快速业务通道

构建高安全电子商务网站之Linux服务器iptables规则列表全攻略[连载之电子商务系统架构]

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-03-27
构建高安全电子商务网站之Linux服务器iptables规则列表全攻略[连载之电子商务系统架构] 出处:http://jimmyli.blog.51cto.com/ 我站在巨人肩膀上Jimmy Li
作者:Jimmy Li
关键词:电子商务,系统架构,vsftpd,本地用户登录,虚拟用户登录
------[连载之电子商务系统架构]访问量超过100万的电子商务网站技术架构
服务器的安全性,一直是网站的首要考虑的任务.针对安全性有多种多样的解决方案.Linux服务器防火墙,最常用到的当然要数iptables防火墙.iptables是Linux上常用的防火墙软件,规则也非常灵活,应该最广泛. 对应要构建高安全电子商务网站,任何一台服务器少不了的安全软件,当然是iptables防火墙.规则灵活多变,功能应该之广泛,这个也是Linux系统管理员首选.iptables表链中每条规则的顺序很重要,如果首条是accept all,那末所有的数据包都会被允许通过firewall,因此应当适当的安排规则顺序.通常的法则是:拒绝所有 允许少数.
实际应用总iptables规则应用在每一台服务器,如下图.

但是如果比较了解iptables防火墙的话,完全可以自己配置,可以达到甚至超过硬件防火墙的效果 本文要点:
1.实例介绍高安全电子商务网站iptables规则列表.
2.在实例基础上细说,ptables的安装、清除iptables规则、iptables只开放指定端口、iptables屏蔽指定ip、ip段及解封、删除已添加的iptables规则等iptables的基本应用.
3.对关键端口的设置做具体介绍.特别是特殊的FTP,应该怎么样设置iptables规则,同时支持ftp主动模式、ftp被动模式. 拥有帝国一切,皆有可能。欢迎访问phome.net
iptables规则实例: 电子商务网站iptables规则列表
========================================================================
# iptables conf /etc/sysconfig/iptables
# Created by
http://jimmyli.blog.51cto.com/
# Last Updated 2010.10.17 # Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 21 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 873 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 3306 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 8080 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 30000:30030 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
========================================================================
电子商务网站iptables规则列表详细说明: 1.使用方法,把以上的内容添加或替换掉 /etc/sysconfig/iptables 文件,vim /etc/sysconfig/iptables 编辑.
2.使规则生效.然后service iptables restart即可生效 拥有帝国一切,皆有可能。欢迎访问phome.net
3.上面的规则中,只开放了如下端口:22(ssh),21(FTP),80(web)

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号