웹 서버에 대한 좋은 iptables 시작 규칙?

새 centos 5.4 서버를 설치하고 있으며 mutabletables을 시작하기위한 규칙을 정리하고 싶습니다.

좋은 규칙은 무엇입니까?

이것이 좋은 출발점입니까?

# Allow outgoing traffic and disallow any passthroughs

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Allow traffic already established to continue

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow ssh, ftp and web services

iptables -A INPUT -p tcp --dport ssh -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport ftp -i eth0 -j ACCEPT
iptables -A INPUT -p udp --dport ftp -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport ftp-data -i eth0 -j ACCEPT
iptables -A INPUT -p udp --dport ftp-data -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT

# Allow local loopback services

iptables -A INPUT -i lo -j ACCEPT

# Allow pings

iptables -I INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -I INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -I INPUT -p icmp --icmp-type time-exceeded -j ACCEPT

이 규칙은 무엇입니까?

iptables -A INPUT -p tcp --dport domain -i eth0 -j ACCEPT

업데이트 :

FTP (필수), 아파치, SSH, mysql을 갖춘 웹 서버가 될 것입니다.

IPTables 규칙은 대부분 서버에 적합한 것으로 보입니다. 그러나 몇 가지 가능한 변경 사항을 제안합니다.

• 전체 인터넷에서 SSH, MySQL 및 FTP 액세스를 허용하지 않는 한 '--source'옵션을 사용하여 승인 된 특정 IP 주소에서만 해당 포트에 대한 액세스를 제한하는 것이 훨씬 안전합니다. 예를 들어 IP 주소 71.82.93.101에서 SSH 액세스 만 허용하려면 다섯 번째 규칙을 'iptables -A INPUT -p tcp --dport ssh --source 71.82.93.101 -i eth0 -j ACCEPT'로 변경합니다. 허용하려는 각 개별 IP 주소에 대해 별도의 규칙을 추가해야 할 수도 있습니다. iptables multiple source IPs 에 대한 자세한 내용은이 질문을 참조하십시오 .

• 이 컴퓨터에서 DNS 서버를 실행하지 않으면 '도메인'(53) 포트에 대한 액세스를 차단하고 싶을 것입니다. 이렇게하려면 'iptables -A INPUT -p tcp --dport domain -i eth0 -j ACCEPT'줄을 제거하십시오. (이것은 최종 질문 인 BTW에도 답해야합니다.) 실제로 DNS 서버를 실행중인 경우이 규칙을 그대로 두십시오.

• 네트워크를 통한 원격 MySQL 클라이언트 액세스를 허용해야하는 경우 'iptables -A INPUT -p tcp --dport 3306 -i eth0 -j ACCEPT'행을 추가하여 표준 MySQL 포트에 대한 외부 액세스를 열어야합니다. . 그러나 실제로 필요한 경우가 아니라면이 작업을 수행하지 마십시오. 로컬 MySQL 액세스 만 필요하면 (Apache에서 실행되는 PHP 앱의 경우) 원격 MySQL 액세스를 제공 할 필요가 없습니다. 그리고 해킹 당할 위험이 없다면, 포트 3306을 네트워크에 열면 모든 MySQL 사용자 계정에 강력한 암호가 필요하고 MySQL 서버 패키지가 최신 상태인지 확인하십시오.

• 귀하의 의견 중 하나 ( 'ssh, dns, ldap, ftp 및 웹 서비스 허용')에 LDAP 서비스가 언급되어 있지만 구성에는 이러한 규칙이 없습니다. 예제 구성을 복사하고 수정하면 많은 일이 발생합니다. 이 기능은 기능에 영향을 미치지 않지만 주석을 수정합니다. 오해의 소지가있는 의견은 나중에 귀 하나 다른 관리자를 혼란스럽게함으로써 간접적으로 발생할 수 있기 때문입니다.

내 경험상 완벽한 IPTables 규칙 세트를 마련하기는 어렵지만 확실히 올바른 길을 가고 있다고 생각합니다. 또한 IPTable에 대한 자세한 내용은 행운을 빕니다.이 규칙은 처음에는 복잡해 보일 수 있지만 모든 Linux sysadmin에게는 매우 유용한 기술입니다.

아웃 바운드 트래픽도 확실히 제한하십시오.

PHP 악용으로 인해 누군가가 'curl'또는 'wget'을 사용하여 다른 곳에서 악성 코드를 가져온 다음 서버에서 실행하여 봇넷에 참여하는 경우가 많이있었습니다.

Apache (예 :)가 다른 웹 사이트 자체와 통신 할 필요가 없다면 트래픽을 제한하고 약간의 고통을 덜어주십시오!

이러한 규칙은 "iptables-restore"를 통해 가져올 수 있습니다.

*filter
:INPUT DROP [20:2036]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [93:16260]
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -m comment --comment "allow ICMP: echo-reply"
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -m comment --comment "allow ICMP: echo-request"
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT -m comment --comment "allow ICMP: destination-unreachable"
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT -m comment --comment "allow ICMP: source-quench"
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT  -m comment --comment "allow ICMP: time-exceeded"
-A INPUT -i lo -j ACCEPT -m comment --comment "allow input from the loop-back adapter"
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -m comment --comment "allow SSH: ssh"
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT -m comment --comment "allow DNS: domain"
-A INPUT -i eth0 -p tcp -m udp --dport 53 -j ACCEPT -m comment --comment "allow DNS: domain"
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT -m comment --comment "allow FTP: ftp"
-A INPUT -i eth0 -p udp -m udp --dport 21 -j ACCEPT -m comment --comment "allow FTP: ftp"
-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT -m comment --comment "allow FTP: ftp-data"
-A INPUT -i eth0 -p udp -m udp --dport 20 -j ACCEPT -m comment --comment "allow FTP: ftp-data"
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT -m comment --comment "allow MariaDB/MySQL: mysql"
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "allow HTTP (apache/nxing/lighttpd)"
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "allow HTTPS (apache/nxing/lighttpd)"
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  -m comment --comment "allow already established connections"
COMMIT

위의 iptables-restore를 사용하지 않는 경우 기록을 위해 ...이 기본 정책도 설정해야합니다.

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

왜 ftp와 dns를 허용합니까? 서버가 이러한 서비스를 제공합니까? FTP는 매우 구체적인 사용 사례를 제외하고 FTPS가 아닌 SFTP를 대신 사용하는 것을 제외하고는 실제로 사용해서는 안됩니다. 또한 다른 모든 포트를 기호 이름으로 지정하고 http를 숫자 80으로 지정하는 이유는 무엇입니까? 방금 다른 곳에서 이것을 복사 했습니까? 복사와 조언은 이해의 부족을 보완 할 수 없습니다. TCP, IP, 방화벽 및 제공 할 서비스의 프로토콜을 이해해야합니다.