Configurer le pare-feu IPTables sur CentOS 6

• introduction
• Conditions préalables
• Étape 1: déterminer les services et les ports utilisés sur votre serveur
• Étape 2: configurer les règles iptables
• Étape 3: enregistrer les configurations
• Solutions de contournement en cas de blocage accidentel

introduction

Un pare-feu est un type d'outil de sécurité réseau qui contrôle le trafic réseau entrant et sortant en fonction de son ensemble de règles prédéfini. Nous pouvons utiliser un pare-feu avec d'autres mesures de sécurité pour protéger nos serveurs contre les intrusions et les attaques des pirates.

La conception d'un pare-feu peut être soit du matériel dédié, soit un logiciel s'exécutant sur notre machine. Sur CentOS 6, le programme de pare-feu par défaut est iptables.

Dans cet article, je vais vous montrer comment configurer un pare-feu iptables de base basé sur l'application Vultr "WordPress on CentOS 6 x64", qui bloquera tout le trafic à l'exception des services Web, SSH, NTP, DNS et ping. Cependant, ce n'est qu'une configuration préliminaire qui répond aux besoins de sécurité communs. Vous auriez besoin d'une configuration iptables plus sophistiquée si vous avez d'autres exigences.

Remarque :

Si vous ajoutez une adresse IPv6 à votre serveur, vous devez également configurer le service ip6tables. La configuration d'ip6tables n'entre pas dans le cadre de cet article.

Contrairement à CentOS 6, iptables n'est plus le programme de pare-feu par défaut sur CentOS 7 et a été remplacé par un programme appelé firewalld. Si vous prévoyez d'utiliser CentOS 7, vous devrez configurer votre pare-feu à l'aide de firewalld.

Conditions préalables

Déployez une instance de serveur avec l'application Vultr "WordPress sur CentOS 6 x64", puis connectez-vous en tant que root.

Étape 1: déterminer les services et les ports utilisés sur votre serveur

Je suppose que ce serveur hébergera uniquement un blog WordPress, et il ne sera pas utilisé comme routeur ni fournir d'autres services (par exemple, courrier, FTP, IRC, etc.).

Ici, nous avons besoin des services suivants:

• HTTP (TCP sur le port 80)
• HTTPS (TCP sur le port 443)
• SSH (TCP sur le port 22 par défaut, peut être modifié pour des raisons de sécurité)
• NTP (UDP sur le port 123)
• DNS (TCP et UDP sur le port 53)
• ping (ICMP)

Tous les autres ports inutiles seront bloqués.

Étape 2: configurer les règles iptables

Iptables contrôle le trafic avec une liste de règles. Lorsque des paquets réseau sont envoyés à notre serveur, iptables les inspectera en utilisant chaque règle dans l'ordre et prendra des mesures en conséquence. Si une règle est remplie, les autres règles seront ignorées. Si aucune règle n'est respectée, iptables utilisera la politique par défaut.

Tout le trafic peut être classé comme ENTRÉE, SORTIE et AVANT.

• Le trafic INPUT peut être normal ou malveillant, doit être autorisé de manière sélective.
• Le trafic de SORTIE est normalement considéré comme sûr et doit être autorisé.
• Le trafic AVANT est inutile et doit être bloqué.

Maintenant, configurons les règles iptables selon nos besoins. Toutes les commandes suivantes doivent être entrées depuis votre terminal SSH en tant que root.

Vérifiez les règles existantes:

iptables -L -n

Vider toutes les règles existantes:

iptables -F; iptables -X; iptables -Z

Étant donné que les modifications apportées à la configuration d'iptables prendront effet immédiatement, si vous configurez mal les règles d'iptables, vous risquez d'être bloqué hors de votre serveur. Vous pouvez empêcher les blocages accidentels avec la commande suivante. N'oubliez pas de remplacer [Your-IP-Address]par votre propre adresse IP publique ou plage d'adresses IP (par exemple, 201.55.119.43 ou 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Autoriser tout le trafic de bouclage (lo) et supprimer tout le trafic à 127.0.0.0/8 autre que lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Bloquer certaines attaques courantes:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Acceptez toutes les connexions entrantes établies:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Autoriser le trafic entrant HTTP et HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Autoriser les connexions SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Autoriser les connexions NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Autoriser les requêtes DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Autoriser le ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Enfin, définissez les politiques par défaut:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Étape 3: enregistrer les configurations

Chacune des modifications que nous avons apportées ci-dessus a pris effet, mais elles ne sont pas permanentes. Si nous ne les enregistrons pas sur le disque dur, ils seront perdus une fois le système redémarré.

Enregistrez la configuration iptables avec la commande suivante:

service iptables save

Nos modifications seront enregistrées dans le fichier /etc/sysconfig/iptables. Vous pouvez consulter ou modifier les règles en modifiant ce fichier.

Solutions de contournement en cas de blocage accidentel

Si vous êtes bloqué hors de votre serveur en raison d'une erreur de configuration, vous pouvez toujours retrouver votre accès avec quelques solutions.

• Si vous n'avez pas encore enregistré vos modifications dans les règles iptables, vous pouvez redémarrer votre serveur à partir de l'interface du site Web Vultr, puis vos modifications seront abandonnées.
• Si vous avez enregistré vos modifications, vous pouvez vous connecter à votre serveur via la console à partir de l'interface du site Web Vultr et entrer iptables -Fpour vider toutes les règles iptables. Ensuite, vous pouvez à nouveau configurer les règles.