构建高安全电子商务网站之Linux服务器iptables规则列表全攻略

服务器的安全性，一直是网站的首要考虑的任务。针对安全性有多种多样的解决方案。Linux服务器防火墙，最常用到的当然要数iptables防火墙。iptables是Linux上常用的防火墙软件，规则也非常灵活，应该最广泛。

对应要构建高安全电子商务网站，任何一台服务器少不了的安全软件，当然是iptables防火墙。规则灵活多变，功能应该之广泛，这个也是Linux系统管理员首选。iptables表链中每条规则的顺序很重要，如果首条是accept all,那末所有的数据包都会被允许通过firewall，因此应当适当的安排规则顺序。通常的法则是：拒绝所有 允许少数。

实际应用总iptables规则应用在每一台服务器,如下图.

但是如果比较了解iptables防火墙的话，完全可以自己配置，而且可以达到甚至超过硬件防火墙的效果

本文要点：

1.实例介绍高安全电子商务网站iptables规则列表。

2.在实例基础上细说，ptables的安装、清除iptables规则、iptables只开放指定端口、iptables屏蔽指定ip、ip段及解封、删除已添加的iptables规则等iptables的基本应用。

3.对关键端口的设置做具体介绍。特别是特殊的FTP，应该怎么样设置iptables规则，同时支持ftp主动模式、ftp被动模式。

iptables规则实例：

电子商务网站iptables规则列表

========================================================================

# iptables conf /etc/sysconfig/iptables

# Created by http://jimmyli.blog.51cto.com/

# Last Updated 2010.10.17

# Firewall configuration written by system-config-securitylevel

# Manual customization of this file is not recommended.

*filter

:FORWARD ACCEPT [0:0]

:INPUT ACCEPT [0:0]

:RH-Firewall-1-INPUT - [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p 50 -j ACCEPT

-A RH-Firewall-1-INPUT -p 51 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 21 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 873 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 3306 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 8080 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 30000:30030 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

========================================================================

电子商务网站iptables规则列表详细说明：

1.使用方法，把以上的内容添加或替换掉 /etc/sysconfig/iptables 文件，vim /etc/sysconfig/iptables 编辑。

2.使规则生效。然后service iptables restart即可生效

3.上面的规则中，只开放了如下端口:22（ssh）,21（FTP）,80（web）,3306（mysql）,8000等端口，30000至30030是FTP被动模式的端口，其它的都是禁止。也可以根据自己实际情况进行修改即可使用。

提示：

这个iptables规则，同时支持ftp主动模式、ftp被动模式。对FTP特殊端口应用起到关键应用。

附上系统默认模板

========================================================================

# Firewall configuration written by system-config-securitylevel

# Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p 50 -j ACCEPT

-A RH-Firewall-1-INPUT -p 51 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

~

~

========================================================================

Linux上iptables防火墙的基本应用解说

iptables是Linux上常用的防火墙软件，下面vps侦探给大家说一下iptables的安装、清除iptables规则、iptables只开放指定端口、iptables屏蔽指定ip、ip段及解封、删除已添加的iptables规则等iptables的基本应用。

关于更多的iptables的使用方法可以执行：iptables --help或网上搜索一下iptables参数的说明。

1、安装iptables防火墙

如果没有安装iptables需要先安装，CentOS执行：

yum install iptables

Debian/Ubuntu执行：

apt-get install iptables

2、清除已有iptables规则

iptables -F

iptables -X

iptables -Z

3、开放指定的端口

#允许本地回环接口(即运行本机访问本机)

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

# 允许已建立的或相关连的通行

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#允许所有本机向外的访问

iptables -A OUTPUT -j ACCEPT

# 允许访问22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#允许访问80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#允许FTP服务的21和20端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 20 -j ACCEPT

#如果有其他端口的话，规则也类似，稍微修改上述语句就行

#禁止其他未允许的规则访问

iptables -A INPUT -j REJECT