Installa IPTables Firewall su CentOS 6

• introduzione
• Prerequisiti
• Passaggio 1: determinare i servizi e le porte utilizzati sul server
• Passaggio 2: configurare le regole di iptables
• Passaggio 3: salvare le configurazioni
• Soluzioni alternative per il blocco accidentale

introduzione

Un firewall è un tipo di strumento di sicurezza della rete che controlla il traffico di rete in entrata e in uscita in base al suo set di regole predefinito. Possiamo usare un firewall insieme ad altre misure di sicurezza per proteggere i nostri server da attacchi e attacchi di hacker.

La progettazione di un firewall può essere hardware dedicato o un programma software in esecuzione sulla nostra macchina. Su CentOS 6, il programma firewall predefinito è iptables.

In questo articolo, ti mostrerò come impostare un firewall iptables di base basato sull'app Vultr "WordPress su CentOS 6 x64", che bloccherà tutto il traffico ad eccezione dei servizi web, SSH, NTP, DNS e ping. Tuttavia, questa è solo una configurazione preliminare che soddisfa le esigenze di sicurezza comuni. Avresti bisogno di una configurazione iptables più sofisticata se hai ulteriori requisiti.

Nota :

Se aggiungi un indirizzo IPv6 al tuo server, dovresti anche impostare il servizio ip6tables. La configurazione di ip6tables non rientra nell'ambito di questo articolo.

A differenza di CentOS 6, iptables non è più il programma firewall predefinito su CentOS 7 ed è stato sostituito con un programma chiamato firewalld. Se stai pianificando di utilizzare CentOS 7, dovrai configurare il tuo firewall usando firewalld.

Prerequisiti

Distribuire di recente un'istanza del server con l'app Vultr "WordPress su CentOS 6 x64", quindi accedere come root.

Passaggio 1: determinare i servizi e le porte utilizzati sul server

Suppongo che questo server ospiterà solo un blog WordPress e non verrà utilizzato come router o fornirà altri servizi (ad esempio posta, FTP, IRC, ecc.).

Qui, abbiamo bisogno dei seguenti servizi:

• HTTP (TCP sulla porta 80)
• HTTPS (TCP sulla porta 443)
• SSH (TCP sulla porta 22 per impostazione predefinita, può essere modificato per motivi di sicurezza)
• NTP (UDP sulla porta 123)
• DNS (TCP e UDP sulla porta 53)
• ping (ICMP)

Tutte le altre porte non necessarie verranno bloccate.

Passaggio 2: configurare le regole di iptables

Iptables controlla il traffico con un elenco di regole. Quando i pacchetti di rete vengono inviati al nostro server, iptables li ispezionerà usando ciascuna regola in sequenza e agirà di conseguenza. Se viene soddisfatta una regola, le altre regole verranno ignorate. Se non vengono rispettate le regole, iptables utilizzerà la politica predefinita.

Tutto il traffico può essere classificato come INPUT, OUTPUT e FORWARD.

• Il traffico INPUT può essere normale o dannoso, dovrebbe essere consentito in modo selettivo.
• Il traffico OUTPUT è normalmente considerato sicuro e dovrebbe essere consentito.
• Il traffico FORWARD è inutile e deve essere bloccato.

Ora configuriamo le regole di iptables in base alle nostre esigenze. Tutti i seguenti comandi devono essere immessi dal terminale SSH come root.

Controlla le regole esistenti:

iptables -L -n

Svuota tutte le regole esistenti:

iptables -F; iptables -X; iptables -Z

Poiché le modifiche alla configurazione di iptables avranno effetto immediato, se si configurano in modo errato le regole di iptables, è possibile che il server venga bloccato. È possibile impedire blocchi accidentali con il seguente comando. Ricorda di sostituire [Your-IP-Address]con il tuo indirizzo IP pubblico o intervallo di indirizzi IP (ad esempio, 201.55.119.43 o 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Consenti tutto il traffico di loopback (lo) e rilascia tutto il traffico su 127.0.0.0/8 diverso da lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Blocca alcuni attacchi comuni:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Accetta tutte le connessioni in entrata stabilite:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Consenti traffico in entrata HTTP e HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Consenti connessioni SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Consenti connessioni NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Consenti query DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Consenti ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Alla fine, imposta i criteri predefiniti:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Passaggio 3: salvare le configurazioni

Ciascuna delle modifiche che abbiamo apportato sopra ha avuto effetto, ma non sono permanenti. Se non li salviamo sul disco rigido, andranno persi al riavvio del sistema.

Salvare la configurazione di iptables con il seguente comando:

service iptables save

Le nostre modifiche verranno salvate nel file /etc/sysconfig/iptables. Puoi rivedere o modificare le regole modificando quel file.

Soluzioni alternative per il blocco accidentale

Se sei bloccato fuori dal tuo server a causa di un errore di configurazione, puoi comunque riottenere l'accesso con alcune soluzioni alternative.

• Se non hai ancora salvato le modifiche alle regole di iptables, puoi riavviare il server dall'interfaccia del sito Web Vultr, quindi le modifiche verranno eliminate.
• Se le modifiche sono state salvate, è possibile accedere al server tramite la console dall'interfaccia del sito Web Vultr e immettere iptables -Fper svuotare tutte le regole di iptables. Quindi è possibile impostare nuovamente le regole.