Linux防火墻:關(guān)于iptables和firewalld的那些事
以下是如何使用 iptables 和 firewalld 工具來(lái)管理 Linux 防火墻規(guī)則。
這篇文章摘自我的書(shū)《Linux in Action》,尚未發(fā)布的第二個(gè)曼寧出版項(xiàng)目。
防火墻
防火墻是一組規(guī)則。當(dāng)數(shù)據(jù)包進(jìn)出受保護(hù)的網(wǎng)絡(luò)區(qū)域時(shí),進(jìn)出內(nèi)容(特別是關(guān)于其來(lái)源、目標(biāo)和使用的協(xié)議等信息)會(huì)根據(jù)防火墻規(guī)則進(jìn)行檢測(cè),以確定是否允許其通過(guò)。下面是一個(gè)簡(jiǎn)單的例子:
防火墻可以根據(jù)協(xié)議或基于目標(biāo)的規(guī)則過(guò)濾請(qǐng)求。
一方面, iptables 是 Linux 機(jī)器上管理防火墻規(guī)則的工具。
另一方面,firewalld 也是 Linux 機(jī)器上管理防火墻規(guī)則的工具。
你有什么問(wèn)題嗎?如果我告訴你還有另外一種工具,叫做 nftables,這會(huì)不會(huì)糟蹋你的美好一天呢?
好吧,我承認(rèn)整件事確實(shí)有點(diǎn)好笑,所以讓我來(lái)解釋一下。這一切都從 Netfilter 開(kāi)始,它在 Linux 內(nèi)核模塊級(jí)別控制訪問(wèn)網(wǎng)絡(luò)棧。幾十年來(lái),管理 Netfilter 鉤子的主要命令行工具是 iptables 規(guī)則集。
因?yàn)檎{(diào)用這些規(guī)則所需的語(yǔ)法看起來(lái)有點(diǎn)晦澀難懂,所以各種用戶友好的實(shí)現(xiàn)方式,如 ufw 和 firewalld 被引入,作為更高級(jí)別的 Netfilter 解釋器。然而,ufw 和 firewalld 主要是為解決單獨(dú)的計(jì)算機(jī)所面臨的各種問(wèn)題而設(shè)計(jì)的。構(gòu)建全方面的網(wǎng)絡(luò)解決方案通常需要 iptables,或者從 2014 年起,它的替代品 nftables (nft 命令行工具)。
iptables 沒(méi)有消失,仍然被廣泛使用著。事實(shí)上,在未來(lái)的許多年里,作為一名管理員,你應(yīng)該會(huì)使用 iptables 來(lái)保護(hù)的網(wǎng)絡(luò)。但是 nftables 通過(guò)操作經(jīng)典的 Netfilter 工具集帶來(lái)了一些重要的嶄新的功能。
從現(xiàn)在開(kāi)始,我將通過(guò)示例展示 firewalld 和 iptables 如何解決簡(jiǎn)單的連接問(wèn)題。
使用 firewalld 配置 HTTP 訪問(wèn)
正如你能從它的名字中猜到的,firewalld 是 systemd 家族的一部分。firewalld 可以安裝在 Debian/Ubuntu 機(jī)器上,不過(guò),它默認(rèn)安裝在 RedHat 和 CentOS 上。如果您的計(jì)算機(jī)上運(yùn)行著像 Apache 這樣的 web 服務(wù)器,您可以通過(guò)瀏覽服務(wù)器的 web 根目錄來(lái)確認(rèn)防火墻是否正在工作。如果網(wǎng)站不可訪問(wèn),那么 firewalld 正在工作。
你可以使用 firewall-cmd 工具從命令行管理 firewalld 設(shè)置。添加 –state 參數(shù)將返回當(dāng)前防火墻的狀態(tài):
# firewall-cmd --staterunning
默認(rèn)情況下,firewalld 處于運(yùn)行狀態(tài),并拒絕所有傳入流量,但有幾個(gè)例外,如 SSH。這意味著你的網(wǎng)站不會(huì)有太多的訪問(wèn)者,這無(wú)疑會(huì)為你節(jié)省大量的數(shù)據(jù)傳輸成本。然而,這不是你對(duì) web 服務(wù)器的要求,你希望打開(kāi) HTTP 和 HTTPS 端口,按照慣例,這兩個(gè)端口分別被指定為 80 和 443。firewalld 提供了兩種方法來(lái)實(shí)現(xiàn)這個(gè)功能。一個(gè)是通過(guò) –add-port 參數(shù),該參數(shù)直接引用端口號(hào)及其將使用的網(wǎng)絡(luò)協(xié)議(在本例中為T(mén)CP)。 另外一個(gè)是通過(guò) –permanent 參數(shù),它告訴 firewalld 在每次服務(wù)器啟動(dòng)時(shí)加載此規(guī)則:
# firewall-cmd --permanent --add-port=80/tcp# firewall-cmd --permanent --add-port=443/tcp
–reload 參數(shù)將這些規(guī)則應(yīng)用于當(dāng)前會(huì)話:
# firewall-cmd --reload
查看當(dāng)前防火墻上的設(shè)置,運(yùn)行 –list-services:
# firewall-cmd --list-servicesdhcpv6-client http https ssh
假設(shè)您已經(jīng)如前所述添加了瀏覽器訪問(wèn),那么 HTTP、HTTPS 和 SSH 端口現(xiàn)在都應(yīng)該是和 dhcpv6-client 一樣開(kāi)放的 —— 它允許 Linux 從本地 DHCP 服務(wù)器請(qǐng)求 IPv6 IP 地址。
使用 iptables 配置鎖定的客戶信息亭
我相信你已經(jīng)看到了信息亭——它們是放在機(jī)場(chǎng)、圖書(shū)館和商務(wù)場(chǎng)所的盒子里的平板電腦、觸摸屏和 ATM 類(lèi)電腦,邀請(qǐng)顧客和路人瀏覽內(nèi)容。大多數(shù)信息亭的問(wèn)題是,你通常不希望用戶像在自己家一樣,把他們當(dāng)成自己的設(shè)備。它們通常不是用來(lái)瀏覽、觀看 YouTube 視頻或?qū)ξ褰谴髽前l(fā)起拒絕服務(wù)攻擊的。因此,為了確保它們沒(méi)有被濫用,你需要鎖定它們。
一種方法是應(yīng)用某種信息亭模式,無(wú)論是通過(guò)巧妙使用 Linux 顯示管理器還是控制在瀏覽器級(jí)別。但是為了確保你已經(jīng)堵塞了所有的漏洞,你可能還想通過(guò)防火墻添加一些硬性的網(wǎng)絡(luò)控制。在下一節(jié)中,我將講解如何使用iptables 來(lái)完成。
關(guān)于使用 iptables,有兩件重要的事情需要記住:你給出的規(guī)則的順序非常關(guān)鍵;iptables 規(guī)則本身在重新啟動(dòng)后將無(wú)法保持。我會(huì)一次一個(gè)地在解釋這些。
信息亭項(xiàng)目
為了說(shuō)明這一切,讓我們想象一下,我們?yōu)橐患颐麨?BigMart 的大型連鎖商店工作。它們已經(jīng)存在了幾十年;事實(shí)上,我們想象中的祖父母可能是在那里購(gòu)物并長(zhǎng)大的。但是如今,BigMart 公司總部的人可能只是在數(shù)著亞馬遜將他們永遠(yuǎn)趕下去的時(shí)間。
盡管如此,BigMart 的 IT 部門(mén)正在盡他們最大努力提供解決方案,他們向你發(fā)放了一些具有 WiFi 功能信息亭設(shè)備,你在整個(gè)商店的戰(zhàn)略位置使用這些設(shè)備。其想法是,登錄到 BigMart.com 產(chǎn)品頁(yè)面,允許查找商品特征、過(guò)道位置和庫(kù)存水平。信息亭還允許進(jìn)入 bigmart-data.com,那里儲(chǔ)存著許多圖像和視頻媒體信息。
除此之外,您還需要允許下載軟件包更新。最后,您還希望只允許從本地工作站訪問(wèn) SSH,并阻止其他人登錄。下圖說(shuō)明了它將如何工作:
kiosk traffic flow ip tables
*信息亭業(yè)務(wù)流由 iptables 控制。 *
腳本
以下是 Bash 腳本內(nèi)容:
#!/bin/bashiptables -A OUTPUT -p tcp -d bigmart.com -j ACCEPTiptables -A OUTPUT -p tcp -d bigmart-data.com -j ACCEPTiptables -A OUTPUT -p tcp -d ubuntu.com -j ACCEPTiptables -A OUTPUT -p tcp -d ca.archive.ubuntu.com -j ACCEPTiptables -A OUTPUT -p tcp --dport 80 -j DROPiptables -A OUTPUT -p tcp --dport 443 -j DROPiptables -A INPUT -p tcp -s 10.0.3.1 --dport 22 -j ACCEPTiptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP
我們從基本規(guī)則 -A 開(kāi)始分析,它告訴 iptables 我們要添加規(guī)則。OUTPUT 意味著這條規(guī)則應(yīng)該成為輸出鏈的一部分。-p 表示該規(guī)則僅使用 TCP 協(xié)議的數(shù)據(jù)包,正如 -d 告訴我們的,目的地址是 bigmart.com。-j 參數(shù)的作用是當(dāng)數(shù)據(jù)包符合規(guī)則時(shí)要采取的操作是 ACCEPT。第一條規(guī)則表示允許(或接受)請(qǐng)求。但,往下的規(guī)則你能看到丟棄(或拒絕)的請(qǐng)求。
規(guī)則順序是很重要的。因?yàn)?iptables 會(huì)對(duì)一個(gè)請(qǐng)求遍歷每個(gè)規(guī)則,直到遇到匹配的規(guī)則。一個(gè)向外發(fā)出的瀏覽器請(qǐng)求,比如訪問(wèn) bigmart.com 是會(huì)通過(guò)的,因?yàn)檫@個(gè)請(qǐng)求匹配第一條規(guī)則,但是當(dāng)它到達(dá) dport 80 或 dport 443 規(guī)則時(shí)——取決于是 HTTP 還是 HTTPS 請(qǐng)求——它將被丟棄。當(dāng)遇到匹配時(shí),iptables 不再繼續(xù)往下檢查了。(LCTT 譯注:此處原文有誤,徑改。)
另一方面,向 ubuntu.com 發(fā)出軟件升級(jí)的系統(tǒng)請(qǐng)求,只要符合其適當(dāng)?shù)囊?guī)則,就會(huì)通過(guò)。顯然,我們?cè)谶@里做的是,只允許向我們的 BigMart 或 Ubuntu 發(fā)送 HTTP 或 HTTPS 請(qǐng)求,而不允許向其他目的地發(fā)送。
最后兩條規(guī)則將處理 SSH 請(qǐng)求。因?yàn)樗皇褂枚丝?80 或 443 端口,而是使用 22 端口,所以之前的兩個(gè)丟棄規(guī)則不會(huì)拒絕它。在這種情況下,來(lái)自我的工作站的登錄請(qǐng)求將被接受,但是對(duì)其他任何地方的請(qǐng)求將被拒絕。這一點(diǎn)很重要:確保用于端口 22 規(guī)則的 IP 地址與您用來(lái)登錄的機(jī)器的地址相匹配——如果不這樣做,將立即被鎖定。當(dāng)然,這沒(méi)什么大不了的,因?yàn)榘凑漳壳暗呐渲梅绞剑恍柚貑⒎?wù)器,iptables 規(guī)則就會(huì)全部丟失。如果使用 LXC 容器作為服務(wù)器并從 LXC 主機(jī)登錄,則使用主機(jī) IP 地址連接容器,而不是其公共地址。
如果機(jī)器的 IP 發(fā)生變化,請(qǐng)記住更新這個(gè)規(guī)則;否則,你會(huì)被拒絕訪問(wèn)。
在家玩(是在某種一次性虛擬機(jī)上)?太好了。創(chuàng)建自己的腳本。現(xiàn)在我可以保存腳本,使用 chmod 使其可執(zhí)行,并以 sudo 的形式運(yùn)行它。不要擔(dān)心“igmart-data.com 沒(méi)找到”之類(lèi)的錯(cuò)誤 —— 當(dāng)然沒(méi)找到;它不存在。
chmod +X scriptname.shsudo ./scriptname.sh
你可以使用 cURL 命令行測(cè)試防火墻。請(qǐng)求 ubuntu.com 奏效,但請(qǐng)求 manning.com 是失敗的 。
curl ubuntu.comcurl manning.com
配置 iptables 以在系統(tǒng)啟動(dòng)時(shí)加載
現(xiàn)在,我如何讓這些規(guī)則在每次信息亭啟動(dòng)時(shí)自動(dòng)加載?第一步是將當(dāng)前規(guī)則保存。使用 iptables-save 工具保存規(guī)則文件。這將在根目錄中創(chuàng)建一個(gè)包含規(guī)則列表的文件。管道后面跟著 tee 命令,是將我的sudo 權(quán)限應(yīng)用于字符串的第二部分:將文件實(shí)際保存到否則受限的根目錄。
然后我可以告訴系統(tǒng)每次啟動(dòng)時(shí)運(yùn)行一個(gè)相關(guān)的工具,叫做 iptables-restore 。我們?cè)谏弦徽鹿?jié)(LCTT 譯注:指作者的書(shū))中看到的常規(guī) cron 任務(wù)并不適用,因?yàn)樗鼈冊(cè)谠O(shè)定的時(shí)間運(yùn)行,但是我們不知道什么時(shí)候我們的計(jì)算機(jī)可能會(huì)決定崩潰和重啟。
有許多方法來(lái)處理這個(gè)問(wèn)題。這里有一個(gè):
在我的 Linux 機(jī)器上,我將安裝一個(gè)名為 anacron 的程序,該程序?qū)⒃?/etc/ 目錄中為我們提供一個(gè)名為 anacrontab 的文件。我將編輯該文件并添加這個(gè) iptables-restore 命令,告訴它加載那個(gè) .rule 文件的當(dāng)前內(nèi)容。當(dāng)引導(dǎo)后,規(guī)則每天(必要時(shí))01:01 時(shí)加載到 iptables 中(LCTT 譯注:anacron 會(huì)補(bǔ)充執(zhí)行由于機(jī)器沒(méi)有運(yùn)行而錯(cuò)過(guò)的 cron 任務(wù),因此,即便 01:01 時(shí)機(jī)器沒(méi)有啟動(dòng),也會(huì)在機(jī)器啟動(dòng)會(huì)盡快執(zhí)行該任務(wù))。我會(huì)給該任務(wù)一個(gè)標(biāo)識(shí)符(iptables-restore),然后添加命令本身。如果你在家和我一起這樣,你應(yīng)該通過(guò)重啟系統(tǒng)來(lái)測(cè)試一下。
sudo iptables-save | sudo tee /root/my.active.firewall.rulessudo apt install anacronsudo nano /etc/anacrontab1 1 iptables-restore iptables-restore < /root/my.active.firewall.rules
我希望這些實(shí)際例子已經(jīng)說(shuō)明了如何使用 iptables 和 firewalld 來(lái)管理基于 Linux 的防火墻上的連接問(wèn)題。
