久久久精品一区ed2k-女人被男人叉到高潮的视频-中文字幕乱码一区久久麻豆樱花-俄罗斯熟妇真实视频

阿里云linux服務(wù)器上使用iptables設(shè)置安全策略的方法

公司的產(chǎn)品一直運(yùn)行在云服務(wù)器上,從而有幸接觸過aws的ec2,盛大的云服務(wù)器,最近準(zhǔn)備有使用阿里云的彈性計(jì)算(云服務(wù)器)。前兩種云服務(wù)器在安全策略這塊做的比較好,提供簡(jiǎn)單明了的配置界面,而且給了默認(rèn)的安全策略,反觀阿里云服務(wù)器,安全策略需要自己去配置,甚至centos機(jī)器上都沒有預(yù)裝iptables(起碼我們申請(qǐng)兩臺(tái)上都沒有),算好可以使用yum來安裝,安裝命令如下:成都服務(wù)器托管

十多年的保亭黎族網(wǎng)站建設(shè)經(jīng)驗(yàn),針對(duì)設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對(duì)一服務(wù),響應(yīng)快,48小時(shí)及時(shí)工作處理。網(wǎng)絡(luò)營(yíng)銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同,自動(dòng)調(diào)整保亭黎族建站的顯示方式,使網(wǎng)站能夠適用不同顯示終端,在瀏覽器中調(diào)整網(wǎng)站的寬度,無論在任何一種瀏覽器上瀏覽網(wǎng)站,都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì),從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)從事“保亭黎族網(wǎng)站設(shè)計(jì)”,“保亭黎族網(wǎng)站推廣”以來,每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。
?
1
yum install-y iptables

iptables安裝好后就可以來配置規(guī)則了。由于作為web服務(wù)器來使用,所以對(duì)外要開放 80 端口,另外肯定要通過ssh進(jìn)行服務(wù)器管理,22 端口也要對(duì)外開放,當(dāng)然最好是把ssh服務(wù)的默認(rèn)端口改掉,在公網(wǎng)上會(huì)有很多人試圖破解密碼的,如果修改端口,記得要把該端口對(duì)外開發(fā),否則連不上就悲劇了。下面提供配置規(guī)則的詳細(xì)說明:成都服務(wù)器托管

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
第一步:清空所有規(guī)則
當(dāng)Chain INPUT (policy DROP)時(shí)執(zhí)行/sbin/iptables-F后,你將和服務(wù)器斷開連接
所有在清空所有規(guī)則前把policy DROP該為INPUT,防止悲劇發(fā)生,小心小心再小心
/sbin/iptables-P INPUT ACCEPT
清空所有規(guī)則
/sbin/iptables-F
/sbin/iptables-X
計(jì)數(shù)器置0
/sbin/iptables-Z
第二步:設(shè)置規(guī)則
允許來自于lo接口的數(shù)據(jù)包,如果沒有此規(guī)則,你將不能通過127.0.0.1訪問本地服務(wù),例如ping127.0.0.1
/sbin/iptables-A INPUT -i lo -j ACCEPT
開放TCP協(xié)議22端口,以便能ssh,如果你是在有固定ip的場(chǎng)所,可以使用 -s 來限定客戶端的ip
/sbin/iptables-A INPUT -p tcp --dport 22 -j ACCEPT
開放TCP協(xié)議80端口供web服務(wù)
/sbin/iptables-A INPUT -p tcp --dport 80 -j ACCEPT
10.241.121.15是另外一臺(tái)服務(wù)器的內(nèi)網(wǎng)ip,由于之間有通信,接受所有來自10.241.121.15的TCP請(qǐng)求
/sbin/iptables-A INPUT -p tcp -s 10.241.121.15 -j ACCEPT
接受ping
/sbin/iptables-A INPUT -p icmp -m icmp --icmp-type8 -j ACCEPT
這條規(guī)則參看:http://www.netingcn.com/iptables-localhost-not-access-internet.html
/sbin/iptables-A INPUT -m state --state ESTABLISHED -j ACCEPT
屏蔽上述規(guī)則以為的所有請(qǐng)求,不可缺少,否則防火墻沒有任何過濾的功能
/sbin/iptables-P INPUT DROP
可以使用 iptables -L -n 查看規(guī)則是否生效

至此防火墻就算配置好,但是這是臨時(shí)的,當(dāng)重啟iptables或重啟機(jī)器,上述配置就會(huì)被清空,要想永久生效,還需要如下操作:成都服務(wù)器托管

?
1
2
3
4
5
/etc/init.d/iptablessave
service iptables save
執(zhí)行上述命令可以在文件 /etc/sysconfig/iptables中看到配置

以下提供一個(gè)干凈的配置腳本:成都服務(wù)器托管

?
1
2
3
4
5
6
7
8
9
10
11
12
/sbin/iptables-P INPUT ACCEPT
/sbin/iptables-F
/sbin/iptables-X
/sbin/iptables-Z
/sbin/iptables-A INPUT -i lo -j ACCEPT
/sbin/iptables-A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables-A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables-A INPUT -p tcp -s 10.241.121.15 -j ACCEPT
/sbin/iptables-A INPUT -p icmp -m icmp --icmp-type8 -j ACCEPT
/sbin/iptables-A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables-P INPUT DROP

最后執(zhí)行 service iptables save ,先確保ssh連接沒有問題,防止規(guī)則錯(cuò)誤,導(dǎo)致無法連上服務(wù)器,因?yàn)闆]有save,重啟服務(wù)器規(guī)則都失效,否則就只有去機(jī)房才能修改規(guī)則了。也可以參考:ubuntu iptables 配置腳本來寫一個(gè)腳本。

最后再次提醒,在清空規(guī)則之前一定要小心,確保Chain INPUT (policy ACCEPT)。

服務(wù)器之家補(bǔ)充阿里云的linux_drop_port.sh

?
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    156
    157
    158
    159
    160
    161
    162
    163
    164
    165
    166
    167
    168
    169
    170
    171
    172
    173
    174
    175
    176
    177
    178
    179
    180
    181
    182
    183
    184
    185
    186
    187
    188
    189
    190
    191
    192
    193
    194
    195
    196
    197
    #!/bin/bash
    #########################################
    #Function: linux drop port
    #Usage: bash linux_drop_port.sh
    #Author: Customer Service Department
    #Company: Alibaba Cloud Computing
    #Version: 2.0
    #########################################
    check_os_release()
    {
    whiletrue
    do
    os_release=$(grep"Red Hat Enterprise Linux Server release"/etc/issue2>/dev/null)
    os_release_2=$(grep"Red Hat Enterprise Linux Server release"/etc/redhat-release2>/dev/null)
    if[ "$os_release"] && [ "$os_release_2"]
    then
    ifecho"$os_release"|grep"release 5">/dev/null2>&1
    then
    os_release=redhat5
    echo"$os_release"
    elifecho"$os_release"|grep"release 6">/dev/null2>&1
    then
    os_release=redhat6
    echo"$os_release"
    else
    os_release=""
    echo"$os_release"
    fi
    break
    fi
    os_release=$(grep"Aliyun Linux release"/etc/issue2>/dev/null)
    os_release_2=$(grep"Aliyun Linux release"/etc/aliyun-release2>/dev/null)
    if[ "$os_release"] && [ "$os_release_2"]
    then
    ifecho"$os_release"|grep"release 5">/dev/null2>&1
    then
    os_release=aliyun5
    echo"$os_release"
    elifecho"$os_release"|grep"release 6">/dev/null2>&1
    then
    os_release=aliyun6
    echo"$os_release"
    else
    os_release=""
    echo"$os_release"
    fi
    break
    fi
    os_release=$(grep"CentOS release"/etc/issue2>/dev/null)
    os_release_2=$(grep"CentOS release"/etc/*release2>/dev/null)
    if[ "$os_release"] && [ "$os_release_2"]
    then
    ifecho"$os_release"|grep"release 5">/dev/null2>&1
    then
    os_release=centos5
    echo"$os_release"
    elifecho"$os_release"|grep"release 6">/dev/null2>&1
    then
    os_release=centos6
    echo"$os_release"
    else
    os_release=""
    echo"$os_release"
    fi
    break
    fi
    os_release=$(grep-i "ubuntu"/etc/issue2>/dev/null)
    os_release_2=$(grep-i "ubuntu"/etc/lsb-release2>/dev/null)
    if[ "$os_release"] && [ "$os_release_2"]
    then
    ifecho"$os_release"|grep"Ubuntu 10">/dev/null2>&1
    then
    os_release=ubuntu10
    echo"$os_release"
    elifecho"$os_release"|grep"Ubuntu 12.04">/dev/null2>&1
    then
    os_release=ubuntu1204
    echo"$os_release"
    elifecho"$os_release"|grep"Ubuntu 12.10">/dev/null2>&1
    then
    os_release=ubuntu1210
    echo"$os_release"
    else
    os_release=""
    echo"$os_release"
    fi
    break
    fi
    os_release=$(grep-i "debian"/etc/issue2>/dev/null)
    os_release_2=$(grep-i "debian"/proc/version2>/dev/null)
    if[ "$os_release"] && [ "$os_release_2"]
    then
    ifecho"$os_release"|grep"Linux 6">/dev/null2>&1
    then
    os_release=debian6
    echo"$os_release"
    else
    os_release=""
    echo"$os_release"
    fi
    break
    fi
    os_release=$(grep"openSUSE"/etc/issue2>/dev/null)
    os_release_2=$(grep"openSUSE"/etc/*release 2>/dev/null)
    if[ "$os_release"] && [ "$os_release_2"]
    then
    ifecho"$os_release"|grep"13.1">/dev/null2>&1
    then
    os_release=opensuse131
    echo"$os_release"
    else
    os_release=""
    echo"$os_release"
    fi
    break
    fi
    break
    done
    }
    exit_script()
    {
    echo-e "\033[1;40;31mInstall $1 error,will exit.\n\033[0m"
    rm-f $LOCKfile
    exit1
    }
    config_iptables()
    {
    iptables -I OUTPUT 1 -p tcp -m multiport --dport21,22,23,25,53,80,135,139,443,445 -j DROP
    iptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-j DROP
    iptables -I OUTPUT 3 -p udp -j DROP
    iptables -nvL
    }
    ubuntu_config_ufw()
    {
    ufwdeny out proto tcp to any port 21,22,23,25,53,80,135,139,443,445
    ufwdeny out proto tcp to any port 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186
    ufwdeny out proto udp to any
    ufwstatus
    }
    ####################Start###################
    #check lock file ,one time only let thescript run one time
    LOCKfile=/tmp/.$(basename$0)
    if[ -f "$LOCKfile"]
    then
    echo-e "\033[1;40;31mThe script is already exist,please next timeto run this script.\n\033[0m"
    exit
    else
    echo-e "\033[40;32mStep 1.No lock file,begin to create lock fileand continue.\n\033[40;37m"
    touch$LOCKfile
    fi
    #check user
    if[ $(id-u) != "0"]
    then
    echo-e "\033[1;40;31mError: You must be root to run this script,please use root to execute this script.\n\033[0m"
    rm-f $LOCKfile
    exit1
    fi
    echo-e "\033[40;32mStep 2.Begen tocheck the OS issue.\n\033[40;37m"
    os_release=$(check_os_release)
    if[ "X$os_release"=="X"]
    then
    echo-e "\033[1;40;31mThe OS does not identify,So this script isnot executede.\n\033[0m"
    rm-f $LOCKfile
    exit0
    
                新聞名稱:阿里云linux服務(wù)器上使用iptables設(shè)置安全策略的方法
                
    
                網(wǎng)頁(yè)URL:http://sd-ha.com/article38/pgpp.html
            
    
            
    
                成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供電子商務(wù)、小程序開發(fā)、Google、網(wǎng)站改版網(wǎng)站設(shè)計(jì)、搜索引擎優(yōu)化            
    
            
    
                廣告
                
            
    
            
    
                聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源:
                創(chuàng)新互聯(lián)