Skonfiguruj zaporę IPTables na CentOS 6

• Wprowadzenie
• Wymagania wstępne
• Krok 1: Określ usługi i porty używane na serwerze
• Krok 2: Skonfiguruj reguły iptables
• Krok 3: Zapisz konfiguracje
• Obejścia dotyczące przypadkowego zablokowania

Wprowadzenie

Zapora ogniowa jest rodzajem narzędzia bezpieczeństwa sieci, które kontroluje przychodzący i wychodzący ruch sieciowy zgodnie ze wstępnie zdefiniowanym zestawem reguł. Możemy używać zapory ogniowej wraz z innymi środkami bezpieczeństwa, aby chronić nasze serwery przed atakami hakerów i atakami.

Zaporą ogniową może być dedykowany sprzęt lub program działający na naszym komputerze. W CentOS 6 domyślnym programem zapory jest iptables.

W tym artykule pokażę, jak skonfigurować podstawową zaporę iptables opartą na aplikacji Vultr „WordPress na CentOS 6 x64”, która będzie blokować cały ruch z wyjątkiem usług internetowych, SSH, NTP, DNS i ping. Jest to jednak tylko wstępna konfiguracja, która spełnia typowe potrzeby bezpieczeństwa. Jeśli masz dodatkowe wymagania, potrzebujesz bardziej wyrafinowanej konfiguracji iptables.

Uwaga :

Jeśli dodasz adres IPv6 do swojego serwera, powinieneś również skonfigurować usługę ip6tables. Konfigurowanie ip6tables wykracza poza zakres tego artykułu.

W przeciwieństwie do CentOS 6, iptables nie jest już domyślnym programem zapory w CentOS 7 i został zastąpiony programem o nazwie firewalld. Jeśli planujesz używać CentOS 7, musisz skonfigurować zaporę ogniową za pomocą firewalld.

Wymagania wstępne

Świeżo wdróż instancję serwera za pomocą aplikacji Vultr „WordPress na CentOS 6 x64”, a następnie zaloguj się jako root.

Krok 1: Określ usługi i porty używane na serwerze

Zakładam, że na tym serwerze będzie znajdować się tylko blog WordPress i nie będzie on używany jako router lub inne usługi (na przykład poczta, FTP, IRC itp.).

Potrzebujemy tutaj następujących usług:

• HTTP (TCP na porcie 80)
• HTTPS (TCP na porcie 443)
• SSH (TCP na porcie 22 domyślnie, można go zmienić ze względów bezpieczeństwa)
• NTP (UDP na porcie 123)
• DNS (TCP i UDP na porcie 53)
• ping (ICMP)

Wszystkie inne niepotrzebne porty zostaną zablokowane.

Krok 2: Skonfiguruj reguły iptables

Iptables kontroluje ruch za pomocą listy reguł. Gdy pakiety sieciowe są wysyłane do naszego serwera, iptables sprawdza je, używając każdej reguły w kolejności i odpowiednio podejmuje działania. Jeśli reguła zostanie spełniona, pozostałe reguły zostaną zignorowane. Jeśli nie zostaną spełnione żadne reguły, iptables użyje domyślnych zasad.

Cały ruch można sklasyfikować jako WEJŚCIE, WYJŚCIE i DO PRZODU.

• Ruch INPUT może być normalny lub złośliwy, powinien być dozwolony selektywnie.
• Ruch WYJŚCIOWY jest zwykle uważany za bezpieczny i powinien być dozwolony.
• Ruch DO PRZODU jest bezużyteczny i powinien zostać zablokowany.

Teraz skonfigurujmy reguły iptables zgodnie z naszymi potrzebami. Wszystkie poniższe polecenia powinny być wprowadzane z terminala SSH jako root.

Sprawdź istniejące zasady:

iptables -L -n

Opróżnij wszystkie istniejące reguły:

iptables -F; iptables -X; iptables -Z

Ponieważ zmiany w konfiguracji iptables zaczną obowiązywać natychmiast, jeśli źle skonfigurujesz reguły iptables, możesz zostać zablokowany na serwerze. Możesz zapobiec przypadkowym zablokowaniom za pomocą następującego polecenia. Pamiętaj o zastąpieniu [Your-IP-Address]własnym publicznym adresem IP lub zakresem adresów IP (na przykład 201.55.119.43 lub 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Zezwól na cały ruch pętli zwrotnej (lo) i upuść cały ruch do 127.0.0.0/8, inny niż lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Zablokuj niektóre typowe ataki:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Zaakceptuj wszystkie ustanowione połączenia przychodzące:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Zezwalaj na ruch przychodzący HTTP i HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Zezwalaj na połączenia SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Zezwalaj na połączenia NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Zezwalaj na zapytania DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Zezwalaj na ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

W końcu ustaw domyślne zasady:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Krok 3: Zapisz konfiguracje

Każda ze zmian, które wprowadziliśmy powyżej, zaczęła obowiązywać, ale nie są trwałe. Jeśli nie zapisamy ich na dysku twardym, zostaną utracone po ponownym uruchomieniu systemu.

Zapisz konfigurację iptables za pomocą następującego polecenia:

service iptables save

Nasze zmiany zostaną zapisane w pliku /etc/sysconfig/iptables. Możesz przejrzeć lub zmodyfikować reguły, edytując ten plik.

Obejścia dotyczące przypadkowego zablokowania

Jeśli zostaniesz zablokowany na serwerze z powodu błędu konfiguracji, nadal możesz odzyskać dostęp za pomocą kilku obejść.

• Jeśli nie zapisałeś jeszcze zmian w regułach iptables, możesz zrestartować serwer z interfejsu strony Vultr, a następnie zmiany zostaną usunięte.
• Jeśli zapisałeś zmiany, możesz zalogować się do serwera za pomocą konsoli z interfejsu witryny Vultr i wprowadzić dane, iptables -Faby opróżnić wszystkie reguły iptables. Następnie możesz ponownie skonfigurować reguły.