Xəbər 06 Apr 2026

Firewall qurulması: VPS-də iptables və ufw

VPS internet-də açıq qapı kimi - portları məhdudlaşdırmasanız hacker hücumları başlayır. Linux firewall ilə yalnız lazım olan portlar açıq qalmalıdır.

Linux firewall texnologiyaları

iptables (klasik)

Kernel səviyyəsində - ən geniş istifadə. Mürəkkəb sintaks.

nftables (yeni)

iptables-in evolyusiyası. Modern Linux distrobutionlarda default.

ufw (Ubuntu)

"Uncomplicated Firewall" - iptables üzərində sadə wrapper.

firewalld (CentOS/RHEL)

Zonalar ilə idarə.

ufw ilə qurulma

Quraşdırma

apt install ufw

Default qaydalar

ufw default deny incoming
ufw default allow outgoing

Heç bir gələn trafik qəbul olunmur, bütün çıxan trafik icazəlidir.

SSH açıq

ufw allow ssh
# və ya
ufw allow 22/tcp

HTTP/HTTPS

ufw allow 80/tcp
ufw allow 443/tcp

Aktivləşdirmək

ufw enable

DİQQƏT: SSH icazəsi vermədən aktivləşdirsəniz - öz bağlantınız kəsilir!

Status yoxlamaq

ufw status verbose

iptables ilə

Default policy

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Mövcud bağlantılar

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

SSH

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Web

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Yadda saxlamaq

iptables-save > /etc/iptables/rules.v4

Port whitelist

Yalnız müəyyən IP

ufw allow from 192.168.1.0/24 to any port 22

Yalnız sizin ofis şəbəkəsi SSH edə bilər.

Rate limiting

SSH brute force qoruması

ufw limit ssh

1 dəqiqədə 6 dəfə uğursuz cəhd olarsa IP 1 dəqiqə bloklanır.

Port forwarding

Container portlarına

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

Common port-lar

  • 22 - SSH
  • 21 - FTP
  • 25 - SMTP
  • 53 - DNS
  • 80 - HTTP
  • 443 - HTTPS
  • 465 - SMTP SSL
  • 993 - IMAP SSL
  • 995 - POP3 SSL
  • 3306 - MySQL
  • 5432 - PostgreSQL
  • 6379 - Redis
  • 27017 - MongoDB

DB portlarını bağlamaq

MySQL public-a açıq qalmasın

3306 portunu yalnız localhost-da bind edin. /etc/mysql/my.cnf:

bind-address = 127.0.0.1

fail2ban + firewall

Avtomatik IP blok

fail2ban login failure-larını izləyir - müəyyən sayda təkrar olarsa iptables-də IP-i bloklayır.

Cloud firewall

Provider səviyyəsində

AWS Security Groups, DigitalOcean Cloud Firewall - server-ə çatmadan əvvəl filter. Daha çox təhlükəsiz.

UDP port-lar

53 (DNS)

ufw allow 53/udp

ICMP (ping)

Ping-i icazə vermək

iptables -A INPUT -p icmp -j ACCEPT

Hostinq.az VPS firewall

Hazır quraşdırma

VPS provisioned olanda CSF (ConfigServer Firewall) hazır qoyulmuş gəlir - SSH, web, email portları açıq, qalanı bağlı.

Hostinq.az VPS - firewall hazır.

Paylaş: