Firewall Iptables
Saya baru-baru ini menyiapkan server web di centos dengan nginx dan php. Instalasi nginx baik-baik saja, tetapi port http sistem tidak dapat diakses dari luar.
Ini karena centOS secara default memiliki beberapa aturan firewall iptables yang berlaku. Hanya port ssh (22) yang dapat diakses dan shell jarak jauh berfungsi. Jadi perlu untuk membuka port 80 agar server web seperti nginx berfungsi.
Iptables adalah firewall di linux yang dapat dikonfigurasi untuk menerima atau menolak lalu lintas jaringan berdasarkan berbagai macam aturan tingkat paket. Jadi perlu untuk mengkonfigurasi firewall ini untuk mengaktifkan koneksi pada port jaringan.
Periksa aturan Iptables
Ada 2 cara mengkonfigurasi iptables untuk membuka port 80. Pertama menggunakan perintah iptables dan kedua dengan membuat file konfigurasi. Pertama periksa aturan iptables yang ada yang berlaku. Perintahnya cukup sederhana. Berikut adalah contoh keluarannya.
[[email protected] ~]# iptables -LChain INPUT (policy ACCEPT)target prot opt source destinationTERIMA semua -- di mana saja di mana saja status TERKAIT, DIDIRIKANTERIMA icmp -- di mana saja di mana sajaTerima semua -- di mana saja di mana sajaTerima tcp -- di mana saja di mana saja status BARU tcp dpt:sshREJECT semua -- di mana saja di mana saja tolak-dengan icmp-host-prohibitedChain FORWARD (policy ACCEPT)target prot opt source tujuanTOLAK semua --where where where reject-with icmp-host-prohibitedChain OUTPUT (kebijakan ACCEPT)target prot opt source tujuan[[email protected] ~]#
Seperti yang dapat dilihat pada output, ada garis REJECT di rantai INPUT di akhir yang mengatakan, tolak semua. Namun baris sebelumnya memungkinkan untuk menerima koneksi ssh sehingga ssh berfungsi. Sedikit lebih banyak verbose dan daftar numerik dapat dilihat menggunakan opsi v dan n bersama dengan opsi L
[[email protected] ~]# iptables --line -vnLChain INPUT (kebijakan TERIMA 0 paket, 0 byte)num pkts byte target prot opt in out source destination1 273 22516 TERIMA semua -- * * 0.0.0.0/ 0 0.0.0.0/0 status RELATED,ESTABLISHED2 0 0 TERIMA icmp -- * * 0.0.0.0/0 0.0.0.0/03 0 0 TERIMA semua -- lo * 0.0.0.0/0 0.0.0.0/04 1 60 TERIMA tcp -- * * 0.0.0.0/0 0.0.0.0/0 status BARU tcp dpt:225 271 36456 TOLAK semua -- * * 0.0.0.0/0 0.0.0.0/0 tolak-dengan icmp-host-prohibitedChain FORWARD (kebijakan TERIMA 0 paket, 0 byte)num pkts byte target prot memilih keluar sumber tujuan1 0 0 TOLAK semua -- * * 0.0.0.0/0 0.0.0.0/0 tolak-dengan icmp-host-prohibitedChain OUTPUT (kebijakan TERIMA 172 paket s, 24494 byte)num pkts byte target prot opt in out source destination[[email protected] ~]#
Buka port 80 di Iptables
Untuk menerima koneksi http, kita perlu menambahkan aturan pada baris nomor 5 dan menekan baris REJECT di bawah. Berikut adalah perintah untuk melakukannya.
# iptables -I INPUT 5 -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
Perintah di atas akan menambahkan aturan pada baris #5 yang menyatakan bahwa firewall harus menerima koneksi masuk pada port 80. Periksa kembali aturan iptables.
[[email protected] ~]# iptables --line -vnLChain INPUT (kebijakan TERIMA 0 paket, 0 byte)num pkts byte target prot opt in out source destination1 291 23868 TERIMA semua -- * * 0.0.0.0/ 0 0.0.0.0/0 status RELATED,ESTABLISHED2 0 0 TERIMA icmp -- * * 0.0.0.0/0 0.0.0.0/03 0 0 TERIMA semua -- lo * 0.0.0.0/0 0.0.0.0/04 1 60 TERIMA tcp -- * * 0.0.0.0/0 0.0.0.0/0 status BARU tcp dpt:225 0 0 TERIMA tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 status BARU,ESTABLISHED6 286 38524 TOLAK semua -- * * 0.0.0.0/0 0.0.0.0/0 tolak-dengan icmp-host-prohibitedChain FORWARD (kebijakan TERIMA 0 paket, 0 byte)num pkts byte target prot memilih keluar sumber tujuan1 0 0 TOLAK semua -- * * 0.0.0.0/0 0.0.0.0/0 tolak-dengan icmp-host-prohibitedChain OUTPUT (kebijakan TERIMA 4 paket, 608 byte)num pkts byte target prot opt in out source destination[[email protected] ~]#Sekarang kita memiliki aturan tcp port 80 baru di baris #5 dan sekarang port http dapat diakses dari jaringan luar.
Simpan aturan iptables
Dengan aturan baru port 80 sekarang terbuka, namun perubahan ini bersifat sementara dan iptables akan kembali ke aturan sebelumnya jika server di-boot ulang.
Untuk membuatnya permanen, keluarkan perintah iptables save.
[[email protected] ~]# service iptables saveiptables:Menyimpan aturan firewall ke /etc/sysconfig/iptables:[ OK ]Aturan baru disimpan ke file /etc/sysconfig/iptables .
Berikut tampilan filenya:
# Dibuat oleh iptables-save v1.4.7 pada Jumat 25 Okt 10:33:46 2013*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [39:6956]-A INPUT -m state --state TERKAIT,ESTABLISHED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -p tcp -m state --state BARU -m tcp --dport 22 -j ACCEPT-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibitedCOMMIT# Selesai pada Jum 25 Okt 10:33:46 2013Sekarang perubahannya permanen.
Atau Anda dapat langsung mengedit file konfigurasi iptables dan memulai ulang iptables dan perubahan yang sama akan berlaku.
[[email protected] ~]# service iptables restartiptables:Membersihkan aturan firewall:[ OK ]iptables:Menyetel rantai ke kebijakan ACCEPT:filter [ OK ]iptables:Membongkar modul:[ OK ]iptables:Menerapkan aturan firewall:[ Oke ][[email protected] ~]#Kesimpulan
Itu tadi contoh singkat cara membuka port tertentu di iptables agar bisa diakses. Untuk mempelajari lebih lanjut tentang iptables, periksa halaman manual dengan menjalankan perintah "man iptables" di terminal Anda, atau periksa secara online di sini:
https://linux.die.net/man/8/iptables
Cent OS