久久99精品一区二区三区,国产一区二区久久久,亚洲制服中文字幕第一区

阿里云linux服務器上使用iptables設置安全策略的方法

公司的產品一直運行在云服務器上，從而有幸接觸過aws的ec2，盛大的云服務器，最近準備有使用阿里云的彈性計算（云服務器）。前兩種云服務器在安全策略這塊做的比較好，提供簡單明了的配置界面，而且給了默認的安全策略，反觀阿里云服務器，安全策略需要自己去配置，甚至centos機器上都沒有預裝iptables（起碼我們申請兩臺上都沒有），算好可以使用yum來安裝，安裝命令如下：

1	`yuminstall` `-y iptables`

iptables安裝好后就可以來配置規則了。由于作為web服務器來使用，所以對外要開放 80 端口，另外肯定要通過ssh進行服務器管理，22 端口也要對外開放，當然最好是把ssh服務的默認端口改掉，在公網上會有很多人試圖破解密碼的，如果修改端口，記得要把該端口對外開發，否則連不上就悲劇了。下面提供配置規則的詳細說明：

第一步：清空所有規則
 
當Chain INPUT (policy DROP)時執行/sbin/iptables -F后，你將和服務器斷開連接
所有在清空所有規則前把policy DROP該為INPUT，防止悲劇發生，小心小心再小心
/sbin/iptables -P INPUT ACCEPT
清空所有規則
/sbin/iptables -F
/sbin/iptables -X
計數器置0
/sbin/iptables -Z
 
第二步：設置規則
 
允許來自于lo接口的數據包，如果沒有此規則，你將不能通過127.0.0.1訪問本地服務，例如ping 127.0.0.1
/sbin/iptables -A INPUT -i lo -j ACCEPT
 
開放TCP協議22端口，以便能ssh，如果你是在有固定ip的場所，可以使用 -s 來限定客戶端的ip
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 
開放TCP協議80端口供web服務
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 
10.241.121.15是另外一臺服務器的內網ip，由于之間有通信，接受所有來自10.241.121.15的TCP請求
/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT
 
接受ping
/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
 
這條規則參看：http://www.netingcn.com/iptables-localhost-not-access-internet.html
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
 
屏蔽上述規則以為的所有請求，不可缺少，否則防火墻沒有任何過濾的功能
/sbin/iptables -P INPUT DROP
 
可以使用 iptables -L -n 查看規則是否生效

至此防火墻就算配置好，但是這是臨時的，當重啟iptables或重啟機器，上述配置就會被清空，要想永久生效，還需要如下操作：

/etc/init.d/iptables save
或
service iptables save
 
執行上述命令可以在文件/etc/sysconfig/iptables 中看到配置

以下提供一個干凈的配置腳本：

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
 
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -P INPUT DROP

最后執行 service iptables save ，先確保ssh連接沒有問題，防止規則錯誤，導致無法連上服務器，因為沒有save，重啟服務器規則都失效，否則就只有去機房才能修改規則了。也可以參考：ubuntu iptables 配置腳本來寫一個腳本。

最后再次提醒[]，在清空規則[]之前一定要小[]心，確保Ch[]ain INPUT (polic[]y ACCEPT[])。

服務器之家補充阿里云的linux_drop_port.sh

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

#!/bin/bash
#########################################
#Function: linux drop port
#Usage:  bash linux_drop_port.sh
#Author:  Customer Service Department
#Company:  Alibaba Cloud Computing
#Version:  2.0
#########################################
 
check_os_release()
{
 while true
 do
 os_release=$(grep "Red Hat Enterprise Linux Server release"/etc/issue 2>/dev/null)
 os_release_2=$(grep "Red Hat Enterprise Linux Server release"/etc/redhat-release 2>/dev/null)
 if ["$os_release" ] && ["$os_release_2" ]
 then
  if echo "$os_release"|grep "release 5" >/dev/null2>&1
  then
  os_release=redhat5
  echo "$os_release"
  elif echo "$os_release"|grep "release 6">/dev/null 2>&1
  then
  os_release=redhat6
  echo "$os_release"
  else
  os_release=""
  echo "$os_release"
  fi
  break
 fi
 os_release=$(grep "Aliyun Linux release" /etc/issue2>/dev/null)
 os_release_2=$(grep "Aliyun Linux release" /etc/aliyun-release2>/dev/null)
 if ["$os_release" ] && ["$os_release_2" ]
 then
  if echo "$os_release"|grep "release 5" >/dev/null2>&1
  then
  os_release=aliyun5
  echo "$os_release"
  elif echo "$os_release"|grep "release 6">/dev/null 2>&1
  then
  os_release=aliyun6
  echo "$os_release"
  else
  os_release=""
  echo "$os_release"
  fi
  break
 fi
 os_release=$(grep "CentOS release" /etc/issue 2>/dev/null)
 os_release_2=$(grep "CentOS release" /etc/*release2>/dev/null)
 if ["$os_release" ] && ["$os_release_2" ]
 then
  if echo "$os_release"|grep "release 5" >/dev/null2>&1
  then
  os_release=centos5
  echo "$os_release"
  elif echo "$os_release"|grep "release 6">/dev/null 2>&1
  then
  os_release=centos6
  echo "$os_release"
  else
  os_release=""
  echo "$os_release"
  fi
  break
 fi
 os_release=$(grep -i"ubuntu" /etc/issue 2>/dev/null)
 os_release_2=$(grep -i"ubuntu" /etc/lsb-release2>/dev/null)
 if ["$os_release" ] && ["$os_release_2" ]
 then
  if echo "$os_release"|grep "Ubuntu 10" >/dev/null2>&1
  then
  os_release=ubuntu10
  echo "$os_release"
  elif echo "$os_release"|grep "Ubuntu 12.04">/dev/null 2>&1
  then
  os_release=ubuntu1204
  echo "$os_release"
  elif echo "$os_release"|grep "Ubuntu 12.10">/dev/null 2>&1
  then
  os_release=ubuntu1210
  echo "$os_release"
  else
  os_release=""
  echo "$os_release"
  fi
  break
 fi
 os_release=$(grep -i"debian" /etc/issue 2>/dev/null)
 os_release_2=$(grep -i"debian" /proc/version 2>/dev/null)
 if ["$os_release" ] && ["$os_release_2" ]
 then
  if echo "$os_release"|grep "Linux 6" >/dev/null2>&1
  then
  os_release=debian6
  echo "$os_release"
  else
  os_release=""
  echo "$os_release"
  fi
  break
 fi
 os_release=$(grep "openSUSE" /etc/issue 2>/dev/null)
 os_release_2=$(grep "openSUSE" /etc/*release 2>/dev/null)
 if ["$os_release" ] && ["$os_release_2" ]
 then
  if echo "$os_release"|grep"13.1" >/dev/null 2>&1
  then
  os_release=opensuse131
  echo "$os_release"
  else
  os_release=""
  echo "$os_release"
  fi
  break
 fi
 break
 done
}
 
exit_script()
{
 echo -e"\033[1;40;31mInstall $1 error,will exit.\n\033[0m"
 rm-f $LOCKfile
 exit 1
}
 
config_iptables()
{
 iptables -I OUTPUT 1 -p tcp -m multiport --dport21,22,23,25,53,80,135,139,443,445 -j DROP
 iptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-j DROP
 iptables -I OUTPUT 3 -p udp -j DROP
 iptables -nvL
}
 
ubuntu_config_ufw()
{
 ufwdeny out proto tcp to any port 21,22,23,25,53,80,135,139,443,445
 ufwdeny out proto tcp to any port 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186
 ufwdeny out proto udp to any
 ufwstatus
}
 
####################Start###################
#check lock file ,one time only let thescript run one time
LOCKfile=/tmp/.$(basename $0)
if [ -f"$LOCKfile" ]
then
 echo -e"\033[1;40;31mThe script is already exist,please next timeto run this script.\n\033[0m"
 exit
else
 echo -e"\033[40;32mStep 1.No lock file,begin to create lock fileand continue.\n\033[40;37m"
 touch $LOCKfile
fi
 
#check user
if [ $(id -u) !="0" ]
then
 echo -e"\033[1;40;31mError: You must be root to run this script,please use root to execute this script.\n\033[0m"
 rm-f $LOCKfile
 exit 1
fi
 
echo -e"\033[40;32mStep 2.Begen tocheck the OS issue.\n\033[40;37m"
os_release=$(check_os_release)
if ["X$os_release" =="X" ]
then
 echo -e"\033[1;40;31mThe OS does not identify,So this script isnot executede.\n\033[0m"
 rm-f $LOCKfile
 exit 0
else
 echo -e"\033[40;32mThis OS is $os_release.\n\033[40;37m"
fi
 
echo -e"\033[40;32mStep 3.Begen toconfig firewall.\n\033[40;37m"
case "$os_release" in
redhat5|centos5|redhat6|centos6|aliyun5|aliyun6)
 service iptables start
 config_iptables
 ;;
debian6)
 config_iptables
 ;;
ubuntu10|ubuntu1204|ubuntu1210)
 ufwenable <<EOF
y
EOF
 ubuntu_config_ufw
 ;;
opensuse131)
 config_iptables
 ;;
esac
 
echo -e"\033[40;32mConfig firewallsuccess,this script now exit!\n\033[40;37m"
rm -f $LOCKfile