Основи на общите правила и IPTABLES команда защитна стена

Като сървъри в сигурни центрове за данни в Европа. Open облак VPS / VDS сървър на бърз SSD за 1 минута!

Най-добър уеб хостинг:
- ще предпазят данните от неоторизиран достъп в защитена Европейския център за данни
- ще плати най-малко в Bitcoin.
- Той ще постави вашата дистрибуция

- защита от DDoS-атаки
- безплатно архивиране
- Uptime 99,9999%
- DPC - TIER III
- ISP - етап I

Подкрепа в руските 24/7/365 работи с юридически и физически лица. Сега трябва 24 ядро и 72 Gb RAM. Моля ви!

Нашите конкурентни цени доказват, че най-евтиният хостинг, че не знаеш!

За броени минути, изберете конфигурация, заплати и CMS на VPS е готова.
Връщане на парите - за 30 дни!

Банкови карти, електронни валута през QIWI терминали, Webmoney, PayPal, Novoplat и други.

Задайте въпрос 24/7/365 поддръжка

Намерете отговорите в нашата база данни, както и да отговарят на препоръките на

Как да използвате това ръководство

Първо трябва да инсталирате IPTABLES на вашия сървър.

Повечето от правилата, описани в ръководството изчисти входящ трафик в съответствие с политиката по подразбиране (DROP). Можете избирателно да отключите входящия трафик на техните собствени.

Вие не трябва да се извърши през цялото ръководство в ред. Потърсете секцията, който съдържа инструкциите, които са ви необходими, и да го използвате в предложеното правило. По принцип, разделите на ръководството не са свързани един с друг.

Ако е необходимо, просто можете да копирате и поставите дадените тук примери правила по-рано, след коригиране.

Запомни реда на правилата във файла е от първостепенно значение! Всеки отбор използва IPTABLES -A флаг, за да вмъкнете правило в края на веригата. Ако искате да изберете място, което ще отнеме правило във веригата, използвайте -I флаг. За да се постави на върховенството на върха на веригата, просто не се вписва номера на екип.

Забележка. Когато се работи с защитната стена, случайно да си заключите достъпа до вашия собствен сървър - деактивиране на SSH-трафик, порт 22. Ако това се случи, опитайте да се свържете към сървъра посредством конзолата и промените настройките на защитната стена, за да се даде възможност на трафика на порт 22. Ако не сте записали нов набор от правила, които блокират SSH, както и старите правила за отваряне на портове 22, просто рестартирайте сървъра. Незапазени правила ще бъдат нулирани и ще бъдете в състояние да се свърже със сървъра.

За да проверите текущия набор от правила, IPTABLES, използвайте командата:

Sudo IPTABLES -S
Sudo IPTABLES -L

Запазване на права

правила IPtables се нулират след рестартиране на сървъра. Това, че те се използват редовно, те трябва да бъдат спасени ръчно.

правила Опазване на Ubuntu

В Ubuntu правила, записани с помощта на IPTABLES-устойчиви пакет. Инсталирайте този пакет:

ап-да инсталирате IPTABLES-устойчиви

По време на инсталацията, ще бъдете подканени да запазите текущия набор от правила.

Ако сте актуализирали правилата и искате да ги спаси, тип: д

SUDO позове-rc.d IPTABLES-устойчиви спасяване

правила Опазване на CentOS 6 и повече години

Забележка. CentOS 7 по подразбиране използва FirewallD.

В CentOS 6 и повече да използвате IPTABLES първоначален скрипт, за да запишете файла:

SUDO IPTABLES услуги спестяват

Настоящият набор от правила, IPTABLES ще се съхраняват в / и т.н. / sysconfig / IPTABLES.

Темата ще бъде обсъдена подробно в изходните и премахване на правилата за IPtables.

Общи правила за IPTables

В тази секция ще намерите най-общите правила и IPtables команди.

Подкрепа за интерфейса-примка

На интерфейса (наричан също ето) - интерфейс, който използва компютър връзката с мрежата за себе си.

За да се даде възможност на трафика на интерфейса-примка, изпълнете следните команди:

Sudo IPTABLES -A INPUT -i ето -j ACCEPT
Sudo IPTABLES -A OUTPUT -o ето -j ACCEPT

Резолюцията на съществуващите и свързаните с входящи свързвания

Трафик в мрежата като цяло трябва да бъде двупосочна (входящи и изходящи). Трябва да добавите правило защитна стена, която позволява на съществуващите връзки и свързаното с входящия трафик към сървъра поддържа от обратен изходящи пътни връзки, инициирани от самия сървър.

Sudo IPTABLES -A INPUT -m conntrack --ctstate, създадени, СВЪРЗАНИ -j ACCEPT

Резолюцията на съществуващите изходящите връзки

За да позволите на сървъра да подкрепят изходящи съществуващите връзки, използвайте следната команда:

Sudo IPTABLES -A OUTPUT -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Външна и вътрешна мрежа

Като се има предвид, че eth0 - външна мрежа и eth1 - вътрешна мрежа, следното правило коригира тяхното взаимодействие:

Sudo IPTABLES -A FORWARD -i eth1 -o eth0 -j ACCEPT

Reset невалидни пакети

Понякога пакети мрежа за трафик са маркирани като невалидни. В някои ситуации, тези пакети трябва да бъдат регистрирани в дневника, но обикновено е по-добре да загубиш. Това се прави със следната команда:

Sudo IPTABLES -A INPUT -m conntrack --ctstate НЕВАЛИДЕН -j DROP

Sudo IPTABLES -A INPUT -s 15.15.15.51 -j DROP

В тази команда -s 15.15.15.51 посочва източника на връзката, която искате да блокирате.

Забележка. Посочете източника IP може да бъде във всеки правило защитна стена, включително позволи.

Sudo IPTABLES -A INPUT -s 15.15.15.51 -j REJECT

Ограничаване на съединенията от интерфейса

Защитната стена може да блокира съединението, идващи от ПР (например, 15.15.15.51) за определен интерфейс (например, eth0).

IPTABLES -A INPUT -i eth0 -s 15.15.15.51 -j DROP

Тази команда се различава от предишната само опция -i eth0. Можете да определите мрежов интерфейс по всяко правило защитна стена.

SSH услуга

, Трябва да се даде възможност входящо SSH връзки (пристанищни 22), за да работят със сървъра на облак.

Да се разрешат всички входящ трафик

За да направите това, използвайте командата:

Sudo IPTABLES -A INPUT -p TCP --dport 22 -m conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP --sport 22 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Втората команда, която позволява изходящи SSH съществуващи съединения е необходима само, ако изходът политика - не приеме.

Sudo IPTABLES -A INPUT -p TCP -s 15.15.15.0/24 --dport 22 -m conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP --sport 22 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Резолюция на изходящ трафик

Ако изходът политика - не приема, но трябва да се даде възможност на изходящите SSH-връзка, използвайте:

Sudo IPTABLES -A OUTPUT -p TCP --dport 22 -m conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A INPUT -p TCP --sport 22 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Входящите RSYNC връзки

Rsync използва порт 873 и ви позволява да прехвърляте файлове от един компютър на друг.

Sudo IPTABLES -A INPUT -p TCP -s 15.15.15.0/24 --dport 873 -м conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -А ИЗХОД -p TCP --sport 873 -m conntrack --ctstate УСТАНОВЕНО -j ACCEPT

Втората команда, която позволява изходящ трафик на съществуващите връзки на RSYNC, необходими само в случай, ако изходът политика - не приеме.

Уеб сървъри

Уеб сървъри (например Apache и Nginx) обикновено резба HTTP и HTTPS връзки с портове 80 и 443 съответно. Ако политическите блокове по подразбиране защитната стена или отхвърля връзката, трябва да се създадат правила, изключения от това правило, за уеб сървъри да служи на исканията.

Позволете входящи HTTP трафик

За да се даде възможност на всички входящи HTTP трафик (порт 80), използвайте:

Sudo IPTABLES -A INPUT -p TCP --dport 80 -m conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP --sport 80 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Втората команда, която позволява изходящи HTTP съществуващи съединения е необходима само, ако изходът политика - не приеме.

Разрешаването Входящ HTTPS трафик

За да се даде възможност на всички входящи HTTPS трафик (порт 443), тип:

Sudo IPTABLES -A INPUT -p TCP --dport 443 -м conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP --sport 443 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Втората команда, която позволява изходящи HTTPS съществуващи съединения е необходима само, ако изходът политика - не приеме.

Позволете входящи HTTP и HTTPS трафик

За да позволите на HTTP и HTTPS трафик, използвайте мултипорт модул. Създаване на правило, което отваря два порта за входящ трафик:

Sudo IPTABLES -A INPUT -p TCP -м мултипорт --dports 80443 -м conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP -м мултипорт --dports 80443 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Втората команда, която позволява изходящ трафик на съществуващата HTTP и HTTPS-връзки, необходими само в случай, ако изходът политика - не приеме.

MySQL система за управление на бази данни

MySQL слуша за клиентски връзки на порт 3306. Ако сървъра на база данни MySQL, използван от клиента на отдалечен сървър, вие трябва да бъдете сигурни, за да може този трафик.

Sudo IPTABLES -A INPUT -p TCP -s 15.15.15.0/24 --dport 3306 -м conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP --sport 3306 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Втората команда, която позволява изходящ трафик на съществуващите MySQL връзки необходими само в случай, ако изходът политика - не приеме.

MySQL Мрежови интерфейс

За да се позволи достъп до MySQL чрез интерфейс определена мрежа (например, eth1), използвайте следните команди:

Sudo IPTABLES -A INPUT -i eth1 -p TCP --dport 3306 -м conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -o eth1 -p TCP --sport 3306 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Система за управление на бази данни PostgreSQL

PostgreSQL слуша за клиентски връзки на порт 5432. Ако сървърът PostgreSQL използван от клиента на отдалечен сървър, вие трябва да бъдете сигурни, за да може този трафик.

Sudo IPTABLES -A INPUT -p TCP -s 15.15.15.0/24 --dport 5432 -м conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP --sport 5432 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

където 15.15.15.0/24 - подмрежа, които могат да получат достъп до PostgreSQL.

Втората команда, която позволява на изходящи връзки съществуващата PostgreSQL е необходимо само, ако изходът политика - не приеме.

PostgreSQL мрежови интерфейси

За да се позволи достъп до PostgreSQL използването на конкретна мрежа интерфейс (например, eth1), използвайте следните команди:

Sudo IPTABLES -A INPUT -i eth1 -p TCP --dport 5432 -м conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -o eth1 -p TCP --sport 5432 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

пощенски услуги

Блокиране на изходящи SMTP

Ако сървърът не изпраща изходяща поща, можете да блокирате този вид превози. SMTP използва порт 25. За да блокирате изходящия трафик, изпълнете следната команда:

Sudo IPTABLES -A OUTPUT -p TCP --dport 25 -j REJECT

Сега IPTABLES ще отхвърлят всички изходящ трафик на порт 25. За да нулирате трафик на друг порт, просто изберете номера на екип.

разрешително SMTP трафик

За да прочетете пълното SMTP-трафик на порт 25, стартирайте:

Sudo IPTABLES -A INPUT -p TCP --dport 25 -m conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP --sport 25 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Втората команда, която позволява съществуващите изходящи SMTP връзки необходими само в случай, ако изходът политика - не приеме.

Забележка. Обикновено, SMTP сървъри използват порт 587 за изходяща поща.

Разрешаването Входящ IMAP трафик

Сървърът може да отговори на IMAP-връзка на порт 143, стартирайте:

Sudo IPTABLES -A INPUT -p TCP --dport 143 -м conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP --sport 143 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Втората команда, която позволява изходящ трафик съществуващата IMAP връзки необходими само в случай, ако изходът политика - не приеме.

Разрешаването Входящ трафик съобрази с IMAPS

Сървърът може да отговори на -връзка съобрази с IMAPS на порт 993, изпълнете командата:

Sudo IPTABLES -A INPUT -p TCP --dport 993 -м conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP --sport 993 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Втората команда, която позволява на изходящи връзки съществуващите съобрази с IMAPS, е необходимо само в случай, ако изходът политика - не приеме.

Позволете входящ трафик POP3

Сървърът може да отговори на POP3-връзка на порт 110, въведете следната команда:

Sudo IPTABLES -A INPUT -p TCP --dport 110 -м conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP --sport 110 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Втората команда, която позволява изходящ трафик съществуващата POP3 връзки необходими само в случай, ако изходът политика - не приеме.

Разрешаването Входящ трафик POP3S

Сървърът може да отговори на POP3S -връзка на порт 995, въведете:

Sudo IPTABLES -A INPUT -p TCP --dport 995 -м conntrack --ctstate NEW, създадена -j ACCEPT
Sudo IPTABLES -A OUTPUT -p TCP --sport 995 -м conntrack --ctstate СЪЗДАДЕНА -j ACCEPT

Втората команда, която позволява на изходящи връзки съществуващите POP3S, необходими само в случай, ако изходът политика - не приеме.

заключение

Това ръководство обхваща по-голямата част от най-често използваните команди и IPTABLES правилата на защитната стена. Разбира се, IPTABLES е много гъвкав инструмент; да избере най-подходящите правила, експериментирате със собствен настройките на защитната стена.