Configurarea iptables firewall-ul pe ubuntu
Având servere în centre de date sigure din Europa. Deschideți nor VPS server / VDS pe un SSD rapid în 1 minut!
Cel mai bun Web Hosting:
- va proteja datele împotriva accesului neautorizat într-un centru european de date securizat
- va plăti cel puțin în Bitcoin.
- Acesta va pune distribuție
- protecție împotriva atacurilor DDoS-
- gratuit de backup
- Uptime 99,9999%
- DPC - TIER III
- ISP - NIVELULUI I
Suport în 24/7/365 rusă lucra cu persoane juridice și persoane fizice. Ai nevoie de acum 24 de bază și 72 GB RAM. Vă rog!
Tarifele noastre competitive dovedesc că cele mai ieftine de găzduire pe care nu a știut!
O chestiune de minute, selectați configurația, să plătească și CMS pe un VPS este gata.
Bani Înapoi - 30 de zile!
Carduri bancare, moneda electronică prin intermediul unor terminale QIWI, Webmoney, PayPal, Novoplat și altele.
Pune o intrebare 24/7/365 Suport
Găsiți răspunsurile în baza noastră de date, și să respecte recomandările din
Oferta de la 8host.com
Pentru a proteja serverul după configurarea inițială a sistemului Ubuntu oferă un iptables firewall-ului standard. În general, firewall-ul Ubuntu a fost stabilit inițial, dar aceste setări nu sunt sigure ca permit tot traficul intern și extern. Pentru a proteja serverul de trafic nedorit, este necesar să se adauge câteva reguli de bază ale iptables.
Firewall reguli iptables - este, de fapt, un set de opțiuni, care pot varia în funcție de obiectivele unui proces specific. Fiecare pachet care trece prin firewall verifică fiecare regulă în ordine. În cazul în care un pachet se întâlnește de regulă, firewall-ul ia măsurile corespunzătoare, în caz contrar pachetul merge la urmatoarea regula.
comenzi iptables
Acest manual se referă doar la iptables comenzile de bază pentru a configura securitatea de bază, dar chiar și la acest nivel inițial există mai multe nuanțe, care trebuie să fie luate în considerare atunci când configurați un comportament specific. Mai jos sunt unele dintre cele mai populare comenzi pentru a configura firewall-ul; ține cont de faptul că aceasta este doar o listă scurtă, și există multe alte opțiuni.
-A: (Append), adaugă o regulă pentru iptables
-L: (Lista), arată normele actuale
-m conntrack: permite reguli care să se bazeze pe starea actuală de conectare, elaborat în comanda --cstate.
--cstate: explică stările pe care conexiunile pot fi incluse în, există 4: Nou, aferente, stabilite și nevalide
-p: (protocol), se referă la protocolul de regula sau a pachetului la check.The protocolul specificat poate fi unul dintre tcp, udp, udplite, ICMP, ESP, ah, SCTP sau cuvântul cheie speciale "toate".
--dport: (port), se referă la portul prin care conectează mașină
-j: (salt), această comandă se referă la acțiunea care trebuie să fie luate în cazul în care ceva se potrivește cu o regulă perfect. Aceasta se traduce într-una din cele patru posibilități:
-ACCEPT: pachetul este acceptat, și nu există reguli suplimentare sunt prelucrate
-REJECT: pachetul este respins, iar expeditorul este notificat, și nu există alte norme sunt prelucrate
-DROP: pachetul este respins, dar expeditorul nu este notificat, și nici reguli suplimentare sunt prelucrate
-LOG: pachetul este acceptat, dar conectat, iar următoarele reguli sunt prelucrate
-I: (Inserare), adaugă o regulă între cele două precedente
-I INPUT 3: introduce o regulă pentru a face al treilea în lista
-v: (verbose), oferă mai multe detalii despre o regulă
Crearea de reguli iptables
sudo iptables -L
Ei arata ca aceasta:
Lanțului de intrare (politica ACCEPT)
țintă Prot destinație sursă opt
Chain FORWARD (politica ACCEPT)
țintă Prot destinație sursă opt
Lanțul de ieșire (politica ACCEPT)
țintă Prot destinație sursă opt
Pentru a reseta un set de reguli sau să le actualizeze, utilizați următoarea comandă pentru a restabili normele implicite:
sudo iptables -F
firewall-ul de bază
Inițial, normele actuale permit toate conexiunile de intrare și de ieșire. Un astfel de comportament pune în pericol server. Regulile din tabel trebuie amintit că, odată ce pachetul este acceptat (ACCEPTAT), a respins (REFUZATE) sau resetarea (ÎNTRERUPTE), acesta nu va fi scanat de celelalte reguli. Aceasta este, regulile care sunt la începutul mesei, au prioritate față de altele.
În timpul crearea de reguli pentru a păstra în minte riscul de blocare pe propriul server (de exemplu, interzicerea conexiune SSH).
În primul rând trebuie să permiți toate conexiunile curente.
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED, RELATED -j ACCEPT
Această echipă este formată din următoarele opțiuni:
- -O adaugă o regulă la un tabel.
- INPUT definește regula în lanțul de intrare.
- m conntrack cu opțiunea -cstate ESTABLISHED, RELATED se aplică rezultatul comenzii la conexiunea curentă, și o legătură de conexiuni permise.
- -j ACCEPT acceptă transferuri pachet și ia conexiunile curente.
Acum conexiunea cu serverul de curent nu va fi blocat. Puteți trece la blocarea conexiunilor periculoase.
De exemplu, pentru a bloca tot traficul de ieșire, cu excepția portul 22 (SSH) și 80 (trafic server web), trebuie întâi să permiteți conexiuni la aceste porturi:
sudo iptables -A INPUT -p tcp --dport ssh -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Opțiunea -p în aceste comenzi definește un protocol prin care se va crea conexiunea (în acest caz - tcp) și opțiunea -dport specifică portul pe care este transmis pachetul.
Permiterea de trafic pentru aceste porturi, puteți bloca alt trafic. Din moment ce această regulă va fi în sfârșitul listei, orice tip de trafic care respectă regulile anterioare, nu vor fi afectate.
Pentru a bloca alt trafic, de a crea o regulă:
sudo iptables -P INPUT DROP
Deci, acum lista de reguli este după cum urmează:
sudo iptables -L
Lanțului de intrare (DROP Politica)
țintă Prot destinație sursă opt
ACCEPT toate - oriunde oriunde ctstate conexe, STABILIT
ACCEPT tcp - oriunde oriunde Dpt tcp: ssh
ACCEPT tcp - oriunde oriunde tcp Dpt: http
Rămâne să adăugați doar o singură regulă care configurează loopback (sau loopback). Rețineți că acesta devine fără următoarele opțiuni în partea de jos a listei și nu va fi niciodată folosit, deoarece aceasta va merge după blocarea tuturor regulilor de circulație.
Pentru a evita acest lucru, trebuie să faceți este, de obicei, mai întâi pe lista cu opțiunea de intrare.
sudo iptables -I INPUT 1 -j ACCEPT lo -I
- -I INPUT 1 locuri, de obicei, partea de sus a listei.
- lo trec pachetele care folosesc interfața loopback.
- -j ACCEPT va primi loopback de trafic.
Deci, acum sunt configurate toate regulile de firewall. O listă completă de reguli este după cum urmează (opțiunea -v afișează detalii suplimentare):
sudo iptables -L -v
INPUT Chain (PICĂTURĂ politica 0 pachete, 0 bytes)
pkts bytes țintă Prot opt destinație în afară sursă
0 0 ACCEPT toate - lo orice oriunde de oriunde
1289 93442 ACCEPT toate - orice orice oriunde de oriunde ctstate conexe, STABILIT
2212 ACCEPT tcp - orice orice oriunde de oriunde Dpt tcp: ssh
0 0 ACCEPT tcp - orice orice oriunde de oriunde tcp Dpt: http
Chain FORWARD (politica ACCEPT 0 pachete, 0 bytes)
pkts bytes țintă Prot opt destinație în afară sursă
Lanțul de ieșire (politica ACCEPT 157 pachete, 25300 bytes)
pkts bytes țintă Prot opt destinație în afară sursă
Cu toate acestea, iptables reguli sunt valabile pentru o singură sesiune și va fi resetat după ce reporniți serverul.
Se salvează reguli iptables
Setul actual de reguli este destul de eficient, dar se va reseta automat după o repornire a serverului. Pentru a salva regulile iptables și să le utilizeze în mod regulat, vă rugăm să consultați pachetul iptables-persistente.
Pentru a instala acest pachet, tip:
sudo apt-get install iptables-persistente
În timpul instalării, programul întreabă dacă pentru a salva regulile iptables actuale, atât pentru IPv4 și IPv6 este necesară; selectați da.
Ca urmare a acestei reguli vor fi salvate în /etc/iptables/rules.v4 și /etc/iptables/rules.v6.
După finalizarea instalării, executați iptables-persistent:
Start sudo service iptables-persistente
Acum, un set de reguli va fi restabilită automat după ce serverul este repornit.