CentOS 6da IPTables Güvenlik Duvarını Kurma

• Giriş
• Ön şartlar
• 1. Adım: Sunucunuzda kullanılan hizmetleri ve bağlantı noktalarını belirleme
• 2. Adım: İptables kurallarını yapılandırma
• 3. Adım: Yapılandırmaları kaydedin
• Yanlışlıkla tıkanma için geçici çözümler

Giriş

Güvenlik duvarı, gelen ve giden ağ trafiğini önceden tanımlanmış kural kümesine göre kontrol eden bir tür ağ güvenlik aracıdır. Sunucularımızı bilgisayar korsanlarının gözetleme ve saldırılarına karşı korumak için bir güvenlik duvarı ve diğer güvenlik önlemlerini kullanabiliriz.

Güvenlik duvarının tasarımı, özel bir donanım veya makinemizde çalışan bir yazılım programı olabilir. CentOS 6'da varsayılan güvenlik duvarı programı iptables'dır.

Bu makalede, web, SSH, NTP, DNS ve ping hizmetleri hariç tüm trafiği engelleyecek olan Vultr "CentOS 6 x64 üzerinde WordPress" uygulamasına dayalı temel bir iptables güvenlik duvarının nasıl kurulacağını göstereceğim. Ancak, bu yalnızca ortak güvenlik gereksinimlerini karşılayan bir ön yapılandırmadır. Başka gereksinimleriniz varsa daha karmaşık bir iptables yapılandırmasına ihtiyacınız olacaktır.

Not :

Sunucunuza bir IPv6 adresi eklerseniz, ip6tables servisini de ayarlamanız gerekir. İp6tables'ı yapılandırmak bu makalenin kapsamı dışındadır.

CentOS 6'nın aksine, iptables artık CentOS 7'deki varsayılan güvenlik duvarı programı değil ve firewalld adlı bir programla değiştirildi. CentOS 7 kullanmayı planlıyorsanız, firewalld kullanarak güvenlik duvarınızı ayarlamanız gerekir.

Ön şartlar

Bir sunucu örneğini Vultr "CentOS 6 x64 üzerinde WordPress" uygulamasıyla yeni bir şekilde dağıtın, sonra root olarak oturum açın.

1. Adım: Sunucunuzda kullanılan hizmetleri ve bağlantı noktalarını belirleme

Bu sunucunun yalnızca bir WordPress blogunu barındırdığını ve yönlendirici olarak kullanılmayacağını veya başka hizmetler (örneğin, posta, FTP, IRC vb.) Sağlamayacağını varsayıyorum.

Burada aşağıdaki hizmetlere ihtiyacımız var:

• HTTP (80 numaralı bağlantı noktasında TCP)
• HTTPS (443 numaralı bağlantı noktasında TCP)
• SSH (varsayılan olarak 22 numaralı bağlantı noktasındaki TCP, güvenlik nedeniyle değiştirilebilir)
• NTP (123 numaralı bağlantı noktasında UDP)
• DNS (53 numaralı bağlantı noktasında TCP ve UDP)
• ping (ICMP)

Diğer tüm gereksiz bağlantı noktaları engellenir.

2. Adım: İptables kurallarını yapılandırma

Iptables bir kurallar listesi ile trafiği kontrol eder. Ağ paketleri sunucumuza gönderildiğinde, iptables bunları her kuralı sırayla inceler ve buna göre işlem yapar. Bir kurala uyulursa, diğer kurallar dikkate alınmaz. Kurallara uyulmazsa iptables varsayılan ilkeyi kullanır.

Tüm trafik INPUT, OUTPUT ve FORWARD olarak kategorize edilebilir.

• INPUT trafiği normal veya kötü amaçlı olabilir, seçime izin verilmelidir.
• ÇIKIŞ trafiği normalde güvenli kabul edilir ve buna izin verilmelidir.
• İLERİ trafik işe yaramaz ve engellenmelidir.

Şimdi iptables kurallarını ihtiyaçlarımıza göre yapılandıralım. Aşağıdaki tüm komutlar SSH terminalinizden kök olarak girilmelidir.

Mevcut kuralları kontrol edin:

iptables -L -n

Mevcut tüm kuralları yıkayın:

iptables -F; iptables -X; iptables -Z

İptables yapılandırmasındaki değişiklikler hemen etkili olacağından, iptables kurallarını yanlış yapılandırırsanız, sunucunuzdan engellenmiş olabilirsiniz. Aşağıdaki komutla yanlışlıkla engellenmeyi önleyebilirsiniz. [Your-IP-Address]Kendi genel IP adresiniz veya IP adres aralığınızla değiştirmeyi unutmayın (örneğin, 201.55.119.43 veya 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Tüm geri döngü (lo) trafiğine izin ver ve tüm trafiği lo dışında 127.0.0.0/8 değerine bırak:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Bazı yaygın saldırıları engelleyin:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Kurulu tüm gelen bağlantıları kabul edin:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

HTTP ve HTTPS gelen trafiğine izin ver:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

SSH bağlantılarına izin ver:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

NTP bağlantılarına izin ver:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

DNS sorgularına izin ver:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Ping yapmaya izin ver:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Sonunda, varsayılan politikaları ayarlayın:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

3. Adım: Yapılandırmaları kaydedin

Yukarıda yaptığımız değişikliklerin her biri yürürlüğe girdi, ancak bunlar kalıcı değil. Sabit diske kaydetmezsek, sistem yeniden başlatıldığında bunlar kaybolur.

İptables yapılandırmasını aşağıdaki komutla kaydedin:

service iptables save

Değişikliklerimiz dosyaya kaydedilecektir /etc/sysconfig/iptables. Bu dosyayı düzenleyerek kuralları inceleyebilir veya değiştirebilirsiniz.

Yanlışlıkla tıkanma için geçici çözümler

Bir yapılandırma hatası nedeniyle sunucunuzdan engellenirse, yine de bazı geçici çözümlerle erişiminizi yeniden kazanabilirsiniz.

• Değişikliklerinizi henüz iptables kurallarında kaydetmediyseniz, sunucunuzu Vultr web sitesi arayüzünden yeniden başlatabilirsiniz, sonra değişiklikleriniz iptal edilir.
• Değişikliklerinizi kaydettiyseniz, Vultr web sitesi arayüzünden konsoldan sunucunuza giriş yapabilir ve iptables -Ftüm iptables kurallarını temizlemek için giriş yapabilirsiniz . Ardından kuralları yeniden ayarlayabilirsiniz.