Stel IPTables Firewall in op CentOS 6

• Invoering
• Vereisten
• Stap 1: Bepaal de services en poorten die op uw server worden gebruikt
• Stap 2: Configureer iptables-regels
• Stap 3: Sla de configuraties op
• Tijdelijke oplossingen voor onopzettelijke blokkering

Invoering

Een firewall is een type netwerkbeveiligingstool dat het inkomende en uitgaande netwerkverkeer regelt volgens de vooraf gedefinieerde regelset. We kunnen een firewall gebruiken samen met andere veiligheidsmaatregelen om onze servers te beschermen tegen de aanvallen en aanvallen van hackers.

Het ontwerp van een firewall kan speciale hardware zijn of een softwareprogramma dat op onze computer draait. Op CentOS 6 is het standaard firewallprogramma iptables.

In dit artikel laat ik je zien hoe je een standaard iptables-firewall opzet op basis van de Vultr "WordPress op CentOS 6 x64" -app, die al het verkeer blokkeert, behalve voor web-, SSH-, NTP-, DNS- en ping-services. Dit is echter slechts een voorlopige configuratie die voldoet aan algemene beveiligingsbehoeften. U heeft een meer geavanceerde iptables-configuratie nodig als u verdere vereisten heeft.

Opmerking :

Als u een IPv6-adres aan uw server toevoegt, moet u ook de service ip6tables instellen. Het configureren van ip6tables valt buiten het bestek van dit artikel.

In tegenstelling tot CentOS 6 is iptables niet langer het standaard firewallprogramma op CentOS 7 en is vervangen door een programma met de naam firewalld. Als u CentOS 7 wilt gebruiken, moet u uw firewall instellen met firewalld.

Vereisten

Implementeer een serverinstance opnieuw met de Vultr "WordPress op CentOS 6 x64" app en log vervolgens in als root.

Stap 1: Bepaal de services en poorten die op uw server worden gebruikt

Ik neem aan dat deze server alleen een WordPress-blog zal hosten en niet zal worden gebruikt als router of andere services zal bieden (bijvoorbeeld mail, FTP, IRC, enz.).

Hier hebben we de volgende services nodig:

• HTTP (TCP op poort 80)
• HTTPS (TCP op poort 443)
• SSH (TCP op poort 22 standaard, kan om veiligheidsredenen worden gewijzigd)
• NTP (UDP op poort 123)
• DNS (TCP en UDP op poort 53)
• ping (ICMP)

Alle andere onnodige poorten worden geblokkeerd.

Stap 2: Configureer iptables-regels

Iptables regelt het verkeer met een lijst met regels. Wanneer netwerkpakketten naar onze server worden verzonden, zullen iptables deze met elke regel achter elkaar inspecteren en dienovereenkomstig actie ondernemen. Als aan een regel wordt voldaan, worden de andere regels genegeerd. Als er niet aan de regels wordt voldaan, gebruikt iptables het standaardbeleid.

Al het verkeer kan worden gecategoriseerd als INPUT, OUTPUT en FORWARD.

• INPUT-verkeer kan normaal of schadelijk zijn en moet selectief worden toegestaan.
• OUTPUT-verkeer wordt normaal gesproken als veilig beschouwd en moet worden toegestaan.
• VOORUIT verkeer is nutteloos en moet worden geblokkeerd.

Laten we nu de iptables-regels configureren volgens onze behoeften. Alle volgende opdrachten moeten als root worden ingevoerd vanuit uw SSH-terminal.

Controleer de bestaande regels:

iptables -L -n

Spoel alle bestaande regels door:

iptables -F; iptables -X; iptables -Z

Aangezien wijzigingen in de iptables-configuratie onmiddellijk van kracht worden, kan het zijn dat uw server wordt geblokkeerd als u de iptables-regels verkeerd configureert. Met de volgende opdracht kunt u onbedoelde blokkades voorkomen. Vergeet niet te vervangen [Your-IP-Address]door uw eigen openbare IP-adres of IP-adresbereik (bijvoorbeeld 201.55.119.43 of 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Sta alle loopback (lo) verkeer toe en zet al het verkeer terug naar 127.0.0.0/8 behalve lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Blokkeer enkele veelvoorkomende aanvallen:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Accepteer alle gevestigde inkomende verbindingen:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Inkomend HTTP- en HTTPS-verkeer toestaan:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

SSH-verbindingen toestaan:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

NTP-verbindingen toestaan:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

DNS-zoekopdrachten toestaan:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Pingen toestaan:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Stel ten slotte het standaardbeleid in:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Stap 3: Sla de configuraties op

Elk van de wijzigingen die we hierboven hebben aangebracht, is van kracht geworden, maar ze zijn niet permanent. Als we ze niet op de harde schijf opslaan, gaan ze verloren zodra het systeem opnieuw opstart.

Sla de iptables-configuratie op met de volgende opdracht:

service iptables save

Onze wijzigingen worden opgeslagen in het bestand /etc/sysconfig/iptables. U kunt de regels herzien of wijzigen door dat bestand te bewerken.

Tijdelijke oplossingen voor onopzettelijke blokkering

Als u door een configuratiefout de toegang tot uw server wordt ontzegd, kunt u nog steeds toegang krijgen met een aantal tijdelijke oplossingen.

• Als je je wijzigingen in de iptables-regels nog niet hebt opgeslagen, kun je je server opnieuw opstarten vanuit de Vultr-website-interface, dan worden je wijzigingen verwijderd.
• Als je je wijzigingen hebt opgeslagen, kun je inloggen op je server via de console vanuit de Vultr-website-interface en invoer iptables -Fom alle iptables-regels te wissen . Vervolgens kunt u de regels opnieuw instellen.