Налаштуйте брандмауер IPTables на CentOS 6

Вступ

Брандмауер — це тип інструмента безпеки мережі, який контролює вхідний і вихідний мережевий трафік відповідно до його попередньо визначеного набору правил. Ми можемо використовувати брандмауер разом з іншими заходами безпеки для захисту наших серверів від хакерських нападів і атак.

Конструкція брандмауера може бути як спеціальним апаратним, так і програмним забезпеченням, запущеним на нашій машині. У CentOS 6 стандартною програмою брандмауера є iptables.

У цій статті я покажу вам, як налаштувати базовий брандмауер iptables на основі програми Vultr "WordPress на CentOS 6 x64", яка блокуватиме весь трафік, крім веб-сервісів, SSH, NTP, DNS і ping. Однак це лише попередня конфігурація, яка задовольняє загальні потреби безпеки. Вам знадобиться більш складна конфігурація iptables, якщо у вас є додаткові вимоги.

Примітка :

Якщо ви додаєте адресу IPv6 до свого сервера, вам також слід налаштувати службу ip6tables. Налаштування ip6tables виходить за рамки цієї статті.

На відміну від CentOS 6, iptables більше не є програмою брандмауера за замовчуванням у CentOS 7, і його замінили програмою під назвою firewalld. Якщо ви плануєте використовувати CentOS 7, вам потрібно буде налаштувати брандмауер за допомогою firewalld.

Передумови

Снову розгорніть екземпляр сервера за допомогою програми Vultr "WordPress на CentOS 6 x64", а потім увійдіть як root.

Крок 1. Визначте служби та порти, які використовуються на вашому сервері

Я припускаю, що на цьому сервері буде розміщено лише блог WordPress, і він не буде використовуватися як маршрутизатор чи надавати інші послуги (наприклад, пошта, FTP, IRC тощо).

Тут нам потрібні такі послуги:

• HTTP (TCP на порту 80)
• HTTPS (TCP на порту 443)
• SSH (TCP на порту 22 за замовчуванням, можна змінити в цілях безпеки)
• NTP (UDP на порту 123)
• DNS (TCP і UDP на порту 53)
• ping (ICMP)

Усі інші непотрібні порти будуть заблоковані.

Крок 2: Налаштуйте правила iptables

Iptables контролює трафік за допомогою списку правил. Коли мережеві пакети надсилаються на наш сервер, iptables перевірить їх, використовуючи кожне правило послідовно, і вживе відповідних дій. Якщо правило виконується, інші правила ігноруються. Якщо жодне правило не виконується, iptables використовуватиме політику за замовчуванням.

Весь трафік можна розділити на категорію INPUT, OUTPUT і FORWARD.

• ВХОДНИЙ трафік може бути звичайним або шкідливим, його слід дозволяти вибірково.
• Трафік OUTPUT зазвичай вважається безпечним і має бути дозволений.
• Трафік FORWARD марний і має бути заблокований.

Тепер давайте налаштуємо правила iptables відповідно до наших потреб. Усі наступні команди слід вводити з терміналу SSH як root.

Перевірте існуючі правила:

iptables -L -n

Очистити всі існуючі правила:

iptables -F; iptables -X; iptables -Z

Оскільки зміни в конфігурації iptables набудуть чинності негайно, якщо ви неправильно налаштуєте правила iptables, ви можете бути заблоковані на вашому сервері. Ви можете запобігти випадковим блокуванням за допомогою наступної команди. Не забудьте замінити [Your-IP-Address]власною загальнодоступною IP-адресою або діапазоном IP-адрес (наприклад, 201.55.119.43 або 201.55.119.0/24).

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

Дозволити весь трафік loopback (lo) і перекинути весь трафік до 127.0.0.0/8, крім lo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

Блокуйте деякі поширені атаки:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Прийняти всі встановлені вхідні з’єднання:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Дозволити вхідний трафік HTTP і HTTPS:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Дозволити підключення SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Дозволити підключення NTP:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

Дозволити запити DNS:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Дозволити ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Нарешті встановіть політику за замовчуванням:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Крок 3: Збережіть конфігурації

Усі зміни, які ми внесли вище, набули чинності, але вони не є постійними. Якщо ми не збережемо їх на жорсткому диску, вони будуть втрачені після перезавантаження системи.

Збережіть конфігурацію iptables за допомогою такої команди:

service iptables save

Наші зміни будуть збережені у файлі /etc/sysconfig/iptables. Ви можете переглянути або змінити правила, відредагувавши цей файл.

Обхідні шляхи для випадкового блокування

Якщо ви заблокували доступ до свого сервера через помилку конфігурації, ви все одно можете відновити доступ за допомогою деяких обхідних шляхів.

• Якщо ви ще не зберегли свої зміни до правил iptables, ви можете перезапустити свій сервер з інтерфейсу веб-сайту Vultr, тоді ваші зміни буде скасовано.
• Якщо ви зберегли зміни, ви можете увійти на свій сервер через консоль з інтерфейсу веб-сайту Vultr і ввести дані, iptables -Fщоб очистити всі правила iptables. Потім ви можете знову налаштувати правила.