নতুন লাইভ সেন্টোস ওয়েব সার্ভারের জন্য প্রয়োজনীয় ফায়ারওয়াল কনফিগারেশনগুলি কী কী?

আমি নতুনভাবে লিনোড.কম থেকে সেন্টোস সার্ভার পেয়েছি যা আমি ল্যাম্প স্ট্যাকের সাথে অ্যাপাচি ওয়েব সার্ভার হিসাবে ব্যবহার করছি।

আমি লক্ষ্য করেছি যে ফায়ারওয়াল ডিফল্টরূপে সক্ষম হয়েছে তবে কোনও সক্রিয় নিয়ম আছে বলে মনে হয় না।

এই ক্ষেত্রে আমার কী করা উচিত?

আমি কি তখন সমস্ত ওয়েব ট্রাফিক ব্লক করব বাছাই করে আমার ওয়েব সার্ভারের জন্য কেবল 80 এবং 443 পোর্টের অনুমতি দেব?

সেখানে কোনও "ফায়ারওয়াল টেম্পলেট" বা প্রয়োজনীয় ফায়ারওয়াল নিয়ম গাইড রয়েছে?

আপনার সবগুলি ব্লক করা উচিত এবং কোন পোর্টগুলির আপনার প্রয়োজন তা নির্বাচিতভাবে অনুমতি দিন। ভাগ্যক্রমে, আপনি যদি দুর্ঘটনাক্রমে নিজেকে লক আউট করেন তবে যেকোন ত্রুটিযুক্ত ফায়ারওয়াল বিধি নিষ্ক্রিয় করতে আপনি লিশ কনসোলের মাধ্যমে আপনার লিনোড অ্যাক্সেস করতে পারেন।

আমি নিয়মিত ব্যবহার করি এমন ফায়ারওয়াল কনফিগারেশনগুলির কয়েকটি এখানে:

এসএসএইচ, এইচটিটিপি, এইচটিটিপিএসের অনুমতি দিচ্ছে

iptables -A INPUT -p tcp -m multiport --destination-ports 22,80,443 -j ACCEPT
iptables -A INPUT -s 127.0.0.1/24 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

আপনার যদি এফটিপি অনুমতি দেওয়ার প্রয়োজন হয় তবে 21 বন্দরটি অন্তর্ভুক্ত করুন (প্যাসিভ সংযোগের জন্য আপনার 21000-21100 ব্যবহার করা অতিরিক্ত পোর্ট রেঞ্জের সংজ্ঞা দিতে হতে পারে:

iptables -A INPUT -p tcp -m multiport --destination-ports 21,22,80,443,21000:21100 -j ACCEPT
iptables -A INPUT -s 127.0.0.1/24 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

কোনও কারণে, আমি এটিও পেয়েছি যে আমি সেন্ডমেল, এক্সিম ইত্যাদি ব্যবহার করে মেল পাঠাতে পারছি না যদি না আমি পোর্ট 25 খুলি (আপনার মেল কনফিগারেশনটি কেবলমাত্র স্থানীয় সার্ভার থেকে ইমেল প্রেরণ করার জন্য কেবলমাত্র ইমেল গ্রহণ করার জন্য সেটআপ করা হয়):

iptables -A INPUT -p tcp -m multiport --destination-ports 21,22,25,80,443,21000:21100 -j ACCEPT
iptables -A INPUT -s 127.0.0.1/24 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

নিজেকে লক না করেই শুরু করার জন্য আপনার নিয়মগুলি ফ্লাশ করতে, নিম্নলিখিত কমান্ডগুলির সেটটি ব্যবহার করুন:

iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -F

আপনার বর্তমান ফায়ারওয়াল নিয়ম এবং পরিসংখ্যান দেখতে, আপনি নিম্নলিখিত কমান্ড ব্যবহার করতে পারেন:

iptables -L -nv

এছাড়াও আপনার বিধিগুলি সংরক্ষণ করতে ভুলবেন না এবং নিশ্চিত হয়ে নিন যে আইপিটিবেলগুলি পুনরায় বুট শুরু হবে।

আপনি যদি সমস্ত ট্র্যাফিক অবরুদ্ধ করেন, বাক্সটি হৃদস্পন্দনে মারা যাবে (কমপক্ষে আপনার কাছে)।

আপনি যে পরিষেবাগুলি ব্যবহার করছেন সেগুলির জন্য আপনার কোন বন্দরগুলির প্রয়োজন তা গবেষণা করুন (পাশাপাশি যে পরিষেবাগুলি আপনি নন তবে যা এখনও প্রয়োজনীয় নয় যেমন BIND)

সার্ভারের জন্য সাধারণ প্রয়োজনীয় বন্দরগুলি হ'ল:

22 TCP (SSH, but you should change this)
21 TCP (FTP, but this is insecure. Use SFTP on the SSH port.)
80, 443 TCP (HTTP/S)
53 UDP (DNS)
# use iptables -A INPUT -p (udp|tcp) --dport=$PORT -j ACCEPT

আপনার ফায়ারওয়ালের সাথে আপনার সাধারণ আক্রমণকারী ভেক্টরগুলিকেও ব্লক করা উচিত, যেমন এসওয়াইএন বন্যা ( SYN-SYN-ACKটিসিপির হ্যান্ডশেকটি হ'ল পরের এসওয়াইএন সংমিশ্রণে) অপ্রত্যাশিত সংযোগগুলি ব্লক করুন যা চেষ্টা করে SYN-ACKতবে প্রতিষ্ঠিতদের গ্রহণ করুন।

/sbin/iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

এছাড়াও, পিং (আইসিএমপি) ব্লক করবেন না। আইসিএমপি এর মাধ্যমে আপনাকে মৃত্যুদণ্ড দেওয়া যাবে না; এটি টিসিপি ব্যবহার করা আরও কার্যকর হবে এবং আপনার পোর্ট 80 এবং 443 খোলা রয়েছে।

# Allow ICMP
/sbin/iptables -A INPUT -i eth0 -p icmp -j ACCEPT

আপনার প্রয়োজনীয় সমস্ত পরিষেবা একবার হয়ে গেলে, সমস্ত ট্র্যাফিক অবরোধ করুন। আপনার যদি আপনার বাক্সে সম্পূর্ণ অ্যাক্সেস থাকে এবং আপনি কী জানেন যে এতে কী চলছে তা আপনার লোকালহোস্টে সম্পূর্ণ অ্যাক্সেস থাকার কথাও বিবেচনা করা উচিত।

/sbin/iptables -A INPUT -i lo -j ACCEPT

এবং আপনার যদি আইপিভি 6 থাকে তবে উপরের মত একই কাজটি করতে ভুলবেন না ip6tables। প্রায় প্রত্যেকেই কোনও কারণে এটি ভুলে যায়।