基於linux的web伺服器的iptables防火牆安全最佳化設定

標籤：web伺服器   防火牆   linux   資料包   使用者   

安全規劃：開啟 80  22 連接埠並 開啟迴路（迴環地址 127.0.0.1）

         #iptables –P INPUT ACCEPT

         #iptables –P OUTPUT ACCEPT

         #iptables –P FORWARD ACCEPT

         以上幾步操作是為了在清除所有規則之前，通過所有請求，如果遠程操作的話，防止遠程連結斷開。

接下來清除伺服器內建規則和使用者自訂規則：

         #iptables –F

         #iptables -X

        

         開啟ssh連接埠，用於遠程連結用：

         #iptables –A INPUT –p tcp –-dport 22 –j ACCEPT

         #iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -jACCEPT  允許已建立的連結通過22連接埠向外發送資料包

         然後關閉INPUT 和 FORWARD請求：

         #iptables –P INPUT DROP

         #iptables –P FORWARD DROP

        

         接下來設定環路，使得 ping127.0.0.1這樣的包額可以通過。後面php會使用這個規則，

         Nginx中設定php-fpm訪問地址：http://127.0.0.1:9000 即用到這個規則

         #iptables –A INPUT –i lo –j ACCEPT

 

         接下來設定允許其他機器 ping本機，也可以不允許，不允許會更加安全。

         #iptables –A INPUT –p icmp –j ACCEPT

        

         接下來開放web服務連接埠 80

         #iptables –A INPUT –p tcp –dport 80 –j ACCEPT

         #iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -jACCEPT  允許已建立的連結通過80連接埠向外發送資料包

        

         接下來開放 53連接埠 用於DNS解析

         #iptables -A INPUT -p udp --dport 53 -j ACCEPT

         #iptables -A OUTPUT -p udp --sport 53 -m state --state ESTABLISHED,RELATED -jACCEPT

 

         最後儲存設定：

         #service iptables save

         #service iptables restart

 

         至此已經完成關閉除2280之外的所有對外連接埠，伺服器可以通過任意連接埠向外發請求，但是外面的請求只能通過 80和22連接埠進入到內部。

         也可以直接下載這個指令碼執行即可完成基本防火牆設定：http://pan.baidu.com/s/17qiUG

本文出自 “迷你兔” 部落格，請務必保留此出處http://minitoo.blog.51cto.com/4201040/1416465