ตั้งค่า IPTables Firewall บน CentOS 6

• บทนำ
• ข้อกำหนดเบื้องต้น
• ขั้นตอนที่ 1: กำหนดบริการและพอร์ตที่ใช้บนเซิร์ฟเวอร์ของคุณ
• ขั้นตอนที่ 2: กำหนดค่ากฎ iptables
• ขั้นตอนที่ 3: บันทึกการกำหนดค่า
• วิธีแก้ปัญหาสำหรับการปิดกั้นโดยไม่ตั้งใจ

บทนำ

ไฟร์วอลล์เป็นเครื่องมือรักษาความปลอดภัยเครือข่ายประเภทหนึ่งที่ควบคุมปริมาณการใช้งานเครือข่ายขาเข้าและขาออกตามกฎที่กำหนดไว้ล่วงหน้า เราสามารถใช้ไฟร์วอลล์พร้อมกับมาตรการความปลอดภัยอื่น ๆ เพื่อปกป้องเซิร์ฟเวอร์ของเราจากการโจมตีและการโจมตีของแฮกเกอร์

การออกแบบไฟร์วอลล์สามารถเป็นได้ทั้งฮาร์ดแวร์เฉพาะหรือโปรแกรมซอฟต์แวร์ที่ทำงานบนเครื่องของเรา บน CentOS 6 โปรแกรมไฟร์วอลล์เริ่มต้นคือ iptables

ในบทความนี้ฉันจะแสดงวิธีตั้งค่าไฟร์วอลล์ iptables ขั้นพื้นฐานตามแอพ Vultr "WordPress บน CentOS 6 x64" ซึ่งจะปิดกั้นการรับส่งข้อมูลทั้งหมดยกเว้นบริการบนเว็บ SSH NTP DNS และ ping อย่างไรก็ตามนี่เป็นเพียงการกำหนดค่าเบื้องต้นซึ่งตอบสนองความต้องการด้านความปลอดภัยทั่วไป คุณจะต้องมีการกำหนดค่า iptables ที่ซับซ้อนยิ่งขึ้นหากคุณมีข้อกำหนดเพิ่มเติม

หมายเหตุ :

หากคุณเพิ่มที่อยู่ IPv6 ไปยังเซิร์ฟเวอร์ของคุณคุณควรตั้งค่าบริการ ip6tables ด้วย การกำหนดค่า ip6tables อยู่นอกขอบเขตของบทความนี้

iptables ไม่เหมือนกับโปรแกรมไฟร์วอลล์เริ่มต้นบน CentOS 7 ซึ่งแตกต่างจาก CentOS 6 และถูกแทนที่ด้วยโปรแกรมที่เรียกว่า firewalld หากคุณวางแผนที่จะใช้ CentOS 7 คุณจะต้องตั้งค่าไฟร์วอลล์โดยใช้ไฟร์วอลล์

ข้อกำหนดเบื้องต้น

ปรับใช้อินสแตนซ์เซิร์ฟเวอร์ใหม่ด้วยแอป Vultr "WordPress บน CentOS 6 x64" จากนั้นเข้าสู่ระบบในฐานะผู้ใช้

ขั้นตอนที่ 1: กำหนดบริการและพอร์ตที่ใช้บนเซิร์ฟเวอร์ของคุณ

ฉันคิดว่าเซิร์ฟเวอร์นี้จะโฮสต์เฉพาะบล็อก WordPress และจะไม่ใช้เป็นเราเตอร์หรือให้บริการอื่น ๆ (ตัวอย่างเช่นจดหมาย FTP, IRC และอื่น ๆ )

ที่นี่เราต้องการบริการต่อไปนี้:

• HTTP (TCP บนพอร์ต 80)
• HTTPS (TCP บนพอร์ต 443)
• SSH (TCP บนพอร์ต 22 โดยค่าเริ่มต้นสามารถเปลี่ยนแปลงได้เพื่อความปลอดภัย)
• NTP (UDP บนพอร์ต 123)
• DNS (TCP และ UDP บนพอร์ต 53)
• ping (ICMP)

พอร์ตที่ไม่จำเป็นอื่น ๆ ทั้งหมดจะถูกปิดกั้น

ขั้นตอนที่ 2: กำหนดค่ากฎ iptables

Iptables ควบคุมปริมาณการใช้งานด้วยรายการกฎ เมื่อแพ็กเก็ตเครือข่ายถูกส่งไปยังเซิร์ฟเวอร์ของเรา iptables จะตรวจสอบพวกเขาโดยใช้กฎแต่ละอย่างตามลำดับและดำเนินการตามลำดับ หากปฏิบัติตามกฎแล้วกฎอื่น ๆ จะถูกเพิกเฉย หากไม่มีการปฏิบัติตามกฎ iptables จะใช้นโยบายเริ่มต้น

ปริมาณการใช้งานทั้งหมดสามารถแบ่งได้เป็น INPUT, OUTPUT และ FORWARD

• ทราฟฟิก INPUT สามารถเป็นได้ทั้งแบบปกติและเป็นอันตราย
• การส่งออกโดยทั่วไปถือว่าปลอดภัยและควรได้รับอนุญาต
• ปริมาณการใช้ไปข้างหน้าไม่มีประโยชน์และควรถูกบล็อก

ตอนนี้เรามากำหนดค่ากฎ iptables ตามความต้องการของเรา คำสั่งทั้งหมดต่อไปนี้ควรป้อนจากเทอร์มินัล SSH ของคุณเป็นรูท

ตรวจสอบกฎที่มีอยู่:

iptables -L -n

ล้างกฎที่มีอยู่ทั้งหมด:

iptables -F; iptables -X; iptables -Z

เนื่องจากการเปลี่ยนแปลงการกำหนดค่า iptables จะมีผลทันทีหากคุณกำหนดค่ากฎ iptables ผิดคุณอาจถูกบล็อกจากเซิร์ฟเวอร์ของคุณ คุณสามารถป้องกันการบล็อกโดยไม่ตั้งใจได้ด้วยคำสั่งดังต่อไปนี้ อย่าลืมแทนที่[Your-IP-Address]ด้วยที่อยู่ IP สาธารณะหรือช่วงที่อยู่ IP ของคุณเอง (ตัวอย่างเช่น 201.55.119.43 หรือ 201.55.119.0/24)

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

อนุญาตการรับส่งข้อมูลลูปแบ็ค (lo) ทั้งหมดและปล่อยทราฟฟิกทั้งหมดไปที่ 127.0.0.0/8 นอกเหนือจาก lo

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

บล็อกการโจมตีทั่วไปบางอย่าง:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

ยอมรับการเชื่อมต่อขาเข้าที่จัดตั้งขึ้นทั้งหมด:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

อนุญาตการรับส่งข้อมูลขาเข้า HTTP และ HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

อนุญาตการเชื่อมต่อ SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

อนุญาตการเชื่อมต่อ NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

อนุญาตการสืบค้น DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

อนุญาต ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

ในที่สุดตั้งค่านโยบายเริ่มต้น:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

ขั้นตอนที่ 3: บันทึกการกำหนดค่า

การเปลี่ยนแปลงแต่ละอย่างที่เราทำด้านบนมีผล แต่ไม่เปลี่ยนแปลงอย่างถาวร หากเราไม่บันทึกลงในฮาร์ดดิสก์พวกเขาจะหายไปเมื่อระบบรีบูต

บันทึกการกำหนดค่า iptables ด้วยคำสั่งต่อไปนี้:

service iptables save

/etc/sysconfig/iptablesการเปลี่ยนแปลงของเราจะถูกบันทึกไว้ในแฟ้ม คุณสามารถตรวจสอบหรือแก้ไขกฎโดยการแก้ไขไฟล์นั้น

วิธีแก้ปัญหาสำหรับการปิดกั้นโดยไม่ตั้งใจ

หากคุณถูกบล็อกออกจากเซิร์ฟเวอร์ของคุณเนื่องจากความผิดพลาดในการกำหนดค่าคุณยังสามารถกลับมาใช้งานได้อีกครั้งด้วยวิธีแก้ไขปัญหาบางอย่าง

• หากคุณยังไม่ได้บันทึกการแก้ไขกฎ iptables คุณสามารถรีสตาร์ทเซิร์ฟเวอร์ของคุณจากส่วนต่อประสานเว็บไซต์ Vultr จากนั้นการเปลี่ยนแปลงของคุณจะลดลง
• หากคุณบันทึกการเปลี่ยนแปลงของคุณคุณสามารถเข้าสู่เซิร์ฟเวอร์ของคุณผ่านทางคอนโซลจากส่วนต่อประสานเว็บไซต์ Vultr และป้อนข้อมูลiptables -Fเพื่อล้างกฎ iptables ทั้งหมด จากนั้นคุณสามารถตั้งค่ากฎอีกครั้ง