CentOS 6でのIPTablesファイアウォールのセットアップ

前書き
前提条件
ステップ1：サーバーで使用されるサービスとポートを決定する
ステップ2：iptablesルールを構成する
ステップ3：構成を保存する
偶発的なブロックアウトの回避策

前書き

ファイアウォールは、事前定義されたルールセットに従って受信および送信ネットワークトラフィックを制御する一種のネットワークセキュリティツールです。フ��イアウォールとその他の安全対策を併用して、サーバーをハッカーの不正利用や攻撃から保護することができます。

ファイアウォールの設計は、専用のハードウェアまたはマシン上で実行されるソフトウェアプログラムのいずれかです。CentOS 6では、デフォルトのファイアウォールプログラムはiptablesです。

この記事では、Vultrの「WordPress on CentOS 6 x64」アプリに基づいて基本的なiptablesファイアウォールを設定する方法を示します。これにより、Web、SSH、NTP、DNS、およびpingサービスを除くすべてのトラフィックがブロックされます。ただし、これは一般的なセキュリティニーズを満たす予備的な構成にすぎません。さらに要件がある場合は、より洗練されたiptables構成が必要になります。

注：

サーバーにIPv6アドレスを追加する場合は、ip6tablesサービスも設定する必要があります。ip6tablesの構成は、この記事の範囲外です。

CentOS 6とは異なり、iptablesはCentOS 7のデフォルトのファイアウォールプログラムではなくなり、firewalldと呼ばれるプログラムに置き換えられました。CentOS 7を使用する場合は、firewalldを使用してファイアウォールを設定する必要があります。

前提条件

Vultrの「CentOS 6 x64上のWordPress」アプリでサーバーインスタンスを新たにデプロイし、rootとしてログインします。

ステップ1：サーバーで使用されるサービスとポートを決定する

このサーバーはWordPressブログのみをホストし、ルーターとして使用したり、他のサービス（メール、FTP、IRCなど）を提供したりすることはないと想定しています。

ここでは、次のサービスが必要です。

HTTP（ポート80のTCP）
HTTPS（ポート443のTCP）
SSH（デフォルトではポート22のTCP、セキュリティ上の目的で変更可能）
NTP（ポート123のUDP）
DNS（ポート53のTCPおよびUDP）
ping（ICMP）

他のすべての不要なポートはブロックされます。

ステップ2：iptablesルールを構成する

Iptablesは、ルールのリストでトラフィックを制御します。ネットワークパケットがサーバーに送信されると、iptablesは各ルールを順番に使用して検査し、それに応じてアクションを実行します。ルールが満たされた場合、他のルールは無視されます。ルールが満たされない場合、iptablesはデフォルトのポリシーを使用します。

すべてのトラフィックは、INPUT、OUTPUT、およびFORWARDに分類できます。

INPUTトラフィックは通常または悪意のあるものであり、選択的に許可する必要があります。
OUTPUTトラフィックは通常安全と見なされており、許可する必要があります。
FORWARDトラフィックは役に立たないため、ブロックする必要があります。

次に、必要に応じてiptablesルールを構成しましょう。以下のすべてのコマンドは、SSHターミナルからrootとして入力する必要があります。

既存のルールを確認します。

iptables -L -n

既存のすべてのルールをフラッシュします。

iptables -F; iptables -X; iptables -Z

iptables構成への変更はすぐに有効になるため、iptablesルールを誤って構成すると、サーバーからブロックされる可能性があります。次のコマンドを使用すると、偶発的なブロックアウトを防ぐことができます。[Your-IP-Address]独自のパブリックIPアドレスまたはIPアドレス範囲（たとえば、201.55.119.43または201.55.119.0/24）に置き換えることを忘れないでください。

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

すべてのループバック（lo）トラフィックを許可し、lo以外のすべてのトラフィックを127.0.0.0/8にドロップします。

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

いくつかの一般的な攻撃をブロックします。

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

確立されたすべてのインバウンド接続を受け入れます。

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

HTTPおよびHTTPSの受信トラフィックを許可します。

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

SSH接続を許可：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

NTP接続を許可：

iptables -A INPUT -p udp --dport 123 -j ACCEPT

DNSクエリを許可：

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

pingを許可：

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

最後に、デフォルトのポリシーを設定します。

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

ステップ3：構成を保存する

上記で行った変更はそれぞれ有効になりましたが、永続的なものではありません。ハードディスクに保存しないと、システムを再起動すると失われます。

次のコマンドを使用して、iptables構成を保存します。

service iptables save

変更はファイルに保存されます/etc/sysconfig/iptables。そのファイルを編集して、ルールを確認または変更できます。

偶発的なブロックアウトの回避策

設定の誤りが原因でサーバーからブロックされている場合でも、いくつかの回避策でアクセスを回復できます。

iptablesルールへの変更をまだ保存していない場合は、Vultr Webサイトインターフェイスからサーバーを再起動すると、変更が破棄されます。
変更を保存した場合は、Vultr Webサイトインターフェイスからコンソールを介してサーバーにログインし、入力iptables -Fしてすべてのiptablesルールをフラッシュできます。その後、ルールを再設定できます。

Tags: #CentOS #Security #Server Apps

Comment *

Name *

Website

CentOS 7サーバーにCyberPanelをインストールして構成する方法

別のシステムを使用していますか？はじめにCyberPanelは、オープンソースでありOpenLiteSpeedを使用する市場で最初のコントロールパネルの1つです。なんてこった

Debian、CentOS、およびFreeBSDでSudoを使用する方法

LinuxおよびUnixのシステム管理者の間では、sudoユーザーを使用してサーバーにアクセスし、コマンドをルートレベルで実行することは非常に一般的です。sudの使用

CentOS 7へのNetdataのインストール

別のシステムを使用していますか？Netdataは、リアルタイムのシステムメトリックモニタリングの分野における新星です。同じ種類の他のツールと比較すると、Netdata：

CentOS 7にJust Cause 2（JC2-MP）サーバーをインストールする方法

このチュートリアルでは、Just Cause 2マルチプレイヤーサーバーのセットアップ方法をよく学びます。前提条件開始する前に、システムが完全に更新されていることを確認してください

CentOS 7にStarbound Serverをインストールする方法

別のシステムを使用していますか？このチュートリアルでは、CentOS 7でStarboundサーバーをセットアップする方法を説明します。前提条件このゲームを所有している必要があります。

CentOS 8、Ubuntu 18.04、Debian 10、Fedora 31にGolang 1.13をインストールする方法

Go（Golangとも呼ばれます）は、静的に型付けされ、コンパイルされた、Cのようなプログラミング言語で、Googleによって開発されました。シンプルさと多用途性により、b

CentOS 7にDjangoをインストールする方法

Djangoは、Webアプリケーションを作成するための一般的なPythonフレームワークです。Djangoを使用すると、ホイールを再発明することなく、アプリケーションをより速く構築できます。あなたが望むなら

CentOS 7 LAMP VPSにTextPattern CMSをインストールする方法

別のシステムを使用していますか？TextPattern CMS 4.6.2はシンプルで柔軟な無料のオープンソースコンテンツ管理システム（CMS）であり、Webデザイナーが

CentOS 7にElggをインストールする

別のシステムを使用していますか？Elggはオープンソースのソーシャルネットワーキングエンジンであり、キャンパスのソーシャルネットワークや

CentOS 7にFroxlor Server Management Panelをインストールする方法

Froxlorは、オープンソースの無料で軽量かつ強力なサーバー管理パネルであり、Webホスティングサービスの確立と管理に最適です。ティ

CentOS 7でMatrix SynapseとRiotを使用してチャットサーバーを作成する

Matrixは、分散型リアルタイム通信用のオープンスタンダードの通信プロトコルです。マトリックスは、上記に分散されているホームサーバーとして実装されています

CentOS 7にVtiger CRM Open Source Editionをインストールする方法

Vtiger CRMは、企業が売り上げを伸ばし、顧客サービスを提供し、利益を増やすのに役立つ人気の顧客関係管理アプリケーションです。私

CentOS 7にPufferPanel（無料のMinecraftコントロールパネル）をインストールする方法

はじめにこのチュートリアルでは、Vultr VPSにPufferPanelをインストールしてください。PufferPanelは、オープンソースで自由に使用できるコントロールパネルで、あなたを管理します

CentOS 7にApacheをインストールする方法

この記事では、CentOS 7サーバーにApache 2.4をインストールするプロセスの概要を説明します。前提条件：最新のCentOS 7サーバー。sudoユーザー。Ste

PHPを5から7に更新する方法（NGINX / Apache、CentOS 7）

はじめにこのチュートリアルでは、NGINXまたはApacheを使用してPHP 5 *を7に更新する方法について説明します。前提条件始める前に、リポジトリを追加する必要があります

CentOS 7にMoinMoinをインストールする方法

MoinMoinは、Pythonで書かれたオープンソースのファイルシステムベースのWikiエンジンです。今日、MoinMoinはオープンソースコミュニティで広く使用されています。多くのベンダー

CentOS 7にSonarQubeをインストールする方法

別のシステムを使用していますか？SonarQubeは、品質システム開発のためのオープンソースツールです。Javaで書かれており、複数のデータベースをサポートしています。それは提供します

CentOS 7へのPritunlのインストール

PritunlはOpenVPNのオープンソース管理インターフェイスです。プライベートネットワークが可能で、ネイティブIPv6サポートがあり、使用方法は比較的簡単です。ター

OSの選択：CentOS、Ubuntu、Debian、FreeBSD、CoreOS、またはWindows Server

この記事では、Vultrでテンプレートとして提供されるサーバーオペレーティングシステムの概要を説明します。CentOS CentOSはRHEL（Re

CentOS 7にphpPgAdminをインストールする

phpPgAdminは、広く使用されているPostgreSQL管理ツールです。これを使用して、直感的なWebインターフェイスでPostgreSQLデータベースを管理できます。この記事では、

ヘルスケア2021における人工知能の影響

ヘルスケアにおけるAIは、過去数十年から大きな飛躍を遂げました。したがって、ヘルスケアにおけるAIの未来は、日々成長を続けています。

macOS Catalina 10.15.4サプリメントの更新により、解決するよりも多くの問題が発生しています

最近、Appleは問題を修正するための補足アップデートであるmacOS Catalina 10.15.4をリリースしましたが、このアップデートにより、Macマシンのブリックにつながる問題がさらに発生しているようです。詳細については、この記事をお読みください

原子力が必ずしも悪ではないことを証明する5つの例

原子力は、過去の出来事のために私たちが決して尊重しないことを常に軽蔑していますが、それは必ずしも悪ではありません。詳細については、投稿をお読みください。

AIはどのようにしてプロセス自動化を次のレベルに引き上げることができますか？

これを読んで、人工知能が小規模企業の間でどのように人気を博しているか、そして人工知能がどのように成長し、競合他社に優位に立つ可能性を高めているかを理解してください。

ジャーナリングファイルシステムとは何ですか、そしてそれはどのように機能しますか？

私たちのコンピューターは、ジャーナリングファイルシステムと呼ばれる組織化された方法ですべてのデータを保存します。これは、検索を押すとすぐにコンピューターがファイルを検索して表示できるようにする効率的な方法です。https：//wethegeek.com/？p = 94116＆preview = true

ビッグデータは人工知能をどのように変えていますか？

ビッグデータと人工知能は流行語ですが、それらがどのように相互に関連しているか知っていますか？さて、この記事を最後まで読んで、同じことを知ってください。

LiteCartショッピングカートプラットフォームをUbuntu 16.04にインストールする方法

LiteCartは、PHP、jQuery、およびHTML 5で記述された無料のオープンソースのショッピングカートプラットフォームです。シンプルで軽量、使いやすいeコマースソフトウォー

DebianでNFS共有をセットアップする

NFSはネットワークベースのファイルシステムであり、コンピューターはコンピューターネットワークを介してファイルにアクセスできます。このガイドでは、NFを介してフォルダーを公開する方法について説明します

Fedora 28にMatomo Analyticsをインストールする方法

別のシステムを使用していますか？Matomo（旧Piwik）は、Google Analyticsのオープンな代替手段であるオープンソースの分析プラットフォームです。Matomoのソースはoでホストされています

UbuntuでNginxをセットアップしてライブHLSビデオをストリーミングする

HTTPライブストリーミング（HLS）は、Apple Inc.によって実装された非常に堅牢なストリーミングビデオプロトコルです。HLSは、ファイアウォール、プロキシ、