Для начала порой есть смысл выполнить:
iptables -F
Сбрасывает правила фаерволла как таковые.
Можно не выполнять, если IPTables уже был кем-то настроен и Вы боитесь потерять сделанные настройки. К слову, при определенных правилах маршрутов может сделать сервер недоступным и придется обращаться к хостеру для отключения IPTables. В общем можно, но с осторожностью.
#блокирует нулевые пакеты
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#сброс пакетов XMAS
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#защита от syn-flood
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Базовая защита SSH (на этом примере можно защищать FTP и другие порты):
#разрешает доступ по SSH (при условии, что порт 22-ой) с ВАШ_IP, где ВАШ_IP – это IP-адрес с которого нужен доступ (строку можно повторять нужное число раз, перечисляя разные IP-шники).
-A INPUT -s ВАШ_IP -p tcp -m tcp --dport 22 -j ACCEPT
#запрещает доступ по SSH со всех IP, кроме указанных в строке выше.
-A INPUT -p tcp --dport 22 -j DROP
Разрешаем порты для нужных сервисов (на примере нескольких базовых):
#разрешает трафик на локальный интерфейс. localhost часто используется для размещения, например, базы данных, к которой подключаются веб-сайт и почтовый сервер, т.е таким образом, сервер имеет доступ к базе данных, но взломать её через интернет сложно.
iptables -A INPUT -i lo -j ACCEPT
#разрешает трафик на 80-ый и 443-ий порты, т.е веб-сервер, т.е http и https
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
Почта (если сервер не выступает как почтовый, то можно не разрешать):
#разрешает smtp-трафик
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
#разрешает pop-трафик
iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
#разрешает imap-трафик
iptables -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
Разрешаем исходящие соединения, в целях, например, использования ping и других внутренних приложений:
#если не собираетесь использовать, то можно не указывать, но тогда есть вероятность того, что не будут работать, скажем, обновления из интернета
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
По аналогии разрешите доступ ко всем нужным портам, в частности, со своего IP-адреса. Порты могут быть любыми, в частности, если на сервере есть панель, то не забудьте разрешить доступ к её порту, а то не попадете туда через веб-морду.
Проделав всё необходимое, собственно, остается лишь:
#закрываем остальные порты наглухо и разрешаем исходящие соединения c сервера
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
#проверяем заданные правила, мало ли что-то забыли
iptables -L -n
#сохраняем изменения
iptables-save | sudo tee /etc/sysconfig/iptables
#перезагружаем iptables для принятия изменений
service iptables restart
Продолжение следует !
Свежие комментарии