Настройка брандмауэра IPTables на CentOS 6

• Вступление
• Предпосылки
• Шаг 1: Определите сервисы и порты, используемые на вашем сервере
• Шаг 2. Настройте правила iptables
• Шаг 3: Сохраните настройки
• Обходные пути для случайной блокировки

Вступление

Брандмауэр - это тип инструмента сетевой безопасности, который управляет входящим и исходящим сетевым трафиком в соответствии с его предопределенным набором правил. Мы можем использовать брандмауэр вместе с другими мерами безопасности для защиты наших серверов от попыток и атак хакеров.

Конструкция брандмауэра может быть либо выделенным оборудованием, либо программным обеспечением, работающим на нашей машине. В CentOS 6 программой брандмауэра по умолчанию является iptables.

В этой статье я покажу вам, как настроить базовый брандмауэр iptables на основе приложения Vultr «WordPress on CentOS 6 x64», которое будет блокировать весь трафик, за исключением веб-служб, SSH, NTP, DNS и служб ping. Однако это только предварительная конфигурация, которая удовлетворяет общим требованиям безопасности. Вам понадобится более сложная конфигурация iptables, если у вас есть дополнительные требования.

Примечание :

Если вы добавляете IPv6-адрес на свой сервер, вы также должны настроить службу ip6tables. Настройка ip6tables выходит за рамки этой статьи.

В отличие от CentOS 6, iptables больше не является программой брандмауэра по умолчанию в CentOS 7 и была заменена программой под названием firewalld. Если вы планируете использовать CentOS 7, вам нужно настроить брандмауэр с помощью firewalld.

Предпосылки

Недавно разверните экземпляр сервера с приложением Vultr «WordPress on CentOS 6 x64», затем войдите в систему как пользователь root.

Шаг 1: Определите сервисы и порты, используемые на вашем сервере

Я предполагаю, что на этом сервере будет размещаться только блог WordPress, и он не будет использоваться в качестве маршрутизатора или предоставлять другие услуги (например, почта, FTP, IRC и т. Д.).

Здесь нам нужны следующие услуги:

• HTTP (TCP на порт 80)
• HTTPS (TCP на порт 443)
• SSH (TCP для порта 22 по умолчанию, может быть изменен в целях безопасности)
• NTP (UDP на порту 123)
• DNS (TCP и UDP на порту 53)
• пинг (ICMP)

Все остальные ненужные порты будут заблокированы.

Шаг 2. Настройте правила iptables

Iptables контролирует трафик с помощью списка правил. Когда сетевые пакеты отправляются на наш сервер, iptables будет проверять их, используя каждое правило по очереди, и предпринимать соответствующие действия. Если правило выполняется, другие правила будут игнорироваться. Если правила не соблюдаются, iptables будет использовать политику по умолчанию.

Весь трафик может быть классифицирован как INPUT, OUTPUT и FORWARD.

• Входной трафик может быть как нормальным, так и вредоносным, его следует разрешать выборочно.
• Выходной трафик обычно считается безопасным и должен быть разрешен.
• ВПЕРЕД трафик бесполезен и должен быть заблокирован.

Теперь давайте настроим правила iptables в соответствии с нашими потребностями. Все следующие команды должны быть введены с вашего SSH-терминала от имени пользователя root.

Проверьте существующие правила:

iptables -L -n

Сбросьте все существующие правила:

iptables -F; iptables -X; iptables -Z

Поскольку изменения в конфигурации iptables вступят в силу немедленно, если вы неправильно настроите правила iptables, вы можете быть заблокированы на сервере. Вы можете предотвратить случайные блокировки с помощью следующей команды. Не забудьте заменить [Your-IP-Address]свой собственный публичный IP-адрес или диапазон IP-адресов (например, 201.55.119.43 или 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Разрешить весь петлевой (lo) трафик и сбросить весь трафик до 127.0.0.0/8, кроме lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Блокируйте некоторые распространенные атаки:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Принять все установленные входящие соединения:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Разрешить входящий трафик HTTP и HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Разрешить соединения SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Разрешить NTP-соединения:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Разрешить DNS-запросы:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Разрешить пинг:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Наконец, установите политики по умолчанию:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Шаг 3: Сохраните настройки

Каждое из изменений, которые мы сделали выше, вступили в силу, но они не являются постоянными. Если мы не сохраним их на жестком диске, они будут потеряны после перезагрузки системы.

Сохраните конфигурацию iptables с помощью следующей команды:

service iptables save

Наши изменения будут сохранены в файле /etc/sysconfig/iptables. Вы можете просмотреть или изменить правила, отредактировав этот файл.

Обходные пути для случайной блокировки

Если вы заблокированы на сервере из-за ошибки конфигурации, вы все равно можете восстановить доступ с помощью некоторых обходных путей.

• Если вы еще не сохранили свои изменения в правилах iptables, вы можете перезапустить сервер из интерфейса веб-сайта Vultr, тогда ваши изменения будут отменены.
• Если вы сохранили свои изменения, вы можете войти на сервер через консоль через интерфейс веб-сайта Vultr и ввести данные, iptables -Fчтобы сбросить все правила iptables. Затем вы можете установить правила снова.