Konfigurer IPTables Firewall på CentOS 6

Introduktion

En firewall er en type netværkssikkerhedsværktøj, der styrer den indgående og udgående netværkstrafik i henhold til dets foruddefinerede regelsæt. Vi kan bruge en firewall sammen med andre sikkerhedsforanstaltninger til at beskytte vores servere mod hackers pries og angreb.

Designet af en firewall kan enten være dedikeret hardware eller et softwareprogram, der kører på vores maskine. På CentOS 6 er standard firewallprogrammet iptables.

I denne artikel vil jeg vise dig, hvordan du opsætter en grundlæggende iptables-firewall baseret på Vultr "WordPress on CentOS 6 x64"-appen, som vil blokere al trafik undtagen web, SSH, NTP, DNS og ping-tjenester. Dette er dog kun en foreløbig konfiguration, som opfylder almindelige sikkerhedsbehov. Du har brug for en mere sofistikeret iptables-konfiguration, hvis du har yderligere krav.

Bemærk :

Hvis du tilføjer en IPv6-adresse til din server, bør du også konfigurere ip6tables-tjenesten. Konfiguration af ip6tables er uden for denne artikels omfang.

I modsætning til CentOS 6 er iptables ikke længere standard firewall-programmet på CentOS 7, og det er blevet erstattet med et program kaldet firewalld. Hvis du planlægger at bruge CentOS 7, skal du konfigurere din firewall ved hjælp af firewalld.

Forudsætninger

Implementer på ny en serverinstans med Vultr "WordPress on CentOS 6 x64"-appen, og log derefter ind som root.

Trin 1: Bestem de tjenester og porte, der bruges på din server

Jeg antager, at denne server kun vil være vært for en WordPress-blog, og den vil ikke blive brugt som en router eller levere andre tjenester (f.eks. mail, FTP, IRC osv.).

Her har vi brug for følgende tjenester:

• HTTP (TCP på port 80)
• HTTPS (TCP på port 443)
• SSH (TCP på port 22 som standard, kan ændres af sikkerhedsmæssige årsager)
• NTP (UDP på ​​port 123)
• DNS (TCP og UDP på ​​port 53)
• ping (ICMP)

Alle andre unødvendige porte vil blive blokeret.

Trin 2: Konfigurer iptables-regler

Iptables styrer trafikken med en liste over regler. Når netværkspakker sendes til vores server, vil iptables inspicere dem ved at bruge hver regel i rækkefølge og foretage handlinger i overensstemmelse hermed. Hvis en regel er opfyldt, vil de andre regler blive ignoreret. Hvis ingen regler er opfyldt, vil iptables bruge standardpolitikken.

Al trafik kan kategoriseres som INPUT, OUTPUT og FORWARD.

• INPUT-trafik kan være enten normal eller ondsindet, bør tillades selektivt.
• OUTPUT-trafik anses normalt for sikker og bør tillades.
• FRAM-trafik er ubrugelig og bør blokeres.

Lad os nu konfigurere iptables-reglerne i overensstemmelse med vores behov. Alle følgende kommandoer skal indtastes fra din SSH-terminal som root.

Tjek de eksisterende regler:

iptables -L -n

Fjern alle eksisterende regler:

iptables -F; iptables -X; iptables -Z

Da ændringer til iptables-konfigurationen træder i kraft med det samme, kan du blive blokeret fra din server, hvis du fejlkonfigurerer iptables-reglerne. Du kan forhindre utilsigtede blokeringer med følgende kommando. Husk at erstatte [Your-IP-Address]med din egen offentlige IP-adresse eller IP-adresseinterval (f.eks. 201.55.119.43 eller 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Tillad al tilbageløbstrafik (lo) og slip al trafik til 127.0.0.0/8 bortset fra lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Bloker nogle almindelige angreb:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Accepter alle etablerede indgående forbindelser:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Tillad indgående HTTP- og HTTPS-trafik:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Tillad SSH-forbindelser:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Tillad NTP-forbindelser:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Tillad DNS-forespørgsler:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Tillad ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Indstil endelig standardpolitikkerne:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Trin 3: Gem konfigurationerne

Hver af de ændringer, vi lavede ovenfor, er trådt i kraft, men de er ikke permanente. Hvis vi ikke gemmer dem på harddisken, vil de gå tabt, når systemet genstarter.

Gem iptables-konfigurationen med følgende kommando:

service iptables save

Vores ændringer vil blive gemt i filen /etc/sysconfig/iptables. Du kan gennemgå eller ændre reglerne ved at redigere den fil.

Løsninger for utilsigtet blokering

Hvis du bliver blokeret fra din server på grund af en konfigurationsfejl, kan du stadig genvinde din adgang med nogle løsninger.

• Hvis du endnu ikke har gemt dine ændringer til iptables-regler, kan du genstarte din server fra Vultr-webstedets grænseflade, så vil dine ændringer blive slettet.
• Hvis du har gemt dine ændringer, kan du logge på din server via konsollen fra Vultr-webstedets grænseflade og indtaste iptables -Ffor at fjerne alle iptables-reglerne. Så kan du sætte reglerne op igen.