Подесите заштитни зид ИПТаблес на ЦентОС 6

Увод

Заштитни зид је тип алата за безбедност мреже који контролише улазни и одлазни мрежни саобраћај у складу са својим унапред дефинисаним скупом правила. Можемо да користимо заштитни зид заједно са другим безбедносним мерама да заштитимо наше сервере од хакерских напада и напада.

Дизајн заштитног зида може бити или наменски хардвер или софтверски програм који ради на нашој машини. На ЦентОС 6, подразумевани програм заштитног зида је иптаблес.

У овом чланку ћу вам показати како да подесите основни иптаблес заштитни зид на основу апликације Вултр „ВордПресс на ЦентОС 6 к64“, која ће блокирати сав саобраћај осим веб, ССХ, НТП, ДНС и пинг сервиса. Међутим, ово је само прелиминарна конфигурација која задовољава уобичајене безбедносне потребе. Требаће вам софистициранија иптаблес конфигурација ако имате додатне захтеве.

Напомена :

Ако свом серверу додате ИПв6 адресу, требало би да подесите и услугу ип6таблес. Конфигурисање ип6таблес је ван делокруга овог чланка.

За разлику од ЦентОС-а 6, иптаблес више није подразумевани програм заштитног зида на ЦентОС-у 7, и замењен је програмом који се зове фиреваллд. Ако планирате да користите ЦентОС 7, мораћете да подесите заштитни зид користећи фиреваллд.

Предуслови

Ново примените инстанцу сервера помоћу апликације Вултр „ВордПресс на ЦентОС 6 к64“, а затим се пријавите као роот.

Корак 1: Одредите услуге и портове који се користе на вашем серверу

Претпостављам да ће овај сервер угостити само ВордПресс блог и неће се користити као рутер нити пружати друге услуге (на пример, маил, ФТП, ИРЦ, итд.).

Овде су нам потребне следеће услуге:

• ХТТП (ТЦП на порту 80)
• ХТТПС (ТЦП на порту 443)
• ССХ (ТЦП на порту 22 подразумевано, може се променити из безбедносних разлога)
• НТП (УДП на порту 123)
• ДНС (ТЦП и УДП на порту 53)
• пинг (ИЦМП)

Сви остали непотребни портови ће бити блокирани.

Корак 2: Конфигуришите иптаблес правила

Иптаблес контролише саобраћај са листом правила. Када се мрежни пакети пошаљу на наш сервер, иптаблес ће их прегледати користећи свако правило у низу и предузети одговарајуће акције. Ако је правило испуњено, остала правила ће бити занемарена. Ако ниједно правило није испуњено, иптаблес ће користити подразумевану политику.

Сав саобраћај се може категорисати као ИНПУТ, ОУТПУТ и ФОРВАРД.

• ИНПУТ саобраћај може бити нормалан или злонамеран, треба га селективно дозволити.
• ОУТПУТ саобраћај се обично сматра безбедним и требало би да буде дозвољен.
• ФОРВАРД саобраћај је бескористан и треба га блокирати.

Сада, хајде да конфигуришемо иптаблес правила према нашим потребама. Све следеће команде треба да буду унете са вашег ССХ терминала као роот.

Проверите постојећа правила:

iptables -L -n

Испразните сва постојећа правила:

iptables -F; iptables -X; iptables -Z

Пошто промене у иптаблес конфигурацији ступају на снагу одмах, ако погрешно конфигуришете иптаблес правила, можда ћете бити блокирани са свог сервера. Можете спречити случајна блокирања помоћу следеће команде. Не заборавите да замените [Your-IP-Address]сопственом јавном ИП адресом или опсегом ИП адреса (на пример, 201.55.119.43 или 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Дозволите сав саобраћај (лоопбацк) и испустите сав саобраћај на 127.0.0.0/8 осим ло:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Блокирајте неке уобичајене нападе:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Прихватите све успостављене долазне везе:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Дозволи ХТТП и ХТТПС улазни саобраћај:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Дозволи ССХ везе:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Дозволите НТП везе:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Дозволи ДНС упите:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Дозволи пинг:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Коначно, поставите подразумеване смернице:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Корак 3: Сачувајте конфигурације

Свака од горенаведених промена је ступила на снагу, али није трајна. Ако их не сачувамо на хард диск, биће изгубљени када се систем поново покрене.

Сачувајте иптаблес конфигурацију следећом командом:

service iptables save

Наше промене ће бити сачуване у датотеци /etc/sysconfig/iptables. Можете да прегледате или измените правила тако што ћете уредити ту датотеку.

Заобилазна решења за случајну блокаду

Ако сте блокирани да приступите серверу због грешке у конфигурацији, још увек можете да повратите приступ помоћу неких заобилазних решења.

• Ако још увек нисте сачували своје измене иптаблес правила, можете поново да покренете сервер са интерфејса веб локације Вултр, а затим ће ваше промене бити одбачене.
• Ако сте сачували своје промене, можете се пријавити на свој сервер преко конзоле са интерфејса веб локације Вултр и унети iptables -Fда бисте испразнили сва иптаблес правила. Онда можете поново поставити правила.