Varoitus

Tämä ohje on pelkästään henkilöille, joilla on kokemusta dedikoidun palvelimen hallinnoinnista Linux-ympäristössä. Palomuurin konfiguroiminen voi olla erittäin vaarallista. Voit pahimmassa tapauksessa estää pääsysi palvelimelle niin, että ainoana mahdollisuutenasi on asentaa palvelin kokonaan uudestaan.

Mikä palomuuri on?

Se on sovellus, jonka avulla voit sulkea ja avata portteja palvelimellasi. Kuvittele palvelimesi olevan talo. Siinä on etu- ja takaovi. Et käytä takaovea koskaan, joten se kannattaa muurata umpeen. Miksi? Koska muussa tapauksessa murtovaras saattaa tulla sen kautta sisään. Tämä on kärjistetty esimerkki, mutta palomuuri toimii periaatteessa samalla tavalla. Jos et käytä tiettyä porttia, kannattaa se sulkea.

Mitkä portit ovat yleisesti käytössä?

Varoitus: Sinun täytyy olla erityisen tarkkana porttien sulkemisen kanssa. Jos suljet väärän portin, saatat estää käyttäjien pääsyn palveluusi, tai jopa oman pääsysi palvelimelle!

OVH:n palvelimissa ainoa vakiona avoinna oleva portti on 22. Riippuuen palvelimellasi olevasta käyttöjärjestelmästä, avoimia portteja saattaa olla muitakin. Tässä lista yleisimmistä porteista:



Nämä ovat vain yleisimpiä portteja, joista suuri osa ei ole avoinna palvelimellasi sen asennuksen jälkeen. Riippuen sovelluksista joita palvelimellasi ajat, sinulla saattaa olla muita kuin yllämainittuja portteja auki. On sinun vastuullasi tietää tarvitsemasi avoimet portit.


Iptables on Linux-kernelin sisäänrakennetun palomuurin käyttöliittymä. Se on asennettuna jokaiseen OVH:n palvelimeen, jonka käyttöjärjestelmä on Linux. Seuraavassa esimerkissä suljemme muut portit paitsi 22 (SSH) ja 80 (HTTP).

Ensiksi tarkastamme kaikki ketjut:



Näemme 3 ketjua: Input, Forward ja Output. Nyt lisäämme Input-ketjuun (sisääntulevalle liikenteelle) säännöt hyväksyä portit 22 ja 80:



-A INPUT: Luomme säännön vain Input-ketjuun
-i eth0: Luomme säännön ethernet-käyttöliittymälle
-p tcp: Sääntö koskee vain TCP-protokollaa
--dport 22: Sääntö luodaan portille 22
-j ACCEPT: Hyväksymme liikenteen

Tarkastamme kaikki ketjut:



Luomamme säännöt ovat tulleet voimaan. Näemme myös, että oletuskäytäntö on hyväksyä kaikki liikenne: Chain INPUT (policy ACCEPT). Haluamme estää kaiken liikenteen mitä emme hyväksyneet edellisessä vaiheessa. Meidän tulee lisätä sääntö, joka sulkee muut portit. Mutta meillä on ongelma:

Kun otamme palvelimelta yhteyden esimerkiksi kernel.org-osoitteeseen ladataksemme uuden kernelin, toimii ulospäin lähtevä yhteys normaalisti. Pyyntö saavuttaa kernel.org:n, mutta miten vastaus pääsee takaisin palvelimelle, kun olemme estäneet kaiken?

Onneksemme Iptables on voimakas työkalu ja tunnistaa erilaiset paketit. Lisäämme seuraavan säännön:



Ennen seuraavan komennon suorittamista suosittelemme sinua tarkastamaan, että olet konfiguroinut palomuuri täysin oikein, ettet estä omaa pääsyäsi palvelimellesi. Nyt voimme estää muun liikenteen:



Tälle säännölle meillä on kaksi vaihtoehtoa. Ensimmäinen vaihtoehto on pudottaa (DROP) paketit: Paketti saapuu, ja jos sitä ei hyväksytä, palvelin poistaa sen. Paketin lähettäjä odottaa vastausta kunnes saa aikakatkaisun (timeout). Toinen vaihtoehto on hylätä (REJECT) paketti: Paketti saapuu, ja jos sitä ei hyväksytä, lähetämme paketin lähettäjälle negatiivisen vastauksen.

Pakettien hylkääminen on siistimpi tapa, mutta pudottaminen on turvallisempi. Jos joku lähettää sinulle paketteja jatkuvasti väärään porttiin ja sinulla on sääntönä REJECT, joutuu palvelin vastaamaan jokaiseen pakettiin negatiivisesta, mikä taas syö resursseja.

On sinun valintasi kumpaa käytät.

Resetoidaksesi palomuurisi, suorita komento:



Se poistaa kaikki säännöt tulevalle liikenteelle (INPUT).

Jos haluat lisätä säännön ensimmäisen ja toisen säännön väliin, voit tehdä sen komennolla:



Poistaaksesi säännön numero 3, kirjoita komento:



Estääksesi tietyn IP-osoitteen täydellisesti:



Yritä skannata palvelintasi ja sinun pitäisi nähdä vain portit 22 ja 80 avoinna. Jos skannaus on hidasta, johtuu se DROP-säännöstä.


Jos haluat estää ICMP-protokollan (Ping-pyynnöt), tulee sinun sallia ainakin ping.ovh.net, proxy.p19.ovh.net, proxy.rbx.ovh.net, proxy.ovh.net ja proxy.rbx2.ovh.net. OVH tarkastaa palvelimesi tilan näistä osoitteista.

Sinun pitää myös sallia seuraavat IP-osoitteet:

Jos palvelimesi IP-osoite on aaa.bbb.ccc.ddd, tulee sinun hyväksyä aaa.bbb.ccc.250 sekä aaa.bbb.ccc.251. Esimerkiksi 213.186.57.153:n tulee hyväksyä 213.186.57.250 (SLA-palvelin) ja 213.186.57.251 (MRTG-palvelin).

Jos sinulla on HG-palvelin, tulee sinun hyväksyä aaa.bbb.ccc.249.

Jos estät kaiken liikenteen, mukaanlukien OVH:n, emme pysty tarkastamaan palvelimesi tilaa. Mahdollisessa ongelmatapauksessa emme saa siitä tietoa. Salliaksesi ping-pyynnöt OVH:n palvelimilta, suorita seuraavat komennot:



Jos haluat estää pääsyn palvelimellesi SSH:n kautta muualta kuin omalta palvelimeltasi, suosittelemme sinua hyväksymään liikenteen myös cache.ovh.net -osoitteelle. Jos palvelimellasi on ongelma, teknikkomme suorittavat sen kautta huoltotoimenpiteensä.

Salliaksesi SSH-yhteyden OVH:n palvelimelta, suorita komento:



Jos sinulla on RAID-filer, älä unohda sallia NFS-yhteyksiä. Voit sallia kaiken liikenteen sisäisestä verkosta 192.168.0.0/16:



Jos sinulla on klusteri-konfiguraatio, sinun tarvitsee sallia portti 79, jotta OCO voi kommunikoida kuormantasaajan kanssa:




RPS-palvelin:

Monitoroimme eth0-käyttöliittymää. Jos estät kaikki ping-pyynnöt, emme pysty valvomaan palvelimesi tilaa. Salliaksesi ping-pyynnöt OVH:n palvelimilta, luo seuraavat säännöt:



Sinun pitää myös hyväksyä käyttämäsi SAN. Nähdäksesi sen osoitteen, suorita komento:



Käyttämäsi SAN:n IP-osoite on siis 91.121.191.16. Salli liikenne komennolla:





Tässä on esimerkki täydellisestä skriptistä, jolla voit suojata palvelimesi Iptablesin avulla. Se sallii usean portin ja palvelun, mutta voit muokata sitä helposti omiin tarpeisiisi sopivaksi:



Sinun tulee vaihtaa xxx.xxx.xxx.xxx tilalle koneesi IP-osoite, josta otat FTP:llä ja SSH:llä yhteyden palvelimellesi, sekä xxx.xxx.xxx tilalle palvelimesi IP-osoitteen kolme ensimmäistä kenttää.


Kun palvelimesi on konfiguroitu onnistuneesti, sinun pitää luoda skripti, joka suoritaan jokaisen käynnistyksen yhteydessä. Tässä on esimerkki, jonka voit kopioida esimerkiksi firewall-tiedostoon /etc/init.d -kansioon:


Anna tiedostolle 700-oikeudet ja kirjoita komento /etc/init.d/firewall start käynnistääksesi sen, ja etc/init.d/firewall stop pysäyttääksesi sen. Käynnistääksesi sen automaattisesti käynnistyksen yhteydessä:



HUOMIO! Ennen skriptin suorittamista jokaisen käynnistyksen yhteydessä sinun tulee olla täysin varma, että sen asetukset ovat oikein!