免费观看又色又爽又黄的小说免费_美女福利视频国产片_亚洲欧美精品_美国一级大黄大色毛片

阿里云linux服務器上使用iptables設置安全策略的方法

公司的產品一直運行在云服務器上,從而有幸接觸過aws的ec2,盛大的云服務器,最近準備有使用阿里云的彈性計算(云服務器)。前兩種云服務器在安全策略這塊做的比較好,提供簡單明了的配置界面,而且給了默認的安全策略,反觀阿里云服務器,安全策略需要自己去配置,甚至centos機器上都沒有預裝iptables(起碼我們申請兩臺上都沒有),算好可以使用yum來安裝,安裝命令如下:成都服務器托管

十多年的保亭黎族網站建設經驗,針對設計、前端、開發、售后、文案、推廣等六對一服務,響應快,48小時及時工作處理。網絡營銷推廣的優勢是能夠根據用戶設備顯示端的尺寸不同,自動調整保亭黎族建站的顯示方式,使網站能夠適用不同顯示終端,在瀏覽器中調整網站的寬度,無論在任何一種瀏覽器上瀏覽網站,都能展現優雅布局與設計,從而大程度地提升瀏覽體驗。創新互聯從事“保亭黎族網站設計”,“保亭黎族網站推廣”以來,每個客戶項目都認真落實執行。
?
1
yum install-y iptables

iptables安裝好后就可以來配置規則了。由于作為web服務器來使用,所以對外要開放 80 端口,另外肯定要通過ssh進行服務器管理,22 端口也要對外開放,當然最好是把ssh服務的默認端口改掉,在公網上會有很多人試圖破解密碼的,如果修改端口,記得要把該端口對外開發,否則連不上就悲劇了。下面提供配置規則的詳細說明:成都服務器托管

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
第一步:清空所有規則
當Chain INPUT (policy DROP)時執行/sbin/iptables-F后,你將和服務器斷開連接
所有在清空所有規則前把policy DROP該為INPUT,防止悲劇發生,小心小心再小心
/sbin/iptables-P INPUT ACCEPT
清空所有規則
/sbin/iptables-F
/sbin/iptables-X
計數器置0
/sbin/iptables-Z
第二步:設置規則
允許來自于lo接口的數據包,如果沒有此規則,你將不能通過127.0.0.1訪問本地服務,例如ping127.0.0.1
/sbin/iptables-A INPUT -i lo -j ACCEPT
開放TCP協議22端口,以便能ssh,如果你是在有固定ip的場所,可以使用 -s 來限定客戶端的ip
/sbin/iptables-A INPUT -p tcp --dport 22 -j ACCEPT
開放TCP協議80端口供web服務
/sbin/iptables-A INPUT -p tcp --dport 80 -j ACCEPT
10.241.121.15是另外一臺服務器的內網ip,由于之間有通信,接受所有來自10.241.121.15的TCP請求
/sbin/iptables-A INPUT -p tcp -s 10.241.121.15 -j ACCEPT
接受ping
/sbin/iptables-A INPUT -p icmp -m icmp --icmp-type8 -j ACCEPT
這條規則參看:http://www.netingcn.com/iptables-localhost-not-access-internet.html
/sbin/iptables-A INPUT -m state --state ESTABLISHED -j ACCEPT
屏蔽上述規則以為的所有請求,不可缺少,否則防火墻沒有任何過濾的功能
/sbin/iptables-P INPUT DROP
可以使用 iptables -L -n 查看規則是否生效

至此防火墻就算配置好,但是這是臨時的,當重啟iptables或重啟機器,上述配置就會被清空,要想永久生效,還需要如下操作:成都服務器托管

?
1
2
3
4
5
/etc/init.d/iptablessave
service iptables save
執行上述命令可以在文件 /etc/sysconfig/iptables中看到配置

以下提供一個干凈的配置腳本:成都服務器托管

?
1
2
3
4
5
6
7
8
9
10
11
12
/sbin/iptables-P INPUT ACCEPT
/sbin/iptables-F
/sbin/iptables-X
/sbin/iptables-Z
/sbin/iptables-A INPUT -i lo -j ACCEPT
/sbin/iptables-A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables-A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables-A INPUT -p tcp -s 10.241.121.15 -j ACCEPT
/sbin/iptables-A INPUT -p icmp -m icmp --icmp-type8 -j ACCEPT
/sbin/iptables-A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables-P INPUT DROP

最后執行 service iptables save ,先確保ssh連接沒有問題,防止規則錯誤,導致無法連上服務器,因為沒有save,重啟服務器規則都失效,否則就只有去機房才能修改規則了。也可以參考:ubuntu iptables 配置腳本來寫一個腳本。

最后再次提醒,在清空規則之前一定要小心,確保Chain INPUT (policy ACCEPT)。

服務器之家補充阿里云的linux_drop_port.sh

?
<li id="kzzxc"></li>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
#!/bin/bash
#########################################
#Function: linux drop port
#Usage: bash linux_drop_port.sh
#Author: Customer Service Department
#Company: Alibaba Cloud Computing
#Version: 2.0
#########################################
check_os_release()
{
whiletrue
do
os_release=$(grep"Red Hat Enterprise Linux Server release"/etc/issue2>/dev/null)
os_release_2=$(grep"Red Hat Enterprise Linux Server release"/etc/redhat-release2>/dev/null)
if[ "$os_release"] && [ "$os_release_2"]
then
ifecho"$os_release"|grep"release 5">/dev/null2>&1
then
os_release=redhat5
echo"$os_release"
elifecho"$os_release"|grep"release 6">/dev/null2>&1
then
os_release=redhat6
echo"$os_release"
else
os_release=""
echo"$os_release"
fi
break
fi
os_release=$(grep"Aliyun Linux release"/etc/issue2>/dev/null)
os_release_2=$(grep"Aliyun Linux release"/etc/aliyun-release2>/dev/null)
if[ "$os_release"] && [ "$os_release_2"]
then
ifecho"$os_release"|grep"release 5">/dev/null2>&1
then
os_release=aliyun5
echo"$os_release"
elifecho"$os_release"|grep"release 6">/dev/null2>&1
then
os_release=aliyun6
echo"$os_release"
else
os_release=""
echo"$os_release"
fi
break
fi
os_release=$(grep"CentOS release"/etc/issue2>/dev/null)
os_release_2=$(grep"CentOS release"/etc/*release2>/dev/null)
if[ "$os_release"] && [ "$os_release_2"]
then
ifecho"$os_release"|grep"release 5">/dev/null2>&1
then
os_release=centos5
echo"$os_release"
elifecho"$os_release"|grep"release 6">/dev/null2>&1
then
os_release=centos6
echo"$os_release"
else
os_release=""
echo"$os_release"
fi
break
fi
os_release=$(grep-i "ubuntu"/etc/issue2>/dev/null)
os_release_2=$(grep-i "ubuntu"/etc/lsb-release2>/dev/null)
if[ "$os_release"] && [ "$os_release_2"]
then
ifecho"$os_release"|grep"Ubuntu 10">/dev/null2>&1
then
os_release=ubuntu10
echo"$os_release"
elifecho"$os_release"|grep"Ubuntu 12.04">/dev/null2>&1
then
os_release=ubuntu1204
echo"$os_release"
elifecho"$os_release"|grep"Ubuntu 12.10">/dev/null2>&1
then
os_release=ubuntu1210
echo"$os_release"
else
os_release=""
echo"$os_release"
fi
break
fi
os_release=$(grep-i "debian"/etc/issue2>/dev/null)
os_release_2=$(grep-i "debian"/proc/version2>/dev/null)
if[ "$os_release"] && [ "$os_release_2"]
then
ifecho"$os_release"|grep"Linux 6">/dev/null2>&1
then
os_release=debian6
echo"$os_release"
else
os_release=""
echo"$os_release"
fi
break
fi
os_release=$(grep"openSUSE"/etc/issue2>/dev/null)
os_release_2=$(grep"openSUSE"/etc/*release 2>/dev/null)
if[ "$os_release"] && [ "$os_release_2"]
then
ifecho"$os_release"|grep"13.1">/dev/null2>&1
then
os_release=opensuse131
echo"$os_release"
else
os_release=""
echo"$os_release"
fi
break
fi
break
done
}
exit_script()
{
echo-e "\033[1;40;31mInstall $1 error,will exit.\n\033[0m"
rm-f $LOCKfile
exit1
}
config_iptables()
{
iptables -I OUTPUT 1 -p tcp -m multiport --dport21,22,23,25,53,80,135,139,443,445 -j DROP
iptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-j DROP
iptables -I OUTPUT 3 -p udp -j DROP
iptables -nvL
}
ubuntu_config_ufw()
{
ufwdeny out proto tcp to any port 21,22,23,25,53,80,135,139,443,445
ufwdeny out proto tcp to any port 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186
ufwdeny out proto udp to any
ufwstatus
}
####################Start###################
#check lock file ,one time only let thescript run one time
LOCKfile=/tmp/.$(basename$0)
if[ -f "$LOCKfile"]
then
echo-e "\033[1;40;31mThe script is already exist,please next timeto run this script.\n\033[0m"
exit
else
echo-e "\033[40;32mStep 1.No lock file,begin to create lock fileand continue.\n\033[40;37m"
touch$LOCKfile
fi
#check user
if[ $(id-u) != "0"]
then
echo-e "\033[1;40;31mError: You must be root to run this script,please use root to execute this script.\n\033[0m"
rm-f $LOCKfile
exit1
fi
echo-e "\033[40;32mStep 2.Begen tocheck the OS issue.\n\033[40;37m"
os_release=$(check_os_release)
if[ "X$os_release"=="X"]
then
echo-e "\033[1;40;31mThe OS does not identify,So this script isnot executede.\n\033[0m"
rm-f $LOCKfile
exit0

                新聞名稱:阿里云linux服務器上使用iptables設置安全策略的方法
                

                網頁URL:http://m.newbst.com/article38/pgpp.html
            

            

                成都網站建設公司_創新互聯,為您提供電子商務、小程序開發、Google、網站改版網站設計搜索引擎優化            

            

                廣告
                
            

            

                聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源:
                創新互聯
            

        

        
    


    









      3.