IPTables налаштування для чайників в Ubuntu та Debian, 10 головних правил фаєрволу

Хоча Linux славиться своєю надійністю та безпекою, світити відкритими портами в мережу, де повно каккерів та інших збоченців – не найкраща ідея. Розглянемо як обнести всі потенційно вразливі отвори вогненною стіною.

Налаштування IPTables

Що таке iptables

З цією метою добрі програмісти запилили в Лінукс фаейрвол iptables. Він швидкий, надійний і безкоштовний, однак, мало хто ним користується через складне і заплутане налаштування. Інтернет-видання Лібератум першим у світі пропонує простий конфіг. Скописав, запустив, забув.

Як зберігати налаштування iptables в Ubuntu та Debian

Але спочатку невеликий відступ. Програма iptables влаштована таким хитрим чином, що всі зроблені налаштування злетять при першому ж перезавантаженні. Тому недосвідчені адміни намагаються зберегти налаштування в .sh-файлі, а самі файли розкидають де завгодно. Ми не уподібнюватимемося цим наївним сліпцям і зробимо все правильно. Є програма, що надає для iptables стандартний інтерфейс Linux-сервісу та вміє зберігати та відновлювати правила. Ім'я їй – iptables-persistent.

Ось тепер можна переходити до створення правил для фаєрвола. Все робиться від імені суперкористувача.

Базове налаштування iptables

Цей конфіг передбачає таку поведінку:

  • всі вхідні з'єднання випилюються це для каккерів;
  • всі вихідні з'єднання встановлюються – це для господаря системи;
  • пропускаються всі вже встановлені з'єднання;
  • пропускається все в обох напрямках на інтерфейсі lo;
  • випилюються нульові та syn-flood-пакети - від піонерів;
  • пропускаються вхідні з'єднання на 22й порт (це для того, щобможна було зайти по ssh, а також для того, щоб продемонструвати, як користувач може самостійно відкрити будь-який порт — потрібно скопіювати цей рядок і замінити номер порту).

Тепер перевіримо, чи правильно iptables зрозумів наші вказівки:

Отримуємо наступну картину:

Так все вірно. І що цікаво, iptables вже показує, скільки пакетів вдалося відкинути — policy DROP3710 packets. Тобто, не встигли ми ще налаштувати все як слід, а комп'ютер вже спробували отримати каккери - яке все ж небезпечне місце цей ваш інтернет!

Netfilter Persistent

Тепер зберігаємо правила для подальшого вживання:

І перезапустимо сервіс:

Все тепер невинності портів нічого не загрожує.

Примітка

У нових версіях Ubuntu та Debian служба iptables-persistent може називатися netfilter-persistent.