CentOS 6 पर IPTables फ़ायरवॉल सेटअप करें

• परिचय
• आवश्यक शर्तें
• चरण 1: अपने सर्वर पर उपयोग की जाने वाली सेवाओं और बंदरगाहों का निर्धारण करें
• चरण 2: iptables नियमों को कॉन्फ़िगर करें
• चरण 3: कॉन्फ़िगरेशन को सहेजें
• आकस्मिक ब्लॉकआउट के लिए वर्कअराउंड

परिचय

फ़ायरवॉल एक प्रकार का नेटवर्क सुरक्षा उपकरण है जो अपने पूर्वनिर्धारित नियम सेट के अनुसार इनबाउंड और आउटबाउंड नेटवर्क ट्रैफ़िक को नियंत्रित करता है। हम अपने सर्वर को हैकर्स के प्रिज़ और हमलों से बचाने के लिए अन्य सुरक्षा उपायों के साथ एक फ़ायरवॉल का उपयोग कर सकते हैं।

एक फ़ायरवॉल का डिज़ाइन या तो समर्पित हार्डवेयर या हमारी मशीन पर चलने वाला सॉफ़्टवेयर प्रोग्राम हो सकता है। CentOS 6 पर, डिफ़ॉल्ट फ़ायरवॉल प्रोग्राम iptables है।

इस लेख में, मैं आपको दिखाऊंगा कि कैसे एक बेसिक iptables फ़ायरवॉल सेट करें जो कि Vultr "WordPress on CentOS 6 x64" ऐप पर आधारित होगा, जो वेब, SSH, NTP, DNS और पिंग सेवाओं को छोड़कर सभी ट्रैफ़िक को रोक देगा। हालाँकि, यह केवल एक प्रारंभिक विन्यास है जो सामान्य सुरक्षा आवश्यकताओं को संतुष्ट करता है। यदि आपको और आवश्यकता हो तो आपको अधिक परिष्कृत iptables कॉन्फ़िगरेशन की आवश्यकता होगी।

नोट :

यदि आप अपने सर्वर में एक IPv6 पता जोड़ते हैं, तो आपको ip6tables सेवा भी सेट करनी चाहिए। Ip6tables को कॉन्फ़िगर करना इस लेख के दायरे से बाहर है।

CentOS 6 के विपरीत, iptables अब CentOS 7 पर डिफ़ॉल्ट फ़ायरवॉल प्रोग्राम नहीं है, और इसे फ़ायरवॉल नामक प्रोग्राम से बदल दिया गया है। यदि आप CentOS 7 का उपयोग करने की योजना बना रहे हैं, तो आपको फ़ायरवॉल का उपयोग करके अपना फ़ायरवॉल सेट करना होगा।

आवश्यक शर्तें

Vultr "WordPress पर CentOS 6 x64" ऐप के साथ एक सर्वर इंस्टेंस को फिर से तैनात करें, फिर रूट के रूप में लॉग इन करें।

चरण 1: अपने सर्वर पर उपयोग की जाने वाली सेवाओं और बंदरगाहों का निर्धारण करें

मुझे लगता है कि यह सर्वर केवल एक वर्डप्रेस ब्लॉग की मेजबानी करेगा, और इसका उपयोग राउटर के रूप में नहीं किया जाएगा या अन्य सेवाएं प्रदान नहीं करेगा (उदाहरण के लिए, मेल, एफ़टीपी, आईआरसी, आदि)।

यहां, हमें निम्नलिखित सेवाओं की आवश्यकता है:

• HTTP (टीसीपी पोर्ट 80 पर)
• HTTPS (TCP 443 पोर्ट पर)
• SSH (TCP डिफ़ॉल्ट रूप से पोर्ट 22 पर, सुरक्षा उद्देश्यों के लिए बदला जा सकता है)
• NTP (पोर्ट 123 पर UDP)
• DNS (TCP और UDP पोर्ट 53 पर)
• पिंग (ICMP)

अन्य सभी अनावश्यक बंदरगाहों को अवरुद्ध कर दिया जाएगा।

चरण 2: iptables नियमों को कॉन्फ़िगर करें

Iptables नियमों की एक सूची के साथ यातायात को नियंत्रित करता है। जब नेटवर्क पैकेट हमारे सर्वर पर भेजे जाते हैं, तो iptables अनुक्रम में प्रत्येक नियम का उपयोग करके उनका निरीक्षण करेंगे और तदनुसार कार्रवाई करेंगे। यदि एक नियम पूरा किया जाता है, तो अन्य नियमों की अनदेखी की जाएगी। यदि कोई नियम नहीं मिलते हैं, तो iptables डिफ़ॉल्ट नीति का उपयोग करेगा।

सभी ट्रैफ़िक को INPUT, OUTPUT और FORWARD के रूप में वर्गीकृत किया जा सकता है।

• INPUT ट्रैफ़िक सामान्य या दुर्भावनापूर्ण हो सकता है, चुनिंदा रूप से अनुमति दी जानी चाहिए।
• आमतौर पर यातायात को सुरक्षित माना जाता है और इसकी अनुमति दी जानी चाहिए।
• आगे का ट्रैफिक बेकार है और इसे ब्लॉक किया जाना चाहिए।

अब, आइए हमारी आवश्यकताओं के अनुसार iptables नियमों को कॉन्फ़िगर करें। निम्नलिखित सभी कमांड आपके एसएसएच टर्मिनल से रूट के रूप में इनपुट होनी चाहिए।

मौजूदा नियमों की जाँच करें:

iptables -L -n

सभी मौजूदा नियम फ्लश करें:

iptables -F; iptables -X; iptables -Z

चूंकि iptables कॉन्फ़िगरेशन में परिवर्तन तुरंत प्रभावी होंगे, यदि आप iptables नियमों को गलत तरीके से कॉन्फ़िगर करते हैं, तो आप अपने सर्वर से अवरुद्ध हो सकते हैं। आप निम्न आदेश के साथ आकस्मिक रुकावटों को रोक सकते हैं। [Your-IP-Address]अपने खुद के सार्वजनिक आईपी पते या आईपी पते की सीमा (उदाहरण के लिए, 201.55.119.43 या 201.55.119.0/24) के साथ प्रतिस्थापित करना याद रखें ।

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

सभी लूपबैक (लो) ट्रैफ़िक की अनुमति दें और सभी ट्रैफ़िक को लो के अलावा 127.0.0.0/8 पर छोड़ दें:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

कुछ सामान्य हमलों को रोकें:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

सभी स्थापित इनबाउंड कनेक्शन स्वीकार करें:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

HTTP और HTTPS इनबाउंड ट्रैफ़िक की अनुमति दें:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

SSH कनेक्शन की अनुमति दें:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

NTP कनेक्शन की अनुमति दें:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

DNS प्रश्नों की अनुमति दें:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

पिंग की अनुमति दें:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

अंत में, डिफ़ॉल्ट नीतियां सेट करें:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

चरण 3: कॉन्फ़िगरेशन को सहेजें

हमने ऊपर किए गए प्रत्येक परिवर्तन को प्रभावी किया है, लेकिन वे स्थायी नहीं हैं। यदि हम उन्हें हार्ड डिस्क पर सहेजते नहीं हैं, तो सिस्टम रिबूट होने के बाद वे खो जाएंगे।

निम्नलिखित कमांड के साथ iptables कॉन्फ़िगरेशन को सहेजें:

service iptables save

हमारे परिवर्तन फ़ाइल में सहेजे जाएंगे /etc/sysconfig/iptables। आप उस फ़ाइल को संपादित करके नियमों की समीक्षा या संशोधन कर सकते हैं।

आकस्मिक ब्लॉकआउट के लिए वर्कअराउंड

यदि आप कॉन्फ़िगरेशन की गलती के कारण अपने सर्वर से बाहर हैं, तो आप अभी भी कुछ वर्कअराउंड के साथ अपनी पहुंच प्राप्त कर सकते हैं।

• यदि आपने अपने संशोधनों को अभी तक iptables नियमों में सहेजा नहीं है, तो आप अपने सर्वर को Vultr वेबसाइट इंटरफ़ेस से पुनः आरंभ कर सकते हैं, फिर आपके परिवर्तन हटा दिए जाएंगे।
• यदि आपने अपने परिवर्तनों को सहेज लिया है, तो आप अपने सर्वर में Vultr वेबसाइट इंटरफ़ेस से कंसोल के माध्यम से लॉग इन कर सकते हैं, और iptables -Fसभी iptables नियमों को फ्लश करने के लिए इनपुट कर सकते हैं। फिर आप नियमों को फिर से सेट कर सकते हैं।