iptables. Стандартный набор правил

Утилита iptables служит для управления правилами фаервола. Она не так проста в обращении как FirewallD, но имеет больше возможностей для гибкой настройки.

Публикую набор базовых команд, который выполняю на всех новых веб серверах (CentOS) для начальной конфигурации iptables:

iptables -P INPUT ACCEPT
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o внешний_интерфейс -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s ваш_ip_адрес/32 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
>> по аналогии с предыдущей строкой открыть нужные tcp/udp порты
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Не забудьте изменить "ваш_ip_адрес" на свой ip! Эта строка разрешает доступ к SSH именно с этого ip. Если введёте неверный ip, то заблокируете себе доступ.

Если не указать "внешний_интерфейс" для доступа к интернету (OUTPUT), то перестанут работать cURL запросы с сайтов и обновления самого сервера. Название внешнего интерфейса можно посмотреть через ifconfig (блок со публичным ip адресом) или route (строка с "default").

Команды в этом списке нельзя менять местами, иначе можете заблокировать сервер (особенно первые две). В списке приведены только команды для базовой настройки. Они не открывают порты, к примеру, для MySQL или почтового клиента. Это только минимальный набор для веб сервера (открыты порты для http и https), от которого можно отталкиваться в дальнейшей настройке.

После чего сохраняем настройки iptables, чтобы после перезагрузки правила не были сброшены:

service iptables save

Перед выполнением этих команд стоит убедиться, что никаких сохранённых настроек нет. А то вдруг там есть ценные настройки. Проверяем что именно сохранилось с помощью вывода содержимого текстового файла настроек:

cat /etc/sysconfig/iptables

Рестартуем сервис и проверяем статус:

systemctl restart iptables
systemctl status iptables

Запрашиваем все правила и статистику по пакетам:

iptables -L -v

Полезные статьи

Рекомендую посмотреть полезные статьи по настройке iptables:

• https://wiki.centos.org/HowTos/Network/IPTables
• https://serveradmin.ru/nastroyka-iptables...
• https://sonikelf.ru/pervichnaya-nastrojka-iptables-.....

Домашним ПК на Linux

Для домашнего ПК можно использовать следующие настройки:

iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o внешний_интерфейс -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT