Nustatykite „IPTables“ ugniasienę „CentOS 6“.

Įvadas

Ugniasienė yra tinklo saugos įrankis, valdantis įeinantį ir išeinantį tinklo srautą pagal iš anksto nustatytą taisyklių rinkinį. Galime naudoti ugniasienę kartu su kitomis saugos priemonėmis, kad apsaugotume savo serverius nuo įsilaužėlių ir atakų.

Užkardos dizainas gali būti skirtas tam skirta aparatinė įranga arba programinė įranga, veikianti mūsų kompiuteryje. „CentOS 6“ numatytoji ugniasienės programa yra „iptables“.

Šiame straipsnyje parodysiu, kaip nustatyti pagrindinę „iptables“ užkardą, pagrįstą „Vultr“ programa „WordPress on CentOS 6 x64“, kuri blokuos visą srautą, išskyrus žiniatinklio, SSH, NTP, DNS ir ping paslaugas. Tačiau tai tik preliminari konfigūracija, tenkinanti bendrus saugumo poreikius. Jei turite papildomų reikalavimų, jums reikės sudėtingesnės „iptables“ konfigūracijos.

Pastaba :

Jei prie serverio pridedate IPv6 adresą, taip pat turėtumėte nustatyti ip6tables paslaugą. ip6tables konfigūravimas nepatenka į šio straipsnio taikymo sritį.

Skirtingai nei „CentOS 6“, „iptables“ nebėra numatytoji „CentOS 7“ ugniasienės programa ir buvo pakeista programa, vadinama ugniasienė. Jei planuojate naudoti CentOS 7, turėsite nustatyti užkardą naudodami ugniasienę.

Būtinos sąlygos

Naujai įdiekite serverio egzempliorių naudodami Vultr „WordPress on CentOS 6 x64“ programą, tada prisijunkite kaip root.

1 veiksmas: nustatykite serveryje naudojamas paslaugas ir prievadus

Darau prielaidą, kad šiame serveryje bus tik WordPress tinklaraštis, jis nebus naudojamas kaip maršrutizatorius ar neteiks kitų paslaugų (pvz., paštas, FTP, IRC ir pan.).

Čia mums reikia šių paslaugų:

• HTTP (TCP prie 80 prievado)
• HTTPS (TCP prie 443 prievado)
• SSH (TCP pagal nutylėjimą prie 22 prievado, saugumo sumetimais gali būti pakeistas)
• NTP (UDP 123 prievade)
• DNS (TCP ir UDP prie 53 prievado)
• ping (ICMP)

Visi kiti nereikalingi prievadai bus užblokuoti.

2 veiksmas: sukonfigūruokite iptables taisykles

„Iptables“ valdo srautą pagal taisyklių sąrašą. Kai tinklo paketai siunčiami į mūsų serverį, iptables juos tikrins pagal kiekvieną taisyklę ir atitinkamai imsis veiksmų. Jei taisyklė bus įvykdyta, kitų taisyklių bus nepaisoma. Jei nesilaikoma jokių taisyklių, iptables naudos numatytąją politiką.

Visas srautas gali būti suskirstytas į INPUT, OUTPUT ir FORWARD kategorijas.

• INPUT srautas gali būti įprastas arba kenkėjiškas, turėtų būti leidžiamas pasirinktinai.
• OUTPUT eismas paprastai laikomas saugiu ir turėtų būti leidžiamas.
• FORWARD eismas yra nenaudingas ir turėtų būti užblokuotas.

Dabar sukonfigūruokime iptables taisykles pagal savo poreikius. Visos šios komandos turėtų būti įvestos iš SSH terminalo kaip root.

Patikrinkite esamas taisykles:

iptables -L -n

Išvalykite visas esamas taisykles:

iptables -F; iptables -X; iptables -Z

Kadangi iptables konfigūracijos pakeitimai įsigalios iš karto, netinkamai sukonfigūravus iptables taisykles, jums gali būti užblokuotas jūsų serveris. Galite išvengti atsitiktinio blokavimo naudodami šią komandą. Nepamirškite pakeisti [Your-IP-Address]savo viešuoju IP adresu arba IP adresų diapazonu (pvz., 201.55.119.43 arba 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Leisti visą grįžtamąjį (lo) srautą ir sumažinti visą srautą iki 127.0.0.0/8, išskyrus lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Blokuoti kai kurias įprastas atakas:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Priimti visus nustatytus įeinančius ryšius:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Leisti HTTP ir HTTPS gaunamą srautą:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Leisti SSH ryšius:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Leisti NTP ryšius:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Leisti DNS užklausas:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Leisti ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Galiausiai nustatykite numatytąsias strategijas:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

3 veiksmas: išsaugokite konfigūracijas

Kiekvienas iš anksčiau atliktų pakeitimų įsigaliojo, bet nėra nuolatinis. Jei neišsaugosime jų standžiajame diske, sistemai iš naujo paleidus, jie bus prarasti.

Išsaugokite iptables konfigūraciją naudodami šią komandą:

service iptables save

Mūsų pakeitimai bus išsaugoti faile /etc/sysconfig/iptables. Taisykles galite peržiūrėti arba keisti redaguodami tą failą.

Atsitiktinio blokavimo būdai

Jei esate užblokuotas dėl konfigūracijos klaidos, vis tiek galite atgauti prieigą naudodami tam tikrus sprendimus.

• Jei dar neišsaugojote iptables taisyklių pakeitimų, galite iš naujo paleisti serverį naudodami „Vultr“ svetainės sąsają, tada jūsų pakeitimai bus atmesti.
• Jei išsaugojote pakeitimus, galite prisijungti prie serverio naudodami konsolę iš „Vultr“ svetainės sąsajos ir įvesti, kad išplautumėte iptables -Fvisas „iptables“ taisykles. Tada vėl galėsite nustatyti taisykles.