Sediakan Firewall IPTables di CentOS 6

• Pengenalan
• Prasyarat
• Langkah 1: Tentukan perkhidmatan dan port yang digunakan pada pelayan anda
• Langkah 2: Konfigurasikan peraturan iptables
• Langkah 3: Simpan konfigurasi
• Penyelesaian untuk penyekat yang tidak disengajakan

Pengenalan

Firewall adalah sejenis alat keselamatan rangkaian yang mengawal lalu lintas rangkaian masuk dan keluar mengikut set peraturan yang telah ditetapkan. Kami dapat menggunakan firewall bersama dengan langkah keselamatan lain untuk melindungi pelayan kami dari serangan dan serangan penggodam.

Reka bentuk firewall boleh menjadi perkakasan khusus atau program perisian yang berjalan di mesin kami. Pada CentOS 6, program firewall lalai adalah iptables.

Dalam artikel ini, saya akan menunjukkan kepada anda cara menyiapkan firewall iptables asas berdasarkan aplikasi Vultr "WordPress on CentOS 6 x64", yang akan menyekat semua lalu lintas kecuali untuk perkhidmatan web, SSH, NTP, DNS, dan ping. Walau bagaimanapun, ini hanyalah konfigurasi awal yang memenuhi keperluan keselamatan bersama. Anda memerlukan konfigurasi iptables yang lebih canggih jika anda mempunyai keperluan lebih lanjut.

Nota :

Sekiranya anda menambahkan alamat IPv6 ke pelayan anda, anda juga harus menyediakan perkhidmatan ip6tables. Mengkonfigurasi ip6tables berada di luar skop artikel ini.

Tidak seperti CentOS 6, iptables bukan lagi program firewall lalai di CentOS 7, dan telah diganti dengan program yang disebut firewalld. Sekiranya anda merancang untuk menggunakan CentOS 7, anda perlu menyiapkan firewall anda menggunakan firewalld.

Prasyarat

Baru gunakan contoh pelayan dengan aplikasi Vultr "WordPress on CentOS 6 x64", kemudian log masuk sebagai root.

Langkah 1: Tentukan perkhidmatan dan port yang digunakan pada pelayan anda

Saya menganggap bahawa pelayan ini hanya akan menghoskan blog WordPress, dan tidak akan digunakan sebagai penghala atau menyediakan perkhidmatan lain (contohnya, surat, FTP, IRC, dll.).

Di sini, kami memerlukan perkhidmatan berikut:

• HTTP (TCP pada port 80)
• HTTPS (TCP pada port 443)
• SSH (TCP pada port 22 secara lalai, boleh diubah untuk tujuan keselamatan)
• NTP (UDP di port 123)
• DNS (TCP dan UDP pada port 53)
• ping (ICMP)

Semua port lain yang tidak diperlukan akan disekat.

Langkah 2: Konfigurasikan peraturan iptables

Iptables mengawal lalu lintas dengan senarai peraturan. Apabila paket rangkaian dihantar ke pelayan kami, iptables akan memeriksanya menggunakan setiap peraturan secara berurutan dan mengambil tindakan yang sewajarnya. Sekiranya peraturan dipenuhi, peraturan lain akan diabaikan. Sekiranya tidak ada peraturan yang dipenuhi, iptables akan menggunakan dasar lalai.

Semua trafik boleh dikategorikan sebagai INPUT, OUTPUT, dan FORWARD.

• Lalu lintas INPUT boleh menjadi normal atau berbahaya, harus dibenarkan secara terpilih.
• Lalu lintas OUTPUT biasanya dianggap selamat dan harus dibenarkan.
• KEHADIRAN lalu lintas tidak berguna dan harus disekat.

Sekarang, mari kita konfigurasikan peraturan iptables mengikut keperluan kita. Semua arahan berikut harus dimasukkan dari terminal SSH anda sebagai root.

Periksa peraturan yang ada:

iptables -L -n

Bilas semua peraturan yang ada:

iptables -F; iptables -X; iptables -Z

Oleh kerana perubahan pada konfigurasi iptables akan berlaku serta merta, jika anda salah mengatur peraturan iptables, anda mungkin tersekat dari pelayan anda. Anda boleh mengelakkan penyekat secara tidak sengaja dengan arahan berikut. Ingatlah untuk mengganti [Your-IP-Address]dengan alamat IP awam atau julat alamat IP anda sendiri (misalnya, 201.55.119.43 atau 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Benarkan semua trafik loopback (lo) dan turunkan semua traffic ke 127.0.0.0/8 selain lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Sekat beberapa serangan biasa:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Terima semua sambungan masuk:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Benarkan trafik masuk HTTP dan HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Benarkan sambungan SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Benarkan sambungan NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Benarkan pertanyaan DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Benarkan ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Akhirnya, tetapkan dasar lalai:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Langkah 3: Simpan konfigurasi

Setiap perubahan yang kami buat di atas telah berlaku, tetapi tidak akan kekal. Sekiranya kita tidak menyimpannya ke cakera keras, ia akan hilang apabila sistem dihidupkan semula.

Simpan konfigurasi iptables dengan arahan berikut:

service iptables save

Perubahan kami akan disimpan dalam fail /etc/sysconfig/iptables. Anda boleh menyemak atau mengubah peraturan dengan mengedit fail itu.

Penyelesaian untuk penyekat yang tidak disengajakan

Sekiranya anda disekat keluar dari pelayan anda kerana kesalahan konfigurasi, anda masih boleh mendapatkan semula akses anda dengan beberapa penyelesaian.

• Sekiranya anda belum menyimpan pengubahsuaian pada peraturan iptables, anda boleh memulakan semula pelayan anda dari antara muka laman web Vultr, maka perubahan anda akan digugurkan.
• Sekiranya anda telah menyimpan perubahan anda, anda boleh log masuk pelayan anda melalui konsol dari antara muka laman web Vultr, dan masukan iptables -Funtuk membuang semua peraturan iptables. Kemudian anda boleh menetapkan peraturan lagi.