Nainštalujte bránu IPTables Firewall na CentOS 6

Úvod

Firewall je typ nástroja na zabezpečenie siete, ktorý riadi prichádzajúcu a odchádzajúce sieťovú prevádzku podľa vopred definovaného súboru pravidiel. Firewall môžeme použiť spolu s ďalšími bezpečnostnými opatreniami na ochranu našich serverov pred útokmi hackerov a útokmi.

Návrh brány firewall môže byť buď vyhradený hardvér alebo softvérový program spustený na našom počítači. V systéme CentOS 6 je predvoleným programom brány firewall iptables.

V tomto článku vám ukážem, ako nastaviť základný firewall iptables založený na aplikácii Vultr "WordPress on CentOS 6 x64", ktorá zablokuje všetku komunikáciu okrem webových, SSH, NTP, DNS a pingových služieb. Toto je však len predbežná konfigurácia, ktorá spĺňa bežné bezpečnostné potreby. Ak máte ďalšie požiadavky, potrebovali by ste sofistikovanejšiu konfiguráciu iptables.

Poznámka :

Ak na svoj server pridáte adresu IPv6, mali by ste nastaviť aj službu ip6tables. Konfigurácia ip6tables je mimo rozsahu tohto článku.

Na rozdiel od CentOS 6, iptables už nie je predvoleným firewallovým programom na CentOS 7 a bol nahradený programom s názvom firewalld. Ak plánujete používať CentOS 7, budete musieť nastaviť bránu firewall pomocou brány firewall.

Predpoklady

Čerstvo nasaďte inštanciu servera s aplikáciou Vultr "WordPress on CentOS 6 x64" a potom sa prihláste ako root.

Krok 1: Určite služby a porty používané na vašom serveri

Predpokladám, že tento server bude hosťovať iba blog WordPress a nebude slúžiť ako router ani poskytovať iné služby (napríklad mail, FTP, IRC atď.).

Tu potrebujeme nasledujúce služby:

• HTTP (TCP na porte 80)
• HTTPS (TCP na porte 443)
• SSH (predvolene TCP na porte 22, možno ho zmeniť z bezpečnostných dôvodov)
• NTP (UDP na porte 123)
• DNS (TCP a UDP na porte 53)
• ping (ICMP)

Všetky ostatné nepotrebné porty budú zablokované.

Krok 2: Nakonfigurujte pravidlá iptables

Iptables riadi prevádzku pomocou zoznamu pravidiel. Keď sa sieťové pakety odošlú na náš server, iptables ich postupne skontroluje pomocou každého pravidla a podľa toho podnikne kroky. Ak je pravidlo splnené, ostatné pravidlá budú ignorované. Ak nie sú splnené žiadne pravidlá, iptables použije predvolenú politiku.

Všetka prevádzka môže byť kategorizovaná ako INPUT, OUTPUT a FORWARD.

• Prevádzka INPUT môže byť normálna alebo škodlivá a mala by byť povolená selektívne.
• OUTPUT prevádzka sa normálne považuje za bezpečnú a mala by byť povolená.
• Prevádzka FORWARD je zbytočná a mala by byť zablokovaná.

Teraz nakonfigurujme pravidlá iptables podľa našich potrieb. Všetky nasledujúce príkazy by mali byť zadané z vášho terminálu SSH ako root.

Skontrolujte existujúce pravidlá:

iptables -L -n

Vymažte všetky existujúce pravidlá:

iptables -F; iptables -X; iptables -Z

Keďže zmeny v konfigurácii iptables sa prejavia okamžite, ak nesprávne nakonfigurujete pravidlá iptables, môžete byť zablokovaný na vašom serveri. Náhodnému blokovaniu môžete zabrániť pomocou nasledujúceho príkazu. Nezabudnite nahradiť [Your-IP-Address]vašou vlastnou verejnou adresou IP alebo rozsahom adries IP (napríklad 201.55.119.43 alebo 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Povoliť všetku premávku so spätnou slučkou (lo) a všetku návštevnosť pustiť na 127.0.0.0/8 inú ako lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Blokujte niektoré bežné útoky:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Prijmite všetky vytvorené prichádzajúce pripojenia:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Povoliť prichádzajúce prenosy HTTP a HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Povoliť pripojenia SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Povoliť pripojenia NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Povoliť dotazy DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Povoliť ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Nakoniec nastavte predvolené pravidlá:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Krok 3: Uložte konfigurácie

Každá zo zmien, ktoré sme vykonali vyššie, sa prejavila, no nie sú trvalé. Ak ich neuložíme na pevný disk, po reštarte systému sa stratia.

Uložte konfiguráciu iptables pomocou nasledujúceho príkazu:

service iptables save

Naše zmeny sa uložia do súboru /etc/sysconfig/iptables. Pravidlá si môžete prezrieť alebo upraviť úpravou tohto súboru.

Alternatívne riešenia pre náhodné zablokovanie

Ak máte prístup na svoj server zablokovaný kvôli chybe v konfigurácii, stále môžete znova získať prístup pomocou niektorých riešení.

• Ak ste ešte neuložili svoje úpravy pravidiel iptables, môžete reštartovať svoj server z rozhrania webovej stránky Vultr, potom budú vaše zmeny zrušené.
• Ak ste uložili svoje zmeny, môžete sa prihlásiť na svoj server cez konzolu z rozhrania webovej lokality Vultr a zadať vstup iptables -Fna vyprázdnenie všetkých pravidiel iptables. Potom môžete znova nastaviť pravidlá.