个人网站iptables的几条简单设置
iptables是Linux操作系统中常用的防火墙,在一些发行版如CentOS中内置,虽然功能强大,操作也很方便,但需要用户对于防火墙和主机的使用环境有相当的了解,因而在实际应用中往往并不容易配置的好。对于个人网站来说,采用更复杂的防火墙系统似无必要,且由于网站架构并不复杂,因此化简为宜列出几条适配的规则很有必要。以下内容基于CentOS 6.9版本,以个人网站(静态网页和博客型为主)为例。
先介绍一下iptables的几个基本知识。
- iptables包括三个链区域,分别是INPUT、FORWARD和OUTPUT,INPUT是指进入主机的数据流向,FORWARD是指“路过”主机的数据流向,OUTPUT是指从主机出去的数据流向。通常防火墙主要限制的是INPUT这一环,FORWARD和OUTPUT这两个环节基本可以不管[1]。
- iptables采用三大策略,分别是ACCEPT、REJECT和DROP,ACCEPT是指放行数据,REJECT是指拒绝数据通过,DROP是指丢弃数据包。通常采用ACCEPT和DROP这两种策略就可以了。
- iptables的几个重要参数[2]:
- -A 在尾部添加新规则
- -I 在已有规则表中插入新规则,若不增加行数,默认在首行插入
- -L 列出当前生效的规则
- -D 删除当前列表中的规则
- -F 清空当前规则表,一般可与-Z、-X连用
- -p 网络协议参数,如tcp、udp等,大多数情况下tcp协议就够了
- -j 指代规则的适用目标
- –line-numbers 列出每条规则的行号,一般在插入规则和删除规则时用到
- –dport 目标端口,在INPUT块中以这个参数来制定规则相对容易,因为很多规则是基于端口的,如网页访问通常是走80或443端口,SSH登录是走22端口,收取电子邮件一般是25端口。
一般的个人网站所用到网络服务有80端口和443端口的浏览器访问、20和21端口的FTP文件上传下载、22端口的SSH远程主机登录、3306端口的MySQL数据库查询及操作服务。以下的操作步骤就是打开这几个常用端口,并把其它端口的数据流入封锁住以保障服务器安全。
以root用户[3]SSH方式登录入服务器,输入iptables -L
命令以查看当前iptables的规则,三个链默认都是采用的放行策略,且各块均空,没有事先建立规则。
1 | [root@host ~]# iptables -L |
在打开服务器内外部数据流动的关口、建立有效规则之前,先放行服务器内部的数据流动,比如主机内部程序之间的通讯,输入以下命令在INPUT链增加一条放行内部数据通行的规则:
1 | iptables -A INPUT -i lo -j ACCEPT |
生成类似如下的结果:
1 | Chain INPUT (policy ACCEPT) |
接着,输入以下命令到INPUT区域以放行几种常用的协议,分别为SSH、网页浏览、安全网页浏览、FTP文件传输(分别需要20和21两个端口,有关这两个端口的介绍,请查阅Bradley Mitchell的文章Learn the Purpose of the TCP Port 21 and How it Works With FTP)。
1 | iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH远程主机连接 |
上述几条命令也可集成在以下这样一条命令中:
1 | iptables -A INPUT -p tcp -m multiport --dports 22,80,443,20,21 -j ACCEPT |
生成的结果如下:
1 | Chain INPUT (policy ACCEPT) |
为INPUT区域增加的最后一条规则应当是丢弃掉符合以上规则以外的所有数据包,执行iptables -A INPUT -j DROP
得到以下结果:
1 | Chain INPUT (policy ACCEPT) |
至此基本能够保证只有必要的数据可以进入服务器,在一定程度上保障了服务器的安全。
在网站建好、相关文件已经通过FTP上传之后,有些个人网站也许已经不再需要使用FTP了,这时可以通过以下三条命令将FTP协议部分的规则删除。第一条命令加上了--line-numbers
参数以显示各条规则对应的行数数值。
1 | iptables -nvL --line-numbers |
执行结果如下:
1 | Chain INPUT (policy ACCEPT) |
这样便可以通过行数数值对应到具体的规则来实现简单的删除操作。执行第二条命令两次[4]:
1 | iptables -D INPUT 5 |
生成如下结果:
1 | Chain INPUT (policy ACCEPT) |
当然,iptables还有更严格的防火墙实践,比如只允许SSH登录和操作而将其它数据包尽数丢弃的策略和规则[5]。
FORWARD和OUTPUT也很重要,但对个人小网站来说,如果服务器已经被从内部攻破,比如植入了木马、获取了root权限这样的情形,那么防火墙有没有INPUT、OUTPUT这些已经没什么意义了。 ↩︎
严格来说,Linux主机上的操作应当以一般用户而非root权限的管理员身份进行,但个人小网站通常在实践中不再建立多套账号,也就直接使用root账号操作了。 ↩︎
因为删除掉第5条规则后,位于第6行的下一条规则“上升”为第5行,因此需要执行两次命令。 ↩︎
Gite, V. (2005). Linux Iptables: Block All Incoming Traffic But Allow SSH - nixCraft. [online] nixCraft. Available at: https://www.cyberciti.biz/tips/linux-iptables-4-block-all-incoming-traffic-but-allow-ssh.html [Accessed 15 Apr. 2018]. ↩︎