Iestatiet IPTables ugunsmūri operētājsistēmā CentOS 6

Ievads

Ugunsmūris ir tīkla drošības rīka veids, kas kontrolē ienākošo un izejošo tīkla trafiku saskaņā ar iepriekš definētu noteikumu kopu. Mēs varam izmantot ugunsmūri kopā ar citiem drošības pasākumiem, lai aizsargātu savus serverus no hakeru uzbrukumiem.

Ugunsmūra dizains var būt gan īpaša aparatūra, gan programmatūra, kas darbojas mūsu iekārtā. Operētājsistēmā CentOS 6 noklusējuma ugunsmūra programma ir iptables.

Šajā rakstā es jums parādīšu, kā iestatīt pamata iptables ugunsmūri, pamatojoties uz lietotni Vultr "WordPress on CentOS 6 x64", kas bloķēs visu trafiku, izņemot tīmekļa, SSH, NTP, DNS un ping pakalpojumus. Tomēr šī ir tikai provizoriska konfigurācija, kas apmierina kopējās drošības vajadzības. Ja jums ir papildu prasības, jums būs nepieciešama sarežģītāka iptables konfigurācija.

Piezīme :

Ja savam serverim pievienojat IPv6 adresi, ir jāiestata arī pakalpojums ip6tables. IP6tables konfigurēšana neietilpst šī raksta darbības jomā.

Atšķirībā no CentOS 6, iptables vairs nav CentOS 7 noklusējuma ugunsmūra programma, un tā ir aizstāta ar programmu, ko sauc par ugunsmūri. Ja plānojat izmantot CentOS 7, jums būs jāiestata ugunsmūris, izmantojot ugunsmūri.

Priekšnoteikumi

Svaigi izvietojiet servera gadījumu, izmantojot lietotni Vultr "WordPress on CentOS 6 x64", pēc tam piesakieties kā root.

1. darbība: nosakiet serverī izmantotos pakalpojumus un portus

Pieņemu, ka šis serveris mitinās tikai WordPress emuāru, un tas netiks izmantots kā maršrutētājs vai sniegt citus pakalpojumus (piemēram, pasts, FTP, IRC utt.).

Šeit mums ir nepieciešami šādi pakalpojumi:

• HTTP (TCP portā 80)
• HTTPS (TCP portā 443)
• SSH (pēc noklusējuma TCP portā 22, drošības nolūkos var mainīt)
• NTP (UDP portā 123)
• DNS (TCP un UDP 53. portā)
• ping (ICMP)

Visi pārējie nevajadzīgie porti tiks bloķēti.

2. darbība: konfigurējiet iptables noteikumus

Iptables kontrolē trafiku ar noteikumu sarakstu. Kad tīkla paketes tiek nosūtītas uz mūsu serveri, iptables tās pārbaudīs, izmantojot katru kārtulu pēc kārtas, un attiecīgi veiks darbības. Ja kāds noteikums ir izpildīts, pārējie noteikumi tiks ignorēti. Ja netiek ievēroti noteikumi, iptables izmantos noklusējuma politiku.

Visu trafiku var iedalīt kategorijās INPUT, OUTPUT un FORWARD.

• INPUT trafika var būt vai nu parasta, vai ļaunprātīga, tā ir jāatļauj selektīvi.
• OUTPUT satiksme parasti tiek uzskatīta par drošu un ir jāatļauj.
• FORWARD satiksme ir bezjēdzīga, un tā ir jābloķē.

Tagad konfigurēsim iptables noteikumus atbilstoši mūsu vajadzībām. Visas šīs komandas ir jāievada no jūsu SSH termināļa kā root.

Pārbaudiet esošos noteikumus:

iptables -L -n

Iztīriet visus esošos noteikumus:

iptables -F; iptables -X; iptables -Z

Tā kā iptables konfigurācijas izmaiņas stāsies spēkā nekavējoties, ja nepareizi konfigurēsiet iptables noteikumus, jūs varat tikt bloķēts jūsu serverī. Jūs varat novērst nejaušu bloķēšanu, izmantojot šādu komandu. Atcerieties aizstāt [Your-IP-Address]ar savu publisko IP adresi vai IP adrešu diapazonu (piemēram, 201.55.119.43 vai 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Atļaut visu cilpas (lo) trafiku un samazināt visu trafiku uz 127.0.0.0/8, izņemot lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Bloķējiet dažus izplatītus uzbrukumus:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Pieņemiet visus izveidotos ienākošos savienojumus:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Atļaut HTTP un HTTPS ienākošo trafiku:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Atļaut SSH savienojumus:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Atļaut NTP savienojumus:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Atļaut DNS vaicājumus:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Atļaut ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Visbeidzot iestatiet noklusējuma politikas:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

3. darbība: saglabājiet konfigurācijas

Visas iepriekš veiktās izmaiņas ir stājušās spēkā, taču tās nav pastāvīgas. Ja mēs tos nesaglabāsim cietajā diskā, tie tiks zaudēti pēc sistēmas atsāknēšanas.

Saglabājiet iptables konfigurāciju ar šādu komandu:

service iptables save

Mūsu veiktās izmaiņas tiks saglabātas failā /etc/sysconfig/iptables. Varat pārskatīt vai mainīt noteikumus, rediģējot šo failu.

Risinājumi nejaušai bloķēšanai

Ja konfigurācijas kļūdas dēļ esat bloķējis piekļuvi savam serverim, joprojām varat atgūt piekļuvi, izmantojot dažus risinājumus.

• Ja vēl neesat saglabājis savas iptables noteikumu modifikācijas, varat restartēt serveri no Vultr vietnes saskarnes, un izmaiņas tiks atceltas.
• Ja esat saglabājis izmaiņas, varat pieteikties savā serverī, izmantojot konsoli no Vultr vietnes saskarnes, un ievadīt, iptables -Flai izskalotu visus iptables noteikumus. Pēc tam jūs varat iestatīt noteikumus vēlreiz.