CentOS 6 पर IPTables फ़ायरवॉल सेटअप करें

परिचय

फ़ायरवॉल एक प्रकार का नेटवर्क सुरक्षा उपकरण है जो अपने पूर्वनिर्धारित नियम सेट के अनुसार इनबाउंड और आउटबाउंड नेटवर्क ट्रैफ़िक को नियंत्रित करता है। हम अपने सर्वर को हैकर्स के प्रिज़ और हमलों से बचाने के लिए अन्य सुरक्षा उपायों के साथ एक फ़ायरवॉल का उपयोग कर सकते हैं।

एक फ़ायरवॉल का डिज़ाइन या तो समर्पित हार्डवेयर या हमारी मशीन पर चलने वाला सॉफ़्टवेयर प्रोग्राम हो सकता है। CentOS 6 पर, डिफ़ॉल्ट फ़ायरवॉल प्रोग्राम iptables है।

इस लेख में, मैं आपको दिखाऊंगा कि कैसे एक बेसिक iptables फ़ायरवॉल सेट करें जो कि Vultr "WordPress on CentOS 6 x64" ऐप पर आधारित होगा, जो वेब, SSH, NTP, DNS और पिंग सेवाओं को छोड़कर सभी ट्रैफ़िक को रोक देगा। हालाँकि, यह केवल एक प्रारंभिक विन्यास है जो सामान्य सुरक्षा आवश्यकताओं को संतुष्ट करता है। यदि आपको और आवश्यकता हो तो आपको अधिक परिष्कृत iptables कॉन्फ़िगरेशन की आवश्यकता होगी।

नोट :

यदि आप अपने सर्वर में एक IPv6 पता जोड़ते हैं, तो आपको ip6tables सेवा भी सेट करनी चाहिए। Ip6tables को कॉन्फ़िगर करना इस लेख के दायरे से बाहर है।

CentOS 6 के विपरीत, iptables अब CentOS 7 पर डिफ़ॉल्ट फ़ायरवॉल प्रोग्राम नहीं है, और इसे फ़ायरवॉल नामक प्रोग्राम से बदल दिया गया है। यदि आप CentOS 7 का उपयोग करने की योजना बना रहे हैं, तो आपको फ़ायरवॉल का उपयोग करके अपना फ़ायरवॉल सेट करना होगा।

आवश्यक शर्तें

Vultr "WordPress पर CentOS 6 x64" ऐप के साथ एक सर्वर इंस्टेंस को फिर से तैनात करें, फिर रूट के रूप में लॉग इन करें।

चरण 1: अपने सर्वर पर उपयोग की जाने वाली सेवाओं और बंदरगाहों का निर्धारण करें

मुझे लगता है कि यह सर्वर केवल एक वर्डप्रेस ब्लॉग की मेजबानी करेगा, और इसका उपयोग राउटर के रूप में नहीं किया जाएगा या अन्य सेवाएं प्रदान नहीं करेगा (उदाहरण के लिए, मेल, एफ़टीपी, आईआरसी, आदि)।

यहां, हमें निम्नलिखित सेवाओं की आवश्यकता है:

  • HTTP (टीसीपी पोर्ट 80 पर)
  • HTTPS (TCP 443 पोर्ट पर)
  • SSH (TCP डिफ़ॉल्ट रूप से पोर्ट 22 पर, सुरक्षा उद्देश्यों के लिए बदला जा सकता है)
  • NTP (पोर्ट 123 पर UDP)
  • DNS (TCP और UDP पोर्ट 53 पर)
  • पिंग (ICMP)

अन्य सभी अनावश्यक बंदरगाहों को अवरुद्ध कर दिया जाएगा।

चरण 2: iptables नियमों को कॉन्फ़िगर करें

Iptables नियमों की एक सूची के साथ यातायात को नियंत्रित करता है। जब नेटवर्क पैकेट हमारे सर्वर पर भेजे जाते हैं, तो iptables अनुक्रम में प्रत्येक नियम का उपयोग करके उनका निरीक्षण करेंगे और तदनुसार कार्रवाई करेंगे। यदि एक नियम पूरा किया जाता है, तो अन्य नियमों की अनदेखी की जाएगी। यदि कोई नियम नहीं मिलते हैं, तो iptables डिफ़ॉल्ट नीति का उपयोग करेगा।

सभी ट्रैफ़िक को INPUT, OUTPUT और FORWARD के रूप में वर्गीकृत किया जा सकता है।

  • INPUT ट्रैफ़िक सामान्य या दुर्भावनापूर्ण हो सकता है, चुनिंदा रूप से अनुमति दी जानी चाहिए।
  • आमतौर पर यातायात को सुरक्षित माना जाता है और इसकी अनुमति दी जानी चाहिए।
  • आगे का ट्रैफिक बेकार है और इसे ब्लॉक किया जाना चाहिए।

अब, आइए हमारी आवश्यकताओं के अनुसार iptables नियमों को कॉन्फ़िगर करें। निम्नलिखित सभी कमांड आपके एसएसएच टर्मिनल से रूट के रूप में इनपुट होनी चाहिए।

मौजूदा नियमों की जाँच करें:

iptables -L -n

सभी मौजूदा नियम फ्लश करें:

iptables -F; iptables -X; iptables -Z

चूंकि iptables कॉन्फ़िगरेशन में परिवर्तन तुरंत प्रभावी होंगे, यदि आप iptables नियमों को गलत तरीके से कॉन्फ़िगर करते हैं, तो आप अपने सर्वर से अवरुद्ध हो सकते हैं। आप निम्न आदेश के साथ आकस्मिक रुकावटों को रोक सकते हैं। [Your-IP-Address]अपने खुद के सार्वजनिक आईपी पते या आईपी पते की सीमा (उदाहरण के लिए, 201.55.119.43 या 201.55.119.0/24) के साथ प्रतिस्थापित करना याद रखें ।

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

सभी लूपबैक (लो) ट्रैफ़िक की अनुमति दें और सभी ट्रैफ़िक को लो के अलावा 127.0.0.0/8 पर छोड़ दें:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

कुछ सामान्य हमलों को रोकें:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

सभी स्थापित इनबाउंड कनेक्शन स्वीकार करें:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

HTTP और HTTPS इनबाउंड ट्रैफ़िक की अनुमति दें:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

SSH कनेक्शन की अनुमति दें:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

NTP कनेक्शन की अनुमति दें:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

DNS प्रश्नों की अनुमति दें:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

पिंग की अनुमति दें:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

अंत में, डिफ़ॉल्ट नीतियां सेट करें:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

चरण 3: कॉन्फ़िगरेशन को सहेजें

हमने ऊपर किए गए प्रत्येक परिवर्तन को प्रभावी किया है, लेकिन वे स्थायी नहीं हैं। यदि हम उन्हें हार्ड डिस्क पर सहेजते नहीं हैं, तो सिस्टम रिबूट होने के बाद वे खो जाएंगे।

निम्नलिखित कमांड के साथ iptables कॉन्फ़िगरेशन को सहेजें:

service iptables save

हमारे परिवर्तन फ़ाइल में सहेजे जाएंगे /etc/sysconfig/iptables। आप उस फ़ाइल को संपादित करके नियमों की समीक्षा या संशोधन कर सकते हैं।

आकस्मिक ब्लॉकआउट के लिए वर्कअराउंड

यदि आप कॉन्फ़िगरेशन की गलती के कारण अपने सर्वर से बाहर हैं, तो आप अभी भी कुछ वर्कअराउंड के साथ अपनी पहुंच प्राप्त कर सकते हैं।

  • यदि आपने अपने संशोधनों को अभी तक iptables नियमों में सहेजा नहीं है, तो आप अपने सर्वर को Vultr वेबसाइट इंटरफ़ेस से पुनः आरंभ कर सकते हैं, फिर आपके परिवर्तन हटा दिए जाएंगे।
  • यदि आपने अपने परिवर्तनों को सहेज लिया है, तो आप अपने सर्वर में Vultr वेबसाइट इंटरफ़ेस से कंसोल के माध्यम से लॉग इन कर सकते हैं, और iptables -Fसभी iptables नियमों को फ्लश करने के लिए इनपुट कर सकते हैं। फिर आप नियमों को फिर से सेट कर सकते हैं।

एक टिप्पणी छोड़ें

डेबियन पर सेटअप NFS शेयर

डेबियन पर सेटअप NFS शेयर

एनएफएस एक नेटवर्क-आधारित फाइल सिस्टम है जो कंप्यूटरों को कंप्यूटर नेटवर्क पर फाइलों तक पहुंचने की अनुमति देता है। यह मार्गदर्शिका बताती है कि आप एनएफ पर फ़ोल्डर्स को कैसे उजागर कर सकते हैं

Ubuntu 16.04 पर लाइटकार्ट शॉपिंग कार्ट प्लेटफ़ॉर्म कैसे स्थापित करें

Ubuntu 16.04 पर लाइटकार्ट शॉपिंग कार्ट प्लेटफ़ॉर्म कैसे स्थापित करें

LiteCart PHP, jQuery और HTML में लिखा गया एक स्वतंत्र और ओपन सोर्स शॉपिंग कार्ट प्लेटफॉर्म है। यह ई-कॉमर्स सॉफ्टवेअर का उपयोग करने के लिए एक सरल, हल���का और आसान है

मोटोमो एनालिटिक्स को फेडोरा 28 पर कैसे स्थापित करें

मोटोमो एनालिटिक्स को फेडोरा 28 पर कैसे स्थापित करें

एक अलग प्रणाली का उपयोग? माटोमो (पूर्व में पिविक) एक ओपन सोर्स एनालिटिक्स प्लेटफॉर्म है, जो गूगल एनालिटिक्स का एक खुला विकल्प है। Matomo स्रोत को होस्ट किया गया है

कैसे स्थापित करें और अपने CentOS 7 सर्वर पर CyberPanel कॉन्फ़िगर करें

कैसे स्थापित करें और अपने CentOS 7 सर्वर पर CyberPanel कॉन्फ़िगर करें

एक अलग प्रणाली का उपयोग? परिचय CyberPanel बाजार पर पहला नियंत्रण पैनल है जो दोनों खुला स्रोत है और OpenLiteSpeed ​​का उपयोग करता है। क्या थी?

विंडोज सर्वर पर Garrys मॉड कैसे स्थापित करें

विंडोज सर्वर पर Garrys मॉड कैसे स्थापित करें

परिचय यह आलेख बताएगा कि विंडोज सर्वर 2012 पर गारस मोड सर्वर को कैसे डाउनलोड और इंस्टॉल किया जाए। यह गाइड गहराई में होने के लिए बनाया गया है।

Linux पर एक TeamTalk Server सेटअप करें

Linux पर एक TeamTalk Server सेटअप करें

टीमटॉक एक कॉन्फ्रेंसिंग प्रणाली है जो उपयोगकर्ताओं को उच्च-गुणवत्ता वाले ऑडियो / वीडियो वार्तालाप, टेक्स्ट चैट, स्थानांतरण फ़ाइलें और स्क्रीन साझा करने की अनुमति देती है। यह मैं

CentOS पर FFmpeg कैसे स्थापित करें

CentOS पर FFmpeg कैसे स्थापित करें

FFmpeg ऑडियो और वीडियो रिकॉर्ड करने, कन्वर्ट करने और स्ट्रीम करने के लिए एक लोकप्रिय ओपन सोर्स समाधान है, जो सभी प्रकार की ऑनलाइन स्ट्रीमिंग सेवाओं में व्यापक रूप से उपयोग किया जाता है। मैं

SSH का उपयोग करके LUKS डिस्क एन्क्रिप्शन पर LVM को दूरस्थ रूप से अनलॉक करने के लिए CentOS 7 स्थापित और सेटअप करें

SSH का उपयोग करके LUKS डिस्क एन्क्रिप्शन पर LVM को दूरस्थ रूप से अनलॉक करने के लिए CentOS 7 स्थापित और सेटअप करें

एलयूकेएस (लिनक्स यूनिफाइड की सेटअप) लिनक्स के लिए उपलब्ध विभिन्न डिस्क एन्क्रिप्शन प्रारूपों में से एक है जो प्लेटफॉर्म एग्नॉस्टिक है। यह ट्यूटोरियल आपको बुद्धि प्रदान करेगा

अपने Vultr VPS को कैसे एक्सेस करें

अपने Vultr VPS को कैसे एक्सेस करें

Vultr अपने VPS को कॉन्फ़िगर करने, स्थापित करने और उपयोग करने के लिए कई अलग-अलग तरीके प्रदान करता है। क्रेडेंशियल एक्सेस करें आपके VPS के लिए डिफ़ॉल्ट एक्सेस क्रेडेंशियल ar

CentOS 7 पर अक्टूबर CMS को कैसे स्थापित करें

CentOS 7 पर अक्टूबर CMS को कैसे स्थापित करें

अक्टूबर एक खुला स्रोत सामग्री प्रबंधन प्रणाली है जो लारवेल PHP फ्रेमवर्क पर आधारित है। एक सुरुचिपूर्ण इंटरफ़ेस और एक संक्षिप्त मॉड्यूलर वास्तुकला के साथ