Как настроить iptables на CentOS
При работе с серверами и сетями необходимо правильно организовать их защиту. С этой задачей пользователю поможет справиться межсетевой экран или файрвол. Это специальное программное обеспечение, устройство или сервер, обеспечивающее проверку и фильтрацию всех видов сетевого трафика: внутрисетевого, исходящего и входящего. Процесс проверки и фильтрации регламентирован заданными пользователем правилами.
Ниже приведем список основных причин для использования брандмауэра на своем сервере:
- Защита от несанкционированного доступа;
- Предотвращение сетевых атак (отказ в обслуживании (DDoS), сканирование портов или внедрение вредоносного кода);
- Фильтрация контента;
- Соответствие требованиям безопасности;
- Защита конфиденциальных данных;
- Защита от вирусов и другого вредоносного ПО.
В данной статье будет приведена подробная инструкция по установке и настройке iptables на CentOS.
Введение в iptables
Iptables в Centos — это инструмент для фильтрации сетевого трафика на уровне ядра Linux. Он состоит из iptables
и netfilter
.
Прежде чем рассмотреть iptables и netfilter более подробно, мы затронем работу сетевых пакетов в Linux. Когда пакет проходит через сетевую карту, он подвергается нескольким этапам обработки:
- Прием (ingress). На данном этапе пакет попадает в систему через сетевую карту.
- Маршрутизация (routing). Далее система определяет, куда будет направлен пакет.
- Проверка фильтрации (filtering). И наконец, пакет проходит через правила фильтрации, которые определяет iptables.
Netfilter представляет собой модуль в ядре Linux, предназначенный для обработки сетевых пакетов. Он имеет несколько таблиц, каждая из которых содержит цепочки правил. Основные таблицы Netfilter представлены ниже:
- filter — используется для фильтрации пакетов на основе IP-адресов и портов;
- nat — используется для преобразования сетевых адресов и портов (Network Address Translation — NAT);
- mangle — позволяет изменять заголовки и опции пакетов;
- raw — предназначена для настройки правил, работающих на уровне ядра.
Также, ниже опишем 3 основные цепочки правил:
- INPUT — обрабатывает входящие пакеты, которые достигли системы.
- FORWARD — применяется к пакетам, которые должны быть перенаправлены между различными интерфейсами системы.
- OUTPUT — обрабатывает исходящие пакеты из системы.
Iptables, в свою очередь, является интерфейсом командной строки для работы с Netfilter. Он предоставляет пользователям возможность настраивать правила фильтрации пакетов в таблицах Netfilter.
Шаг 1. Подготовка ОС
Установка iptables будет выполнена на дистрибутив Linux CentOS 7.
Перед началом установки нужно отключить firewalld, который может быть автоматически запущен в вашей ОС. Совместное использование его с iptables может вызвать конфликты.
Все команды в данной инструкции будут выполняться от пользователя root. Для отключения и удаления из автозагрузок, воспользуемся следующими командами:
systemctl stop firewalld
systemctl disable firewalld
Также для firewalld выполним маскировку, чтобы служба была точно отключена и не использовалась никакими другими сервисами:
systemctl mask --now firewalld
Теперь проверим, что все было выполнено успешно:
systemctl status firewalld
Как видно по картинке ниже, firewalld успешно отключен.
Шаг 2. Установка iptables
В первую очередь следует проверить, не установлена ли уже iptables в системе:
rpm -q iptables
Если iptables нет в системе, значит переходим к ее установке:
yum install iptables-services
На все вопросы системы во время установки отвечаем утвердительно.
Шаг 3. Запуск iptables
Как только завершится установка брандмауэра, запустим его версии для IPv4 и для IPv6, а также добавим их в автозагрузку:
systemctl start iptables
systemctl start ip6tables
systemctl enable iptables
systemctl enable ip6tables
Теперь необходимо проверить статус работы запущенных служб:
systemctl status iptables
systemctl status ip6tables
Результат выполнения команд представлен на рисунке ниже.
Шаг 4. Просмотр, создание и применение правил
Чтобы настроить iptables на CentOS, необходимо в первую очередь ознакомиться с основными командами для работы с ним:
iptables -L
илиiptables --list
— отображает текущие правила фильтрации;iptables -S
— отображает статус всех цепочек;iptables -A
— добавляет правило в цепочку;iptables -D
— удаляет правило из цепочки;iptables -P
— устанавливает политику по умолчанию для цепочки;iptables -F [название_цепочки]
— очищает все правила цепочек или одной, указанной в параметрах;iptables -I
— вставляет правило в определенную позицию в цепочке.
Как показывает практика, работать с iptables лучше всего посредством использования специально скрипта, в котором заранее были помещены все необходимые пользователю правила фильтрации трафика. Данный метод работы позволяет пользователю модифицировать скрипт при необходимости, добавляя или удаляя правила. Также использование скрипта экономит время пользователя, которое он мог потратить на ручной ввод каждого правила по отдельности.
Чтобы посмотреть все правила iptables в CentOS, используем указанную выше команду:
iptables -L
Сейчас правила iptables в Centos выглядят следующим образом:
Здесь продемонстрированы правила для трех цепочек, о которых мы рассказывали чуть раньше. В скобках после их названия указывается политика по умолчанию, которая определяет, что происходит с пакетами, если они не соответствуют ни одному из правил в цепочке. Она может принимать три значения:
- ACCEPT — означает, что пакеты, не соответствующие ни одному из правил в цепочке, будут разрешены и пропущены дальше для обработки.
- DROP — означает, что пакеты, не соответствующие ни одному из правил в цепочке, будут просто отброшены (удалены) без какого-либо уведомления отправителю. Такие пакеты будут игнорироваться и не будут доставлены на конечный узел.
- REJECT — означает, что пакеты, не соответствующие ни одному из правил в цепочке, будут также отброшены, но отправителю будет отправлено сообщение о том, что его пакет был отклонен. Это может помочь в идентификации проблем и обратной связи с отправителем.
Чтобы изменить политику по умолчанию, необходимо использовать следующую команду:
iptables -P [название_цепочки] [ACCEPT|DROP]
Ниже разберем основные столбцы правил:
target
— целевое действие, которое будет применено к пакету, если он соответствует данному правилу (ACCEPT, DROP или REJECT);prot
— протокол, которому должен соответствовать пакет, чтобы правило было применено;opt
— дополнительные опции, связанные с протоколом;source
— источник пакета;destination
— назначение пакета.
Теперь перейдем к настройке возможных правил для своего сервера. Помните, что порядок правил имеет значение. Они применяются сверху вниз, поэтому убедитесь, что вы установили правила в нужной последовательности.
Чтобы удалить все правила iptables в CentOS, используйте команду, описанную выше:
iptables -F
Правила для интерфейсов
Рассматриваемое правило поможет пользователю в контроле трафика через разные интерфейсы. Например, мы можем разрешить трафик через локальный интерфейс:
iptables -A INPUT -i lo -j ACCEPT
Здесь мы добавляем правило для цепочки INPUT (-A INPUT), указывая входящий интерфейс (-i lo) и определяя целевое действие (-j ACCEPT).
Правила для портов, протоколов и IP-адресов
Пользователь может разрешить или запретить передачу трафика для разных протоколов по указанным портам. Ниже рассмотрим пример для фильтрации входящего трафика по протоколам HTTP, HTTPS и SSH:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
Для каждого из протоколов был определен соответствующий порт.
Кроме того, вы можете добавить IP-адрес пользователя, который, например, должен подключаться к серверу по SSH. Для этого добавьте ключ -s
и укажите после него IP-адрес пользователя:
iptables -A INPUT -p tcp -s [IP-адрес] --dport 22 -j ACCEPT
Также пользователь может ограничить трафик для конкретного нежелательного IP-адреса. Например ограничим входящий трафик с подозрительного ресурса:
iptables -A INPUT -s [IP-адрес ресурса] -j DROP
Правила для MAC-адресов
Пользователь может ограничить доступ к серверу по MAC-адресу. Для этого он должен выполнить следующую команду:
iptables -A INPUT -m mac --mac-source [MAC-адрес] -j DROP
Правила для ограничения времени доступа
Пользователь может настроить время доступа к определенному сервису или порту. Для этих целей в iptables существует модуль time
. В качестве примера, ограничим время доступа пользователей к серверу по протоколу SSH:
iptables -A INPUT -p tcp --dport 22 -m time --timestart 09:00 --timestop 17:00 -j ACCEPT
Данное правило разрешает входящий трафик на порту 22 (SSH) только в промежуток времени с 9:00 до 17:00. В остальное время доступ будет заблокирован.
Сохранение правил
Список возможных правил приведен для демонстрации возможностей iptables. У вас он будет отличаться в зависимости от потребностей. У нас он получился таким:
После внесения всех правил их нужно сохранить, чтобы обеспечить автоматическое восстановление после перезагрузки сервера. Сделать это можно следующим способом:
iptables-save > /etc/sysconfig/iptables
Теперь правила сохранены в каталоге /etc/sysconfig/iptables
. При следующей загрузке системы эти правила будут автоматически восстановлены.
Чтобы вручную восстановить правила из файла, необходимо воспользоваться следующей командой:
iptables-restore < /etc/sysconfig/iptables
Полезные модули расширений для iptables
В данной главе мы рассмотрим некоторые модули расширений для iptables, которые могут оказаться полезными при настройке своего брандмауэра. Они предоставляют дополнительные функции и правила для более гибкой настройки сетевой безопасности. Некоторые из них мы уже рассматривали в прошлой главе настоящей инструкции.
- limit
Модуль limit предоставляет пользователю возможность ограничивать частоту пакетов, проходящих через брандмауэр. Это полезно для защиты от атак типа DoS и предотвращения перегрузки сети.
- connlimit
Модуль connlimit ограничивает количество одновременных соединений к определенным службам или портам. Он используется для предотвращения перегрузки сервера и защиты от атак на уровне приложений.
- recent
Модуль recent позволяет отслеживать и управлять соединениями, основываясь на их предыдущей активности. Он может использоваться для блокировки IP-адресов, которые совершили слишком много неудачных попыток подключения или отправки нежелательного трафика.
- mac
Модуль mac допускает фильтрацию пакетов на основе MAC-адресов сетевых интерфейсов. Это полезно для ограничения доступа к определенным ресурсам или службам на основе физического адреса сетевой карты.
- time
Модуль time позволяет установить временные интервалы для применения правил, а также ограничить доступ к определенным ресурсам в указанное время.
- nat
Модуль nat необходим для настройки NAT в iptables. Благодаря ему возможно создавать правила для портового перенаправления (port forwarding), маскировки IP-адресов (masquerading) и других методов NAT.
- ipset
Модуль ipset предназначен для использования динамических множеств IP-адресов или портов в iptables. Это упростит процесс создания и обслуживания правил фильтрации для большого количества IP-адресов или портов.