คุณจะทำอย่างไรกำหนดค่า IPTables เพื่อที่จะเพียงช่วยให้ SSH ในและช่วยให้ไม่มีการจราจรอื่น ๆ ในหรือออก ?
ข้อควรระวังด้านความปลอดภัยใด ๆ ที่ทุกคนสามารถแนะนำได้?
ฉันมีเซิร์ฟเวอร์ที่ฉันเชื่อว่าย้ายออกจาก GoDaddy ได้สำเร็จและฉันเชื่อว่าไม่ได้ใช้งานอีกต่อไป
แต่ฉันต้องการให้แน่ใจว่าเพียงเพราะ ... คุณไม่เคยรู้ :)
โปรดทราบว่านี่เป็นเซิร์ฟเวอร์เฉพาะเสมือนจาก GoDaddy ... นั่นหมายถึงไม่มีการสำรองข้อมูลและไม่รองรับเลย
คำตอบ:
คุณต้องตั้งค่านโยบายเริ่มต้นเป็น DROP บนเครือข่าย INPUT และ OUTPUT
ในการอนุญาตให้ใช้ SSH คุณต้องมีคำสั่งต่อไปนี้:
$ sudo iptables -P INPUT DROP
$ sudo iptables -P OUTPUT DROP
$ sudo iptables -A INPUT -i lo -j ACCEPT
$ sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$ sudo iptables -A OUTPUT -o lo -j ACCEPT
$ sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
คำสั่งสองคำสั่งสุดท้ายอนุญาตการรับส่งข้อมูลย้อนกลับเนื่องจากบางแอพพลิเคชั่นนี้จำเป็นต้องทำงานอย่างถูกต้อง คุณสามารถ จำกัด การเข้าถึง SSH จาก IP เฉพาะโดยใช้-s source_ipตัวเลือก
การใช้คำสั่งตามลำดับที่แสดงด้านบนจะทำให้เซสชัน SSH ปัจจุบันของคุณหยุดทำงาน นี่เป็นเพราะคำสั่ง iptables มีผลทันที คุณต้องดำเนินการในเชลล์สคริปต์เพื่อหลีกเลี่ยงการสูญเสียความสามารถในการเชื่อมต่อกับเครื่องของคุณเมื่อดำเนินการจากระยะไกล
บางสิ่งเช่นนี้
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j REJECT # or iptables -P INPUT DROP
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j REJECT # or iptables -P OUTPUT DROP
-i loไม่ได้-s lo; อีกครั้งESTABLISHEDมีความจำเป็นเฉพาะในกฎของรัฐและอาจมี--sport 22ในนั้นด้วย ทุกคนว่าทำไมจึงกระตือรือร้นที่จะช่วยให้RELATED?
RELATED: จริงๆแล้วมันมีประโยชน์สำหรับการจับคู่สิ่งที่ไม่ใช่ TCP เช่นการตอบ ping และการตอบ DNS อย่างน้อยนั่นคือสิ่งที่ฉันคิดเอาไว้เสมอ
--state RELATEDในกฎสุดท้ายนั้นไม่จำเป็น--state ESTABLISHEDก็เพียงพอแล้ว คุณอาจต้องการอนุญาตการรับส่งข้อมูล DNS และอาจอนุญาตสิ่งใดก็ได้บนอินเทอร์เฟซแบบวนรอบมิฉะนั้นสิ่งต่าง ๆ อาจทำงานผิดปกติ