Портал > База знаний > Администрирование Linux > Как настроить firewall? (Настройка iptables)
Краткая видео инструкция по настройке iptables - https://youtu.be/Ki0bVsbpjqk
На защиту сервера от внешних угроз в первую очередь встает межсетевой экран, который фильтрует входящий и исходящий трафик.
Мы поговорим о частном случае фаервола на CentOS - а именно о установке, включении и настройке iptables.Первым делом отключим firewalld, который присутствует в centos 7 по-умолчанию сразу после установки:
systemctl stop firewalld
Теперь удалим его из автозагрузки, чтобы он не включился снова после рестарта:
systemctl disable firewalld
После этого на сервере настройки сетевого экрана становятся полностью открытыми.
На самом деле фаервол у нас на сервере уже стоит и работает, просто нет никаких правил, все открыто.
Установить нам нужно будет дополнительные утилиты управления, без которых конфигурировать iptables невозможно.
yum -y install iptables-services
Теперь можно добавить iptables в автозагрузку и запустить:
systemctl enable iptables.service
systemctl start iptables.service
Для внешнего интерфейса разрешаем подключение на порт, где расположен SSH.
iptables -A INPUT -i ens192 -p tcp --dport 52222 -j ACCEPT
Открываем порт 52222, потом закрываем все порты, кроме этого:
iptables -p INPUT DROP
Дальше видим SSH-сервер прослушивает нестандартный протокол 52222, поэтому мы его добавляем в разрешения iptables.
netstat -plnt
Теперь разрешаем ICMP-запросы:
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Сохраняем правило в файл:
iptables-save > /root/ip.rules
Так можно восстановить правила из файла:
iptables-restore < /root/ip.rules
Добавляем правила в автозагрузку
nano /etc/rc.d/rc.local
iptables-restore < /root/ip.rules
По умолчанию, правила iptables не сохраняются после перезагрузки системы. Чтобы правила сохранились во время остановки в конфигурационном файле iptables (/etc/sysconfig/iptables-config) нужно изменить значение параметра IPTABLES_SAVE_ON_STOP на "yes".
Это лишь малая часть того, что умеет iptables. Полное руководство можно просмотреть по ссылке: https://www.opennet.ru/docs/RUS/iptables/
Либо обращайтесь в техническую поддержку support.by для профессиональной настройки вашего фаервола.
Добавить в избранное Распечатать статью
Powered by WHMCompleteSolution