0

iptables

Первичная настройка IPTables

Для начала порой есть смысл выполнить:

iptables -F

Сбрасывает правила фаерволла как таковые.

Можно не выполнять, если IPTables уже был кем-то настроен и Вы боитесь потерять сделанные настройки. К слову, при определенных правилах маршрутов может сделать сервер недоступным и придется обращаться к хостеру для отключения IPTables. В общем можно, но с осторожностью.

#блокирует нулевые пакеты

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

#сброс пакетов XMAS

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

#защита от syn-flood

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

Базовая защита SSH (на этом примере можно защищать FTP и другие порты):

#разрешает доступ по SSH (при условии, что порт 22-ой) с ВАШ_IP, где ВАШ_IP – это IP-адрес с которого нужен доступ (строку можно повторять нужное число раз, перечисляя разные IP-шники).

-A INPUT -s ВАШ_IP -p tcp -m tcp --dport 22 -j ACCEPT

#запрещает доступ по SSH со всех IP, кроме указанных в строке выше.

-A INPUT -p tcp --dport 22 -j DROP

Разрешаем порты для нужных сервисов (на примере нескольких базовых):

#разрешает трафик на локальный интерфейс. localhost часто используется для размещения, например, базы данных, к которой подключаются веб-сайт и почтовый сервер, т.е таким образом, сервер имеет доступ к базе данных, но взломать её через интернет сложно.

iptables -A INPUT -i lo -j ACCEPT

#разрешает трафик на 80-ый и 443-ий порты, т.е веб-сервер, т.е http и https

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

Почта (если сервер не выступает как почтовый, то можно не разрешать):

#разрешает smtp-трафик

iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 465 -j ACCEPT

#разрешает pop-трафик

iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT

#разрешает imap-трафик

iptables -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT

Разрешаем исходящие соединения, в целях, например, использования ping и других внутренних приложений:

#если не собираетесь использовать, то можно не указывать, но тогда есть вероятность того, что не будут работать, скажем, обновления из интернета

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

По аналогии разрешите доступ ко всем нужным портам, в частности, со своего IP-адреса. Порты могут быть любыми, в частности, если на сервере есть панель, то не забудьте разрешить доступ к её порту, а то не попадете туда через веб-морду.

Проделав всё необходимое, собственно, остается лишь:

#закрываем остальные порты наглухо и разрешаем исходящие соединения c сервера

iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP

#проверяем заданные правила, мало ли что-то забыли

iptables -L -n

#сохраняем изменения

iptables-save | sudo tee /etc/sysconfig/iptables

#перезагружаем iptables для принятия изменений

service iptables restart

Продолжение следует !

Свежие комментарии

Подписка

Лучшие статьи

Рубрики

Популярное

1

Firewalld в CentOS

Firewalld — утилита для управления встроенным в ядро Linux брандмауэром Netfilter. Несмотря на собственный синтаксис, имеет такой же принцип работы, как Iptables. Дополнительно про управление Netfilter
2

Настройка iptables

iptables для администраторов Фаервол в системе linux контролируется программой iptables (для ipv4) и ip6tables (для ipv6). В данной шпаргалке рассмотрены самые распространённые
Previous Story

Nextcloud: запуск в Docker Compose с SSL от Let’s Encrypt

Next Story

Настройка iptables

Latest from Blog

Fail2ban обязательная защита сервера VPS

В операционной системе Ubuntu 18.04.4 LTS, 20.04.1 LTS Fail2ban ставиться очень просто, если вам нужна только защита SSH и вы используете для настройки фаервола iptables для начинающих: Простое управление брандмауэром с UFW. $

NGINX UPSTREAM

Чтобы наш сервер мог распределять нагрузку, создадим группу веб-серверов, на которые будут переводиться запросы: vi /etc/nginx/conf.d/upstreams.conf * в данном примере мы создаем файл upstreams.conf, в котором можем хранить все наши апстримы. NGINX автоматически

Очереди в Mikrotik

Рассмотрим примеры настройки Simple Queues (Простых очередей), SQ+Mangle (Простые очереди с маркировкой соединений и пакетов) и Queues Tree (Деревья очередей). Цвет иконок: использование доступной полосы. Параметры, на которые стоит обратить внимание: Kind PCQ:Классифицирует

Настройка Nginx в качестве обратного прокси-сервера для развертывания нескольких сервисов на одном сервере с помощью Docker

Чтобы легко начать работу с этой статьей, вам потребуются следующие знания. Но вы можете обойтись и без них. Мы использовали domain.ru в качестве примера доменного имени в статье. Убедитесь, что вы изменили
Go toTop

Don't Miss

Configure FirewallD on CentOS 9/8 and RHEL 9/8

Prerequisites Before you begin, ensure that you have: Step 1:
iptables

Перечисление и удаление правил брандмауэра Iptables

Перечисление и удаление правил брандмауэра Iptables Iptables — это брандмауэр,