การตั้งค่าไฟร์วอลล์ Linux ด้วย iptables

หากคุณต้องการไฟร์วอลล์ที่ดีสำหรับเซิร์ฟเวอร์ Linux หรือเดสก์ท็อปของคุณ iptables เป็นตัวเลือกที่ยอดเยี่ยม มีความยืดหยุ่นสูงและรวดเร็ว ในคู่มือนี้ เราจะแสดงวิธีตั้งค่าไฟร์วอลล์ iptables บน Linux

การติดตั้ง iptables บน Linux

ในการตั้งค่าไฟร์วอลล์ด้วย iptables บนระบบ Linuxคุณต้องติดตั้งก่อน เปิดหน้าต่างเทอร์มินัลแล้วทำตามคำแนะนำในการติดตั้งด้านล่างสำหรับระบบปฏิบัติการ Linux ของคุณ Iptables สามารถติดตั้งได้ทั้งบนเดสก์ท็อปและเซิร์ฟเวอร์ Linux และหากคุณต้องการดาวน์โหลด iptables บน Linux ทั่วไปคุณสามารถเยี่ยมชมเว็บไซต์อย่างเป็นทางการ เมื่อการติดตั้งเสร็จสมบูรณ์ คุณสามารถดำเนินการตั้งค่าไฟร์วอลล์ของคุณด้วย iptables

คำแนะนำของอูบุนตู

sudo apt ติดตั้ง iptables

คำแนะนำเดเบียน

sudo apt-get ติดตั้ง iptables

คำแนะนำ Arch Linux

sudo pacman -S iptables

คำแนะนำของ Fedora

sudo dnf ติดตั้ง iptables

คำแนะนำ OpenSUSE

sudo sudo zypper ใน iptables

การกระจาย EPEL (Rhel, CentOS, Rocky, Alma เป็นต้น)

sudo yum ติดตั้ง iptables

วิธีสร้างชุดกฎ iptables

คุณต้องสร้างชุดกฎ iptables ใหม่ก่อนที่จะพยายามใช้เป็นไฟร์วอลล์ เปิดหน้าต่างเทอร์มินัล และตรวจสอบให้แน่ใจว่าคุณสามารถป้อนคำสั่งsudo ได้ หากผู้ใช้ของคุณทำไม่ ได้ให้ลงชื่อเข้าใช้บัญชีรูทด้วยsu

จากตรงนี้ ให้ใช้คำสั่งiptables -F คำสั่งนี้จะลบและล้างกฎก่อนหน้านี้ทั้งหมดสำหรับ iptables ในระบบของคุณ

sudo iptables -F

หลังจากรันคำสั่งด้านบน คุณสามารถรัน คำสั่ง iptables -Lเพื่อตรวจสอบและยืนยันว่ากฎถูกลบ

sudo iptables -L

เมื่อคุณยืนยันว่ากฎ iptables ถูกล้างแล้ว ให้ใช้ คำสั่ง iptables -Pด้านล่างเพื่อบล็อกทราฟฟิกขาเข้าตามค่าเริ่มต้น

คำเตือน: หากคุณกำลังแก้ไข iptables ผ่าน SSH ให้ยกเลิกการเชื่อมต่อและแก้ไขที่เครื่องจริง การเรียกใช้คำสั่งด้านล่างจะตัดการเชื่อมต่อจาก SSH โดยอัตโนมัติจนกว่าคุณจะอนุญาตผ่านไฟร์วอลล์

sudo iptables -P อินพุตลดลง

ถัดไป คุณต้องอนุญาตทราฟฟิกขาออกจากระบบของคุณผ่าน iptables คุณสามารถอนุญาตการรับส่งข้อมูลขาออกผ่านไฟร์วอลล์ iptables โดยป้อนคำสั่งiptables -P ต่อไปนี้

sudo iptables -P เอาต์พุตที่ยอมรับ

เมื่อคุณปิดการใช้งานทราฟฟิกขาเข้าและเปิดใช้งานทราฟฟิกขาออก คุณจะดำเนินการต่อเพื่ออนุญาตบริการเฉพาะ

วิธีอนุญาตพอร์ตผ่านไฟร์วอลล์ iptables

ตามค่าเริ่มต้น การเรียกใช้ iptables -P INPUT DROP จะปิดใช้งานการรับส่งข้อมูลขาเข้าจากแหล่งที่มาทั้งหมด (SSH, HTTP ฯลฯ) หากต้องการเปิดใช้บริการเหล่านี้ คุณจะต้องเพิ่มกฎ iptables ของคุณ

เพื่อให้ง่ายขึ้น นี่คือรายการของพอร์ตทั่วไปที่คุณอาจต้องการเปิดใช้ในไฟร์วอลล์ iptables ของคุณ คัดลอกคำสั่งที่เกี่ยวข้องกับพอร์ตที่คุณต้องการเปิดใช้งานผ่านไฟร์วอลล์ iptables ของคุณ

• HTTP (พอร์ต 80):sudo iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
• HTTPS (พอร์ต 443):sudo iptables -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
• SSH (พอร์ต 22):sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
• FTP (พอร์ต 21):sudo iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
• SMTP (พอร์ต 25):sudo iptables -A INPUT -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
• DNS (พอร์ต 53): sudo iptables -A INPUT -p udp --dport 53 -j ACCEPTสำหรับ UDP หรือsudo iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPTTCP
• DNS ผ่าน TLS (DoT) (พอร์ต 853):sudo iptables -A INPUT -p tcp --dport 853 -m state --state NEW,ESTABLISHED -j ACCEPT
• DNS บน HTTPS (DoH) (พอร์ต 443):sudo iptables -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
• โปรโตคอลเดสก์ท็อประยะไกล (RDP) (พอร์ต 3389):sudo iptables -A INPUT -p tcp --dport 3389 -m state --state NEW,ESTABLISHED -j ACCEPT
• คอมพิวเตอร์เครือข่ายเสมือน (VNC) (พอร์ต 5900):sudo iptables -A INPUT -p tcp --dport 5900 -m state --state NEW,ESTABLISHED -j ACCEPT
• Secure Shell (SSH) พร้อมการส่งต่อ X11 (พอร์ต 6010):sudo iptables -A INPUT -p tcp --dport 6010 -m state --state NEW,ESTABLISHED -j ACCEPT
• ฐานข้อมูล MySQL (พอร์ต 3306):sudo iptables -A INPUT -p tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
• ฐานข้อมูล PostgreSQL (พอร์ต 5432):sudo iptables -A INPUT -p tcp --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT

เมื่อคุณอนุญาตพอร์ตทั้งหมดที่คุณต้องการอนุญาตแล้ว คุณสามารถตรวจสอบกฎของคุณด้วยiptables -L

sudo iptables -L

สุดท้าย บันทึกกฎ iptables ของคุณเป็นไฟล์เพื่อวัตถุประสงค์ในการสำรองข้อมูล คุณสามารถทำได้โดยใช้คำสั่งiptables-save

sudo iptables-save > /path/tosave/where/you/wish/to/save/rules/iptable-rules-backup

วิธีคืนค่าข้อมูลสำรอง iptables

หากคุณต้องการปรับใช้ไฟร์วอลล์ iptables อีกครั้งบนเครื่องอื่น นี่คือสิ่งที่ต้องทำ ขั้นแรก ให้ใช้ คำสั่ง iptables -Fเพื่อล้างกฎที่มีอยู่

sudo iptables -F

ถัดไป คัดลอกไฟล์สำรองของคุณไปยังระบบ เมื่อคัดลอกเสร็จแล้ว ให้คืนค่าข้อมูลสำรอง

sudo iptables-restore <>