Что трудно? Познать самого себя. Что легко? Давать советы другим (Фалес).

Как обеспечить безопасность VPS на базе Ubuntu/Debian с помощью IPTABLES/Netfilter

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Статья опубликована: 5 января 2017

Как обеспечить безопасность VPS на базе Ubuntu/Debian с помощью IPTABLES/Netfilter

Что такое Iptables?

Это прикладная программа, которая позволяет системному администратору настраивать таблицы, предоставляемые брандмауэром ядра Linux (реализованы в виде различных модулей Netfilter), цепей и правил.

Для того чтобы защищать от попыток взлома и фильтровать открытые порты на вашем виртуальном сервере, необходима правильная настройка брандмауэра.

Для того, чтобы сделать управление правилами брандмауэра вашего сервера проще, мы предоставим вам простой скрипт, который поможет с управлением правил брандмауэра. В принципе, всякий раз, когда вам необходимо изменить правила брандмауэра, вы будете использовать этот скрипт для добавления/удаления желаемого правила(ы).

Установка правил межсетевого экрана

Перед тем как записать правила в сценарии, давайте разобьем его на разделы, так что вы можете знать конструкцию брандмауэра и какие правила будут на месте.

Очистка старых правил

Правила брандмауэра могут быть сброшены с помощью следующих команд:

Сервис распознавания портов

Вы должны знать, какие порты у вас открыты, так что вы можете установить соответствующие правила для них. Один из способов найти какие порты прослушиваются можно с использованием команды netstat или ss:

например, мы используем один из наших виртуальных серверов Ubuntu 12.04 LTS и следующий вывод команды netstat:

это означает, что мы открыли следующие порты для публики:

  • 25 (SMTP)
  • 587 (подача SMTP)
  • 110 (pop3)
  • 143 (IMAP)
  • 993 (IMAP SSL)
  • 995 (pop3 SSL)
  • 80 (HTTP)
  • 443 (HTTPS)
  • 53 (DNS)
  • 21 (FTP)
  • 5622 (SSH)

Установка политики

ОК, так что теперь мы можем настроить политику нашего брандмауэра, настроить на DROPINPUT и FORWARD и разрешить прохождение трафика в цепочке OUTPUT.

таблица по умолчанию filter содержит три встроенных цепочки:

  1. Входящий трафик на имя самой машины попадает на входную цепочку.
  2. Outbound, локально сгенерированный трафик попадает в цепочку OUTPUT.
  3. Уходящий трафик, который не должен быть доставлен локально попадает в цепь FORWARD.

Проверить можно, набрав команду man 8 iptables для получения дополнительной информации.

Политику по умолчанию можно установить с помощью следующих команд:

Установка правила межсетевого экрана

Следующее, что нужно сделать, это установить правила брандмауэра. В качестве INPUT цепь  DROPPED, мы должны создать белый список услуг, которые будут прослушиваться на портах:

Далее, давайте откроем наши порты служб с помощью правил брандмауэра, так:

и так далее. После того, как все эти услуги будут занесены в белый список, необходимо разрешить ICMP-пакеты, LOG и DROP все остальное во входной цепи.

Сохранение/разворачивание правил межсетевого экрана

Правила брандмауэра не сохраняются по умолчанию, что означает, что они будут потеряны при перезагрузке виртуального сервера. Чтобы сохранить текущий брандмауэр /etc/fwall.rules вы должны использовать что – то вроде этого:

и для восстановления сохраненных правил, вы будете использовать что-то вроде:

Чтобы сделать правила автоматически восстанавливать на старте системы, вы должны либо использовать пакет с именем iptables-persistent или вы можете просто создать сценарий в /etc/network/if-pre-up.d в котором будет загружаться правила, сохраненные в /etc/fwall.rules, например:


Сценарий брандмауэра

Сохраним сценарий в /usr/local/bin/fwall-rules и сделаем его исполняемым

для активации правил вы подготовили сценарии, просто выполните его

из командной строки. Чтобы добавить или удалить правило, вам просто нужно просто открыть скрипт, добавить или удалить желаемое правило, сохранить и запустить его снова, например:

В следующей статье мы покажем вам, как вы можете обеспечить и защитить виртуальный сервер Ubuntu или Debian с помощью брандмауэра Iptables.

PS. Если вам понравился этот пост, поделитесь им с друзьями в социальных сетях помощью кнопок внизу поста или просто оставьте комментарий ниже. Заранее благодарю.

Как обеспечить безопасность VPS на базе Ubuntu/Debian с помощью IPTABLES/Netfilter


Читайте также

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

    Заполните форму и наш менеджер перезвонит Вам в самое ближайшее время!

    badge
    Обратный звонок 1
    Отправить
    galka

    Спасибо! Ваша заявка принята

    close
    galka

    Спасибо! Ваша заявка принята

    close