Configurar o firewall do IPTables no CentOS 6

• Introdução
• Pré-requisitos
• Etapa 1: determinar os serviços e portas usados ​​no seu servidor
• Etapa 2: Configurar regras do iptables
• Etapa 3: salvar as configurações
• Soluções alternativas para bloqueio acidental

Introdução

Um firewall é um tipo de ferramenta de segurança de rede que controla o tráfego da rede de entrada e saída de acordo com seu conjunto de regras predefinido. Podemos usar um firewall juntamente com outras medidas de segurança para proteger nossos servidores contra ataques e invasões de hackers.

O design de um firewall pode ser um hardware dedicado ou um programa de software em execução em nossa máquina. No CentOS 6, o programa de firewall padrão é iptables.

Neste artigo, mostrarei como configurar um firewall básico de tabelas de ip baseado no aplicativo Vultr "WordPress no CentOS 6 x64", que bloqueará todo o tráfego, exceto os serviços web, SSH, NTP, DNS e ping. No entanto, essa é apenas uma configuração preliminar que satisfaz as necessidades de segurança comuns. Você precisaria de uma configuração de iptables mais sofisticada se tiver mais requisitos.

Nota :

Se você adicionar um endereço IPv6 ao seu servidor, também deverá configurar o serviço ip6tables. A configuração de ip6tables está fora do escopo deste artigo.

Ao contrário do CentOS 6, o iptables não é mais o programa de firewall padrão no CentOS 7 e foi substituído por um programa chamado firewalld. Se você planeja usar o CentOS 7, precisará configurar seu firewall usando o firewalld.

Pré-requisitos

Implemente recentemente uma instância de servidor com o aplicativo Vultr "WordPress no CentOS 6 x64" e efetue login como root.

Etapa 1: determinar os serviços e portas usados ​​no seu servidor

Suponho que este servidor hospede apenas um blog WordPress e não seja usado como roteador ou forneça outros serviços (por exemplo, correio, FTP, IRC etc.).

Aqui, precisamos dos seguintes serviços:

• HTTP (TCP na porta 80)
• HTTPS (TCP na porta 443)
• SSH (TCP na porta 22, por padrão, pode ser alterado por motivos de segurança)
• NTP (UDP na porta 123)
• DNS (TCP e UDP na porta 53)
• ping (ICMP)

Todas as outras portas desnecessárias serão bloqueadas.

Etapa 2: Configurar regras do iptables

Iptables controla o tráfego com uma lista de regras. Quando os pacotes de rede são enviados ao nosso servidor, o iptables os inspecionará usando cada regra em sequência e executará as ações em conformidade. Se uma regra for atendida, as outras regras serão ignoradas. Se nenhuma regra for atendida, o iptables usará a política padrão.

Todo o tráfego pode ser classificado como INPUT, OUTPUT e FORWARD.

• O tráfego de ENTRADA pode ser normal ou malicioso, deve ser permitido seletivamente.
• O tráfego de SAÍDA é normalmente considerado seguro e deve ser permitido.
• O tráfego FORWARD é inútil e deve ser bloqueado.

Agora, vamos configurar as regras do iptables de acordo com nossas necessidades. Todos os seguintes comandos devem ser introduzidos a partir do seu terminal SSH como root.

Verifique as regras existentes:

iptables -L -n

Liberar todas as regras existentes:

iptables -F; iptables -X; iptables -Z

Como as alterações na configuração do iptables terão efeito imediato, se você configurar incorretamente as regras do iptables, poderá ficar bloqueado no servidor. Você pode impedir bloqueios acidentais com o seguinte comando. Lembre-se de substituir [Your-IP-Address]por seu próprio endereço IP público ou intervalo de endereços IP (por exemplo, 201.55.119.43 ou 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Permita todo o tráfego de loopback (lo) e solte todo o tráfego para 127.0.0.0/8, exceto lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Bloqueie alguns ataques comuns:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Aceite todas as conexões de entrada estabelecidas:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Permitir tráfego de entrada HTTP e HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Permitir conexões SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Permitir conexões NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Permitir consultas DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Permitir ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Por fim, defina as políticas padrão:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Etapa 3: salvar as configurações

Cada uma das alterações que fizemos acima entrou em vigor, mas não são permanentes. Se não os salvarmos no disco rígido, eles serão perdidos quando o sistema reiniciar.

Salve a configuração do iptables com o seguinte comando:

service iptables save

Nossas alterações serão salvas no arquivo /etc/sysconfig/iptables. Você pode revisar ou modificar as regras editando esse arquivo.

Soluções alternativas para bloqueio acidental

Se o seu servidor estiver bloqueado devido a um erro de configuração, você ainda poderá recuperar seu acesso com algumas soluções alternativas.

• Se você ainda não salvou suas modificações nas regras do iptables, poderá reiniciar o servidor na interface do site Vultr, e as alterações serão descartadas.
• Se você salvou as alterações, pode efetuar login no servidor através do console na interface do site Vultr e inserir iptables -Fpara liberar todas as regras do iptables. Então você pode configurar as regras novamente.