Thiết lập tường lửa IPTables trên CentOS 6

Giới thiệu

Tường lửa là một loại công cụ bảo mật mạng kiểm soát lưu lượng mạng trong và ngoài theo bộ quy tắc được xác định trước. Chúng tôi có thể sử dụng tường lửa cùng với các biện pháp an toàn khác để bảo vệ máy chủ của chúng tôi khỏi các cuộc tấn công và tấn công của tin tặc.

Thiết kế của tường lửa có thể là phần cứng chuyên dụng hoặc chương trình phần mềm chạy trên máy của chúng tôi. Trên CentOS 6, chương trình tường lửa mặc định là iptables.

Trong bài viết này, tôi sẽ chỉ cho bạn cách thiết lập tường lửa iptables cơ bản dựa trên ứng dụng Vultr "WordPress trên CentOS 6 x64", sẽ chặn tất cả lưu lượng truy cập ngoại trừ các dịch vụ web, SSH, NTP, DNS và ping. Tuy nhiên, đây chỉ là một cấu hình sơ bộ đáp ứng nhu cầu bảo mật chung. Bạn sẽ cần một cấu hình iptables tinh vi hơn nếu bạn có thêm yêu cầu.

Lưu ý :

Nếu bạn thêm địa chỉ IPv6 vào máy chủ của mình, bạn cũng nên thiết lập dịch vụ ip6tables. Cấu hình ip6tables nằm ngoài phạm vi của bài viết này.

Không giống như CentOS 6, iptables không còn là chương trình tường lửa mặc định trên CentOS 7 và đã được thay thế bằng một chương trình có tên là tường lửa. Nếu bạn đang dự định sử dụng CentOS 7, bạn sẽ cần thiết lập tường lửa của mình bằng tường lửa.

Điều kiện tiên quyết

Mới triển khai một phiên bản máy chủ với ứng dụng Vultr "WordPress trên CentOS 6 x64", sau đó đăng nhập bằng root.

Bước 1: Xác định các dịch vụ và cổng được sử dụng trên máy chủ của bạn

Tôi giả định rằng máy chủ này sẽ chỉ lưu trữ một blog WordPress và nó sẽ không được sử dụng làm bộ định tuyến hoặc cung cấp các dịch vụ khác (ví dụ: mail, FTP, IRC, v.v.).

Ở đây, chúng tôi cần các dịch vụ sau:

  • HTTP (TCP trên cổng 80)
  • HTTPS (TCP trên cổng 443)
  • SSH (TCP trên cổng 22 theo mặc định, có thể được thay đổi cho mục đích bảo mật)
  • NTP (UDP trên cổng 123)
  • DNS (TCP và UDP trên cổng 53)
  • ping (ICMP)

Tất cả các cổng không cần thiết khác sẽ bị chặn.

Bước 2: Cấu hình quy tắc iptables

Iptables kiểm soát lưu lượng với một danh sách các quy tắc. Khi các gói mạng được gửi đến máy chủ của chúng tôi, iptables sẽ kiểm tra chúng bằng cách sử dụng từng quy tắc theo trình tự và thực hiện các hành động tương ứng. Nếu một quy tắc được đáp ứng, các quy tắc khác sẽ bị bỏ qua. Nếu không có quy tắc nào được đáp ứng, iptables sẽ sử dụng chính sách mặc định.

Tất cả lưu lượng truy cập có thể được phân loại thành INPUT, OUTPUT và FORWARD.

  • Lưu lượng INPUT có thể là bình thường hoặc độc hại, nên được cho phép có chọn lọc.
  • Lưu lượng OUTPUT thường được coi là an toàn và nên được cho phép.
  • Lưu lượng truy cập là vô ích và nên bị chặn.

Bây giờ, hãy cấu hình các quy tắc iptables theo nhu cầu của chúng tôi. Tất cả các lệnh sau phải được nhập từ thiết bị đầu cuối SSH của bạn dưới dạng root.

Kiểm tra các quy tắc hiện có:

iptables -L -n

Xóa tất cả các quy tắc hiện có:

iptables -F; iptables -X; iptables -Z

Vì các thay đổi đối với cấu hình iptables sẽ có hiệu lực ngay lập tức, nếu bạn cấu hình sai các quy tắc iptables, bạn có thể bị chặn khỏi máy chủ của mình. Bạn có thể ngăn chặn tình cờ chặn bằng lệnh sau. Hãy nhớ thay thế [Your-IP-Address]bằng địa chỉ IP công cộng hoặc dải địa chỉ IP của riêng bạn (ví dụ: 201.55.119.43 hoặc 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Cho phép tất cả lưu lượng loopback (lo) và thả tất cả lưu lượng xuống 127.0.0.0/8 ngoài lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Chặn một số cuộc tấn công phổ biến:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Chấp nhận tất cả các kết nối gửi đến được thiết lập:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Cho phép lưu lượng truy cập HTTP và HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Cho phép kết nối SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Cho phép kết nối NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Cho phép truy vấn DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Cho phép ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Cuối cùng, đặt các chính sách mặc định:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Bước 3: Lưu cấu hình

Mỗi thay đổi mà chúng tôi thực hiện ở trên đã có hiệu lực, nhưng chúng không phải là vĩnh viễn. Nếu chúng ta không lưu chúng vào đĩa cứng, chúng sẽ bị mất khi hệ thống khởi động lại.

Lưu cấu hình iptables bằng lệnh sau:

service iptables save

Những thay đổi của chúng tôi sẽ được lưu trong tập tin /etc/sysconfig/iptables. Bạn có thể xem lại hoặc sửa đổi các quy tắc bằng cách chỉnh sửa tệp đó.

Cách giải quyết cho việc chặn ngẫu nhiên

Nếu bạn bị chặn khỏi máy chủ do lỗi cấu hình, bạn vẫn có thể lấy lại quyền truy cập của mình với một số cách giải quyết.

  • Nếu bạn chưa lưu các sửa đổi của mình cho các quy tắc iptables, bạn có thể khởi động lại máy chủ của mình từ giao diện trang web của Vultr, sau đó các thay đổi của bạn sẽ bị loại bỏ.
  • Nếu bạn đã lưu các thay đổi của mình, bạn có thể đăng nhập vào máy chủ của mình thông qua bảng điều khiển từ giao diện trang web của Vultr và nhập vào iptables -Fđể xóa tất cả các quy tắc iptables. Sau đó, bạn có thể thiết lập lại các quy tắc.


Leave a Comment

Multicraft (Bảng điều khiển Minecraft) trên CentOS 6

Multicraft (Bảng điều khiển Minecraft) trên CentOS 6

Multicraft là bảng điều khiển dựa trên web đơn giản, dễ sử dụng cho các máy chủ Minecraft. Bạn có thể tạo, dừng, bắt đầu, theo dõi, định cấu hình, tải lên, tải xuống và chạy máy chủ của bạn một cách hiệu quả thông qua bảng điều khiển trực tuyến.

Hướng dẫn cấu hình Mạng tĩnh và IPv6 trên CentOS 7

Hướng dẫn cấu hình Mạng tĩnh và IPv6 trên CentOS 7

VULTR gần đây đã thực hiện các thay đổi ở phần cuối của họ và mọi thứ sẽ hoạt động tốt ngoài hộp với tính năng NetworkManager được kích hoạt. Nếu bạn muốn tắt NetworkManager, bạn có thể làm theo các bước sau.

Cài đặt Wordpress với Apache, PHP và MySQL (Tập lệnh khởi động tự động)

Cài đặt Wordpress với Apache, PHP và MySQL (Tập lệnh khởi động tự động)

Bạn có thể sao chép và dán tập lệnh bash sau vào vùng tập lệnh khởi động của Bảng điều khiển Vultr. Nó sẽ cài đặt tất cả các gói cần thiết để chạy Wordpress, tạo và nhập thông tin xác thực cơ sở dữ liệu và mở các cổng tường lửa cần thiết.

Cài đặt ownCloud 7 trên CentOS 6 với Nginx w / SSL, PHP-FPM và PGQuery (Tập lệnh khởi động tự động)

Cài đặt ownCloud 7 trên CentOS 6 với Nginx w / SSL, PHP-FPM và PGQuery (Tập lệnh khởi động tự động)

Bạn có thể sao chép và dán tập lệnh bash sau vào vùng tập lệnh khởi động của Bảng điều khiển Vultr. Kịch bản khởi động này sẽ cài đặt phiên bản hiện tại

Hướng dẫn cài đặt ownCloud 6 trên CentOS 6

Hướng dẫn cài đặt ownCloud 6 trên CentOS 6

ownCloud cung cấp quyền truy cập toàn cầu vào các tệp của bạn thông qua web, máy tính hoặc thiết bị di động của bạn - mọi lúc mọi nơi. Nó cũng cung cấp một nền tảng để dễ dàng xem và đồng bộ hóa danh bạ, lịch và dấu trang của bạn trên tất cả các thiết bị của bạn và cho phép chỉnh sửa cơ bản ngay trên web.

Hướng dẫn cách sửa cấu hình mạng sau khi khôi phục ảnh chụp

Hướng dẫn cách sửa cấu hình mạng sau khi khôi phục ảnh chụp

Sau khi khôi phục ảnh chụp nhanh sang máy mới, bạn có thể gặp phải sự cố do địa chỉ MAC của bộ điều hợp mạng thay đổi. Thông thường, khi bộ điều hợp mạng thay đổi, hệ điều hành sẽ tạo ra bộ điều hợp mạng mới cho nó. Bạn thường thấy bộ điều hợp mạng trên eth1 (hoặc eth2 nếu bạn đã bật mạng riêng).

Hướng dẫn cách giám sát cổng và dịch vụ với MonitorIX trên CentOS6

Hướng dẫn cách giám sát cổng và dịch vụ với MonitorIX trên CentOS6

MonitorIX có thể được sử dụng để giám sát lưu lượng và sử dụng hệ thống để giúp chẩn đoán sự cố hoặc đơn giản là để xem hiệu suất hệ thống. Bài viết này sẽ đi qua các bước về cách cài đặt MonitorIX và định cấu hình nó để ghi nhật ký một cổng tùy chỉnh, trong trường hợp này là cổng Minecraft (25565).

Hướng dẫn kích hoạt thông báo đăng nhập SSH trên Linux

Hướng dẫn kích hoạt thông báo đăng nhập SSH trên Linux

Máy chủ Linux của bạn có được nhiều người dùng truy cập không? Nếu vậy, hãy xem xét thêm thông báo đăng nhập SSH bất cứ khi nào ai đó đăng nhập. Các ví dụ dưới đây gửi email khi ai đó đăng nhập vào máy chủ của bạn. Để làm việc này, máy chủ của bạn phải có thể gửi thư bằng maillệnh. Bạn có thể làm theo hướng dẫn này để thiết lập Exim với Gmail nếu tài khoản VULTR của bạn không được xác minh để gửi thư.

Hướng dẫn thiết lập tập tin hoán đổi trên Linux

Hướng dẫn thiết lập tập tin hoán đổi trên Linux

Sẽ có lúc bạn cần tăng khả năng phản hồi của máy chủ để tránh các vấn đề về bộ nhớ. Sự cố hết bộ nhớ xảy ra khi một ứng dụng chạy trên máy chủ của bạn bắt đầu tiêu thụ một lượng lớn bộ nhớ. Hoán đổi được thiết kế dưới dạng bộ nhớ ảo , sử dụng ổ cứng của bạn để lưu trữ dữ liệu không thể lưu trong RAM. Hướng dẫn này sẽ chỉ cho bạn cách tạo một tệp hoán đổi, hoạt động trong Ubuntu, CentOS và Debian. Hướng dẫn này không dành cho bất kỳ ISO tùy chỉnh nào, nhưng có thể làm theo.

Hướng dẫn cài đặt OpenVPN trên CentOS 7

Hướng dẫn cài đặt OpenVPN trên CentOS 7

Bài viết này sẽ chỉ cho bạn cách cài đặt và thiết lập OpenVPN trên CentOS 7 với OpenVPN Access Server. OpenVPN Access Server là một ứng dụng đầy đủ tính năng bao gồm một giao diện người dùng web để quản lý máy chủ OpenVPN.

Hướng dẫn cài đặt MariaDB trên CentOS 7

Hướng dẫn cài đặt MariaDB trên CentOS 7

MariaDB đã được biết đến là một sự thay thế mang lại những cải tiến và tối ưu hóa hiệu suất so với MySQL. Hướng dẫn này sẽ chỉ cho bạn cách cài đặt MariaDB lên CentOS 7 theo hai cách khác nhau.

Hướng dẫn đặt tên máy chủ trên CentOS

Hướng dẫn đặt tên máy chủ trên CentOS

Hướng dẫn này hướng dẫn bạn trong quá trình thay đổi tên máy chủ trên hệ thống CentOS 7. Tên máy chủ được đặt tại thời điểm hệ điều hành CentOS được cài đặt hoặc nếu bạn đang quay một máy ảo thì nó được gán động cho thể hiện khi khởi động. Các phương pháp được mô tả trong hướng dẫn này sẽ hoạt động mà không cần khởi động lại hệ thống của bạn.

Hướng dẫn cài đặt MongoDB trên CentOS 7

Hướng dẫn cài đặt MongoDB trên CentOS 7

MongoDB là một hệ quản trị cơ sở dữ liệu mã nguồn mở thuộc họ NoSQL. Nó được thiết kế theo kiểu hướng đối tượng, các bảng trong MongoDB được cấu trúc rất linh hoạt, cho phép các dữ liệu lưu trữ trên bảng không cần tuân theo một cấu trúc nhất định nào cả (điều này rất thích hợp để làm big data). MongoDB lưu trữ dữ liệu theo hướng tài liệu (document), các dữ liệu được lưu trữ trong document kiểu JSON nên truy vấn sẽ rất nhanh. Hôm nay qua bài viết này các bạn sẽ biết cách cài đặt dịch vụ MongoDB 3.4 trên CentOS 7.

Hướng dẫn cài đặt ImageMagick trên CentOS 6

Hướng dẫn cài đặt ImageMagick trên CentOS 6

ImageMagick® là bộ phần mềm để tạo, chỉnh sửa, soạn hoặc chuyển đổi hình ảnh bitmap. Nó có thể đọc và viết hình ảnh ở nhiều định dạng (hơn 100) bao gồm DPX, EXR, GIF, JPEG, JPEG-2000, PDF, PNG, Postcript, SVG và TIFF. Sử dụng ImageMagick để thay đổi kích thước, lật, phản chiếu, xoay, làm biến dạng, cắt và biến đổi hình ảnh, điều chỉnh màu sắc hình ảnh, áp dụng các hiệu ứng đặc biệt khác nhau hoặc vẽ văn bản, đường thẳng, đa giác, hình elip và đường cong Bézier.

Hướng dẫn cài đặt PostgreSQL trên CentOS 7

Hướng dẫn cài đặt PostgreSQL trên CentOS 7

PostgreSQL là Hệ thống quản lý cơ sở dữ liệu quan hệ mã nguồn mở (RDBMS) tiên tiến nhất thế giới. Nó tuân thủ các tiêu chuẩn ANSI SQL: 2008 và có hầu hết các loại dữ liệu được xác định trong thông số kỹ thuật của nó, bao gồm INTEGER, NUMERIC, BOOLESE, CHAR, VARCHAR, DATE, INTERVAL và TIMESTAMP.

Hướng dẫn cài đặt MailCatcher trên CentOS 7

Hướng dẫn cài đặt MailCatcher trên CentOS 7

MailCatcher là một công cụ cung cấp một cách dễ dàng cho các nhà phát triển kiểm tra các email mà ứng dụng của họ gửi đi mà không phải chờ nhà cung cấp email. Nó bắt tất cả các email mà nó nhận được và lưu trữ chúng để hiển thị. Cả HTML và tin nhắn văn bản đơn giản đều được hỗ trợ.

Thiết lập mạng riêng của bạn với OpenVPN

Thiết lập mạng riêng của bạn với OpenVPN

Vultr cung cấp cho bạn kết nối mạng riêng tuyệt vời cho các máy chủ đang chạy ở cùng một vị trí. Nhưng đôi khi bạn muốn hai máy chủ ở các quốc gia / trung tâm dữ liệu khác nhau có thể giao tiếp một cách riêng tư và an toàn. Hướng dẫn này sẽ chỉ cho bạn cách đạt được điều đó với sự trợ giúp của OpenVPN. Các hệ điều hành được sử dụng ở đây là Debian và CentOS, chỉ để hiển thị cho bạn hai cấu hình khác nhau. Điều này có thể dễ dàng điều chỉnh cho Debian -> Debian, Ubuntu -> FreeBSD, v.v.

Công cụ giám sát tốt hơn cho Ubuntu và CentOS

Công cụ giám sát tốt hơn cho Ubuntu và CentOS

Các hệ thống Linux tàu với các công cụ giám sát theo mặc định như top, dfvà durằng các quá trình giúp đỡ màn hình và không gian đĩa. Thông thường, mặc dù, chúng không thân thiện với người dùng / hình ảnh. Chúng tôi sẽ thành lập ba phiên bản thân thiện hơn trong những công cụ đề cập ở trên ( htop, ncdu, pydf) để giúp đỡ tốt hơn theo dõi các trường hợp VM của chúng tôi.

Máy chủ thư đơn giản với Postfix, Dovecot và sàng trên CentOS 7

Máy chủ thư đơn giản với Postfix, Dovecot và sàng trên CentOS 7

Hướng dẫn này sẽ chỉ cho bạn cách tải một máy chủ thư đơn giản trên CentOS 7, với Postfix là MTA, Dovecot là MDA và Sàng để sắp xếp thư - tất cả đều qua kết nối được mã hóa để bảo mật được cải thiện.

Hướng dẫn thiết lập cụm RethinkDB trên CentOS 7

Hướng dẫn thiết lập cụm RethinkDB trên CentOS 7

RethinkDB là một cơ sở dữ liệu NoQuery lưu trữ dữ liệu dưới dạng tài liệu JSON. Nó có một ngôn ngữ truy vấn siêu trực quan và có các tính năng thường có sẵn trong RDBMS truyền thống như tham gia bảng và nhóm theo . Hướng dẫn này sẽ giải thích cách thiết lập cụm RethinkDB bằng cách sử dụng 3 máy chủ VPS Vultr chạy CentOS 7.

ReactOS: Đây có phải là tương lai của Windows?

ReactOS: Đây có phải là tương lai của Windows?

ReactOS, một hệ điều hành mã nguồn mở và miễn phí đã có phiên bản mới nhất. Liệu nó có thể đáp ứng đủ nhu cầu của người dùng Windows hiện đại và hạ gục Microsoft? Hãy cùng tìm hiểu thêm về trải nghiệm hệ điều hành kiểu cũ nhưng mới hơn này.

Liệu AI có thể chiến đấu với số lượng các cuộc tấn công bằng Ransomware ngày càng tăng

Liệu AI có thể chiến đấu với số lượng các cuộc tấn công bằng Ransomware ngày càng tăng

Các cuộc tấn công ransomware đang gia tăng, nhưng liệu AI có thể giúp đối phó với loại virus máy tính mới nhất? AI có phải là câu trả lời? Đọc ở đây biết là AI boone hay cấm

Luôn kết nối thông qua Ứng dụng WhatsApp Desktop 24 * 7

Luôn kết nối thông qua Ứng dụng WhatsApp Desktop 24 * 7

Whatsapp cuối cùng đã ra mắt ứng dụng Máy tính để bàn cho người dùng Mac và Windows. Giờ đây, bạn có thể truy cập Whatsapp từ Windows hoặc Mac một cách dễ dàng. Có sẵn cho Windows 8+ và Mac OS 10.9+

Làm thế nào AI có thể đưa quá trình tự động hóa lên cấp độ tiếp theo?

Làm thế nào AI có thể đưa quá trình tự động hóa lên cấp độ tiếp theo?

Hãy đọc phần này để biết Trí tuệ nhân tạo đang trở nên phổ biến như thế nào đối với các công ty quy mô nhỏ và làm thế nào nó đang tăng khả năng khiến họ phát triển và giúp đối thủ cạnh tranh của họ có thể cạnh tranh.

Bản cập nhật bổ sung macOS Catalina 10.15.4 đang gây ra nhiều vấn đề hơn là giải quyết

Bản cập nhật bổ sung macOS Catalina 10.15.4 đang gây ra nhiều vấn đề hơn là giải quyết

Gần đây Apple đã phát hành macOS Catalina 10.15.4 một bản cập nhật bổ sung để khắc phục các sự cố nhưng có vẻ như bản cập nhật đang gây ra nhiều vấn đề hơn dẫn đến việc máy mac bị chai. Đọc bài viết này để tìm hiểu thêm

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

Hệ thống tệp nhật ký là gì và nó hoạt động như thế nào?

Hệ thống tệp nhật ký là gì và nó hoạt động như thế nào?

Máy tính của chúng tôi lưu trữ tất cả dữ liệu một cách có tổ chức được gọi là hệ thống tệp Ghi nhật ký. Đây là một phương pháp hiệu quả cho phép máy tính tìm kiếm và hiển thị các tệp ngay khi bạn nhấn tìm kiếm. Https://wethegeek.com/? P = 94116 & preview = true

Điểm kỳ dị về công nghệ: Tương lai xa của nền văn minh nhân loại?

Điểm kỳ dị về công nghệ: Tương lai xa của nền văn minh nhân loại?

Khi Khoa học phát triển với tốc độ nhanh chóng, chiếm rất nhiều nỗ lực của chúng ta, những rủi ro của việc phục tùng bản thân trước một Điểm kỳ dị không thể giải thích cũng tăng lên. Hãy đọc, điểm kỳ dị có thể có ý nghĩa gì đối với chúng ta.

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Tác động của trí tuệ nhân tạo trong chăm sóc sức khỏe 2021

Tác động của trí tuệ nhân tạo trong chăm sóc sức khỏe 2021

AI trong lĩnh vực chăm sóc sức khỏe đã có những bước tiến nhảy vọt so với những thập kỷ trước. Vì vậy, tương lai của AI trong Chăm sóc sức khỏe vẫn đang phát triển từng ngày.