Cum să configurezi un firewall iptables pe Linux pas cu pas

Ce este iptables și de ce ai nevoie de un firewall. Cum să configurezi un firewall iptables pe Linux pas cu pas.

iptables este instrumentul standard de filtrare a pachetelor de rețea pe sistemele Linux. Acționează ca un firewall care controlează traficul de rețea conform unor reguli definite de administrator, determinând ce pachete sunt acceptate, respinse sau redirecționate.

Cum să configurezi un firewall iptables pe Linux pas cu pas

Un server expus pe internet fără firewall este vulnerabil la atacuri de forță brută, scanări de porturi, atacuri DDoS și tentative de exploatare a serviciilor. Configurarea corectă a iptables este primul pas în securizarea oricărui server Linux.

Concepte fundamentale iptables

iptables organizează regulile de filtrare în trei componente principale:

Tabele

• filter – tabela implicită, folosită pentru filtrarea traficului (accept/drop)
• nat – pentru traducerea adreselor de rețea (port forwarding, masquerading)
• mangle – pentru modificarea pachetelor (QoS, TTL)

Lanțuri (Chains)

• INPUT – traficul care intră pe server (cel mai important pentru securitate)
• OUTPUT – traficul care iese de pe server
• FORWARD – traficul care tranzitează serverul (relevant pentru routere)

Acțiuni (Targets)

• ACCEPT – permite trecerea pachetului
• DROP – blochează pachetul fără notificare
• REJECT – blochează pachetul și trimite un mesaj de eroare
• LOG – înregistrează pachetul în log-uri

Verificarea regulilor curente

Înainte de a modifica orice, verifică regulile existente:

sudo iptables -L -n -v

Opțiunile utilizate:

• -L – listează toate regulile
• -n – afișează adresele IP numeric (fără rezolvare DNS)
• -v – mod verbose cu contoare de pachete și bytes

Configurarea unui firewall de bază pas cu pas

Urmează acești pași pentru a configura un firewall solid pe un server VPS Linux:

Pasul 1 – Permite conexiunile stabilite

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Această regulă este esențială – permite răspunsurile la conexiunile inițiate de server (actualizări, DNS etc.).

Pasul 2 – Permite traficul pe interfața loopback

sudo iptables -A INPUT -i lo -j ACCEPT

Multe servicii locale comunică prin interfața loopback. Blocarea ei ar cauza probleme grave.

Pasul 3 – Permite SSH

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Atenție: adaugă întotdeauna regula SSH înainte de a seta politica implicită pe DROP, altfel vei pierde accesul la server.

Pasul 4 – Permite traficul HTTP și HTTPS

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Pasul 5 – Permite alte servicii necesare

În funcție de serviciile active pe server:

• Email: porturi 25, 465, 587, 993, 995
• FTP: porturi 20, 21 și range-ul pasiv
• DNS: portul 53 (TCP și UDP)
• cPanel/WHM: porturi 2082, 2083, 2086, 2087

Pasul 6 – Permite ping (ICMP)

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Pasul 7 – Setează politica implicită pe DROP

sudo iptables -P INPUT DROP

sudo iptables -P FORWARD DROP

sudo iptables -P OUTPUT ACCEPT

Acum tot traficul care nu corespunde unei reguli explicite va fi blocat.

Protecție avansată

Limitarea ratei conexiunilor SSH

Protejează contra atacurilor de forță brută:

sudo iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP

sudo iptables -A INPUT -p tcp --dport 22 -m recent --set --name SSH

sudo iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP

Protecție contra scanării de porturi

sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

sudo iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Blocarea unei adrese IP specifice

sudo iptables -I INPUT -s 192.168.1.100 -j DROP

Salvarea și restaurarea regulilor

Regulile iptables se pierd la repornirea serverului. Pentru a le face persistente:

Pe Debian/Ubuntu:

sudo apt install iptables-persistent

sudo netfilter-persistent save

Pe CentOS/RHEL:

sudo service iptables save

Pentru backup manual:

sudo iptables-save > /root/firewall-rules-backup.txt

Restaurare:

sudo iptables-restore < /root/firewall-rules-backup.txt

Depanare și verificare

• Verifică regulile active: sudo iptables -L -n --line-numbers
• Șterge o regulă după număr: sudo iptables -D INPUT 3
• Resetare completă: sudo iptables -F (atenție - elimină toate regulile)
• Testează conectivitatea de pe alt server cu telnet sau nmap

Configurarea corectă a iptables este o măsură fundamentală de securitate pentru orice server Linux. O abordare stratificată - de la reguli de bază la protecții avansate - reduce semnificativ suprafața de atac.

Dacă ai nevoie de asistență cu securizarea serverului tău, echipa noastră de suport te poate ajuta cu configurarea unui firewall adaptat nevoilor tale specifice.