Как настроить iptables для web сервара на ubuntu 14.04?

Question

[Сергей]

Добрый день коллеги, имеется сервер на ubuntu 14.04, нужно настроить iptables для web сервера стоит apache2+nginx.
Iptables только начал изучать и потому в нем особо не разбираюсь, буду рад любой помощи!

Answer 1

[Игорь]

Разрешить подключение по ssh и http\https в цепочку INPUT. Там же разрешить локальную петлю.
Дефолтные политики для цепчки INPUT и FORWARD выставить в DROP.
Самое главное когда будете играться с iptables держите под рукой kvm\ipmi на всякий случай.
Должно получиться что-то такое:

#!/bin/bash
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 443 -j ACCEPT

Последние три правила можно конечно объединить в одно через -m multiport.
Остальное можно добавлять по мере надобности.
Ну и ssh хорошо бы закрыть либо на ip-адрес офиса, либо настроить какой-либо fail2ban.

Comments

[Сергей]

благодарю, сейчас опробую, а как сохранить правила, что бы после перезапуска сервера они не пропали?

[Игорь]

Можно данный скрипт, прописать в /etc/rc.local. Будет что-то вроде автозагрузки. Данный файл выполняется при старте системы.

Можно сделать более нативно для iptables, сохранив/загрузив правила через iptables-save/iptables-restore. А поднятие прописать в момент поднятия сети. Вот так:

iptables-save > /etc/iptables.saved
echo 'iptables-restore < /etc/iptables.saved' > /etc/network/if-up.d/iptables
chmod u+x /etc/network/if-up.d/iptables

Есстесственно iptables-save надо делать, когда уже все нужные правила применены на сервере, чтобы сохранить это состояние в файл.

[Сергей]

Игорь: огромное спасибо

[Сергей]

вот такая проблема после использования скрипта
iptables: No chain/target/match by that name.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.

[Игорь]

Сорри, в правилах два раза -p tcp написал. Подкорректировал скрипт в исходном сообщении. Попробуйте теперь.

[Сергей]

Игорь: стоит ли использовать данные правила?:
Защита от SYN-flood:

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
# iptables -A INPUT -p tcp --syn -j DROP

Защита от сканеров портов:

# iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP

Защита от Ping of death:

# iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

[Сергей]

Игорь: sality@regis-web:~$
и вот еще часто сталкиваюсь с такой проблемой, в Debian 7 не каких проблем не было, а на Ubuntu 14.04 вот такие вот дела,эх нужно учить iptables, и не быть нубом =(
sudo sh ./iptables.sh
iptables: No chain/target/match by that name.

[Игорь]

Защита от сканера портов не особо нужна, если у Вас и так все лишние порты закрыты.
Syn-flood и ICMP-flood это уже относится к DDOS. Данные две атаки примитивны и используются обычно чтобы забить канал, поэтому фильтровать их надо не на конечном сервере.
Мое личное мнение, что пользы от этих лимитов не много, а вот упереться в --syn -m limit --limit 1/s можно на web-сервере легко. Поэтому если решите их использовать внимательно смотрите логи, что у Вас не дропается ничего лишнего.

[Игорь]

Покажите вывод команды cat iptables.sh

[Сергей]

Игорь: sality@regis-web:~$ cat iptables.sh
#!/bin/bash
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p tcp -i venet0 --dport 2422 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 443 -j ACCEPT

[Игорь]

а покажите еще вывод команды
ip a
у вас точно есть интерфейс venet0?
Если есть то переместите 4 правило в конец скрипта в таком виде:

iptables -A INPUT -i venet0 --p tcp -m conntrack --ctstate NEW --dport 2422 -j ACCEPT

Если интерфейса нет, то уберите его из правила и также переместите в конец:

iptables -A INPUT --p tcp -m conntrack --ctstate NEW --dport 2422 -j ACCEPT

[Сергей]

Игорь: с такой проблемой только на ubuntu столкнулся, вот вывод:
sality@regis-web:~$ ip a
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: venet0: mtu 1500 qdisc noqueue state UNKNOWN
link/void
inet 127.0.0.2/32 scope host venet0
inet 62.109.13.57/32 brd 62.109.13.57 scope global venet0:0

[Сергей]

Игорь: sality@regis-web:~$ sudo sh ./iptables.sh
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables v1.4.21: unknown option "--p"
Try `iptables -h' or 'iptables --help' for more information.
после того как переместил его в конец

[Сергей]

Игорь: Столкнулся со следующей проблемой, после активации iptables и сохранение его правил, нужно было установить пару пакетов через apt-get
но он выдает:
root@regis-web:/home/sality# apt-get install iotop
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
iotop
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 23.8 kB of archives.
After this operation, 127 kB of additional disk space will be used.
0% [Connecting to archive.ubuntu.com]^

вот листинг конфига iptables:
root@regis-web:/home/sality# cat /etc/iptables.saved
# Generated by iptables-save v1.4.21 on Sat Feb 21 06:47:53 2015
*mangle
:PREROUTING ACCEPT [721:58991]
:INPUT ACCEPT [721:58991]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [494:56398]
:POSTROUTING ACCEPT [494:56398]
COMMIT
# Completed on Sat Feb 21 06:47:53 2015
# Generated by iptables-save v1.4.21 on Sat Feb 21 06:47:53 2015
*filter
:INPUT DROP [11:636]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [5:1896]
-A INPUT -i venet0 -p tcp -m tcp --dport 2422 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 993 -j ACCEPT
COMMIT
# Completed on Sat Feb 21 06:47:53 2015

[Игорь]

На счет
iptables v1.4.21: unknown option "--p"
уберите лишнее тире от опции -p. Это я когда копировал, задублировал его.
По проблеме с apt.
Вы не прописали правило для установившихся соединений:
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
И в остальные правила добавьте, что они только про вновь устанавлевыемые:
-m conntrack --ctstate NEW

[Сергей]

Игорь: sality@regis-web:~$ sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.

[Сергей]

Игорь: так же сделал как вы советовали: iptables-save > /etc/iptables.saved
echo 'iptables-restore < /etc/iptables.saved' > /etc/network/if-up.d/iptables
chmod u+x /etc/network/if-up.d/iptables
но он по прежнему отказывается восстанавливать правила, я прописывал в /etc/network/interfaces и все равно он их не поднимает, хотя в Debian все отлично

[Игорь]

А у Вас случаем не контейнер?
Покажите вывод команды:
lsmod | egrep 'table|conn'

[Сергей]

Игорь: root@regis-web:~# lsmod | egrep 'table|conn'
root@regis-web:~#

[Игорь]

Очень похоже на какую-то контейнерную виртуализацию. Это виртуальный сервер?
Если да, видимо надо написать хостеру чтобы включил необходимые модули ядра для iptables.