ОСНОВНОЕ

WORDPRESS

Операционные системы

Базы данных

Фреймворк Bootstrap

Ничего не стоит тот, кому не завидуют (Эпихарм).

Как настроить брандмауэр с IPTables на Ubuntu и CentOS

FavoriteLoadingДобавить в избранное
1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Статья опубликована: 19 апреля 2017

Как настроить брандмауэр с IPTables на Ubuntu и CentOS
В этой статье, мы собираемся показать вам, как настроить брандмауэр с IPTables на Linux VPS под управлением Ubuntu или CentOS в качестве операционной системы. Iptables является инструментом администрирования для фильтрации IPv4 пакетов и NAT, и используется для создания и управления таблицами правил фильтрации пакетов IPv4 в ядре Linux.

Правильная настройка и настройка брандмауэра является одним из наиболее важных вещей, которые вы должны сделать, чтобы защитить сервер.

В IPTables, определены несколько различных таблиц соответствия пакетов и каждая таблица может содержать несколько встроенных цепей, а также некоторые цепочки, определенных пользователем. Цепи на самом деле списки правил, которые соответствуют набору пакетов и каждое правило определяет, что делать с согласованным пакетом.

Таблицей по умолчанию является таблица filter и содержит встроенные цепи INPUT, FORWARD, and OUTPUT. Цепь INPUT используется для пакетов, предназначенных для локальных сокетов, цепь FORWARD используется для пакетов, маршрутизируемых через локальный сокет, а цепь OUTPUT используются для локально-генерируемых пакетов.

Подключитесь к серверу через SSH и откройте список правил, определенных в конкретной цепи, используя следующий синтаксис:

 

Замените Chain на одной из встроенных цепочек, чтобы увидеть определенные правила. Если не выбрана ни одна цепочка, будут перечислены все сети в выходных данных.

 

Правила брандмауэра указывают, что делать с определенным пакетом, если он соответствует определенным критериям, и в случае, если пакет не соответствует критериям, будет рассмотрено следующее правило брандмауэра указанное в цепочке. Это очень важно знать при определении правил брандмауэра, потому что вы можете легко заблокировать себя из вашего сервера, если вы определяете правило, которое принимает пакеты с вашего локального IP-адреса после правила блокировки.

Цели, которые можно использовать для правил брандмауэра ACCEPT, DROP, QUEUE и RETURN. ACCEPT позволит разрешить пакет, DROP отбросит пакет, QUEUE будет передавать пакет в пользовательское пространство, а RETURN остановит пакетное перемещение по текущей цепочке и будет возобновлено на следующем правиле в предыдущей цепочке. Политика цепи по умолчанию будет определять, что делать с пакетом, если он не соответствует определенному правилу брандмауэра. Как вы можете видеть на выходе первой команды, политика по умолчанию для всех встроенных цепочек устанавливаются ACCEPT. ACCEPT позволит пакету проходить и в принципе не имеет никакой защиты.

Перед добавлением каких-либо конкретных правил, добавьте следующий:

 

Это позволит предотвратить соединения, которые были уже созданы, и не будет отброшено и текущая SSH сессия будет оставаться активной.

Затем добавить правила, чтобы разрешить трафик на локальном интерфейсе:

 

Далее, разрешить доступ к серверу через SSH для вашего локального IP-адреса, так только вы можете получить доступ к серверу:

 

Где 111.111.111.111 ваш локальный IP – адрес и 22 является портом прослушивания вашего SSH демона. В случае, если ваши локальные изменения IP адреса динамически, лучше опустить часть -s 111.111.111.111 и использовать другой метод, чтобы защитить службу SSH от нежелательного трафика.

 

Далее, разрешить доступ к важным услугам, как сервер HTTP/HTTPS:

Теперь список текущих правил и проверить все ли в порядке. Для детального вывода вы можете использовать следующую команду:

 

Если у вас есть другие услуги, которым вы хотите разрешить доступ, лучше сделать это сейчас. После того, как вы закончите, вы можете установить политику по умолчанию для входной встроенной цепи DROP.

 

Это приведет к какому-либо пакету, который не соответствует критериям правил брандмауэра. Конечный результат должен быть похож на следующий:

 

Тем не менее, если вы сейчас перезапустить сервер, вы потеряете все правила брандмауэра, которые вы определили, так что очень важно, чтобы правила оставались постоянно.

В случае, если вы используете  Ubuntu VPS необходимо установить дополнительный пакет для этой цели. Идите вперед и установите необходимый пакет с помощью следующей команды:

 

На Ubutnu 14.04 вы можете сохранить и перезагрузить правила брандмауэра , используя команды ниже:

 

На Ubuntu 16.04 используйте следующие команды вместо:

 

Если вы используете  CentOS VPS, вы можете сохранить правила брандмауэра с помощью команды ниже:

 

PS . Если вам понравился этот пост, можете поделиться им с друзьями в социальных сетях помощью кнопок ниже или просто оставить комментарий в разделе комментариев.


Читайте также

Добавить комментарий

Войти с помощью: 

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Заполните форму и наш менеджер перезвонит Вам в самое ближайшее время!

badge
Обратный звонок 1
Отправить
galka

Спасибо! Ваша заявка принята

close
galka

Спасибо! Ваша заявка принята

close