CentOS 6에서 IPTables 방화벽 설정

• 소개
• 전제 조건
• 1 단계 : 서버에서 사용되는 서비스 및 포트 결정
• 2 단계 : iptables 규칙 구성
• 3 단계 : 구성 저장
• 우발적 차단을위한 해결 방법

소개

방화벽은 미리 정의 된 규칙 집합에 따라 인바운드 및 아웃 바운드 네트워크 트래픽을 제어하는 ​​네트워크 보안 도구 유형입니다. 방화벽을 다른 안전 조치와 함께 사용하여 서버를 해커의 공격과 공격으로부터 보호 할 수 있습니다.

방화벽의 디자인은 전용 하드웨어이거나 머신에서 실행되는 소프트웨어 프로그램 일 수 있습니다. CentOS 6에서 기본 방화벽 프로그램은 iptables입니다.

이 기사에서는 웹, SSH, NTP, DNS 및 Ping 서비스를 제외한 모든 트래픽을 차단하는 Vultr "WordPress on CentOS 6 x64"앱을 기반으로 기본 iptables 방화벽을 설정하는 방법을 설명합니다. 그러나 이것은 일반적인 보안 요구를 충족시키는 예비 구성 일뿐입니다. 추가 요구 사항이있는 경우보다 정교한 iptables 구성이 필요합니다.

참고 :

서버에 IPv6 주소를 추가하는 경우 ip6tables 서비스도 설정해야합니다. ip6tables 구성은이 기사에서 다루지 않습니다.

CentOS 6과 달리 iptables는 더 이상 CentOS 7의 기본 방화벽 프로그램이 아니며 firewalld라는 프로그램으로 대체되었습니다. CentOS 7을 사용하려는 경우 방화벽을 사용하여 방화벽을 설정해야합니다.

전제 조건

Vultr "WordPress on CentOS 6 x64"앱을 사용하여 서버 인스턴스를 새로 배포 한 다음 루트로 로그인하십시오.

1 단계 : 서버에서 사용되는 서비스 및 포트 결정

이 서버는 WordPress 블로그 만 호스팅하며 라우터로 사용되거나 다른 서비스 (예 : 메일, FTP, IRC 등)를 제공하지 않는다고 가정합니다.

여기에는 다음과 같은 서비스가 필요합니다.

• HTTP (포트 80의 TCP)
• HTTPS (포트 443의 TCP)
• SSH (기본적으로 포트 22의 TCP, 보안 목적으로 변경 가능)
• NTP (포트 123의 UDP)
• DNS (포트 53의 TCP 및 UDP)
• 핑 (ICMP)

다른 모든 불필요한 포트는 차단됩니다.

2 단계 : iptables 규칙 구성

Iptables는 규칙 목록으로 트래픽을 제어합니다. 네트워크 패킷이 서버로 전송되면 iptables는 각 규칙을 순서대로 사용하여 패킷을 검사하고 그에 따라 조치를 취합니다. 규칙이 충족되면 다른 규칙은 무시됩니다. 규칙이 충족되지 않으면 iptables는 기본 정책을 사용합니다.

모든 트래픽은 INPUT, OUTPUT 및 FORWARD로 분류 할 수 있습니다.

• 입력 트래픽은 정상이거나 악의적 일 수 있으므로 선택적으로 허용해야합니다.
• OUTPUT 트래픽은 일반적으로 안전한 것으로 간주되며 허용되어야합니다.
• FORWARD 트래픽은 쓸모가 없으며 차단되어야합니다.

이제 필요에 따라 iptables 규칙을 구성 해 봅시다. 다음 모든 명령은 SSH 터미널에서 루트로 입력해야합니다.

기존 규칙을 확인하십시오.

iptables -L -n

기존 규칙을 모두 비 웁니다.

iptables -F; iptables -X; iptables -Z

iptables 구성에 대한 변경 사항이 즉시 적용되므로 iptables 규칙을 잘못 구성하면 서버에서 차단 될 수 있습니다. 다음 명령으로 실수로 차단되는 것을 방지 할 수 있습니다. [Your-IP-Address]자신의 공용 IP 주소 또는 IP 주소 범위 (예 : 201.55.119.43 또는 201.55.119.0/24) 로 교체 해야합니다.

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

모든 루프백 (lo) 트래픽을 허용하고 lo 이외의 모든 트래픽을 127.0.0.0/8로 삭제하십시오.

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

일반적인 공격을 차단하십시오.

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

설정된 모든 인바운드 연결을 수락하십시오.

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

HTTP 및 HTTPS 인바운드 트래픽 허용 :

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

SSH 연결을 허용하십시오.

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

NTP 연결 허용 :

iptables -A INPUT -p udp --dport 123 -j ACCEPT

DNS 쿼리 허용 :

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

핑 허용 :

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

마지막으로 기본 정책을 설정하십시오.

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

3 단계 : 구성 저장

위에서 변경 한 내용이 모두 적용되었지만 영구적이지는 않습니다. 하드 디스크에 저장하지 않으면 시스템을 다시 부팅하면 손실됩니다.

다음 명령으로 iptables 구성을 저장하십시오.

service iptables save

변경 사항이 파일에 저장됩니다 /etc/sysconfig/iptables. 해당 파일을 편집하여 규칙을 검토하거나 수정할 수 있습니다.

우발적 차단을위한 해결 방법

구성 실수로 인해 서버에서 차단 된 경우에도 일부 해결 방법으로 다시 액세스 할 수 있습니다.

• iptables 규칙에 대한 수정 사항을 아직 저장하지 않은 경우 Vultr 웹 사이트 인터페이스에서 서버를 다시 시작할 수 있습니다. 그러면 변경 사항이 삭제됩니다.
• 변경 사항을 저장 한 경우 Vultr 웹 사이트 인터페이스에서 콘솔을 통해 서버에 로그인하고 입력 iptables -F하여 모든 iptables 규칙을 플러시 할 수 있습니다. 그런 다음 규칙을 다시 설정할 수 있습니다.