Материал подготовлен командой Simple-Server для администраторов VPS и выделенных серверов. Команды и пути проверяйте на тестовой машине перед production.

Кратко о задаче

Iptables в Centos — это инструмент для фильтрации сетевого трафика на уровне ядра Linux. Он состоит из iptables и netfilter.

Прежде чем рассмотреть iptables и netfilter более подробно, мы затронем работу сетевых пакетов в Linux. Когда пакет проходит через сетевую карту, он подвергается нескольким этапам обработки:

1. Прием (ingress). На данном этапе пакет попадает в систему через сетевую карту.
2. Маршрутизация (routing). Далее система определяет, куда будет направлен пакет.
3. Проверка фильтрации (filtering). И наконец, пакет проходит через правила фильтрации, которые определяет iptables.

Netfilter представляет собой модуль в ядре Linux, предназначенный для обработки сетевых пакетов. Он имеет несколько таблиц, каждая из которых содержит цепочки правил. Основные таблицы Netfilter представлены ниже:

• filter — используется для фильтрации пакетов на основе IP-адресов и портов;
• nat — используется для преобразования сетевых адресов и портов (Network Address Translation — NAT);
• mangle — позволяет изменять заголовки и опции пакетов;
• raw — предназначена для настройки правил, работающих на уровне ядра.

Также, ниже опишем 3 основные цепочки правил:

• INPUT — обрабатывает входящие пакеты, которые достигли системы.
• FORWARD — применяется к пакетам, которые должны быть перенаправлены между различными интерфейсами системы.
• OUTPUT — обрабатывает исходящие пакеты из системы.

Iptables, в свою очередь, является интерфейсом командной строки для работы с Netfilter. Он предоставляет пользователям возможность настраивать правила фильтрации пакетов в таблицах Netfilter.

Установка iptables будет выполнена на дистрибутив Linux CentOS 7.

Перед началом установки нужно отключить firewalld, который может быть автоматически запущен в вашей ОС. Совместное использование его с iptables может вызвать конфликты.

Все команды в данной инструкции будут выполняться от пользователя root. Для отключения и удаления из автозагрузок, воспользуемся следующими командами:

Также для firewalld выполним маскировку, чтобы служба была точно отключена и не использовалась никакими другими сервисами:

Теперь проверим, что все было выполнено успешно:

Как видно по картинке ниже, firewalld успешно отключен.

Шаг 2. Установка iptables

В первую очередь следует проверить, не установлена ли уже iptables в системе:

Если iptables нет в системе, значит переходим к ее установке:

На все вопросы системы во время установки отвечаем утвердительно.

Как только завершится установка брандмауэра, запустим его версии для IPv4 и для IPv6, а также добавим их в автозагрузку:

Теперь необходимо проверить статус работы запущенных служб:

Результат выполнения команд представлен на рисунке ниже.

Шаг 4. Просмотр, создание и применение правил

Чтобы настроить iptables на CentOS, необходимо в первую очередь ознакомиться с основными командами для работы с ним:

• iptables -L или iptables --list — отображает текущие правила фильтрации;
• iptables -S — отображает статус всех цепочек;
• iptables -A — добавляет правило в цепочку;
• iptables -D — удаляет правило из цепочки;
• iptables -P — устанавливает политику по умолчанию для цепочки;
• iptables -F [название_цепочки] — очищает все правила цепочек или одной, указанной в параметрах;
• iptables -I — вставляет правило в определенную позицию в цепочке.

Как показывает практика, работать с iptables лучше всего посредством использования специально скрипта, в котором заранее были помещены все необходимые пользователю правила фильтрации трафика. Данный метод работы позволяет пользователю модифицировать скрипт при необходимости, добавляя или удаляя правила. Также использование скрипта экономит время пользователя, которое он мог потратить на ручной ввод каждого правила по отдельности.

Чтобы посмотреть все правила iptables в CentOS, используем указанную выше команду:

Сейчас правила iptables в Centos выглядят следующим образом:

Здесь продемонстрированы правила для трех цепочек, о которых мы рассказывали чуть раньше. В скобках после их названия указывается политика по умолчанию, которая определяет, что происходит с пакетами, если они не соответствуют ни одному из правил в цепочке. Она может принимать три значения:

• ACCEPT — означает, что пакеты, не соответствующие ни одному из правил в цепочке, будут разрешены и пропущены дальше для обработки.
• DROP — означает, что пакеты, не соответствующие ни одному из правил в цепочке, будут просто отброшены (удалены) без какого-либо уведомления отправителю. Такие пакеты будут игнорироваться и не будут доставлены на конечный узел.
• REJECT — означает, что пакеты, не соответствующие ни одному из правил в цепочке, будут также отброшены, но отправителю будет отправлено сообщение о том, что его пакет был отклонен. Это может помочь в идентификации проблем и обратной связи с отправителем.

Чтобы изменить политику по умолчанию, необходимо использовать следующую команду:

Ниже разберем основные столбцы правил:

• target — целевое действие, которое будет применено к пакету, если он соответствует данному правилу (ACCEPT, DROP или REJECT);
• prot — протокол, которому должен соответствовать пакет, чтобы правило было применено;
• opt — дополнительные опции, связанные с протоколом;
• source — источник пакета;
• destination — назначение пакета.

Теперь перейдем к настройке возможных правил для своего сервера. Помните, что порядок правил имеет значение. Они применяются сверху вниз, поэтому убедитесь, что вы установили правила в нужной последовательности.

Чтобы удалить все правила iptables в CentOS, используйте команду, описанную выше:

Рассматриваемое правило поможет пользователю в контроле трафика через разные интерфейсы. Например, мы можем разрешить трафик через локальный интерфейс:

Здесь мы добавляем правило для цепочки INPUT (-A INPUT), указывая входящий интерфейс (-i lo) и определяя целевое действие (-j ACCEPT).

Правила для портов, протоколов и IP-адресов

Пользователь может разрешить или запретить передачу трафика для разных протоколов по указанным портам. Ниже рассмотрим пример для фильтрации входящего трафика по протоколам HTTP, HTTPS и SSH:

Для каждого из протоколов был определен соответствующий порт.

Кроме того, вы можете добавить IP-адрес пользователя, который, например, должен подключаться к серверу по SSH. Для этого добавьте ключ -s и укажите после него IP-адрес пользователя:

Также пользователь может ограничить трафик для конкретного нежелательного IP-адреса. Например ограничим входящий трафик с подозрительного ресурса:

Пользователь может ограничить доступ к серверу по MAC-адресу. Для этого он должен выполнить следующую команду:

Правила для ограничения времени доступа

Пользователь может настроить время доступа к определенному сервису или порту. Для этих целей в iptables существует модуль time. В качестве примера, ограничим время доступа пользователей к серверу по протоколу SSH:

Данное правило разрешает входящий трафик на порту 22 (SSH) только в промежуток времени с 9:00 до 17:00. В остальное время доступ будет заблокирован.

Список возможных правил приведен для демонстрации возможностей iptables. У вас он будет отличаться в зависимости от потребностей. У нас он получился таким:

После внесения всех правил их нужно сохранить, чтобы обеспечить автоматическое восстановление после перезагрузки сервера. Сделать это можно следующим способом:

Теперь правила сохранены в каталоге /etc/sysconfig/iptables. При следующей загрузке системы эти правила будут автоматически восстановлены.

Чтобы вручную восстановить правила из файла, необходимо воспользоваться следующей командой:

Нужен сервер для практики? Арендуйте VPS/VDS в России — root-доступ, NVMe, DDoS-защита и поддержка 24/7.