На защиту сервера от внешних угроз в первую очередь встает межсетевой экран, который фильтрует входящий и исходящий траффик. Настройкой iptables — частного случая фаервола на CentOS я хочу заняться в данной статье, а также рассказать о его установке и отключении.

Iptables в настоящее время является стандартом де-факто в среде современных linux дистрибутивов. Так что любому администратору линукс приходится сталкиваться в своей работе с настройкой этого межсетевого экрана.

Первым делом отключим firewalld, который присутствует в centos 7 по-умолчанию сразу после установки:


Теперь удалим его из автозагрузки, чтобы он не включился снова после рестарта:


После этого на сервере настройки сетевого экрана становятся полностью открытыми. Посмотреть правила iptables можно командой:


На самом деле фаервол у нас на сервере уже стоит и работает, просто нет никаких правил, все открыто. Установить нам нужно будет дополнительные утилиты управления, без которых конфигурировать iptables невозможно. Например, нельзя будет перезапустить фаервол:


Или добавить в автозапуск не получится:


Чтобы подобных ошибок не было, установим необходимый пакет с утилитами:


Теперь можно добавить iptables в автозагрузку и запустить:


Для управления правилами фаервола используем скрипт. Создадим его:


Далее будем наполнять его необходимыми правилами. Мы рассмотрим ситуацию, когда сервер является шлюзом в интернет для локальной сети.

Первым делом зададим все переменные, которые будем использовать в скрипте. Это не обязательно делать, но рекомендуется, потому что удобно переносить настройки с сервера на сервер. Достаточно будет просто переназначить переменные.


Перед применением новых правил, очищаем все цепочки:


Блокируем весь трафик, который не соответствует ни одному из правил:


Разрешаем весь трафик локалхоста и локалки:


Разрешаем делать ping:


Если вам это не нужно, то не добавляйте разрешающие правила для icmp.

Открываем доступ в инет самому серверу:


Если вы хотите открыть все входящие соединения сервера, то добавляйте дальше правило:


Делать это не рекомендуется, просто для примера, если у вас появится такая необходимость.

Дальше разрешим все установленные соединения и дочерние от них. Так как они уже установлены, значит прошли через цепочки правил, фильтровать их еще раз нет смысла:


Теперь добавим защиту от наиболее распространенных сетевых атак. Сначала отбросим все пакеты, которые не имеют никакого статуса:


Блокируем нулевые пакеты:


Закрываемся от syn-flood атак:


Следом за этими правилами рекомендуется поставить правила на запрет доступа с определенных IP, если у вас имеется такая необходимость. Например, вам надоел адрес 84.122.21.197. Блокируем его:


Если вы не ставите ограничений на доступ из локальной сети, то разрешаем всем выход в интернет:


Следом запрещаем доступ из инета в локальную сеть:


Чтобы наша локальная сеть пользовалась интернетом, включаем nat:


Чтобы не потерять доступ к серверу, после применения правил, разрешаем подключения по ssh:


И в конце записываем правила, чтобы они применились после перезагрузки:


Мы составили простейший конфиг, который блокирует все входящие соединения, кроме ssh и разрешает доступ из локальной сети в интернет. Попутно защитились от некоторых сетевых атак.

Сохраняем скрипт, делаем исполняемым и запускаем:


Выполним просмотр правил и проверим, все ли правила на месте:


Теперь немного расширим нашу конфигурацию и откроем в iptables порты для некоторых сервисов. Допустим, у нас работает веб-сервер и необходимо открыть к нему доступ из интернета. Добавляем правила для веб-трафика:


Было добавлено разрешение на входящие соединения по 80-му и 443-му портам, которые использует web сервер в своей работе.

Если у вас установлен почтовый сервер, то нужно разрешить на него входящие соединения по всем используемым портам:


Для корректной работы DNS сервера, нужно открыть UDP порт 53


Теперь рассмотрим ситуацию, когда необходимо выполнить проброс портов с внешнего интерфейса на какой-то компьютер в локальной сети. Допустим, вам необходимо получить rdp доступ к компьютеру 10.1.3.50 из интернета. Делаем проброс TCP порта 3389:


Если вы не хотите светить снаружи известным портом, то можно сделать перенаправление с нестандартного порта на порт rdp конечного компьютера:


Если вы пробрасываете порт снаружи внутрь локальной сети, то обязательно закомментируйте правило, которое блокирует доступ из внешней сети во внутреннюю. В моем примере это правило:


Либо перед этим правилом создайте разрешающее правило для доступа снаружи к внутреннему сервису, например вот так:


Во время настройки полезно включить логи, чтобы мониторить заблокированные пакеты и выяснять, почему отсутствует доступ к необходимым сервисам, которые мы вроде бы уже открыли. Я отправляю все заблокированные пакеты в отдельные цепочки (block_in, block_out, block_fw), соответствующие направлению трафика и маркирую в логах каждое направление. Так удобнее делать разбор полетов. Добавляем следующие правила в самый конец скрипта, перед сохранением настроек:


Все заблокированные пакеты вы сможете отследить в файле /var/log/messages.

После того, как закончите настройку, закомментируйте эти строки, отключив логирование. Обязательно стоит это сделать, так как логи очень быстро разрастаются. Практического смысла в хранении подобной информации лично я не вижу.

Если вы вдруг решите, что firewall вам больше не нужен, то отключить его можно следующим образом:


Эта команда останавливает фаервол. А следующая удаляет из автозагрузки:


Отключив сетевой экран, мы разрешили все соединения.

Хочу еще раз обратить внимание, что при настройке iptables необходимо быть предельно внимательным. Не начинайте это дело, если не имеете доступа к консоли сервера.

Всем удачи.