GNU/Linux >> Tutoriales Linux >  >> Linux

Cómo bloquear su servidor CentOS con IPTables

Verificado y probado el 11/01/16

Introducción

En este tutorial, cubriremos cómo realizar algunos cambios básicos de IPTables que ayudarán en gran medida a proteger su servidor. Esto se hace en una instalación nueva de CentOS 6.5 de 64 bits en nuestra nube Atlantic.Net.

Bloqueando su servidor CentOS con IPTables

El uso de CentOS IPTables integrado es una excelente manera de garantizar un servidor privado virtual seguro, porque ya está instalado y en ejecución cuando se crea el servidor. Para verificar esto, solo debe ejecutar lo siguiente para verificar el estado de IPTables e imprimirá sus conjuntos de reglas actuales.

service iptables status

Si no está ejecutando como raíz, simplemente agregue un sudo al frente de eso. Continuaremos con este tutorial de seguridad como si fuera el usuario root.

Para editar sus IPTables, primero debe ir a su archivo de configuración. En este ejemplo, usamos vi; sin embargo, puede usar el editor que prefiera.

vi /etc/sysconfig/iptables

Muestra /etc/sysconfig/iptables

Debería obtener una página que se parece a la anterior. Lo primero que queremos hacer es si tiene un puerto SSH personalizado (debería hacerlo si siguió el tutorial Cómo cambiar su puerto SSH en CentOS (enlace) o lo cambió usted mismo), cambie la línea que dice:

--dport 22

ser:

--dport yourcustomSSHport

Siguiendo nuestro ejemplo en el tutorial de puerto SSH personalizado anterior, la línea debería decir:

-A INPUT -m state -state NEW -m tcp -p tcp --dport 3389 -j ACCEPT

Si no tiene un puerto SSH personalizado, puede ignorarlo, ¡pero debería pensar en agregar uno! A continuación, queremos tomar la sección que dice:

:INPUT ACCEPT [0:0] and :FORWARD ACCEPT [0:0]

y haz que diga:

:INPUT DROP [0:0] and :FORWARD DROP [0:0]

Lo que esto hace es decirle a IPTables que bloquee y elimine todo el tráfico que no vaya a los puertos que usted especifique para permitir el paso. Esto evitará que las personas intenten entrar usando los servicios que tiene en ejecución a menos que haya abierto esos puertos al público.

¡Y eso es! Su servidor ahora es más seguro simplemente cambiando algunas cosas en IPTables. Para que los cambios surtan efecto, deberá guardar y salir del archivo y luego ejecutar:

service iptables restart

Esto hará que sus nuevas reglas entren en vigencia de inmediato y permanecerán durante los reinicios. Si desea ser más restrictivo con sus IPtables, específicamente el acceso a SSH, puede hacer lo siguiente para cada dirección IP que debe permitirse. Esto implica editar la regla SSH y agregar más. Donde indica la regla SSH que identificamos anteriormente, desea cambiarla para que sea:

-A INPUT -s IPADDR –m tcp –p tcp  --dport 3389 –j ACCEPT

Donde IPADDR es su dirección IP a la que desea tener acceso SSH a su servidor. Si no configuró un puerto SSH personalizado, querrá que siga siendo 22 y no 3389.

Para permitir puertos específicos, por ejemplo, para el acceso web a su sitio web, todo lo que necesita hacer es saber/encontrar el puerto en el que se ejecuta el servicio (o en el que lo configuró) y su protocolo (TCP o UDP) y permitirlo. Por ejemplo, acceso al sitio web:

-A INPUT -m tcp -p tcp --dport 80 -j ACCEPT

Y ahora Internet tiene acceso al alojamiento web que está haciendo.

Tenga en cuenta que, al agregar nuevas reglas a las secciones INPUT o FORWARD, es una buena práctica mantener las nuevas reglas agrupadas junto con reglas similares. INPUTs con INPUTs y FORWARDs con FORWARDs. También querrá asegurarse de que cualquier regla que agregue que permita un nuevo puerto esté enumerada ARRIBA de cualquier declaración de rechazo para ese conjunto de reglas. Si aparecen después de las líneas de rechazo, las reglas no tendrán efecto.

Para ver el resultado de lo que IPTables está haciendo y bloqueando con sus reglas, puede ejecutar lo siguiente. Imprimirá las reglas que tiene y todo lo relacionado con los paquetes acerca de desconectar conexiones o permitirles el paso.

iptables -L -vn

Para saber qué significan todos los segmentos de IPTables y obtener más información sobre ellos, consulte nuestra sección de IPTables (enlace).

Nota *Siempre puede acceder a su servidor a través de nuestro visor VNC en Cloud Portal si se bloquea*

Gracias por seguir este tutorial. Consulte nuestro blog para obtener una gran cantidad de artículos y procedimientos, incluidas otras publicaciones relacionadas con IPTables, como Cómo:Configuración básica de archivos de IPTables y Cómo:Solución de problemas básicos de IPTables; y considere un servidor de alojamiento VPS líder en el mercado de Atlantic.Net.


Linux

  1. Cómo asignar IPv6 en su servidor CentOS

  2. Cómo monitorear el uso de recursos de su servidor con Munin en CentOS 6

  3. Cómo proteger Apache y SSH con Fail2Ban en CentOS 8

  4. Cómo asegurar el servicio SSH con Port Knocking

  5. Usar iptables con CentOS 7

Cómo configurar SSH en CentOS y RHEL

Cómo:asegurar su servidor Ubuntu o Debian con IPTables

Cómo instalar su propio servidor VNC – Fedora / CentOS

Cómo SSH en su servidor Linux desde Windows

Cómo proteger SSH con Fail2Ban

Cómo configurar un cortafuegos en su servidor Linux