Konfigurera IPTables-brandväggen på CentOS 6

Introduktion

En brandvägg är en typ av nätverkssäkerhetsverktyg som styr inkommande och utgående nätverkstrafik enligt dess fördefinierade regeluppsättning. Vi kan använda en brandvägg tillsammans med andra säkerhetsåtgärder för att skydda våra servrar från hackares priester och attacker.

Designen av en brandvägg kan vara antingen dedikerad hårdvara eller ett program som körs på vår maskin. På CentOS 6 är standardbrandväggsprogrammet iptables.

I den här artikeln kommer jag att visa dig hur du ställer in en grundläggande iptables-brandvägg baserad på Vultr "WordPress on CentOS 6 x64"-appen, som kommer att blockera all trafik förutom webb-, SSH-, NTP-, DNS- och pingtjänster. Detta är dock endast en preliminär konfiguration som tillfredsställer vanliga säkerhetsbehov. Du skulle behöva en mer sofistikerad iptables-konfiguration om du har ytterligare krav.

Obs :

Om du lägger till en IPv6-adress till din server bör du också konfigurera tjänsten ip6tables. Att konfigurera ip6tables ligger utanför ramen för den här artikeln.

Till skillnad från CentOS 6 är iptables inte längre standardbrandväggsprogrammet på CentOS 7, och har ersatts med ett program som heter firewalld. Om du planerar att använda CentOS 7 måste du konfigurera din brandvägg med en brandvägg.

Förutsättningar

Implementera nyligen en serverinstans med Vultr "WordPress on CentOS 6 x64"-appen och logga sedan in som root.

Steg 1: Bestäm vilka tjänster och portar som används på din server

Jag antar att den här servern bara kommer att vara värd för en WordPress-blogg, och den kommer inte att användas som en router eller tillhandahålla andra tjänster (till exempel post, FTP, IRC, etc.).

Här behöver vi följande tjänster:

• HTTP (TCP på port 80)
• HTTPS (TCP på port 443)
• SSH (TCP på port 22 som standard, kan ändras av säkerhetsskäl)
• NTP (UDP på ​​port 123)
• DNS (TCP och UDP på ​​port 53)
• ping (ICMP)

Alla andra onödiga portar kommer att blockeras.

Steg 2: Konfigurera iptables-regler

Iptables styr trafiken med en lista med regler. När nätverkspaket skickas till vår server kommer iptables att inspektera dem med hjälp av varje regel i sekvens och vidta åtgärder i enlighet med detta. Om en regel uppfylls kommer de andra reglerna att ignoreras. Om inga regler uppfylls kommer iptables att använda standardpolicyn.

All trafik kan kategoriseras som INPUT, OUTPUT och FORWARD.

• INPUT-trafik kan vara antingen normal eller skadlig, bör tillåtas selektivt.
• OUTPUT-trafik anses normalt vara säker och bör tillåtas.
• FRAMÅT trafik är värdelös och bör blockeras.

Låt oss nu konfigurera iptables-reglerna enligt våra behov. Alla följande kommandon bör matas in från din SSH-terminal som root.

Kontrollera de befintliga reglerna:

iptables -L -n

Töm alla befintliga regler:

iptables -F; iptables -X; iptables -Z

Eftersom ändringar av iptables-konfigurationen kommer att träda i kraft omedelbart, om du felkonfigurerar iptables-reglerna, kan du bli blockerad från din server. Du kan förhindra oavsiktliga blockouter med följande kommando. Kom ihåg att ersätta [Your-IP-Address]med din egen offentliga IP-adress eller IP-adressintervall (till exempel 201.55.119.43 eller 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Tillåt all återgångstrafik (lo) och släpp all trafik till 127.0.0.0/8 annat än lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Blockera några vanliga attacker:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Acceptera alla etablerade inkommande anslutningar:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Tillåt inkommande HTTP- och HTTPS-trafik:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Tillåt SSH-anslutningar:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Tillåt NTP-anslutningar:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Tillåt DNS-frågor:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Tillåt ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Äntligen, ställ in standardpolicyerna:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Steg 3: Spara konfigurationerna

Var och en av ändringarna som vi gjorde ovan har trätt i kraft, men de är inte permanenta. Om vi ​​inte sparar dem på hårddisken kommer de att gå förlorade när systemet startar om.

Spara iptables-konfigurationen med följande kommando:

service iptables save

Våra ändringar kommer att sparas i filen /etc/sysconfig/iptables. Du kan granska eller ändra reglerna genom att redigera den filen.

Lösningar för oavsiktlig blockering

Om du blockeras från din server på grund av ett konfigurationsfel, kan du fortfarande återfå din åtkomst med några lösningar.

• Om du inte har sparat dina ändringar av iptables-reglerna än kan du starta om din server från Vultr-webbplatsens gränssnitt, då kommer dina ändringar att tas bort.
• Om du har sparat dina ändringar kan du logga in på din server via konsolen från Vultr-webbplatsens gränssnitt och skriva in för iptables -Fatt tömma alla iptables-regler. Sedan kan du sätta upp reglerna igen.