Tato příručka je určena lidem, kteří jsou zkušenými linuxovými administrátory serveru. Správa firewallu může být velmi nebezpečná. Může se například stát, že si uzavřete přístup na ssh port a budete nuceni se k serveru připojit v nouzovém režimu a opravovat chyby. V horším případě by sse mohlo stát, že si nastavíte skript, který se bude spouštět automaticky po startu serveru a zablokuje vždy všechny potřebné porty pro komunikaci se serverem. V takovém případě by jste se na server už nemuseli dostat vůbec. Jestliže se necítíte v této záležitosti příliš zdatní, raději firewall nenastavujte!

Je to software, který blokuje některé porty na vašem serveru a jiné zase může otevřít pro komunikaci. Pro příklad si představte že máte barák, v něm máte přední a zadní vchod, ale ten zadní nikdy nepoužíváte. Kvůli omezení bezpečnostních rizik ho tedy zablokujete. Stejné je to u firewallu na počítači, ve zkratce zablokujete porty, které nepotřebujete.

Ze všeho nejdříve buďte velice opatrní, protože riskujete uzavření špatného portu. Představte si, že uzavřete SSH port a budete muset server restartovat pomocí telnet, nebo webmin.

Běžně otevřené porty na serverech OVH:

Tyto porty jsou obecně otevřené, ale můžete mít na serveru programy, které otevírají jiné. Je jen na vás, které porty necháte otevřené a které uzavřete. Jakmile se rozhodnete, jste připraveni pokračovat.

Iptables je mocný firewall instalovaný na všechny servery OVH. Postup práce je následující: Otevřeme některé porty a ostatní uzavřeme. Pro příklad necháme otevřené pouze porty 22 (SSH) a 80 (HTTP). Toto je pouze příklad, vaše nastavení budete muset provés podle vašich potřeb.

Hotovo, iptables je aktualizované a můžeme pokračovat.

Zde je výčet pravidel práce:

Můžeme zde vidět 3 řetězce: Input, Forward a Output. Nejdříve budeme pracovat na řetězci Input (příchozí přenos dat). Autorizujeme porty 22 a 88:

-A INPUT : Nastavíme naše pravidla pro příchozí data.
-i eth0 : Zde se zaměřujeme pouze na prostředí ethernetu.
-p tcp : Zaměřujeme se na protokol TCP.
--dport 22 : Pravidlo bude uplatňováno pro SSH port (22).
-j ACCEPT : Povolujeme tento přenos dat.

Zobrazíme všechny pravidla:

Sekce INPUT se plní pomalu, to je dobré znamení ;)

Vidíme, že základní politikou je přijímat vše => Chain INPUT(policy ACCEPT). Chceme ale zablokovat všechen přenos dat, který jsme dříve neautorizovali. Proto přidáme pravidlo, které zablokuje ostatní porty. Ale narazíme na problém:

Jakmile bude navázáno spojení našeho serveru s kernel.org serverem, například pro stažení nového kernelu, naváže se s webem spojení a bude se čekat na odpověď. Odpověď opustí kernel.org správně, ale jak dojde na server, když vše blokujeme?

Naštěstí ne iptables velmi mocný příkaz a umí roztřídit pakety, podle jejich stavu. Přidáme pravidlo:

Nyní můžeme ostatní zablokovat (Pozor, zde bude firewall plně funkční, zkontrolujte, zda máte opravdu správné nastavení, jinak si můžete nechtěně zablokovat celý server!):

Pro toto pravidlo máme 2 možnosti. První je zahodit pakety, které přišli a nebyli povoleny firewallem. Klient ale v tomto případě bude čekat na odpověď dokud nevyprší čas. Druhé řešení je vrátit paket. Jestliže přijde nevyžádaný paket, vrátíme zpět klientovy chybovou hlášku a nebude tedy čekat tak dlouhou dobu, nežli vyprší čas.

Odpovědět na paket je čistější, ale zahodit ho je bezpečnější. Představte si například někoho, kdo vám posílá pakety stále dokola na špatný port, váš server ho nebude moci zpracovat a s pravidlem na odpověď se bude zbytečně zatěžovat server.

Rozhodnutí jak se špatnými pakety zacházet je čistě na vás ;)

Pro resetování vašeho firewallu napište:

Tento příkaz vymaže všechna pravidla pro část Input. Jestliže chcete přidat pravidlo mezi první a druhé, napište toto:

Pro smazání pravidla číslo 3, napište toto:

Pro absolutní blokaci IP adresy:

Nyní je firewall spuštěný. Zkuste skenovat váš server, uvidíte otevřené pouze porty 22 a 80. Jestliže je sken velice pomalý, je to kvůli pravidlu DROP.

Jestliže chcete zablokovat ICMP protokol (dotaz ping), musíte ponechat alespoň ping.ovh.net, proxy.p19.ovh.net, proxy.rbx.ovh.net a proxy.ovh.net na monitorování ping vašeho serveru. Umožní to OVH týmu zasáhnout v případě poruchy či nedostupnosti serveru.

Kromě toho musíte povolit IP adresy jako v následujícím příkladu:

IP adresa vašeho serveru je aaa.bbb.ccc.ddd Musíte nechat projít: aaa.bbb.ccc.250 Příklad: 213.186.57.153 musí nechat projít 213.186.57.250

Jestliže jste vlastníkem serveru HG, nechte projít IP adresu aaa.bbb.ccc.249 (dočasné pravidlo).

Jestliže zablokujete všechny dotazy ping a také dotazy od OVH, nebudeme schopni zkontrolovat stav vašeho serveru, což může způsobit problém. Pro povolení pingu z monitorovacích serverů OVH napište následující příkazy:

Co se týče SSH, jestliže chcete mít přístup pouze z vaší osobní IP adresy, doporučujeme ještě povolit cache.ovh.net, protože kdyby došlo k problémům na serveru, budeme schopni na serveru zasáhnout. Jestliže pro naše techniky uzavřete port 22, nebudeme moci zasáhnout, když bude server zablokován.

Pro povolení SSH z našeho serveru napište následující pravidlo:

Jestliže máte RAID filter, nezapomeňte povolit NFS připojení. My mužeme povolit cokoli, co přichází z naší interní sítě 192.168.0.0/16:

Jestliže máte nastavení clusteru, musíte povolit port 79, aby mohlo OOC komunikovat s distributorem zátěže.

Zde je kompletní příklad skriptu, který chrání server pomocí iptables. Nastavení není příliš přísné, protože všechny služby, které jsou na serveru jsou dostupné, ale může být použit pro vaše vlastní nastavení:

V těchto pravidlech musíte nahradit xx.xx.xx.xx, IP adresou vašeho serveru, která je použitelná při připojení k serveru přes FTP a SSH.

Jakmile je váš server perfektně nastaven, budete muset vytvořit skript, který při každém rebootu spustí toto nastavení. Zde je příklad, kde se spouští soubor Firewall, který je v adresáři /etc/init.d/:

Skriptu dejte práva 700 a napište "/etc/init.d/firewall start" pro jeho nastartování a "/etc/init.d/firewall stop" pro jeho zastavení. Pro jeho automatické spuštění po restartu počítače zadejte:

Před spuštěním skriptu ho pořádně prověřte, protože se může stát, že se již nedostanete do svého počítače kvůli jeho zablokování!