Nastavte IPTables Firewall na CentOS 6

Úvod

Firewall je typ nástroje zabezpečení sítě, který řídí příchozí a odchozí síťový provoz podle předem definované sady pravidel. K ochraně našich serverů před útoky hackerů a útoky můžeme použít firewall spolu s dalšími bezpečnostními opatřeními.

Návrh brány firewall může být buď vyhrazený hardware nebo softwarový program běžící na našem počítači. Na CentOS 6 je výchozím programem brány firewall iptables.

V tomto článku vám ukážu, jak nastavit základní firewall iptables založený na aplikaci Vultr „WordPress on CentOS 6 x64“, která zablokuje veškerý provoz kromě webových, SSH, NTP, DNS a pingových služeb. Toto je však pouze předběžná konfigurace, která splňuje běžné bezpečnostní potřeby. Pokud máte další požadavky, potřebovali byste sofistikovanější konfiguraci iptables.

Poznámka :

Pokud na svůj server přidáte adresu IPv6, měli byste také nastavit službu ip6tables. Konfigurace ip6tables je mimo rozsah tohoto článku.

Na rozdíl od CentOS 6 již iptables není výchozím programem brány firewall na CentOS 7 a byl nahrazen programem s názvem firewalld. Pokud plánujete používat CentOS 7, budete muset nastavit firewall pomocí firewalld.

Předpoklady

Čerstvě nasaďte instanci serveru s aplikací Vultr "WordPress on CentOS 6 x64" a poté se přihlaste jako root.

Krok 1: Určete služby a porty používané na vašem serveru

Předpokládám, že tento server bude hostovat pouze blog WordPress a nebude sloužit jako router ani poskytovat jiné služby (například mail, FTP, IRC atd.).

Zde potřebujeme následující služby:

• HTTP (TCP na portu 80)
• HTTPS (TCP na portu 443)
• SSH (standardně TCP na portu 22, lze jej z bezpečnostních důvodů změnit)
• NTP (UDP na portu 123)
• DNS (TCP a UDP na portu 53)
• ping (ICMP)

Všechny ostatní nepotřebné porty budou zablokovány.

Krok 2: Nakonfigurujte pravidla iptables

Iptables řídí provoz pomocí seznamu pravidel. Když jsou síťové pakety odeslány na náš server, iptables je zkontroluje pomocí každého pravidla v pořadí a podle toho podnikne akce. Pokud je pravidlo splněno, ostatní pravidla budou ignorována. Pokud nejsou splněna žádná pravidla, iptables použije výchozí politiku.

Veškerý provoz lze kategorizovat jako INPUT, OUTPUT a FORWARD.

• INPUT provoz může být normální nebo škodlivý a měl by být povolen selektivně.
• OUTPUT provoz je normálně považován za bezpečný a měl by být povolen.
• Provoz FORWARD je zbytečný a měl by být zablokován.

Nyní nakonfigurujme pravidla iptables podle našich potřeb. Všechny následující příkazy by měly být zadány z vašeho terminálu SSH jako root.

Zkontrolujte stávající pravidla:

iptables -L -n

Vyprázdněte všechna stávající pravidla:

iptables -F; iptables -X; iptables -Z

Vzhledem k tomu, že změny v konfiguraci iptables se projeví okamžitě, pokud nesprávně nakonfigurujete pravidla iptables, můžete být zablokováni z vašeho serveru. Náhodnému zablokování můžete zabránit pomocí následujícího příkazu. Nezapomeňte nahradit [Your-IP-Address]svou vlastní veřejnou IP adresou nebo rozsahem IP adres (například 201.55.119.43 nebo 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Povolte veškerý provoz se zpětnou smyčkou (lo) a shoďte veškerý provoz na 127.0.0.0/8 jiný než lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Blokujte některé běžné útoky:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Přijměte všechna navázaná příchozí připojení:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Povolit příchozí provoz HTTP a HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Povolit připojení SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Povolit připojení NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Povolit dotazy DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Povolit ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Nakonec nastavte výchozí zásady:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Krok 3: Uložte konfigurace

Všechny změny, které jsme provedli výše, se projevily, ale nejsou trvalé. Pokud je neuložíme na pevný disk, budou po restartu systému ztraceny.

Uložte konfiguraci iptables pomocí následujícího příkazu:

service iptables save

Naše změny se uloží do souboru /etc/sysconfig/iptables. Pravidla můžete zkontrolovat nebo upravit úpravou tohoto souboru.

Řešení pro náhodné zablokování

Pokud vám bude váš server zablokován kvůli chybě konfigurace, stále můžete znovu získat přístup pomocí některých řešení.

• Pokud jste své úpravy pravidel iptables ještě neuložili, můžete restartovat server z rozhraní webu Vultr a vaše změny budou zrušeny.
• Pokud jste uložili změny, můžete se přihlásit k serveru prostřednictvím konzoly z webového rozhraní Vultr a zadat zadání iptables -Fpro vyprázdnění všech pravidel iptables. Poté můžete znovu nastavit pravidla.