Настройка на IPTables за манекени в Ubuntu и Debian, Топ 10 правила за защитна стена

Въпреки че Linux е известен със своята надеждност и сигурност, не е добра идея да блестите отворени портове в мрежа, пълна с хакери и други перверзници. Помислете как да оградите всички потенциално уязвими отвори с противопожарна стена.

Настройка на IPTables

Какво е iptables

За тези цели добрите програмисти измиха защитната стена iptables в Linux. Той е бърз, надежден и безплатен, но малко хора го използват поради сложната и объркваща настройка. Онлайн изданието на Liberatum е първото в света, което предлага проста конфигурация. Копирах, пуснах, забравих.

Как да запазите настройките на iptables в Ubuntu и Debian

Но първо, малко отклонение. Програмата iptables е проектирана по толкова хитър начин, че всички направени настройки ще бъдат загубени при първото рестартиране. Поради това неопитни администратори се опитват да запазят настройките в .sh файла, а самите файлове са разпръснати навсякъде. Ние няма да бъдем като тези наивни слепци и ще направим всичко както трябва. Има програма, която предоставя стандартен интерфейс за обслужване на Linux за iptables и може да запазва и възстановява правила. Името му е iptables-persistent.

Сега можете да преминете към създаване на правила за защитната стена. Всичко се прави от името на суперпотребителя.

Основна настройка на iptables

Тази конфигурация предполага следното поведение:

  • всички входящи връзки са изрязани - това е за kakkers;
  • всички изходящи връзки са установени - това е за собственика на системата;
  • всички вече установени връзки се пропускат;
  • всичко се пропуска и в двете посоки на lo интерфейса;
  • пакетите zero и syn-flood са изрязани - от пионерите;
  • входящите връзки към 22-ия порт се пропускат (това е с целбеше възможно да влезете чрез ssh, а също и за да демонстрирате как потребителят може сам да отвори всеки порт - трябва да копирате този ред и да замените номера на порта).

Сега нека проверим дали iptables е разбрал нашите инструкции правилно:

Получаваме следната картина:

Да, така е. И интересно, iptables вече показва колко пакета е успял да изтрие - политика DROP3710 пакети. Тоест, преди да имаме време да настроим всичко както трябва, а компютърът вече се опитваше да прецака какерите - какво опасно място е този ваш интернет!

Netfilter Persistent

Сега запазете правилата за по-късна употреба:

И рестартирайте услугата:

Всичко, сега нищо не застрашава девствеността на пристанищата.

Забележка

В по-новите версии на Ubuntu и Debian услугата iptables-persistent може да се нарича netfilter-persistent.