فایروال IPTables را در CentOS 6 تنظیم کنید

• معرفی
• پیش نیازها
• مرحله 1: خدمات و پورتهای مورد استفاده در سرور خود را تعیین کنید
• مرحله 2: قوانین iptables را پیکربندی کنید
• مرحله 3: تنظیمات را ذخیره کنید
• راه حلی برای انسداد تصادفی

معرفی

فایروال نوعی ابزار امنیتی شبکه ای است که مطابق مجموعه قوانین از پیش تعریف شده آن ، کنترل ترافیک شبکه ورودی و خروجی را کنترل می کند. ما می توانیم از فایروال به همراه سایر اقدامات ایمنی برای محافظت از سرورهای خود در برابر کشیش ها و حملات هکرها استفاده کنیم.

طراحی فایروال می تواند به صورت سخت افزاری اختصاصی یا یک برنامه نرم افزاری باشد که روی دستگاه ما اجرا می شود. در CentOS 6 ، برنامه پیش فرض فایروال iptables است.

در این مقاله به شما نشان خواهم داد که چگونه یک فایروال اصلی iptables را بر اساس برنامه Vultr "WordPress on CentOS 6 x64" تنظیم کنید ، که باعث می شود تمام ترافیک ها به جز سرویس های وب ، SSH ، NTP ، DNS و پینگ مسدود شود. با این حال ، این تنها یک پیکربندی اولیه است که نیازهای امنیتی مشترک را برآورده می کند. در صورت نیازهای بیشتر به پیکربندی پیچیده iptables نیاز دارید.

توجه :

اگر آدرس IPv6 را به سرور خود اضافه می کنید ، باید سرویس ip6tables را نیز تنظیم کنید. پیکربندی ip6tables خارج از محدوده این مقاله است.

بر خلاف CentOS 6 ، iptables دیگر برنامه پیش فرض فایروال در CentOS 7 نیست و با برنامه ای به نام firewalld جایگزین شده است. اگر قصد استفاده از CentOS 7 را دارید ، باید فایروال خود را با استفاده از فایروالد تنظیم کنید.

پیش نیازها

تازه یک نمونه سرور را با برنامه Vultr "WordPress on CentOS 6 x64" مستقر کنید ، سپس به عنوان root وارد شوید.

مرحله 1: خدمات و پورتهای مورد استفاده در سرور خود را تعیین کنید

تصور می کنم این سرور فقط یک وبلاگ وردپرس را میزبانی خواهد کرد و از آن به عنوان روتر استفاده نمی شود و یا خدمات دیگری را ارائه نمی دهد (به عنوان مثال ، نامه ، FTP ، IRC و غیره).

در اینجا ، ما به خدمات زیر نیاز داریم:

• HTTP (TCP در پورت 80)
• HTTPS (TCP در پورت 443)
• SSH (TCP در پورت 22 به طور پیش فرض ، می تواند برای اهداف امنیتی تغییر یابد)
• NTP (UDP در بندر 123)
• DNS (TCP و UDP در پورت 53)
• پینگ (ICMP)

همه درگاه های غیر ضروری دیگر مسدود خواهند شد.

مرحله 2: قوانین iptables را پیکربندی کنید

Iptables ترافیک را با لیستی از قوانین کنترل می کند. وقتی بسته های شبکه به سرور ما ارسال می شوند ، iptables با استفاده از هر قاعده به ترتیب آنها را بازرسی می کنند و بر این اساس اقدام می کنند. اگر یک قانون رعایت شود ، سایر قوانین نادیده گرفته می شوند. اگر هیچ قانونی رعایت نشود ، iptables از خط مشی پیش فرض استفاده می کند.

کلیه ترافیک ها را می توان به عنوان ورودی ، خروجی ، و FORWARD طبقه بندی کرد.

• ترافیک ورودی می تواند طبیعی یا مخرب باشد ، باید به صورت انتخابی مجاز باشد.
• ترافیک OUTPUT معمولاً بی خطر تلقی می شود و باید مجاز باشد.
• ترافیک پیش رو بی فایده است و باید مسدود شود.

حال ، اجازه دهید قوانین iptables را مطابق نیازهای خود پیکربندی کنیم. تمام دستورات زیر باید از ترمینال SSH شما به عنوان root وارد شوند.

قوانین موجود را بررسی کنید:

iptables -L -n

همه قوانین موجود را شستشو دهید:

iptables -F; iptables -X; iptables -Z

از آنجا که تغییرات در پیکربندی iptables بلافاصله عملی خواهد شد ، اگر قوانین iptables را اشتباه تنظیم کنید ، ممکن است از سرور خود مسدود شوید. با دستور زیر می توانید از انسداد تصادفی جلوگیری کنید. به یاد داشته باشید که [Your-IP-Address]آدرس IP عمومی یا دامنه آدرس IP خود را جایگزین کنید (برای مثال ، 201.55.119.43 یا 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

به همه ترافیک loopback (lo) اجازه دهید و تمام ترافیک را به غیر از lo به 127.0.0.0/8 رها کنید:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

حملات متداول را مسدود کنید:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

کلیه اتصالات ورودی داخلی را بپذیرید:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

مجاز به ترافیک ورودی HTTP و HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

اتصالات SSH مجاز:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

اتصالات NTP مجاز:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

مجاز به نمایش داده شد DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

مجاز به پینگ:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

در آخر ، خط مشی های پیش فرض را تنظیم کنید:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

مرحله 3: تنظیمات را ذخیره کنید

هر یک از تغییراتی که در بالا ایجاد کردیم به مرحله اجرا درآمده است ، اما دائمی نیستند. اگر آنها را در دیسک سخت ذخیره نکنیم ، پس از راه اندازی مجدد سیستم ، آنها از بین می روند.

پیکربندی iptables را با دستور زیر ذخیره کنید:

service iptables save

تغییرات ما در پرونده ذخیره می شود /etc/sysconfig/iptables. با ویرایش آن پرونده می توانید قوانین را مرور یا اصلاح کنید.

راه حلی برای انسداد تصادفی

اگر به دلیل اشتباه پیکربندی از سرور خود مسدود شده اید ، بازهم می توانید دسترسی خود را با برخی از راه حل ها دوباره بدست آورید.

• اگر هنوز تغییرات خود را در قوانین iptables ذخیره نکرده اید ، می توانید سرور خود را از رابط وب سایت Vultr مجدداً راه اندازی کنید ، سپس تغییرات شما کاهش می یابد.
• اگر تغییرات خود را ذخیره کرده اید ، می توانید از طریق کنسول از رابط وب سایت Vultr ، سرور خود را وارد کنید و برای شستن iptables -Fهمه قوانین iptables وارد شوید. سپس می توانید دوباره قوانین را تنظیم کنید.