Брандмауэр — это защитный экран между глобальным интернетом и локальной компьютерной сетью организации. Он выполняет функцию проверки и фильтрации данных, поступающих из интернета. В зависимости от настроек брандмауэр может пропустить их или заблокировать (например, если обнаружит «червей», вирусы и хакерскую атаку).

По умолчанию брандмауэр не установлен в дистрибутивах Debian, но доступен из его репозиториев. Мы будем использовать брандмауэр iptables.

Итак, iptables - это утилита для настройки программного Firewall'а (межсетевого экрана) linux, которая предустанавливается по умолчанию во все сборки Linux, начиная с версии 2.4. Запускается iptables из командной строки (CLI) под пользователем с правами root и настраивается там же.

Для установки iptables необходимо использовать команду

Посмотреть состояние системы

Для просмотра открытых портов сервера необходимо использовать команду.

Мы видим, что у нас открыт порт 63345, это порт мы используем для соединения по ssh.

Запись вида 0.0.0.0: номер порта, говорит о том, что этот порт открыт для всех соединений из вне и такой порт необходимо защищать.

Очень важно настраивать порты аккуратно, так как можно заблокировать порт ssh и не сможет потом зайти на свой сервер, поможет только переустановка системы.

Первым делом разрешаем себе подключение по ssh ( обмен пакетами по порту ssh ), учитывайте также если вы изменили стандартный порт на кастомный.

Проверим как установилось новое правило

Мы подключили правило пропуска пакетов ssh и по этому порту уже начали ходить пакеты.

Для начала посмотрим какие сетевые интерфейсы у нас есть.

У на с два интерфейса lo и ens3.

Lo - виртуальный интерфейс, присутствующий по умолчанию в любом Linux. Он используется для отладки сетевых программ и запуска серверных приложений на локальной машине.

ens3 — сетевой интерфейс к карте Ethernet, у вас может называться по другому, его и нужно настраивать.

Разрешаем трафик для сетевого интерфейса.

Разрешаем icmp, необходимо для некоторых сервисных задач, также это откроет возможность пропинговать сервер.

Так же можно открывать порты, которые необходимы для вашего сервера, например, для веб сервера необходимы порты 80, 443. Если нет такой необходимости для вашего сервера тогда эти порты оставляем закрытыми.

Следующая настройка необходимо чтобы мы могли не только принимать пакеты, но и отправлять пакеты от нашего сервера в сеть на сайты или репозитории.

До этого момента мы создавали правила, теперь мы подключаем запрет для всех подключений, которые не подходят по к нашим правилам, с этого момента все пакеты, которые не прописаны в правилах будут блокироваться.

Если на данном этапе вас не выкинуло из сессии связи с сервером значит все настроили правильно, и вы себя не заблокировали для работы с сервером по протоколу ssh.

Если есть необходимость заблокировать пакеты от какого-то пользователя, который может навредить серверу, тогда необходимо ввести команду.

Без сохранения настроек, после перезагрузки сервера, настройки снинуться до стандартных. Сохранять настройки нужно только если вы добавили правила и у вас всё работает после этого.

Мы можем посмотреть файл настроек, или даже внести изменения при помощи текстового редактора.

Так же из файла настроек мы можем загрузить настройки в брандмауэр.

Настроим автоматическую загрузку правил при включении, перезагрузки системы. Для начала установим в систему необходимые пакеты.

Проверим как все установилось, нам необходимо зайти в директорию новых пакетов /etc/iptables , настройки для ip4 в файле rules.v4, a ip6 в файле rules.v6

Если изменим настройки этих файлов, то нужно пересохранить.

Теперь запускаем службу для того чтобы все работало в автоматическом режиме при загрузке системы.