Gestion du firewall iptables
Au risque de passer pour un vieux barbu, je ne me suis jamais fait à firewalld qui est embarqué de base dans les CentOs 7.X, du coup je vous propose de revenir à iptables.
[cyklodev_summary]
Pre requis :
- Un accès root sur le serveur
Installation
On commence par arrêter firewalld
systemctl stop firewalld
systemctl disable firewalldPuis on installe les services iptables
yum install iptables-servicesEnsuite on démarre et on active iptables
systemctl start iptables
systemctl enable iptablesUtilisation
Listing des règles
J’utilise ici l’option line-numbers qui va permettre plus tard de supprimer une règle en donnant simplement son numéro.
iptables -n -L --line-numbersChain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
6 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Ajout d’une règle
On rajoute en position 3 des INPUT une autorisation pour le pour 80 du http.
iptables -I INPUT 3 -p tcp -m tcp --dport 80 -j ACCEPTSuppression d’une règle
On supprime la ligne 6 de la chaine des INPUT.
iptables -D INPUT 6Bloquer le ping
On bloque le ping en entrée et en sortie.
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
iptables -I INPUT -p icmp --icmp-type 8 -j DROPBloquer le DDOS
Plus intéressant, on va pouvoir mettre des seuils de nombre de connexion sur un port. Dans le cas ci dessous, on autorise 20 connexion à la minutes et on stocke 100 connexions. Toutes celles qui arriveront après (mais dans la même minute) ne seront pas acceptées et arriveront à la fin de la chaine (donc en REJECT).
iptables -A INPUT -p tcp --dport 80 -m limit --limit 20/minute --limit-burst 100 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m limit --limit 20/minute --limit-burst 100 -j ACCEPTPensez donc à adapter ces paramètres en fonction de votre traffic.
Bloquer le scan de port
Pour bloquer les scan de ports d’outils comme nmap, on va créer une nouvelle chaine (block-scan) et lui définir une limite de un hit par seconde. Tout ce qui suit sera DROP.
iptables -N block-scan
iptables -A block-scan -p tcp —tcp-flags SYN,ACK,FIN,RST RST -m limit —limit 1/s -j RETURN
iptables -A block-scan -j DROPPermanence des règles
Sauvegarde
La sauvegarde peut se faire n’importe où, mais le fichier qui est lu au demarrage de CentOS est celui ci. Donc autant l’utilisé.
iptables-save > /etc/sysconfig/iptablesJ’en profite pour faire une petite mise en garde si vous utilisez docker, car la communication des conteneurs passe aussi par iptables.
Nettoyage des règles
Si vous voulez repartir de zéro, rien de plus simple.
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPTRestauration
Vous pouvez également restaurer votre configuration de démarrage.
iptables-restore < /etc/sysconfig/iptables
