阿里云linux服務器上使用iptables設置安全策略的方法

2024-09-05 23:02:37

字體：大中小

來源：轉載

供稿：網友

公司的產品一直運行在云服務器上，從而有幸接觸過aws的ec2，盛大的云服務器，最近準備有使用阿里云的彈性計算（云服務器）。前兩種云服務器在安全策略這塊做的比較好，提供簡單明了的配置界面，而且給了默認的安全策略，反觀阿里云服務器，安全策略需要自己去配置，甚至centos機器上都沒有預裝iptables（起碼我們申請兩臺上都沒有），算好可以使用yum來安裝，安裝命令如下：

yum install -y iptables

iptables安裝好后就可以來配置規(guī)則了。由于作為web服務器來使用，所以對外要開放 80 端口，另外肯定要通過ssh進行服務器管理，22 端口也要對外開放，當然最好是把ssh服務的默認端口改掉，在公網上會有很多人試圖破解密碼的，如果修改端口，記得要把該端口對外開發(fā)，否則連不上就悲劇了。下面提供配置規(guī)則的詳細說明：

第一步：清空所有規(guī)則當Chain INPUT (policy DROP)時執(zhí)行/sbin/iptables -F后，你將和服務器斷開連接所有在清空所有規(guī)則前把policy DROP該為INPUT，防止悲劇發(fā)生，小心小心再小心/sbin/iptables -P INPUT ACCEPT清空所有規(guī)則/sbin/iptables -F/sbin/iptables -X計數(shù)器置0/sbin/iptables -Z第二步：設置規(guī)則允許來自于lo接口的數(shù)據(jù)包，如果沒有此規(guī)則，你將不能通過127.0.0.1訪問本地服務，例如ping 127.0.0.1/sbin/iptables -A INPUT -i lo -j ACCEPT 開放TCP協(xié)議22端口，以便能ssh，如果你是在有固定ip的場所，可以使用 -s 來限定客戶端的ip/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT開放TCP協(xié)議80端口供web服務/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT10.241.121.15是另外一臺服務器的內網ip，由于之間有通信，接受所有來自10.241.121.15的TCP請求/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT接受ping/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT這條規(guī)則參看：http://www.netingcn.com/iptables-localhost-not-access-internet.html/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT屏蔽上述規(guī)則以為的所有請求，不可缺少，否則防火墻沒有任何過濾的功能/sbin/iptables -P INPUT DROP可以使用 iptables -L -n 查看規(guī)則是否生效

至此防火墻就算配置好，但是這是臨時的，當重啟iptables或重啟機器，上述配置就會被清空，要想永久生效，還需要如下操作：

/etc/init.d/iptables save 或service iptables save執(zhí)行上述命令可以在文件 /etc/sysconfig/iptables 中看到配置

以下提供一個干凈的配置腳本：

/sbin/iptables -P INPUT ACCEPT/sbin/iptables -F/sbin/iptables -X/sbin/iptables -Z/sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT/sbin/iptables -P INPUT DROP

最后執(zhí)行 service iptables save ，先確保ssh連接沒有問題，防止規(guī)則錯誤，導致無法連上服務器，因為沒有save，重啟服務器規(guī)則都失效，否則就只有去機房才能修改規(guī)則了。也可以參考：ubuntu iptables 配置腳本來寫一個腳本。

最后再次提醒，在清空規(guī)則之前一定要小心，確保Chain INPUT (policy ACCEPT)。

VEVB武林網補充阿里云的linux_drop_port.sh

#!/bin/bash##########################################Function: linux drop port#Usage:  bash linux_drop_port.sh#Author:  Customer Service Department#Company:  Alibaba Cloud Computing#Version:  2.0######################################### check_os_release(){ while true do os_release=$(grep "Red Hat Enterprise Linux Server release"/etc/issue 2>/dev/null) os_release_2=$(grep "Red Hat Enterprise Linux Server release"/etc/redhat-release 2>/dev/null) if [ "$os_release" ] && [ "$os_release_2" ] then  if echo "$os_release"|grep "release 5" >/dev/null2>&1  then  os_release=redhat5  echo "$os_release"  elif echo "$os_release"|grep "release 6">/dev/null 2>&1  then  os_release=redhat6  echo "$os_release"  else  os_release=""  echo "$os_release"  fi  break fi os_release=$(grep "Aliyun Linux release" /etc/issue2>/dev/null) os_release_2=$(grep "Aliyun Linux release" /etc/aliyun-release2>/dev/null) if [ "$os_release" ] && [ "$os_release_2" ] then  if echo "$os_release"|grep "release 5" >/dev/null2>&1  then  os_release=aliyun5  echo "$os_release"  elif echo "$os_release"|grep "release 6">/dev/null 2>&1  then  os_release=aliyun6  echo "$os_release"  else  os_release=""  echo "$os_release"  fi  break fi os_release=$(grep "CentOS release" /etc/issue 2>/dev/null) os_release_2=$(grep "CentOS release" /etc/*release2>/dev/null) if [ "$os_release" ] && [ "$os_release_2" ] then  if echo "$os_release"|grep "release 5" >/dev/null2>&1  then  os_release=centos5  echo "$os_release"  elif echo "$os_release"|grep "release 6">/dev/null 2>&1  then  os_release=centos6  echo "$os_release"  else  os_release=""  echo "$os_release"  fi  break fi os_release=$(grep -i "ubuntu" /etc/issue 2>/dev/null) os_release_2=$(grep -i "ubuntu" /etc/lsb-release2>/dev/null) if [ "$os_release" ] && [ "$os_release_2" ] then  if echo "$os_release"|grep "Ubuntu 10" >/dev/null2>&1  then  os_release=ubuntu10  echo "$os_release"  elif echo "$os_release"|grep "Ubuntu 12.04">/dev/null 2>&1  then  os_release=ubuntu1204  echo "$os_release"  elif echo "$os_release"|grep "Ubuntu 12.10">/dev/null 2>&1  then  os_release=ubuntu1210  echo "$os_release"  else  os_release=""  echo "$os_release"  fi  break fi os_release=$(grep -i "debian" /etc/issue 2>/dev/null) os_release_2=$(grep -i "debian" /proc/version 2>/dev/null) if [ "$os_release" ] && [ "$os_release_2" ] then  if echo "$os_release"|grep "Linux 6" >/dev/null2>&1  then  os_release=debian6  echo "$os_release"  else  os_release=""  echo "$os_release"  fi  break fi os_release=$(grep "openSUSE" /etc/issue 2>/dev/null) os_release_2=$(grep "openSUSE" /etc/*release 2>/dev/null) if [ "$os_release" ] && [ "$os_release_2" ] then  if echo "$os_release"|grep"13.1" >/dev/null 2>&1  then  os_release=opensuse131  echo "$os_release"  else  os_release=""  echo "$os_release"  fi  break fi break done} exit_script(){ echo -e "/033[1;40;31mInstall $1 error,will exit./n/033[0m" rm-f $LOCKfile exit 1} config_iptables(){ iptables -I OUTPUT 1 -p tcp -m multiport --dport21,22,23,25,53,80,135,139,443,445 -j DROP iptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-j DROP iptables -I OUTPUT 3 -p udp -j DROP iptables -nvL} ubuntu_config_ufw(){ ufwdeny out proto tcp to any port 21,22,23,25,53,80,135,139,443,445 ufwdeny out proto tcp to any port 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186 ufwdeny out proto udp to any ufwstatus} ####################Start####################check lock file ,one time only let thescript run one timeLOCKfile=/tmp/.$(basename $0)if [ -f "$LOCKfile" ]then echo -e "/033[1;40;31mThe script is already exist,please next timeto run this script./n/033[0m" exitelse echo -e "/033[40;32mStep 1.No lock file,begin to create lock fileand continue./n/033[40;37m" touch $LOCKfilefi #check userif [ $(id -u) != "0" ]then echo -e "/033[1;40;31mError: You must be root to run this script,please use root to execute this script./n/033[0m" rm-f $LOCKfile exit 1fi echo -e "/033[40;32mStep 2.Begen tocheck the OS issue./n/033[40;37m"os_release=$(check_os_release)if [ "X$os_release" =="X" ]then echo -e "/033[1;40;31mThe OS does not identify,So this script isnot executede./n/033[0m" rm-f $LOCKfile exit 0else echo -e "/033[40;32mThis OS is $os_release./n/033[40;37m"fi echo -e "/033[40;32mStep 3.Begen toconfig firewall./n/033[40;37m"case "$os_release" inredhat5|centos5|redhat6|centos6|aliyun5|aliyun6) service iptables start config_iptables ;;debian6) config_iptables ;;ubuntu10|ubuntu1204|ubuntu1210) ufwenable <<EOFyEOF ubuntu_config_ufw ;;opensuse131) config_iptables ;;esac echo -e "/033[40;32mConfig firewallsuccess,this script now exit!/n/033[40;37m"rm -f $LOCKfile

上述文件下載到機器內部直接執(zhí)行即可。

上一篇：Linux一鍵安裝web環(huán)境全攻略（阿里云服務器）

下一篇：阿里云linux服務器安全設置(防火墻策略等)