Зареєструватися
УвійтиЗареєструватися
Домашня сторінкаБлог
IPtables в Linux: як забезпечити безпеку на Ваших VPS/VDS серверах
Vitaliy Darmoroz
Системне адміністрування
24 липня 2024

IPtables в Linux: як забезпечити безпеку на Ваших VPS/VDS серверах

IPtables в Linux: як забезпечити безпеку на Ваших VPS/VDS серверах.


Вступ

IPtables - це потужний засіб для керування мережним трафіком та забезпечення безпеки в Linux. Якщо ви адмініструєте віртуальні сервери (VPS) або віртуальні виділені сервери (VDS), розуміння роботи та налаштування IPtables може бути ключем до забезпечення надійності та захисту вашої інфраструктури. Давайте розглянемо основні аспекти роботи з IPtables.

1. Основні поняття

IPtables – це утиліта в Linux, призначена для налаштування правил фільтрації пакетів даних у мережі. З її допомогою ви можете контролювати, куди прямує, звідки приходить і як обробляється мережевий трафік. IPtables працює на рівні ядра OS Linux, що забезпечує високу продуктивність та надійність.

2. Ключові концепції

  • Ланцюжки, chains: використовуються послідовності правил організації коректної фільтрації. Основні ланцюжки включають:

    • INPUT - вхідний трафік,

    • OUTPUT - вихідний трафік

    • FORWARD - перенаправляється трафік.

  • Правила, rules: визначають, як обробляти пакети даних у chains. Кожне rules складається з умов і дій. Наприклад, правило може дозволяти чи блокувати певний тип трафіку. Правила можуть застосовуватися тільки для ipv4 або ipv6.

3. Команди

IPtables управляється за допомогою командного рядка. Ось деякі основні команди:

  • iptables -A - додати правило до кінця зазначеного ланцюжка.

  • iptables -I - вставити правило на початок зазначеного ланцюжка.

  • iptables -L - показати поточні правила.

  • iptables -C - перевірити існування правила.

  • iptables -R -замінити існуюче правило.

  • iptables -D - видалити правило.

  • iptables -F - очистити всі правила.

Основні опції:

-4 - вказує на використання лише IPv4.
-6 - вказує на використання лише IPv6.
-p – протокол для правила (protocol). Протокол може бути вказаний за номером або на ім'я - tcp, udp, icmp.
-s - IP-адреса [/маска] джерела (source) трафіку, до якого застосовується правило.
-d - IP-адреса [/маска] призначення (destination) трафіку, до якого застосовується правило.
-i - Ім'я введення мережного інтерфейсу (in-interface), до якого застосовується правило.
-o - Ім'я виходу мережного інтерфейсу (out-interface).
-j - ціль для правила (jump) або дія, яка застосовується до пакетів, що відповідають правилу.

Для -s і -d можна вказати IP-адресу або діапазон IP-адрес, а також додатково маску підмережі. Кожна з цих та інших опцій відіграє важливу роль при визначенні правил фільтрації пакетів даних за допомогою iptables.

4. Приклади використання:

Для додавання дозволяючих правил для вхідного трафіку на певні порти, потрібно виконати команду iptables з ключами -I INPUT. Наприклад, наступне правило дозволяє вхідний SSH трафік на порт 22:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT


Якщо потрібно дозволити доступ до сервера SSH (вхідний трафік на порт 22), тільки для певної IP-адреси aaa.bbb.ccc.ddd, можна використовувати такі команди:

iptables -A INPUT -s aaa.bbb.ccc.ddd -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -s aaa.bbb.ccc.ddd -p tcp -m tcp --dport 22 -j ACCEPT

  • Для дозволу SSH-підключення до VPS для цілої мережі - aaa.bbb.ccc.0/24, використовуйте таку команду:

iptables -A INPUT -s aaa.bbb.ccc.0/24 -p tcp --dport 22 -j ACCEPT

  • Щоб відкрити у фаєрволі Linux порти для роботи сайтів та зовнішнього доступу до MySQL, можна використовувати такі команди:

iptables -I INPUT -p tcp --dport 80  -m state --state NEW -j ACCEPT
iptables -I INPUT -p tcp --dport 443  -m state --state NEW -j ACCEPT
iptables -I INPUT -p tcp --dport 3306 -m state --state NEW -j ACCEPT

  • Блокування вхідного трафіку від певного IP:

iptables -A INPUT -s  aaa.bbb.ccc.ddd -j DROP

Це додає правило, що блокує весь вхідний трафік (ланцюжок INPUT) з небажаної вам IP-адреси aaa.bbb.ccc.ddd.

  • Перегляд правил: Для перегляду всіх поточних правил IPtables використовуйте команду:

iptables -nvL

  • Для перегляду правил із номерами рядків:

iptables -nvL INPUT --line-numbers
iptables -nvL OUTPUT --line-numbers


5. Додавання та видалення правил

  • Вставка правил.

Щоб вставити правило між рядками, використовуйте команду:

iptables -I INPUT 2 -s aaa.bbb.ccc.ddd  -j DROP

Це вставить правило блокування трафіку від вказаної IP-адреси до другої позиції ланцюжка INPUT.

  • Видалення правил.

Щоб видалити правило з певним номером рядка або за умовою, використовуйте команду:

iptables -D INPUT 7

або

iptables -D INPUT -s 8.8.8.8 -j DROP


Висновок

IPtables надає потужні інструменти для управління мережевим трафіком та забезпечення безпеки на ваших VPS та VDS серверах. Пам'ятайте про важливість правильного налаштування правил та постійного моніторингу вашої мережної інфраструктури. Дотримуйтесь базових принципів безпеки та активно використовуйте IPtables для забезпечення надійності вашого сервера та захисту даних від зовнішніх загроз.

Бажаєте дізнатися більше?

Відвідайте наш сайт, щоб отримати додаткову інформацію про налаштування та використання IPtables на ваших серверах. У нас є безліч корисних статей та посібників, які допоможуть вам стати експертом у галузі мережевої безпеки та адміністрування серверів.


IPtables в Linux: як забезпечити безпеку на Ваших VPS/VDS серверах
Корисні статтіХмарні послугиСистемне адмініструванняНовиниВеб-дизайнБезпека
vds

Вас може зацікавити VPS/VDS сервер від Fotbo

Дивитись