Настройте защитната стена на IPTables на CentOS 6

Въведение

Защитната стена е вид инструмент за мрежова сигурност, който контролира входящия и изходящия мрежов трафик според предварително дефинирания набор от правила. Можем да използваме защитна стена заедно с други мерки за безопасност, за да защитим нашите сървъри от хакерски нападения и атаки.

Дизайнът на защитна стена може да бъде или специален хардуер, или софтуерна програма, работеща на нашата машина. В CentOS 6, програмата за защитна стена по подразбиране е iptables.

В тази статия ще ви покажа как да настроите основна защитна стена на iptables, базирана на приложението Vultr „WordPress на CentOS 6 x64“, което ще блокира целия трафик с изключение на уеб, SSH, NTP, DNS и ping услуги. Това обаче е само предварителна конфигурация, която удовлетворява общите нужди за сигурност. Ще ви трябва по-сложна конфигурация на iptables, ако имате допълнителни изисквания.

Забележка :

Ако добавите IPv6 адрес към вашия сървър, трябва да настроите и услугата ip6tables. Конфигурирането на ip6tables е извън обхвата на тази статия.

За разлика от CentOS 6, iptables вече не е програмата за защитна стена по подразбиране в CentOS 7 и е заменена с програма, наречена firewalld. Ако планирате да използвате CentOS 7, ще трябва да настроите защитната си стена с помощта на firewalld.

Предпоставки

Наскоро разгърнете сървърен екземпляр с приложението Vultr „WordPress на CentOS 6 x64“, след което влезте като root.

Стъпка 1: Определете услугите и портовете, използвани на вашия сървър

Предполагам, че този сървър ще хоства само блог на WordPress и няма да се използва като рутер или да предоставя други услуги (например поща, FTP, IRC и т.н.).

Тук имаме нужда от следните услуги:

• HTTP (TCP на порт 80)
• HTTPS (TCP на порт 443)
• SSH (TCP на порт 22 по подразбиране, може да бъде променен за целите на сигурността)
• NTP (UDP на порт 123)
• DNS (TCP и UDP на порт 53)
• пинг (ICMP)

Всички други ненужни портове ще бъдат блокирани.

Стъпка 2: Конфигурирайте правилата на iptables

Iptables контролира трафика със списък с правила. Когато мрежовите пакети се изпращат до нашия сървър, iptables ще ги инспектира, като използва всяко правило последователно и ще предприеме съответните действия. Ако дадено правило е спазено, другите правила ще бъдат игнорирани. Ако не са спазени правила, iptables ще използва политиката по подразбиране.

Целият трафик може да бъде категоризиран като INPUT, OUTPUT и FORWARD.

• INPUT трафикът може да бъде нормален или злонамерен, трябва да се разрешава избирателно.
• OUTPUT трафикът обикновено се счита за безопасен и трябва да бъде разрешен.
• Трафикът НАПРЕД е безполезен и трябва да бъде блокиран.

Сега нека конфигурираме правилата на iptables според нашите нужди. Всички следните команди трябва да бъдат въведени от вашия SSH терминал като root.

Проверете съществуващите правила:

iptables -L -n

Изчистете всички съществуващи правила:

iptables -F; iptables -X; iptables -Z

Тъй като промените в конфигурацията на iptables ще влязат в сила незабавно, ако неправилно конфигурирате правилата на iptables, може да бъдете блокирани от вашия сървър. Можете да предотвратите случайни блокирания със следната команда. Не забравяйте да замените [Your-IP-Address]със свой публичен IP адрес или диапазон от IP адреси (например 201.55.119.43 или 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Разрешете целия loopback (lo) трафик и пуснете целия трафик до 127.0.0.0/8, различен от lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Блокирайте някои често срещани атаки:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Приемете всички установени входящи връзки:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Разрешете HTTP и HTTPS входящ трафик:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Разрешаване на SSH връзки:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Разрешаване на NTP връзки:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Разрешаване на DNS заявки:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Разрешаване на пинг:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Най-накрая задайте правилата по подразбиране:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Стъпка 3: Запазете конфигурациите

Всяка от промените, които направихме по-горе, влезе в сила, но те не са постоянни. Ако не ги запишем на твърдия диск, те ще бъдат загубени, след като системата се рестартира.

Запазете конфигурацията на iptables със следната команда:

service iptables save

Нашите промени ще бъдат запазени във файла /etc/sysconfig/iptables. Можете да прегледате или промените правилата, като редактирате този файл.

Заобиколни решения за случайно блокиране

Ако сте блокирани от сървъра си поради грешка в конфигурацията, все още можете да си възвърнете достъпа с някои заобиколни решения.

• Ако все още не сте запазили промените си в правилата на iptables, можете да рестартирате сървъра си от интерфейса на уебсайта Vultr, след което промените ви ще бъдат премахнати.
• Ако сте запазили промените си, можете да влезете в сървъра си през конзолата от интерфейса на уебсайта на Vultr и да въведете, за iptables -Fда изтриете всички правила на iptables. След това можете да настроите правилата отново.