CentOS - Firewall rules iptables

We willen alles blokkeren op de CentOS server behalve een aantal ip adressen die verbinding mogen maken.

Hieronder kunt u zien hoe u iptables kunt dichtzetten van buitenaf.

Maak iptables leeg.

iptables -Fiptables -X

Inkomende verbindingen toestaan via ssh.

iptables -A INPUT -p tcp -s 10.0.0.0/24 --dport ssh -j ACCEPTiptables -A INPUT -p tcp -s hierhetipadres --dport ssh -j ACCEPT

Blokkeer alle overige ssh verkeer.

iptables -A INPUT -p tcp --dport ssh -j REJECT

Blokkeer alle binnenkomende overige verkeer.

iptables -A INPUT -j DROP//voeg onderstaande regel toe op de 3e plaats bij INPUTiptables -I INPUT 3 -p tcp -s hierhetipadress --dport ssh -j ACCEPT

Dns openzetten.

iptables -I INPUT 1 -p icmp -j ACCEPTiptables -I INPUT 2 -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPTiptables -I INPUT 3 -p tcp -m tcp --dport 1024:65535 --sport 53 -j ACCEPT

Indien de router dns doet kun je ook alleen deze toegang geven voor dns.

iptables -I INPUT 1 -p icmp -j ACCEPTiptables -I INPUT 2 -p udp -s 10.0.0.1 -m udp --dport 1024:65535 --sport 53 -j ACCEPT
iptables -I INPUT 3 -p tcp -s 10.0.0.1  -m tcp --dport 1024:65535 --sport 53 -j ACCEPT

Verwijder de 4e regel van INPUT.

iptables -D INPUT 4

Sla iptables op.

service iptables save

herstart iptables.

service iptables restart

Bekijk de actieve regels/status.

service iptables status 

Om het nog veiliger te maken kan er ook nog een bestemming aangegeven worden voor de inkomende regels (commando -d hierhetipadres).

LET hierbij op dat de regels met ACCEPT boven REJECT/DROP komen te staan.