① 大型商業網站各個伺服器搭建教程!
立起來,也有越來越多的站長想加入到電子商務中來,但是,電子商務網站如何才能建起來呢?
電子商務網站總結起來有五個步驟:找准方向、搭建平台、充實內容、推廣網站、實現盈利。
一、找准方向。據2007年6月CNNIC第20次中國互聯網調查顯示,中國網民總人數達到1.62億,網站已經達到131萬個,可見互聯網發展之迅速,也有越來越多的人開始投身互聯網進行創業,而正因為互聯網充滿很多的機遇,所以找准適合自己的方向才尤為重要,是建立一個垃圾網站迅速做大流量賺取廣告費,還是跟著潮流做領先時代的web2.0,web3.0的網站呢,是專心做一個網站,還是批量生產,製造出一堆網站呢?個人覺得選擇自己熟悉的行業,集中所有精力,做一個垂直型電子商務網站不失為很好的選擇。選擇一個自己熟悉的行業,更能發揮自己的專業優勢,集中所有精力就要求把多餘的網站砍掉,網站多餘的欄目砍掉,把有限的精力集中到自己擅長的領域,並最終在這個領域處於領先的地位,應該在座有不少了解站長網圖王的,之前他擁有上百個網站,但很知名的沒有幾個,現在砍掉所有其他網站,站長網就很快在業內確定了很好的領先地位,所以不建議你做一個比阿里巴巴、當當網更大更全更體面的網站,因為你有多大的能耐能超越阿里巴巴呢,所以建議你選擇某一個細分的領域,建一個垂直型的網站,也許建好後你就是該行業排名數一數二的網站,因為真正細分到很專業的領域,競爭並不是那麼大。最後建議你選擇盈利模式很明確的領域,例如b2b、b2c、c2c等,遠比追求概念的web2.0來得實在。綜上所野猜述,互聯網創業,首選建立垂直型電子商務行業網站。
二、搭建平台。當我們確定了一個適合自己的發展方向後,接下來就是把我們的想法變成現實,搭建開展電子商務必須的網站平台。一般會有兩種選擇,一種是自己熟悉網站開發技術,或者自己聘請網站開發人員,另外一種就是選掘脊碰擇開發好的通用網站系統或者委託專業的網路公司開發網站。兩種方式各有優勢,但畢竟自己精通技術的比較少,請員工到公司來開發,成本又太高,不是很劃算,所以我推薦創業期間可以選擇第二種方式。假如我們建立成都房產門戶,是直判談接找房產網站系統專業開發商開發的易想房產網還是委託專業網路公司量身開發呢?一般找專業的公司開個一個仿購房者的房產網站,通過核算,從0規劃開發這樣龐大的系統,至少要開發2個月以上時間並且3人以上的熟手開發團隊來進行,開發下來5萬的報價說不定都賺不了什麼,而購買開發好的易想房產網,只需要幾千元外加製作一套屬於自己的界面就可以輕松享有開發團隊歷時半年開發並將不斷加強的功能強勁的房產網站系統。通過開發網站幾年的經驗告訴我,對於開發網站的客戶其實是擁有很大的風險的,網站一次性開發很難達到很完美的層次,只有通過像軟體一樣不斷的升級完善,才能最終出來一個相對完美的系統。所有我覺得搭建網站平台,假如這種模式的網站已經有很成熟的系統,直接選擇系統未嘗不是很好的途徑。選擇一個很好的功能強勁的網站系統能夠讓你的創業事半功倍,少走彎路。例如假如你要做社區可選北京的dz,做資訊可選擇成都的風訊,做商城選擇shopex,而想做像阿里巴巴、淘寶網、大型商城、購房者房產網等電子商務網站選擇成都的易想軟體
三、充實內容。首先,不可否認的是:一個成功的網站不能不注重外觀布局。外觀就象一個人的衣服,是給別人的第一印象。給人留下一個好的印象,那麼他看下去或者說再次光顧的可能性才更大。可是我覺得更主要的還的網站的內容(除非你的網站是純藝術的,即是拿來觀賞的)。一般的的網站都講究實用,有用才是最重要的。不信大家研究一下世界排名靠前的網站,那個網站的內容不是很充實的,並且在同行網站當中內容是更豐富的。形式美只會給人留下一個好的印象,好的印象固然可以讓別人進一步瀏覽你的網站。可如果從你網站上看到的都是些垃圾,誰還會看下去??誰會對一些自己不感興趣的東西流連忘返??在使用易想軟體的客戶當中,有很多網站立足於很小的行業,如微波商務網、酒商務網、廣告商務網,廈門購物網、聯合一百、區域的房產網等,因為站長對行業的了解,所有通過維護,讓網站上的內容在同行業網站當中算是最豐富的,這樣就讓訪客轉化成長期客戶,很多網站雖然只運營了幾個月時間,已經有了每天幾百上千個IP流量了,而且是同行網站當中人氣最旺的網站,輕松實現了盈利。
四、推廣網站。當網站平台搭建好了,內容充實起來了,我們就要考慮把網站推廣出去,大型電子商務網站推廣可以從兩個大方面做手,一是從網站自身出發,做整站seo頁面優化,二是通過形式多樣的外部推廣。做整站優化要注意到:一、首先讓網站盡量多的頁面靜態化,盡量採用DIV+CSS格式。靜態有兩種,一種是真靜態,一種是偽靜態,這兩種形式都是搜索引擎所喜歡的,靜態網頁一方面搜索引擎的機器人很容易抓取到,另外一方面訪問的時候也不用打開資料庫,加快了網站的訪問速度和減輕了伺服器的承載量。二、優化網站的連接結構及頁面內容。對於搜索引擎而言,鏈接就是一切,所以你網站的鏈接結構一定要設計的合理,頁面的層次最好不要超過三級,網頁內容不要過長,搜索引擎常規收錄對網頁頁面的大小以及字數都有最佳要求的。最好一個網頁包含的文字信息在於2萬個漢字之內,也就是說是4萬位元組左右。網頁大小也包括在38K左右的大小是被認為是最友好的一種適合大小的規格!。三、設置合理的網頁標簽和網頁的頭部文件,能夠讓一些熱門的關鍵詞搜索你排名在前面。通過這樣優化下來,假如你網站有一萬條信息,每條信息每天可以從搜索引擎帶來一個流量,那每天就能輕松帶來一萬的流量。其他外部的推廣,樣式就很多了,原則是讓能出現我們網站的地方都出現,有交換友情鏈接,論壇群發,郵件群發,qq群發,策劃活動,軟文報道,或者更有站長把網址掛在身上,騎著自行車到街上人多的地方宣傳效果也不錯,只要能想到的我們都可以用上。
五、實現盈利。作為一個公司的天職是盈利,同樣作為一個站長,肩上有著讓網站自負盈虧的責任。要想讓網站盈利,我覺得首先要盡快研究出網站的盈利模式,例如b2b、b2c、c2c網站或者區域性的房產門戶盈利模式就很明確,現在熱門的博客網站,視頻網站,交流社區人氣很容易做,但流量很難轉化成現金,最終也只能自己掏腰包養活網站;要想讓網站盈利,還要主動出擊,線上和線下相結合,靠網上流量帶來的點擊廣告費用,是養活不了網站的,例如我們建立一個四川商務網,想讓客戶主動通過網站給我們交會員費,那是很難的,即使是阿里巴巴這樣強勢的品牌也需要幾千上萬個極具戰鬥力的營銷團隊才能推動網站會員的快速發展。
② 網站伺服器的搭建方法是怎樣的
1.本地搭建測試伺服器-IIS如果讀者現在正在設計網站,為了測試,要在自己的電腦上通過IP訪問本地站點才能達到最佳的測試效果。因此會涉及安裝IIS的相關內容。但是,Windows7系統默認是沒有安裝IIS管理工具的,需要調用IIS的安裝程序進行安裝。
(1)首先確認本地計算機是否安裝IIS打開控制面板找到管理工具,如圖4所示。確認管理工具列表裡面沒有IIS,然後進入IIS安裝的步驟,如圖5所示。1)首先,單擊開始→控制面板。
2)在控制面板里找到並單擊:程序和功能,如果你找不到的話,可以更改一個查看方式,如圖6所示。3)打開後,會看到很多程序,這些都是系統安裝的第三方程序,而要添加系統自帶的功能程序,所以在左上角找到並單擊:打開或關閉Windows功能,如圖7所示。
4)系統會檢索一會,很快就顯示出來了,勾選就是系統已經打開的功能了,找到Internet信息服務,並在其前面的復選框打鉤,這個鉤是灰色的,是因為默認情況下Internet信息服務裡面的功能並沒有全部選擇上的意思,當然,可以單擊其前面的+號細看裡面的各個子功能,如圖8所示。5)單擊「確定」按鈕後,系統就會配置並添加該功能,如圖9所示。6)完成之後是沒有提示的,返回程序和功能界面。
下面來看看是否添加了該功能,如圖10所示。
執行:開始→管理工具,找到Internet信息服務(IIS)管理器,就證明已經添加了該功能了。
配置IIS:
1)安裝好了後,當然還要做些設置的,為了以後更方便使用,主要修改三個地方:
①網站名稱。
②物理路徑。
③埠。2)首先,我們打開IIS,如圖11所示。邊框的+號點開。找到:DefaultWebSite,單擊右鍵。執行管理網站→高級設置,如圖12所示。3)在高級設置里,網站名稱和IP埠都是灰色的,無法更改。我們先來修改網站的物理路徑吧,如圖13所示。
4)選擇好要設置的路徑後,再確定,會返回上一層,如圖14所示。5)現在再來修改網站名稱,在DefaultWebSite處單擊右鍵,選擇:重命名。輸入要用的名字,如圖15所示。6)網站名稱也可以是中文的,如圖16所示。
7)最後,來修改IP地址和埠,先說明兩點:
①網站的默認埠是:80,如果不是有特別要求的話,可以選擇默認即可。
②IP地址,如果伺服器是通過防火牆(或者路由器)直接發布到外網給客戶訪問的話,也是不用在這里設置IP地址都可以的。但我們現在是在內網測試,同事之間訪問(即沒有做商品映射)的,所以這里應該要設置一下IP地址。操作,在網站名稱那單擊右鍵,選擇:編輯綁定,如圖17所示。8)然後選中並編輯(圖18)。
9)編輯的內容不多,單擊「全部未分配」右邊的下拉三角形。並選擇本地計算機的IP地址,在本例中為:192.168.0.178,如圖19所示。3.申請網站公網空間伺服器給網站申請完地址和名稱後,就需要為網站在網路上申請出相應的空間。網站是建立在網路伺服器上的一組電腦文件,它需要佔據一定的硬碟空間,這就是一個網站所需的網站空間。一般來說,一個企業網站的基本網頁文件和網頁圖片大概需要100Mb空間,加上產品照片和各種介紹性頁面,一般在500Mb以下。另外,企業需要存放反饋信息和備用文件的空間。所以企業網站總共需要500Mb~1000Mb的網站空間(即虛擬主機空間)。
想建立一個網站,就要選擇適合自身條件的網站空間。目前主流的有4種網站空間選擇形式。
1)購買個人伺服器:伺服器空間大小可根據需要增減伺服器硬碟空間,然後選擇好ISP商,將伺服器接入Internet,將網頁內容上傳到伺服器中,這樣就可以訪問網站了。伺服器管理一般有兩種辦法,即伺服器託管和專線接入維護。
2)租用專用伺服器:就是建立一個專用的伺服器,該伺服器只為用戶使用,用戶有完全的管理權和控制權。中小企業用戶適合於這種vps伺服器,但個人用戶一般不適合這種服務,因為其費用很高。
3)使用虛擬主機:這種技術的目的是讓多個用戶共用一個伺服器,但是對於每一個用戶而言,感覺不到其他用戶的存在。在此情況下該伺服器要為每一個用戶建立一個域名、一個IP地址、一定大小的硬碟空間、各自獨立的服務。這一技術參考了操作系統中虛擬內存的思想,使得有限的資源可以滿足較多的需求,且使需求各自獨立,互不影響。由於這種方式中多個用戶共同使用一個伺服器,所以價格是租用專用伺服器的十幾分之一,而且可以讓用戶有很大的管理權和控制權。可以建立郵件系統的(數量上有限制)個人FTP、WWW站點、提供CGI支持等。
4)免費網站空間:這種服務是免費的。用戶加入該ISP後,該ISP商會為用戶提供相應的免費服務,不過許可權會受到很大限制,很多操作都不能夠使用。
用戶可以根據需要來選擇正確的方式。如果想架構WWW網站,那麼只要加入一個ISP就可以得到一個WWW網站。如果想嘗試做網管,則可以考慮申請虛擬主機服務,而且現在租用虛擬主機的費用並不高。如果想建立很專業的商業網站,建議最好租用伺服器或購買自己的伺服器。
下面以阿里雲為例講解怎麼購買網路主機空間。
在地址欄輸入:https://wanwang.aliyun.com/hosting/打開後如圖20所示,選擇相應的服務如圖21所示。
選擇好後可以看到伺服器具體參數(圖22、圖23)。
確認購買此款主機,單擊立即購買。進入網路付款的狀態。網路付款方式可以選擇支付寶和各家銀行的網銀等方式進行網站。
網站空間成功拿到以後,如何把文件傳上去。讓網頁文件正確的顯示在遠程主機上。這個一般使用FTP上傳方式實現。
4.使用FTP工具上傳網頁購買了虛擬主機後,可以從主機商那邊獲得主機空間的FTP地址、用戶名和密碼。通過FTP地址和密碼,就可以開始上傳網站了。FTP上傳工具可使用FlashFXP工具。下載解壓後並打開後,出現界面如圖24所示:選擇菜單上的「站點」->「站點管理器」,如圖25所示:單擊「新建站點」按鈕,在新出的窗口輸入網站名稱,如輸入「我的網站」,單擊「確定」按鈕,如圖26所示。建立新站點後,下一步需要做的是輸入「IP地址」「用戶名稱」「密碼」,其他設置不需要填寫,如圖27所示,然後單擊「連接」按鈕。IP地址、用戶名稱、密碼正確的話,就可以連接到網站空間了,參考如圖28所示:
傳送完畢後可以再瀏覽器上進行頁面刷新,即可看到打開的頁面或者進行內容更新的頁面。
圖4
圖5
圖6
圖7
圖8
圖9
圖10
圖11
圖12
圖13
圖14
圖15
圖16
圖17
圖18
圖19
圖20
圖21
圖22
圖23
圖24
圖25
圖26
圖27
圖28
③ 怎樣自己搭建伺服器建網站
1、打開控制面板,選擇並進入「程序」,雙擊「打開或關閉Windows服務」,在彈出的窗口中選擇「Internet信息服務」下面所有地選項,點擊確定後,開始更新服務。
2、更新完成後,打開瀏覽器,輸入「」回車,如果此時出現IIS7歡迎界面,說明Web伺服器已經搭建成功。
3、當web伺服器搭建成功後,我們下一步所要做的就是把我們開發的網站安裝到Web伺服器的目錄中。一般情況下,當Web伺服器安裝完成後,會創建路徑「%系統根目錄%inetpub/wwwroot」,將我們開發的網站COPY到該路徑下。即可實現本地訪問該網站。
4、設置防火牆,讓區域網當其它計算機也能訪問本地網站資源。具體方法:打開控制面板,選擇「系統和安全」,點擊「允許程序通過Windows防火牆」,在彈出的對話框中勾選「萬維網服務」按回車鍵,就可以訪問伺服器上的資源」。經過以上步驟的設置,區域網中的其它用戶就可以通過瀏覽器訪問你所共享的web資源了!
(3)商業網站怎麼搭建伺服器擴展閱讀:
入門級伺服器所連的終端比較有限(通常為20台左右),況且在穩定性、可擴展性以及容錯冗餘性能較差,僅適用於沒有大型資料庫數據交換、日常工作網路流量不大,無需長期不間斷開機的小型企業。
不過要說明的一點就是目前有的比較大型的伺服器開發、生產廠商在後面我們要講的企業級伺服器中也劃分出幾個檔次,其中最低檔的一個企業級伺服器檔次就是稱之為"入門級企業級伺服器",這里所講的入門級並不是與我們上面所講的"入門級"具有相同的含義,不過這種劃分的還是比較少。
還有一點就是,這種伺服器一般採用Intel的專用伺服器CPU晶元,是基於Intel架構(俗稱"IA結構")的,當然這並不是一種硬性的標准規定,而是由於伺服器的應用層次需要和價位的限制。
④ 網站運營之如何在本地搭建伺服器環境
1、假設論壇伺服器在自己的計算機安裝伺服器操作系統如win2003 win2008 等。
2、配置伺服器,並安裝asp.net所需對應服務。如打開IIS服務,安裝SQL Server 2005 ,Microsoft Visual Studio 2005等軟體。
3、軟體環境好了,接下來看你的上網方式。穩定的伺服器一般使用靜態IP地址和帶寬,選擇所在地區最好的出口,但這成本對於個人比較高。家庭用戶動態IP地址則受網路運營商限制,不一定能做伺服器使用(比如我們這就是,在電信網通都封掉了動態IP做伺服器的可能性,不在同一個城市,根本訪問不了)。動態IP可以通過動態域名解釋軟體如花生殼之類的,來綁定域名。當然,也可以通過直接訪問IP地址來訪問。
4、如果家裡邊使用路由,要在自己的路由上邊設置埠映射。
⑤ 1000分!我想搞網站(下載類網站),請問怎樣搭建伺服器
Squid是Linux下最為流行的代理伺服器軟體,它功能強大,支持對HTTP、FTP、Gopher、SSL、WAIS等協議的代理; 設置簡單,只需對配置文件稍稍改動就可使代理伺服器運轉起來。此外,Squid具有頁面緩存功能,它接受用戶的下載申請,並自動處理所下載的數據。
前期准備
Squid對硬體的要求是: 內存不應小於128M,硬碟轉速越快越好,最好使用伺服器專用SCSI硬碟,對CPU的要求不高,400MHz以上即可。筆者所管理的代理伺服器是Inter2150,安裝了Red Hat Linux 7.2,安裝時就帶有Squid。有兩塊網卡,一塊eth0配外部地址(比如211.88.99.66),一塊eth1配內網地址(比如192.168.5.1)。如果安裝了Gnome或其他圖形界面,就可以在netconfig中給兩塊網卡配置IP地址,不然的話,可在/etc/sysconfig/network-script路徑下更改文件ifcfg-eth0和ifcfg-eth1。
首先編輯ifcfg-eht0,有以下幾項:
DEVICE=eth0 (表示用哪塊網卡)
IPADDR=211.88.99.66 (設置該網卡的IP地址)
NETMASK=255.255.255.252 (設置子網掩碼)
同樣編輯ifcfg-eth1,然後運行命令network restart就可以使配置生效了。對eth0、eth1進行配置後,可以用ifconfig命令來查看是不是配置成功。
如果伺服器只有一張網卡,也不用擔心,Linux可以在一塊網卡上綁定多個IP地址。在圖形界面下配置很簡單,不贅述。如果在文本狀態下配置,可以將ifcfg-eth0復制並命名為ifcfg-eth0:1,把它完全當成兩塊網卡來配就可以了。
Squid的安裝
1. 安裝Linux
安裝Linux在硬碟分區時要注意,最好不要讓系統自己分區,而是手動分區。通常,在Linux系統中有且僅有一個交換分區(在文件系統形式中選擇Linux swap),它用做虛擬內存,建議將交換分區的大小設置為內存的兩倍。當硬碟的大小超過了8G,要再建立一個128M(稍稍大一點,不會出錯)的boot分區,這是為了避免將系統內核文件放到1024磁軌以外,如果將boot作為root分區的一個子目錄,內核文件就會安裝在root分區的任何地方。因為要用做代理伺服器,建議再分一個分區「var」,作為Squid的緩沖區,所以根據磁碟大小盡量分配大一點,最後將硬碟的剩餘空間全部分給root分區。
2. 安裝Squid
新手安裝Squid,建議在安裝Linux時就選中Squid,它並不是默認選中項,而且也不在選擇的大類中,要在詳細列表中查找。如果沒有安裝,又不想重裝系統,可以從www.squid-cache.org下載Squid軟體。
Squid代理伺服器的設置
安裝好Squid後幾乎就可以用了,用編輯器打開/etc/squid/squid.conf文件(以root登錄),Squid的配置文件共有125個配置項,但是一般來說,只要修改幾個配置項即可。找到「http_access deny all」並改為「http_access allow all」令所有的電腦都能通過代理服務訪問互聯網資源。其實只要修改該項,Squid服務就可以啟動了。
為了更好地控制代理伺服器的行為,還有幾個可配置項需要考慮:
1. cache_mem: 設置代理服務使用的內存大小,一般推薦為物理內存的三分之一。
2. cache_dir:設定緩存的位置、大小。一般格式如下:
cache_dir /var/spool/squid/cache 100 16 256
cache_dir指定cache目錄的路徑,默認為/var/spool/squid/cache。
/var/spool/squid/cache代表緩存的位置,使用squid -z指令會在這個目錄下建立存儲交換文件(swap files)的目錄。100表示緩存最大為100M,16和256代表一級和二級目錄數。實際使用時,100M是不夠的,如果硬碟夠大,可以增加存儲空間,比如:cache_dir /var/spool/squid/cache 2000 16 256。
3. http_port:代理服務使用的埠號,默認為3128,可以使用其他的埠,注意將前面的注釋符號「#」去掉。另外,使用埠不能和其他的服務重復,如果使用1024以下的埠,Squid必須以root身份運行。
4. maximum_object_size: 指定Squid可以接收的最大對象的大小。Squid預設值為4M,可以根據自己的需要進行設定。
啟動Squid
Squid可以設置為自動啟動。運行命令setup,在System services選項中選中Squid。設置後每次重新開機,都會自動執行Squid。
如果是第一次啟動,要建立/var/spool/squid下的暫存資料目錄,先輸入squid -z,再啟動Squid(直接運行Squid即可)。
啟動Squid後,在另一台Windows電腦上(以Internet Explorer 5.0為例)運行IE,單擊「工具」,接著單擊「Internet選項」,再單擊「連接」選項卡,選擇「區域網設置」。在「區域網設置」窗口中的「地址」處填上Squid伺服器的IP地址,在「埠」處填上「3218」(Squid軟體默認代理的埠號),確定後退出。接下來,隨意瀏覽一些網站檢查Squid的運行情況,也可以查看logs下的access.log和cache.log,看看代理是否運行正常。
代理伺服器的安全
代理伺服器是一個單位對外的門戶,安全至關重要。因此,應該採取必要的防護手段。
1. 防火牆的配置
為了保證代理伺服器的安全,最好加上防火牆,可以用IPchains或IPtable。
要使用ftp代理,還必須載入相關模塊。可以使用以下命令:
modprobe ip_comtrack_ftp
modprobe命令會自動載入指定模塊及其相關模塊。iptables_filter模塊會在運行時自動載入。
下面用IPtables一步一步地來建立包過濾防火牆,需要說明的是,在這個例子中,主要是對內部的各種伺服器提供保護。
給IPtables規則設置一個存儲路徑: iptables -restroe /etc/sysconfig/iptables。
現在開始考慮規則。在這里需要注意的是,伺服器/客戶機交互是雙向的,所以不僅僅要設置數據包出去的規則,還要設置數據包返回的規則,下面先建立針對來自Internet數據包的過濾規則。
1. 首先禁止轉發任何包,然後再一步步設置允許通過的包。
2. 先允許源為內網的所有埠的TCP包。
3. 再允許目的為內部網(192.168.5.0/24)的FTP數據包。
4. 允許目的為內網的來自Internet的非連接請求TCP包。
5. 最後一條接收所有UDP包,主要是針對oicq等使用UDP的服務。
6. icmp包通常用於網路測試等,故允許所有的icmp包通過。但是黑客常常採用icmp進行攻擊,如「ping of death」等,所以我們採用limit匹配擴展加以限制。對不管來自哪裡的icmp包都進行限制,允許每秒通過一個包,該限制觸發的條件是10個包。
不需要允許WWW服務的包,所有WWW服務由Squid代理。
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -s 198.168.5.2 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 198.168.5.0/24 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp -d 198.168.80.0/24 ! -syn -i eth0 -j ACCEPT
iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
說明:
-A加入(append) 一個新規則到一個鏈 (-A)的最後。(用-I可以插入一條規則,插入位置序號寫在Forward後,-D在鏈內某個位置刪除(delete) 一條規則,-R在鏈內某個位置替換(replace) 一條規則 )。
Forward鏈、Input鏈和Output鏈的區別如下:
1. 如果數據包的目的地址是本機,則系統將數據包送往Input鏈。如果通過規則檢查,則該包被發給相應的本地進程處理;如果沒有通過規則檢查,系統就會將這個包丟掉。
2. 如果數據包的目的地址不是本機,也就是說,這個包將被轉發,則系統將數據包送往Forward鏈。如果通過規則檢查,則該包被發給相應的本地進程處理; 如果沒有通過規則檢查,系統就會將這個包丟掉。
3. 如果數據包是由本地系統進程產生的,則系統將其送往Output鏈。如果通過規則檢查,則該包被發給相應的本地進程處理;如果沒有通過規則檢查,系統就會將這個包丟掉。
-s指定源地址,-d指定目的地址。
-p 指定協議,比如-p tcp。
-i或-o指定網路介面。需要注意的是,對於Input鏈來說,只可能有-i,也即只會有進入的包;同理,對於Output鏈來說,只可能有-o,也即只會有出去的包。只有Forward鏈既可以有-i的網路介面,也可以有-o的網路介面。
Drop表示符合規則就丟棄包,Accept相反。
然後,執行命令IPtables -L,可以查看已經建立的規則,並用命令IPtables -save將規則寫入文件。
通過以上步驟,我們建立了一個相對完整的防火牆,只對外開放了有限的幾個埠,同時提供了客戶對Internet的無縫訪問。
2. 其他建議
為了安全,最好不要在一台機器上運行太多服務。為了方便調試,一般都會提供telnet和ftp服務,但這往往是安全隱患,可以在/etc/host.allow和/etc/host.deny中進行限制。比如:區域網的內網網段為: 192.168.0.0,可以在hosts.allow文件中加入一行: telnet:192.168.0.0/255.255.0.0。在hosts.deny中加入一行:all:all。因為是先執行host.allow,再執行host.deny。所以上面就只打開了內網網段的telnet服務,而對外關閉。如果想打開其他服務,可以再加。如果還想加上機器名,可以在IP後加上「@abc」(abc代表某機器名)。想關閉所有服務、所有IP、所有機器名,可以在host.deny中寫上「all:all@all」。配置好了運行命令xinetd.d,配置就生效了。如果想遠程訪問代理伺服器,最好用SSH(因為telnet是明碼傳送,所以很不安全,SSH可以理解為加密的telnet),它的配置和應用比較簡單,不贅述