/etc/network/if-post-down.d/iptables 文件，添加如下內(nèi)容：

#!/bin/bash

iptables-save > /etc/iptables.rules

執(zhí)行：chmod +x /etc/network/if-post-down.d/iptables 添加執(zhí)行權(quán)限。

創(chuàng)建/etc/network/if-pre-up.d/iptables 文件，添加如下內(nèi)容：

#!/bin/bash

iptables-restore < /etc/iptables.rules

執(zhí)行：chmod +x /etc/network/if-pre-up.d/iptables 添加執(zhí)行權(quán)限。

總結(jié)：

iptables 應(yīng)用無(wú)處不在，是提高系統(tǒng)安全性的重要防火墻軟件。在Linux系統(tǒng)上應(yīng)用非常廣泛。只要是實(shí)際生產(chǎn)中的服務(wù)器都是必不可少iptables規(guī)則。當(dāng)然構(gòu)建高安全電子商務(wù)網(wǎng)站少不了iptables防火墻。