基于linux的web服务器的iptables防火墙安全优化设置

安全规划：开启 80 22 端口并打开回路（回环地址 127.0.0.1）

#iptables –P INPUT ACCEPT

#iptables –P OUTPUT ACCEPT

#iptables –P FORWARD ACCEPT

以上几步操作是为了在清除所有规则之前，通过所有请求，如果远程操作的话，防止远程链接断开。

接下来清除服务器内置规则和用户自定义规则：

#iptables –F

#iptables -X

打开ssh端口，用于远程链接用：

#iptables –A INPUT –p tcp –-dport 22 –j ACCEPT

#iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -jACCEPT 允许已建立的链接通过22端口向外发送数据包

然后关闭INPUT 和 FORWARD请求：

#iptables –P INPUT DROP

#iptables –P FORWARD DROP

接下来设置环路，使得 ping127.0.0.1这样的包额可以通过。后面php会使用这个规则，

Nginx中设置php-fpm访问地址：http://127.0.0.1:9000 即用到这个规则

#iptables –A INPUT –i lo –j ACCEPT

接下来设置允许其他机器 ping本机，也可以不允许，不允许会更加安全。

#iptables –A INPUT –p icmp –j ACCEPT

接下来开放web服务端口 80

#iptables –A INPUT –p tcp –dport 80 –j ACCEPT

#iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -jACCEPT 允许已建立的链接通过80端口向外发送数据包

接下来开放 53端口用于DNS解析

#iptables -A INPUT -p udp --dport 53 -j ACCEPT

#iptables -A OUTPUT -p udp --sport 53 -m state --state ESTABLISHED,RELATED -jACCEPT

最后保存设置：

#service iptables save

#service iptables restart

至此已经完成关闭除2280之外的所有对外端口，服务器可以通过任意端口向外发请求，但是外面的请求只能通过 80和22端口进入到内部。

也可以直接下载这个脚本执行即可完成基本防火墙设置：http://pan.baidu.com/s/17qiUG

基于linux的web服务器的iptables防火墙安全优化设置,布布扣,bubuko.com

时间： 2024-12-23 00:59:50

基于linux的web服务器的iptables防火墙安全优化设置的相关文章

linux学习笔记——搭建基于nginx的web服务器、多核配置、nginx配置参数

############ 认识nginx #############Nginx:(发音同 engine x)是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行.由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引擎Rambler(俄文:Рамблер)使用. 其优点是轻量级(占有内存少),高并发(并发能力强),事实上nginx的并发能力确实在同类型的网页伺服器中表现较好.目前中国大陆使用ngi

LVS详解及基于LVS实现web服务器负载均衡

前言 LVS(Linux Virtual Server)Linux虚拟服务器,是一个虚拟的服务器集群系统.本项目在1998年5月由章文嵩博士成立,是中国国内最早出现的自由软件项目之一.通过LVS提供的负载均衡技术和Linux操作系统可实现一个高性能.高可用的服务器群集,从而以低成本实现最优的服务性能. 集群基础集群简介集群(Cluster)是一组相互独立的.通过高速网络互联的计算机,它们构成了一个组,并以单一系统的模式加以管理.一个客户与集群相互作用时,集群像是一个独立的服务器.集群配置是用

linux搭建web服务器

linux httpd 假设服务器地址为192.168.80.20/24 1. 将准备安装的httpd软件包共享给everyone , (1)在linux上mount.cifs //真机IP地址/共享文件夹名 /media / ls /meidia/ 查看 tar xjvf httpd-2.4.10.tar.bz2 -C /usr/src 解压至/usr/src下下面两个插件是httpd2.4以后的版本所需要的 http://ftp.jaist.ac.

适合Centos Web服务器的iptables规则

适合Centos Web服务器的iptables规则IPT="/sbin/iptables"$IPT --delete-chain$IPT --flush$IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT DROP $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Linux Apache web服务器配置详细教程

3 Linux Apache web服务器 v2.4.29学习要点: 1.apache用途,工作模式,httpd.conf的配置重要参数2.虚拟主机工作模式的参数优化 3.1 Apache 概述: 3.1.1 Apache 概述Apache是世界使用排名第一的Web服务器软件.它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一.它快速.可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中.同时Apache音译为

基于Nginx搭建Web服务器及虚拟主机相关配置详解

随着计算机与Internet技术的高速发展,各种各样的Web站点也就成为面向用户的中坚力量.在各种网站服务器软件中.除了Apache外,还有一款轻量级的HTTP服务器软件--Nginx. 基于Apache搭建Web服务器可以参考博文:基于Apache搭建Web服务器详解一.Nginx服务简介 Nginx由俄罗斯的lgor Sysoev开发,专为性能优化而开发,其最知名的优点就是它的稳定性和低系统资源消耗.以及对HTTP并发连接的高处立能力(单台物理服务器可支持30000~50000个并发请求)

基于TcpListerer的web服务器和基于HttpListerer的web服务器

摘自<Asp.Net 本质论>作者:郝冠军 /*为了简化基于TCP协议的监听程序,.NET在System.Net.Sockets命名空间中提供了TcpListerer类,使用它,在构造函数中传递一组网络端点信息就可以准备好监听参数,而不再需要设置使用的网络协议等细节,调用Start方法之后,监听工作开始.AcceptTcpClient方法将阻塞进程,知道一个客户端的连接到达监听器,这个方法将返回一个代表客户端连接的代理对象*/ 1 class TcpListener_Study 2 { 3 p

Java 并发专题： Executor详细介绍打造基于Executor的Web服务器

适配器模式,将一个类的接口转换成客户希望的另外一个接口.Adapter模式使得原本由于接口不兼容而不能一起工作的那些类可以一起工作. 应用场景:系统的数据和行为都正确,但接口不符时,我们应该考虑用适配器,目的是使控制范围之外的一个原有对象与某个接口匹配.适配器模式主要应用于希望复用一些现存的类,但是接口又与复用环境要求不一致的情况. 代码实现: //Adapter.h #include "stdafx.h" #include <iostream> class Adaptee

基于socket的web服务器检测

# coding=utf-8 import sys import socket import re def check_webserver(address, port, resource): address = socket.gethostbyname(address) if not resource.startswith('/'): resource = '/' + resource request_string = 'GET %s HTTP/1.0\r\n\r\n' % (resource)