Atur IPTables Firewall pada CentOS 6

• pengantar
• Prasyarat
• Langkah 1: Tentukan layanan dan port yang digunakan di server Anda
• Langkah 2: Konfigurasikan aturan iptables
• Langkah 3: Simpan konfigurasi
• Penanganan untuk pemblokiran yang tidak disengaja

pengantar

Firewall adalah jenis alat keamanan jaringan yang mengontrol lalu lintas jaringan masuk dan keluar sesuai dengan aturan yang ditetapkan sebelumnya. Kami dapat menggunakan firewall bersama dengan langkah-langkah keamanan lainnya untuk melindungi server kami dari serangan dan harga peretas.

Desain firewall dapat berupa perangkat keras khusus atau program perangkat lunak yang berjalan di mesin kami. Pada CentOS 6, program firewall default adalah iptables.

Pada artikel ini, saya akan menunjukkan kepada Anda cara mengatur firewall iptables dasar berdasarkan aplikasi Vultr "WordPress on CentOS 6 x64", yang akan memblokir semua lalu lintas kecuali untuk layanan web, SSH, NTP, DNS, dan ping. Namun, ini hanya konfigurasi awal yang memenuhi kebutuhan keamanan umum. Anda akan memerlukan konfigurasi iptables yang lebih canggih jika Anda memiliki persyaratan lebih lanjut.

Catatan :

Jika Anda menambahkan alamat IPv6 ke server Anda, Anda juga harus mengatur layanan ip6tables. Konfigurasi ip6tables berada di luar cakupan artikel ini.

Tidak seperti CentOS 6, iptables tidak lagi menjadi program firewall default pada CentOS 7, dan telah diganti dengan program yang disebut firewalld. Jika Anda berencana untuk menggunakan CentOS 7, Anda harus mengatur firewall Anda menggunakan firewalld.

Prasyarat

Baru menyebarkan contoh server dengan aplikasi Vultr "WordPress on CentOS 6 x64", lalu masuk sebagai root.

Langkah 1: Tentukan layanan dan port yang digunakan di server Anda

Saya berasumsi bahwa server ini hanya akan meng-host blog WordPress, dan itu tidak akan digunakan sebagai router atau menyediakan layanan lain (misalnya, surat, FTP, IRC, dll.).

Di sini, kami membutuhkan layanan berikut:

• HTTP (TCP pada port 80)
• HTTPS (TCP pada port 443)
• SSH (TCP pada port 22 secara default, dapat diubah untuk tujuan keamanan)
• NTP (UDP pada port 123)
• DNS (TCP dan UDP pada port 53)
• ping (ICMP)

Semua port lain yang tidak perlu akan diblokir.

Langkah 2: Konfigurasikan aturan iptables

Iptables mengontrol lalu lintas dengan daftar aturan. Ketika paket jaringan dikirim ke server kami, iptables akan memeriksanya menggunakan setiap aturan secara berurutan dan mengambil tindakan yang sesuai. Jika aturan terpenuhi, aturan lain akan diabaikan. Jika tidak ada aturan yang dipenuhi, iptables akan menggunakan kebijakan default.

Semua lalu lintas dapat dikategorikan sebagai INPUT, OUTPUT, dan FORWARD.

• Lalu lintas INPUT dapat berupa normal atau jahat, harus diizinkan secara selektif.
• Lalu lintas OUTPUT biasanya dianggap aman dan harus diizinkan.
• FORWARD traffic tidak berguna dan harus diblokir.

Sekarang, mari kita mengkonfigurasi aturan iptables sesuai dengan kebutuhan kita. Semua perintah berikut harus dimasukkan dari terminal SSH Anda sebagai root.

Periksa aturan yang ada:

iptables -L -n

Siram semua aturan yang ada:

iptables -F; iptables -X; iptables -Z

Karena perubahan pada konfigurasi iptables akan segera berlaku, jika Anda salah mengkonfigurasi aturan iptables, Anda mungkin diblokir dari server Anda. Anda dapat mencegah penyumbatan yang tidak disengaja dengan perintah berikut. Ingatlah untuk mengganti [Your-IP-Address]dengan alamat IP publik Anda atau rentang alamat IP (misalnya, 201.55.119.43 atau 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Izinkan semua lalu lintas loopback (lo) dan jatuhkan semua lalu lintas ke 127.0.0.0/8 selain dari lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Blokir beberapa serangan umum:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Terima semua koneksi masuk yang dibuat:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Izinkan lalu lintas masuk HTTP dan HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Izinkan koneksi SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Izinkan koneksi NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Izinkan kueri DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Izinkan ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Akhirnya, tetapkan kebijakan default:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Langkah 3: Simpan konfigurasi

Setiap perubahan yang kami buat di atas telah berlaku, tetapi tidak permanen. Jika kita tidak menyimpannya ke hard disk, mereka akan hilang begitu sistem reboot.

Simpan konfigurasi iptables dengan perintah berikut:

service iptables save

Perubahan kami akan disimpan dalam file /etc/sysconfig/iptables. Anda dapat meninjau atau mengubah aturan dengan mengedit file itu.

Penanganan untuk pemblokiran yang tidak disengaja

Jika Anda diblokir dari server Anda karena kesalahan konfigurasi, Anda masih bisa mendapatkan kembali akses Anda dengan beberapa solusi.

• Jika Anda belum menyimpan modifikasi Anda pada aturan iptables, Anda dapat me-restart server Anda dari antarmuka situs web Vultr, maka perubahan Anda akan dibatalkan.
• Jika Anda telah menyimpan perubahan Anda, Anda dapat login di server Anda melalui konsol dari antarmuka situs web Vultr, dan masukan iptables -Funtuk menyiram semua aturan iptables. Kemudian Anda dapat mengatur aturan lagi.