Nastavite požarni zid IPTables na CentOS 6

Uvod

Požarni zid je vrsta omrežnega varnostnega orodja, ki nadzoruje vhodni in odhodni omrežni promet v skladu s svojim vnaprej določenim naborom pravil. Za zaščito naših strežnikov pred hekerskimi napadi in napadi lahko uporabimo požarni zid skupaj z drugimi varnostnimi ukrepi.

Zasnova požarnega zidu je lahko namenska strojna oprema ali programska oprema, ki se izvaja na našem stroju. V CentOS 6 je privzeti program požarnega zidu iptables.

V tem članku vam bom pokazal, kako nastaviti osnovni požarni zid iptables na podlagi aplikacije Vultr "WordPress na CentOS 6 x64", ki bo blokiral ves promet razen spletnih, SSH, NTP, DNS in storitev ping. Vendar je to le predhodna konfiguracija, ki zadovoljuje splošne varnostne potrebe. Če imate dodatne zahteve, bi potrebovali bolj izpopolnjeno konfiguracijo iptables.

Opomba :

Če svojemu strežniku dodate naslov IPv6, morate nastaviti tudi storitev ip6tables. Konfiguriranje ip6tables je izven obsega tega članka.

Za razliko od CentOS 6 iptables ni več privzeti program požarnega zidu v CentOS 7 in je bil nadomeščen s programom, imenovanim požarni zid. Če nameravate uporabljati CentOS 7, boste morali nastaviti požarni zid s pomočjo požarnega zidu.

Predpogoji

Na novo razmestite primerek strežnika z aplikacijo Vultr "WordPress on CentOS 6 x64", nato se prijavite kot root.

1. korak: določite storitve in vrata, ki se uporabljajo na vašem strežniku

Predvidevam, da bo ta strežnik gostil samo blog WordPress in ne bo uporabljen kot usmerjevalnik ali zagotavljal drugih storitev (na primer pošte, FTP, IRC itd.).

Tukaj potrebujemo naslednje storitve:

• HTTP (TCP na vratih 80)
• HTTPS (TCP na vratih 443)
• SSH (TCP na vratih 22 privzeto, se lahko spremeni iz varnostnih razlogov)
• NTP (UDP na vratih 123)
• DNS (TCP in UDP na vratih 53)
• ping (ICMP)

Vsa druga nepotrebna vrata bodo blokirana.

2. korak: Konfigurirajte pravila iptables

Iptables nadzoruje promet s seznamom pravil. Ko so omrežni paketi poslani na naš strežnik, jih bo iptables pregledal z uporabo vsakega zaporednega pravila in ustrezno ukrepal. Če je pravilo izpolnjeno, bodo ostala pravila prezrta. Če ni izpolnjeno nobeno pravilo, bo iptables uporabil privzeto politiko.

Ves promet je mogoče kategorizirati kot INPUT, OUTPUT in NAPREJ.

• INPUT promet je lahko običajen ali zlonameren, dovoljen je treba selektivno.
• OUTPUT promet se običajno šteje za varnega in ga je treba dovoliti.
• Promet NAPREJ je neuporaben in ga je treba blokirati.

Zdaj pa konfigurirajmo pravila iptables glede na naše potrebe. Vse naslednje ukaze je treba vnesti iz terminala SSH kot root.

Preverite obstoječa pravila:

iptables -L -n

Izbrišite vsa obstoječa pravila:

iptables -F; iptables -X; iptables -Z

Ker bodo spremembe konfiguracije iptables začele veljati takoj, če napačno konfigurirate pravila iptables, boste morda blokirani iz svojega strežnika. Naključne blokade lahko preprečite z naslednjim ukazom. Ne pozabite zamenjati [Your-IP-Address]s svojim javnim naslovom IP ali obsegom naslovov IP (na primer 201.55.119.43 ali 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Dovoli ves promet z zanko (lo) in spusti ves promet na 127.0.0.0/8, razen lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Blokirajte nekaj pogostih napadov:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Sprejmi vse vzpostavljene dohodne povezave:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Dovoli vhodni promet HTTP in HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Dovoli povezave SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Dovoli povezave NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Dovoli DNS poizvedbe:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Dovoli ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Končno nastavite privzete pravilnike:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

3. korak: Shranite konfiguracije

Vse spremembe, ki smo jih naredili zgoraj, so začele veljati, vendar niso trajne. Če jih ne shranimo na trdi disk, bodo izgubljeni, ko se sistem znova zažene.

Shranite konfiguracijo iptables z naslednjim ukazom:

service iptables save

Naše spremembe bodo shranjene v datoteki /etc/sysconfig/iptables. Pravila lahko pregledate ali spremenite tako, da uredite to datoteko.

Rešitve za nenamerno blokiranje

Če ste zaradi konfiguracijske napake blokirani dostop do strežnika, lahko še vedno znova pridobite dostop z nekaterimi rešitvami.

• Če še niste shranili svojih sprememb pravil iptables, lahko znova zaženete strežnik iz vmesnika spletnega mesta Vultr, nato pa bodo vaše spremembe izbrisane.
• Če ste shranili spremembe, se lahko prijavite v svoj strežnik prek konzole prek vmesnika spletnega mesta Vultr in vnesete, iptables -Fda izbrišete vsa pravila iptables. Potem lahko znova nastavite pravila.