标签归档:iptables

如何利用花生壳建立云服务器(VPS)防火墙

firewall

前言

随着云服务器(VPS)的流行,很多小伙伴都建立起自己的博客或梯子服务器。但安全问题是一个不容忽视的问题,要不然就很容易成为黑客们的“肉鸡”。一般的安全处理方法:设置强密码、更改默认服务端口号、使用密钥登陆……

今天介绍的是基于iptables防火墙。利用系统iptables建立起防火墙规则,普通用户只允许网站(80、443端口)的访问,iptables根据IP来识别管理员,对管理员则是全部端口开放。

但国内的运营商绝大部分分配的都是动态公网IP,如何保证我们在公网IP发生变化后,iptables依旧能把我们最新的公网IP进行更新呢?
这时候我们可以利用花生壳动态域名解析实现。
脚本通过crond定时刷新管理员的花生壳域名,从而更新iptables规则中管理员的白名单IP。
可以先看看拓扑图:
ddns-firewall-topology

一键部署脚本

开始部署

1、花生壳:注册 -> 下载 -> 安装 -> 启用客户端。传送门:www.oray.com
1、下载、解压,得到init_firewall.sh脚本
2、使用root权限执行

sh ./init_firewall.sh

3、输入你的花生壳域名(千万不要输错),然后一切就完成了。服务器只会开放80和443端口,其他所有端口只针对花生壳域名当前的IP开放。
下面我们解释一下脚本做了些什么事情。

继续阅读