Richten Sie die IPTables-Firewall unter CentOS 6 ein

• Einführung
• Voraussetzungen
• Schritt 1: Bestimmen Sie die auf Ihrem Server verwendeten Dienste und Ports
• Schritt 2: Konfigurieren Sie die iptables-Regeln
• Schritt 3: Speichern Sie die Konfigurationen
• Problemumgehungen für versehentliches Blockieren

Einführung

Eine Firewall ist eine Art Netzwerksicherheitstool, das den eingehenden und ausgehenden Netzwerkverkehr gemäß dem vordefinierten Regelsatz steuert. Wir können eine Firewall zusammen mit anderen Sicherheitsmaßnahmen verwenden, um unsere Server vor Hackern und Angriffen zu schützen.

Das Design einer Firewall kann entweder eine dedizierte Hardware oder ein Softwareprogramm sein, das auf unserem Computer ausgeführt wird. Unter CentOS 6 ist das Standard-Firewall-Programm iptables.

In diesem Artikel werde ich Ihnen zeigen, wie Sie eine grundlegende iptables-Firewall basierend auf der Vultr-App "WordPress unter CentOS 6 x64" einrichten, die den gesamten Datenverkehr mit Ausnahme von Web-, SSH-, NTP-, DNS- und Ping-Diensten blockiert. Dies ist jedoch nur eine vorläufige Konfiguration, die die allgemeinen Sicherheitsanforderungen erfüllt. Sie benötigen eine komplexere iptables-Konfiguration, wenn Sie weitere Anforderungen haben.

Hinweis :

Wenn Sie Ihrem Server eine IPv6-Adresse hinzufügen, sollten Sie auch den Dienst ip6tables einrichten. Das Konfigurieren von ip6tables liegt außerhalb des Geltungsbereichs dieses Artikels.

Im Gegensatz zu CentOS 6 ist iptables nicht mehr das Standard-Firewall-Programm unter CentOS 7 und wurde durch ein Programm namens firewalld ersetzt. Wenn Sie CentOS 7 verwenden möchten, müssen Sie Ihre Firewall mithilfe von firewalld einrichten.

Voraussetzungen

Stellen Sie eine Serverinstanz mit der Vultr-App "WordPress on CentOS 6 x64" neu bereit und melden Sie sich dann als root an.

Schritt 1: Bestimmen Sie die auf Ihrem Server verwendeten Dienste und Ports

Ich gehe davon aus, dass dieser Server nur ein WordPress-Blog hostet und nicht als Router verwendet wird oder andere Dienste bereitstellt (z. B. Mail, FTP, IRC usw.).

Hier benötigen wir folgende Dienstleistungen:

• HTTP (TCP an Port 80)
• HTTPS (TCP an Port 443)
• SSH (TCP auf Port 22 kann standardmäßig aus Sicherheitsgründen geändert werden)
• NTP (UDP an Port 123)
• DNS (TCP und UDP an Port 53)
• Ping (ICMP)

Alle anderen unnötigen Ports werden blockiert.

Schritt 2: Konfigurieren Sie die iptables-Regeln

Iptables steuert den Verkehr mit einer Liste von Regeln. Wenn Netzwerkpakete an unseren Server gesendet werden, überprüft iptables sie anhand jeder Regel nacheinander und ergreift entsprechende Maßnahmen. Wenn eine Regel erfüllt ist, werden die anderen Regeln ignoriert. Wenn keine Regeln erfüllt sind, verwenden iptables die Standardrichtlinie.

Der gesamte Datenverkehr kann in INPUT, OUTPUT und FORWARD unterteilt werden.

• INPUT-Verkehr kann entweder normal oder böswillig sein und sollte selektiv zugelassen werden.
• OUTPUT-Verkehr wird normalerweise als sicher angesehen und sollte zugelassen werden.
• Der Vorwärtsverkehr ist nutzlos und sollte blockiert werden.

Lassen Sie uns nun die iptables-Regeln gemäß unseren Anforderungen konfigurieren. Alle folgenden Befehle sollten von Ihrem SSH-Terminal als root eingegeben werden.

Überprüfen Sie die vorhandenen Regeln:

iptables -L -n

Löschen Sie alle vorhandenen Regeln:

iptables -F; iptables -X; iptables -Z

Da Änderungen an der iptables-Konfiguration sofort wirksam werden, werden Sie möglicherweise von Ihrem Server blockiert, wenn Sie die iptables-Regeln falsch konfigurieren. Mit dem folgenden Befehl können Sie versehentliche Blockierungen verhindern. Denken Sie daran, diese [Your-IP-Address]durch Ihre eigene öffentliche IP-Adresse oder Ihren eigenen IP-Adressbereich zu ersetzen (z. B. 201.55.119.43 oder 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Lassen Sie den gesamten Loopback-Verkehr (lo) zu und löschen Sie den gesamten Verkehr auf 127.0.0.0/8, außer lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Blockiere einige häufige Angriffe:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Akzeptieren Sie alle hergestellten eingehenden Verbindungen:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Eingehenden HTTP- und HTTPS-Verkehr zulassen:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

SSH-Verbindungen zulassen:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

NTP-Verbindungen zulassen:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

DNS-Abfragen zulassen:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Ping zulassen:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Legen Sie zuletzt die Standardrichtlinien fest:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Schritt 3: Speichern Sie die Konfigurationen

Jede der oben vorgenommenen Änderungen wurde wirksam, ist jedoch nicht dauerhaft. Wenn wir sie nicht auf der Festplatte speichern, gehen sie beim Neustart des Systems verloren.

Speichern Sie die iptables-Konfiguration mit dem folgenden Befehl:

service iptables save

Unsere Änderungen werden in der Datei gespeichert /etc/sysconfig/iptables. Sie können die Regeln überprüfen oder ändern, indem Sie diese Datei bearbeiten.

Problemumgehungen für versehentliches Blockieren

Wenn Sie aufgrund eines Konfigurationsfehlers von Ihrem Server blockiert werden, können Sie mit einigen Problemumgehungen weiterhin auf Ihren Zugriff zurückgreifen.

• Wenn Sie Ihre Änderungen an den iptables-Regeln noch nicht gespeichert haben, können Sie Ihren Server über die Vultr-Website-Oberfläche neu starten. Ihre Änderungen werden dann gelöscht.
• Wenn Sie Ihre Änderungen gespeichert haben, können Sie sich über die Konsole über die Vultr-Website-Oberfläche bei Ihrem Server anmelden und Eingaben vornehmen iptables -F, um alle iptables-Regeln zu löschen . Dann können Sie die Regeln erneut einrichten.