在CentOS 6上设置IPTables防火墙

注:本教程在Vultr VPS上测试通过,如需部署请前往Vultr.com

介绍

防火墙是一种网络安全工具,可以根据其预定义的规则集控制入站和出站网络流量。我们可以使用防火墙以及其他安全措施来保护我们的服务器免受黑客的撬动和攻击。

防火墙的设计可以是专用硬件,也可以是运行在我们计算机上的软件程序。在CentOS 6上,默认的防火墙程序是iptables。

在本文中,我将向您展示如何基于Vultr“ CentOS 6 x64上的WordPress”应用程序设置基本的iptables防火墙,该防火墙将阻止除Web,SSH,NTP,DNS和ping服务之外的所有流量。但是,这只是满足常见安全需求的初步配置。如果您还有其他要求,则需要更复杂的iptables配置。

注意

如果将IPv6地址添加到服务器,则还应该设置ip6tables服务。配置ip6tables不在本文讨论范围之内。

与CentOS 6不同,iptables不再是CentOS 7上的默认防火墙程序,而已被名为firewalld的程序所替代。如果您打算使用CentOS 7,则需要使用firewalld设置防火墙。

先决条件

使用Vultr“ CentOS 6 x64上的WordPress”应用程序新鲜部署服务器实例,然后以root用户身份登录。

步骤1:确定服务器上使用的服务和端口

我假设此服务器将仅托管一个WordPress博客,并且不会用作路由器或提供其他服务(例如,邮件,FTP,IRC等)。

在这里,我们需要以下服务:

HTTP(端口80上的TCP)
HTTPS(端口443上的TCP)
SSH(默认情况下,端口22上的TCP,可以出于安全目的而更改)
NTP(UDP在端口123上)
DNS(端口53上的TCP和UDP)
ping(ICMP)

所有其他不必要的端口将被阻止。

步骤2:配置iptables规则

iptables使用规则列表控制流量。当网络数据包发送到我们的服务器时,iptables将使用每个规则依次检查它们并采取相应的措施。如果满足一个规则,则其他规则将被忽略。如果不满足任何规则,则iptables将使用默认策略。

可以将所有流量分类为INPUT,OUTPUT和FORWARD。

输入流量可以是正常流量,也可以是恶意流量,应有选择地允许它。
通常认为输出流量是安全的,应该允许。
转发流量没有用,应将其阻止。

现在,让我们根据需要配置iptables规则。以下所有命令均应以root用户从SSH终端输入。

检查现有规则:

iptables -L -n

刷新所有现有规则:

iptables -F; iptables -X; iptables -Z

由于对iptables配置的更改将立即生效,因此,如果您错误地配置了iptables规则,则可能会被服务器挡住。您可以使用以下命令防止意外阻止。记住要更换 [Your-IP-Address] 使用您自己的公用IP地址或IP地址范围(例如201.55.119.43或201.55.119.0/24)。

iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT

允许所有环回(lo)通信,并将除lo外的所有通信丢弃到127.0.0.0/8:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT

阻止一些常见的攻击:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

接受所有已建立的入站连接:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

允许HTTP和HTTPS入站流量:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

允许SSH连接:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允许NTP连接:

iptables -A INPUT -p udp --dport 123 -j ACCEPT

允许DNS查询:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

允许ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

最后,设置默认策略:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

步骤3:保存配置

我们上面所做的每项更改均已生效,但并非永久不变。如果我们不将它们保存到硬盘上,它们将在系统重启后丢失。

使用以下命令保存iptables配置:

service iptables save

我们的更改将保存在文件中 /etc/sysconfig/iptables。您可以通过编辑该文件来查看或修改规则。

意外封锁的解决方法

如果由于配置错误而使您无法访问服务器,您仍然可以使用一些解决方法来重新获得访问权限。

如果尚未保存对iptables规则的修改,则可以从Vultr网站界面重新启动服务器,然后所做的更改将被删除。
如果您保存了更改,则可以从Vultr网站界面通过控制台登录服务器,然后输入 iptables -F 刷新所有iptables规则。然后,您可以再次设置规则。

注:本教程在Vultr VPS上测试通过,如需部署请前往Vultr.com