Alapjai általános szabályait és iptables parancs

Miután szerver biztonságos adatközpontok Európában. Nyílt felhő VPS / VDS szerver egy gyors SSD 1 perc alatt!

A legjobb Web Hosting:
- megvédi az illetéktelen hozzáférés egy biztonságos európai adatközpont
- fizet legalább Bitcoin.
- Akkor tegye meg a disztribúciós

- védelmet DDOS támadások
- ingyenes biztonsági mentés
- Üzemidő 99,9999%
- DPC - TIER III
- ISP - TIER I

Támogatás az orosz 24/7/365 dolgozni a jogi és fizikai személyek. Most kell 24 mag és 72 Gb RAM. Kérlek!

A versenyképes áron bizonyítani, hogy a legolcsóbb hosting, ha nem tudja!

A percek alatt, válassza ki a konfiguráció, a fizetés és a CMS egy VPS kész.
Pénzvisszafizetési - 30 nap alatt!

Bankkártyák, elektronikus valuta révén Qiwi terminálok, WebMoney, PayPal, Novoplat és mások.

Tegye fel kérdését támogatás 24/7/365

Megtalálja a választ az adatbázisunkban, és megfelel az ajánlásokat a

Hogyan kell használni ezt az útmutatót

Először meg kell telepíteni iptables a szerveren.

A legtöbb leírt szabályoknak kézi alaphelyzetbe bejövő forgalmat szerint az alapértelmezett politikája (DROP). Akkor szelektíven oldja a bejövő forgalmat a saját.

Nem kell elvégezni az összes kézi érdekében. Keresse meg a rész, amely tartalmazza az utasításokat, hogy szükség van, és használja a javasolt szabály. Alapvetően a szakaszok az utasítás nem köti össze egymással.

Ha szükséges, akkor egyszerűen másolja be a példákban a szabályok korábban kijavítása után.

Ne feledje, a szabályok sorrendje a fájlban rendkívül fontos! Minden csapat használ iptables -A zászló szabály beiktatása végén a lánc. Ha azt szeretnénk, hogy válasszon egy helyet, amely felveszi a szabályt a láncban, használja a -I. Ahhoz, hogy a szabályt, hogy a tetején a lánc, egyszerűen nem adja meg a csoport számát.

Megjegyzés. Munka közben a tűzfal, akkor véletlenül kizárja magát hozzáférés a saját szerver - disable SSH-forgalmat, port 22. Ha ez bekövetkezik, próbáljon meg csatlakozni a szerver segítségével a konzol és rögzítse a tűzfal beállításait, hogy a forgalom a port 22. Ha még nem mentett új sor szabályokat, amelyek blokkolják az SSH, és a régi szabályok nyitott kapuk 22, csak a szerver újraindítására. Nem mentett szabályokat kell állítani, és akkor képes lesz arra, hogy újra a szervert.

Hogy ellenőrizze az aktuális készlet iptables szabályok, a következő parancsot:

sudo iptables -S
sudo iptables -L

A jogok fenntartása

Iptables szabályok visszaállítása után a kiszolgáló újraindítását. Hogy ezeket használják rendszeresen, akkor meg kell menteni kézzel.

Megőrzési szabályok Ubuntu

Az Ubuntu szabályok alkalmazásával elmentett iptables-perzisztens csomagot. Telepítse ezt a csomagot:

sudo apt-get install iptables-perzisztens

A telepítés során, akkor a program kérni fogja, hogy mentse a jelenleg hatályos szabályok.

Ha frissítettük a szabályokat, és azt szeretnék, hogy megmentse őket, típus: e

sudo hivatkozhat-rc.d iptables-tartós megtakarítás

Megőrzési szabályok CentOS 6 és annál idősebb

Megjegyzés. CentOS 7 alapértelmezésben használ FirewallD.

A CentOS 6 és az idősebb használhatja az iptables init scriptet, hogy mentse a fájlt:

sudo service iptables menteni

A jelenlegi készlet az iptables szabályok lesznek tárolva az / etc / sysconfig / iptables.

Ezt a témát részletesen tárgyalja a kimenő és eltávolítására iptables szabályok.

Általános szabályok a IPTables

Ebben a részben található a közös szabályok és az iptables parancsokat.

Támogatás a visszacsatolási felületen

Visszacsatolási felületen (más néven lo) - olyan felület, amely a számítógép által használt hálózati kapcsolat magad.

Annak érdekében, hogy a forgalmat a visszacsatolási felületen, a következő parancsokat:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

A felbontás a meglévő és a kapcsolódó bejövő kapcsolatok

A hálózati forgalom egészét kellene kétirányú (bemenő és kimenő). Meg kell adnia a tűzfal szabályt, amely lehetővé teszi a meglévő kapcsolatok és a kapcsolódó bejövő forgalmat a szerver egy visszirányú forgalom kimenő kapcsolatok által kezdeményezett szerveren.

sudo iptables -A INPUT -m conntrack --ctstate LÉTRE, KAPCSOLÓDÓ -j ACCEPT

Az állásfoglalás a meglévő kimenő kapcsolatok

Ahhoz, hogy a szerver támogatja a kimenő meglévő kapcsolatok, használja a következő parancsot:

sudo iptables -A OUTPUT -m conntrack --ctstate LÉTRE -j ACCEPT

Külső és belső hálózat

Tekintettel arra, hogy az eth0 - külső hálózat és az eth1 - belső hálózat, a következő szabály módosíthatja a kölcsönhatás:

sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Visszaállítása érvénytelen csomagok

Néha a hálózati forgalom csomagok érvénytelennek jelölték. Bizonyos esetekben ezek a csomagok kell regisztrálni a naplóban, de általában jobb, ha veszít. Ez történik a következő parancsot:

sudo iptables -A INPUT -m conntrack --ctstate érvénytelen -j DROP

sudo iptables -A INPUT -s 15.15.15.51 -j DROP

Ebben a parancsban, -s 15.15.15.51 jelzi a forrása a kapcsolatot blokkolni kívánt.

Megjegyzés. Adja meg az IP forrás lehet bármilyen tűzfalszabály köztük lehetővé.

sudo iptables -A INPUT -s 15.15.15.51 -j REJECT

Korlátozása a vegyületek az interfész

A tűzfal akadályozhatja a vegyület érkező IP (például 15.15.15.51) egy bizonyos interfész (például eth0).

iptables -A INPUT -i eth0 -s 15.15.15.51 -j DROP

Ez a parancs abban különbözik a korábbi egyetlen lehetőség -i eth0. Megadhat egy hálózati interfész bármilyen tűzfal szabályt.

SSH szolgáltatás

, Meg kell, hogy a beérkező SSH kapcsolatokat (22-es port), hogy működjön együtt a felhő szerver.

Lehetővé teszi az összes bejövő forgalom

Ehhez használja a következő parancsot:

sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a kimenő SSH-létező vegyületek van szükség, csak ha a politika kimenetre - nem tud elfogadni.

sudo iptables -A INPUT -p tcp -s 15.15.15.0/24 --dport 22 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a kimenő SSH-létező vegyületek van szükség, csak ha a politika kimenetre - nem tud elfogadni.

Felbontás kimenő forgalom

Ha a politika kimenetre - nem fogadja el, de meg kell, hogy a kimenő SSH-kapcsolat használata:

sudo iptables -A OUTPUT -p tcp --dport 22 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A INPUT -p tcp --sport 22 -m conntrack --ctstate LÉTRE -j ACCEPT

Bejövő rsync kapcsolat

Rsync portot használja 873, és lehetővé teszi, hogy fájlokat egyik számítógépről a másikra.

sudo iptables -A INPUT -p tcp -s 15.15.15.0/24 --dport 873 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 873 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a kimenő forgalmat a meglévő kapcsolatokat az rsync, szükség csak abban az esetben, ha a politika kimenetre - nem tud elfogadni.

webszerverek

Web szerver (például az Apache és Nginx) általában menetes HTTP és HTTPS kapcsolatok 80. és 443. port rendre. Ha az alapértelmezett tűzfalszabályzat blokkot vagy elutasítja a csatlakozást, akkor létre kell hozni szabályok, kivételek ezt a politikát, a Web szerver szolgálja a kéréseket.

Bejövő HTTP-forgalom

Annak érdekében, hogy minden bejövő HTTP-forgalmat (80-as port), akkor:

sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a kimenő HTTP-létező vegyületek van szükség, csak ha a politika kimenetre - nem tud elfogadni.

Amely lehetővé teszi a Bejövő HTTPS forgalom

Annak érdekében, hogy az összes bejövő HTTPS-forgalom (443-as port), típus:

sudo iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a kimenő HTTPS-létező vegyületek van szükség, csak ha a politika kimenetre - nem tud elfogadni.

Bejövő HTTP és HTTPS forgalom

Ahhoz, hogy a HTTP és a HTTPS forgalom használja multiport modult. Hozzon létre egy szabályt, amely megnyitja két portot a bejövő forgalom számára:

sudo iptables -A INPUT -p tcp -m multiport --dports 80443 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp -m multiport --dports 80443 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a kimenő forgalmat a meglévő HTTP és HTTPS-kapcsolat szükséges csak abban az esetben, ha a politika kimenetre - nem tud elfogadni.

MySQL adatbázis-kezelő rendszer

MySQL figyeli klienskapcsolatokat porton 3306. Ha a MySQL adatbázis szerver által használt kliens egy távoli szerveren, akkor biztos, hogy ez a forgalom.

sudo iptables -A INPUT -p tcp -s 15.15.15.0/24 --dport 3306 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 3306 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a kimenő forgalmat a meglévő MySQL kapcsolatok szükségesek csak abban az esetben, ha a politika kimenetre - nem tud elfogadni.

MySQL Hálózati csatolók

Ahhoz, hogy a hozzáférés MySQL segítségével egy adott hálózati interfész (pl eth1), használja a következő parancsokat:

sudo iptables -A INPUT -i eth1 -p tcp --dport 3306 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -o eth1 -p tcp --sport 3306 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a kimenő forgalmat a meglévő MySQL kapcsolatok szükségesek csak abban az esetben, ha a politika kimenetre - nem tud elfogadni.

PostgreSQL adatbázis-kezelő rendszer

PostgreSQL figyeli klienskapcsolatokat porton 5432. Ha a PostgreSQL szerver által használt kliens egy távoli szerveren, akkor biztos, hogy ez a forgalom.

sudo iptables -A INPUT -p tcp -s 15.15.15.0/24 --dport 5432 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 5432 -m conntrack --ctstate LÉTRE -j ACCEPT

ahol 15.15.15.0/24 - alhálózati amely hozzáférhet a PostgreSQL.

A második parancs, amely lehetővé teszi a kimenő kapcsolatok meglévő PostgreSQL van szükség, csak ha a politika kimenetre - nem tud elfogadni.

PostgreSQL hálózati interfészek

Ahhoz, hogy a hozzáférés PostgreSQL segítségével egy adott hálózati interfész (pl eth1), használja a következő parancsokat:

sudo iptables -A INPUT -i eth1 -p tcp --dport 5432 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -o eth1 -p tcp --sport 5432 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a kimenő kapcsolatok meglévő PostgreSQL van szükség, csak ha a politika kimenetre - nem tud elfogadni.

postai szolgáltatások

Blokkoló kimenő SMTP

Ha a szerver nem küld kimenő leveleket, akkor blokkolja az ilyen jellegű forgalmat. SMTP portot használja 25. blokkolása kimenő forgalom, az alábbi parancsot:

sudo iptables -A OUTPUT -p tcp --dport 25 -j REJECT

Most iptables elutasít minden kimenő forgalom 25-ös porton visszaállítása a forgalmat egy másik port, egyszerűen válassza ki a csapat számát.

SMTP forgalom engedély

Ahhoz, hogy a teljes SMTP-forgalom 25-ös porton, fuss:

sudo iptables -A INPUT -p tcp --dport 25 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 25 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a meglévő kimenő SMTP-kapcsolatok szükségesek csak abban az esetben, ha a politika kimenetre - nem tud elfogadni.

Megjegyzés. Jellemzően SMTP-kiszolgálók használatához port 587, a kimenő leveleket.

Amely lehetővé teszi a Bejövő IMAP forgalom

A kiszolgáló képes válaszolni az IMAP-kapcsolat a következő porton 143, fuss:

sudo iptables -A INPUT -p tcp --dport 143 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 143 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi, hogy a kimenő forgalmat a meglévő IMAP szükséges csatlakozóval csak abban az esetben, ha a politika kimenetre - nem tud elfogadni.

Amely lehetővé teszi a bejövő forgalom IMAPS

A kiszolgáló képes válaszolni a -Connection IMAPS porton 993, a parancsot:

sudo iptables -A INPUT -p tcp --dport 993 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 993 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a kimenő kapcsolatok meglévő IMAPS, szükség csak abban az esetben, ha a politika kimenetre - nem tud elfogadni.

Bejövő POP3 forgalom

A szerver válaszol a POP3-kapcsolat 110-es porton adja ki a következő parancsot:

sudo iptables -A INPUT -p tcp --dport 110 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 110 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi, hogy a kimenő forgalmat a POP3 kapcsolat szükséges csak abban az esetben, ha a politika kimenetre - nem tud elfogadni.

Amely lehetővé teszi a bejövő forgalom POP3S

A kiszolgáló képes válaszolni a POP3S -os csatlakozással porton 995, írja be:

sudo iptables -A INPUT -p tcp --dport 995 -m conntrack --ctstate ÚJ, LÉTRE -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 995 -m conntrack --ctstate LÉTRE -j ACCEPT

A második parancs, amely lehetővé teszi a kimenő kapcsolatok meglévő POP3S szükséges csak abban az esetben, ha a politika kimenetre - nem tud elfogadni.

következtetés

Ez az útmutató a többség a leggyakoribb parancsok és iptables szabályokat. Persze, az iptables nagyon rugalmas eszköz; kiválasztani a leginkább megfelelő szabályokat, a kísérlet a saját tűzfal beállításait.

Kapcsolódó cikkek

• Fejleszteni kell a közös képzést csapatok - kutya testőr - otthon kutya - kutyás

• Egyszerű kötött zokni! Általános szabályok a kötés zokni

• Általános biztonsági szabadtéri tevékenységekhez