Създаване на IPTABLES защитна стена на Ubuntu

Като сървъри в сигурни центрове за данни в Европа. Open облак VPS / VDS сървър на бърз SSD за 1 минута!

Най-добър уеб хостинг:
- ще предпазят данните от неоторизиран достъп в защитена Европейския център за данни
- ще плати най-малко в Bitcoin.
- Той ще постави вашата дистрибуция

- защита от DDoS-атаки
- безплатно архивиране
- Uptime 99,9999%
- DPC - TIER III
- ISP - етап I

Подкрепа в руските 24/7/365 работи с юридически и физически лица. Сега трябва 24 ядро ​​и 72 Gb RAM. Моля ви!

Нашите конкурентни цени доказват, че най-евтиният хостинг, че не знаеш!

За броени минути, изберете конфигурация, заплати и CMS на VPS е готова.
Връщане на парите - за 30 дни!

Банкови карти, електронни валута през QIWI терминали, Webmoney, PayPal, Novoplat и други.

Задайте въпрос 24/7/365 поддръжка

Намерете отговорите в нашата база данни, както и да отговарят на препоръките на

Оферта от 8host.com

Създаване на IPTABLES защитна стена на Ubuntu

За да се защити сървъра след първоначалната настройка на Ubuntu система предоставя стандартен защитната стена IPTABLES. Като цяло, защитната стена на Ubuntu първоначално е бил създаден, но тези настройки не са безопасни като позволи на всички входящи и изходящи трафик. За да се защити сървъра, от нежелания трафик, е необходимо да се добавят няколко основни правила на IPTABLES.

Правилата на защитната стена на IPTABLES - е, всъщност, на набор от опции, които могат да варират в зависимост от целите на конкретен процес. Всеки пакет, който преминава през защитната стена проверява всяко правило в ред. Ако един пакет отговаря на правилото, защитната стена предприема необходимите действия, в противен случай пакетът отива на следващото правило.

IPTABLES команди

Това ръководство обхваща само основните IPTABLES команди, за да изберете основна сигурност, но дори и в този първоначален ниво има много нюанси, които трябва да бъдат взети предвид при конфигуриране на конкретно поведение. По-долу са някои от най-популярните команди за конфигуриране на защитната стена; имайте предвид, че това е само кратък списък, а има и много други опции.

-A: (Добавяне), добавя правило да IPTABLES
-L: (List), показва текущите правила
-м conntrack: позволява правила, които да се основават на сегашното състояние връзка, разработени в по --cstate команда.
--cstate: обяснява на държавите, които връзки могат да бъдат в, там са 4: Нова и хардуер, създадена и Невалидни
-р: (протокол), се отнася до протокола на правилото или на пакета да check.The определен протокол може да бъде един от TCP, UDP, udplite, ICMP, особено, ах, SCTP или специалната дума "всички".
--dport: (порт), се отнася до пристанището чрез който свързва машина
-й: (скок), тази команда се отнася до действията, които трябва да се предприемат, ако нещо мачове правило перфектно. Тя се превежда като една от четирите възможности:
-ACCEPT: пакетът е приет, и по-нататъшни правила се обработват
-Отхвърлят: пакетът е отхвърлена, и подателят е уведомен и никакви допълнителни правила се обработват
-DROP: пакетът е отхвърлена, но подателят не е уведомен и никакви допълнителни правила се обработват
-ВХОД: пакетът е приет, но сте влезли, и следните правила се обработват
-I: (Insert), добавя правило между две предишни такива
-Аз INPUT 3: вмъква правило да го направи на трето място в списъка
-V: (многословно), предлага още подробности за управление

Създаване на правила IPTABLES

Sudo IPTABLES -L

Те изглеждат така:

Chain INPUT (политика ACCEPT)
насочване на протежето дестинация неучастие източник
Верига НАПРЕД (политика ACCEPT)
насочване на протежето дестинация неучастие източник
Chain OUTPUT (политика ACCEPT)
насочване на протежето дестинация неучастие източник

За да възстановите набор от правила, или да ги актуализира, използвайте следната команда за възстановяване на правилата по подразбиране:

Sudo IPTABLES -F

Основна защитна стена

Първоначално настоящите правила позволяват на всички входящи и изходящи връзки. Такова поведение застрашава сървъра. Правилата на масата трябва да се помни, че след като пакетът е приет (приемат), отхвърлен (отхвърля) или нулиране (пусна), това няма да бъдат сканирани от другите правила. Това означава, че правилата, които са в началото на таблицата, имат предимство пред другите.

По време на създаването на правила, които да имате предвид риска от заключване на вашия собствен сървър (например забрана на SSH връзка).

Първо трябва да се даде възможност на всички настоящи връзки.

Sudo IPTABLES -A INPUT -m conntrack --ctstate, създадени, СВЪРЗАНИ -j ACCEPT

Този екип се състои от следните опции:

  • -А добавя правило към таблица.
  • INPUT определя правило във входната верига.
  • м conntrack с опция -cstate, създадени, СВЪРЗАНИ важи резултатът от командата за текущата връзка, и свързаните с разрешена връзки.
  • -к ACCEPT приема преводи пакета и отнема текущите връзки.

Сега текущата връзка на сървъра, няма да бъдат блокирани. Можете да се пристъпи към блокиране на опасни връзки.

Например, за да блокира всички изходящия трафик с изключение на порт 22 (SSH) и 80 (уеб сървър трафик), първо трябва да се даде възможност връзки към тези портове:

Sudo IPTABLES -A INPUT -p TCP -j ACCEPT --dport SSH
Sudo IPTABLES -A INPUT -p TCP -j ACCEPT --dport 80

В -р опция в тези команди определя протокол, с което се създава връзката (в този случай - TCP), и -dport опция определя порт на който се предава пакета.

Разрешаването на тези портове, можете да блокирате останалите участници в движението. От това правило ще бъде в края на списъка, който и да е движение, което отговаря на предишните правила, няма да бъдат засегнати.

За да блокирате останалите участници в движението, създайте правило:

Sudo IPTABLES -P INPUT DROP

Така че сега в списъка от правила, е както следва:

Sudo IPTABLES -L
Chain INPUT (политика DROP)
насочване на протежето дестинация неучастие източник
Приемане на всички - навсякъде където и да е ctstate ПОДОБНИ, създадена
ACCEPT TCP - навсякъде където и да е TCP диоптър: SSH
ACCEPT TCP - навсякъде където и да е TCP диоптър: HTTP

Остава да се добави само едно правило, което конфигурира примка (или примка). Имайте предвид, че става без следните опции в долната част на списъка и никога няма да се използва, тъй като тя ще отиде след блокиране на всички правила за движение.

За да избегнете това, което трябва да направите е обикновено първи в списъка с опцията за вход.

Sudo IPTABLES -I INPUT 1 -i ето -j ACCEPT

  • -Аз вход 1 места обикновено начело на списъка.
  • ето премине пакети, които използват интерфейса-примка.
  • -к ACCEPT ще получите трафик примка.

Така че сега всички правила за защитни стени са конфигурирани. Пълният списък от правила, е както следва (и -v показва допълнителни подробности):

Sudo IPTABLES -L -v
Chain INPUT (политика DROP 0 пакети, 0 байта)
pkts байта мишена протежето неучастие в извън дестинация източник
0 0 приеме всички - ето всеки навсякъде навсякъде
1289 93442 приеме всички - кой да е кой навсякъде навсякъде ctstate ПОДОБНИ, създадена
2212 ACCEPT TCP - всяко всяко навсякъде където и да е TCP диоптър: SSH
0 0 ACCEPT TCP - всяко всяко навсякъде където и да е TCP диоптър: HTTP
Верига НАПРЕД (политика ACCEPT 0 пакети, 0 байта)
pkts байта мишена протежето неучастие в извън дестинация източник
Chain OUTPUT (политика ACCEPT 157 пакетчета, 25300 байта)
pkts байта мишена протежето неучастие в извън дестинация източник

Въпреки това, IPTABLES правила са валидни за една сесия и ще бъдат върнати след рестартиране на сървъра.

Запазване на правилата IPTABLES

Настоящият набор от правила е доста ефективен, но той автоматично ще възстанови след рестартиране на сървъра. За да запазите правилата IPTABLES и да ги използвате редовно, моля консултирайте се с IPTABLES-устойчиви на пакета.

За да инсталирате този пакет, тип:

ап-да инсталирате IPTABLES-устойчиви

По време на инсталацията, програмата пита дали да запазите настоящите правила IPTABLES както за IPv4 и IPv6 е необходимо; изберете Да.

След това правило ще бъде записан в /etc/iptables/rules.v4 и /etc/iptables/rules.v6.

След като инсталацията приключи, стартирайте IPTABLES-упоритите:

SUDO услуги IPTABLES-устойчиви старт

Сега набор от правила, ще бъдат възстановени автоматично след като сървърът се рестартира.