介绍
防火墙是一种网络安全工具,可根据其预定义的规则集控制入站和出站网络流量。我们可以使用防火墙以及其他安全措施来保护我们的服务器免受黑客的撬动和攻击。
防火墙的设计可以是专用硬件,也可以是运行在我们计算机上的软件程序。在CentOS 6上,默认的防火墙程序是iptables。
在本文中,我将向您展示如何基于“ CentOS 6 x64上的WordPress”应用程序设置基本的iptables防火墙,该防火墙将阻止除Web,SSH,NTP,DNS和ping服务之外的所有流量。但是,这只是满足常见安全需求的初步配置。如果您还有其他要求,则需要更复杂的iptables配置。
注意事项:
如果将IPv6地址添加到服务器,则还应该设置ip6tables服务。配置ip6tables不在本文讨论范围之内。
与CentOS 6不同,iptables不再是CentOS 7上的默认防火墙程序,而已被名为firewalld的程序所替代。如果您打算使用CentOS 7,则需要使用firewalld设置防火墙。
先决条件
使用“ CentOS 6 x64上的WordPress”应用程序新鲜部署服务器实例,然后以root用户身份登录。
步骤1:确定服务器上使用的服务和端口
我假设此服务器将仅托管WordPress博客,并且不会用作路由器或提供其他服务(例如,邮件,FTP,IRC等)。
在这里,我们需要以下服务:
- HTTP(端口80上的TCP)
- HTTPS(端口443上的TCP)
- SSH(默认情况下,端口22上的TCP,出于安全目的可以更改)
- NTP(UDP在端口123上)
- DNS(端口53上的TCP和UDP)
- ping(ICMP)
所有其他不必要的端口将被阻止。
步骤2:配置iptables规则
iptables使用规则列表控制流量。当网络数据包发送到我们的服务器时,iptables将使用每个规则依次检查它们并采取相应的措施。如果满足一个规则,则其他规则将被忽略。如果不满足任何规则,则iptables将使用默认策略。
所有流量都可以分为INPUT,OUTPUT和FORWARD。
- 输入流量可以是正常流量,也可以是恶意流量,应有选择地允许它。
- 通常认为输出流量是安全的,应该允许。
- 转发流量没有用,应将其阻止。
现在,让我们根据需要配置iptables规则。以下所有命令均应以root用户从SSH终端输入。
检查现有规则:
iptables -L -n
刷新所有现有规则:
iptables -F; iptables -X; iptables -Z
由于对iptables配置的更改将立即生效,因此,如果您错误地配置了iptables规则,则可能会被服务器拒之门外。您可以使用以下命令防止意外阻止。切记[Your-IP-Address]
用您自己的公用IP地址或IP地址范围替换(例如201.55.119.43或201.55.119.0/24)。
iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT
允许所有环回(lo)流量,并将所有流量降至lo以外的127.0.0.0/8:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT
阻止一些常见的攻击:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
接受所有已建立的入站连接:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许HTTP和HTTPS入站流量:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
允许SSH连接:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
允许NTP连接:
iptables -A INPUT -p udp --dport 123 -j ACCEPT
允许DNS查询:
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
允许ping:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
最后,设置默认策略:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
步骤3:保存配置
我们上面所做的每项更改均已生效,但并非永久不变。如果我们不将它们保存到硬盘上,则它们将在系统重启后丢失。
使用以下命令保存iptables配置:
service iptables save
我们的更改将保存在文件中/etc/sysconfig/iptables
。您可以通过编辑该文件来查看或修改规则。
意外封锁的解决方法
如果由于配置错误而使您无法访问服务器,您仍然可以使用一些解决方法来重新获得访问权限。
- 如果尚未保存对iptables规则的修改,则可以从网站界面重新启动服务器,然后所做的更改将被删除。
- 如果已保存更改,则可以从网站界面通过控制台登录服务器,然后输入
iptables -F
以刷新所有iptables规则。然后,您可以再次设置规则。
- Linux服务器iptables限制tcp连接和频率
- 如何在Ubuntu 18.04上安装Apache 2.4,MariaDB 10.3和PHP 7.2
- 如何在CentOS 7上添加交换空间
- [ Linux VPS ] Debian/Ubuntu/CentOS 网络安装/网络重装/纯净安装 一键脚本
- 使用FirewallD在CentOS 7上管理防火墙
- Linux 查看磁盘空间
- 如何在Ubuntu 16.04上手动安装Java 8
- 在Ubuntu 16.04上安装Tomcat
- 如何在Ubuntu 18.04 LTS上安装ExpressionEngine CMS
- linux下vi命令修改文件及保存的使用方法
- 在 CentOS 8 上安装和配置Redis
- 如何在FreeBSD 12.0上安装Nginx,MySQL和PHP(FEMP)堆栈