linux防火墙规则设置(Linux防火墙iptables和firewalld详解)
linux防火墙规则设置(Linux防火墙iptables和firewalld详解)好吧,我承认整个事情确实有点搞笑,所以让我解释一下。这一切都始于Netfilter,它控制Linux内核模块级别的网络堆栈访问。几十年来,用于管理Netfilter钩子的主要命令行工具是iptables规则集。你对此有看法?如果我告诉你那里还有另一种叫做nftables的工具,会破坏你一天的心情吗?防火墙可以根据协议或基于目标的规则过滤请求一方面,iptables是一种在Linux机器上管理防火墙规则的工具。另一方面,firewalld也是用于管理Linux机器上的防火墙规则的工具。
如何使用iptables和firewalld工具来管理Linux防火墙连接规则。
本文摘自我的书“Linux in Action”和第二个尚未发布的Manning项目。
防火墙
防火墙是一组规则。当数据包流入或流出受保护的网络空间时,将根据防火墙规则测试其内容(特别是有关其来源,目标和计划使用的协议的信息),以确定是否应允许其通过。 这是一个简单的例子:
防火墙可以根据协议或基于目标的规则过滤请求
一方面,iptables是一种在Linux机器上管理防火墙规则的工具。
另一方面,firewalld也是用于管理Linux机器上的防火墙规则的工具。
你对此有看法?如果我告诉你那里还有另一种叫做nftables的工具,会破坏你一天的心情吗?
好吧,我承认整个事情确实有点搞笑,所以让我解释一下。这一切都始于Netfilter,它控制Linux内核模块级别的网络堆栈访问。几十年来,用于管理Netfilter钩子的主要命令行工具是iptables规则集。
因为调用这些规则所需的语法可能会有点神秘,ufw和firewalld等各种用户友好的实现被引入为更高级别的Netfilter解释器。但是,Ufw和firewalld主要用于解决独立计算机所面临的各种问题。构建全网络解决方案通常需要额外的iptables,或者自2014年以来,它需要更换nftables(通过nft命令行工具)。
iptables没有去任何地方,仍然被广泛使用。实际上,应该期望在未来许多年内作为管理员在工作中遇到受iptables保护的网络。但是nftables通过添加到经典的Netfilter工具集,带来了一些重要的新功能。
从这里开始,我将通过示例演示firewalld和iptables如何解决简单的连接问题。
使用firewalld配置HTTP访问
正如你可能从其名称中猜到的那样,firewalld是systemd系列的一部分。 firewalld可以安装在Debian/Ubuntu机器上,但默认情况下它安装在Red Hat和CentOS上。如果计算机上运行了像Apache这样的Web服务器,则可以通过浏览到服务器的Web根目录来确认防火墙是否正常工作。如果该站点无法访问,那么firewalld正在完成其工作。
你将使用firewall-cmd工具从命令行管理firewalld设置。添加-state参数将返回当前防火墙状态:
# firewall-cmd --state
running
默认情况下,firewalld将处于活动状态,并将通过一些例外来拒绝所有传入流量,例如SSH。这意味着你的网站不会有太多的访问者,这肯定会为你节省大量的数据传输成本。但是,由于这可能不是你对Web服务器的想法,因此你需要打开按照惯例分别指定为80和443的HTTP和HTTPS端口。firewalld提供了两种方法。一种是通过-add-port参数直接引用端口号以及它将使用的网络协议(在本例中为tcp),-permanent参数告诉firewalld每次服务器启动时加载此规则:
# firewall-cmd --permanent --add-port=80/tcp
# firewall-cmd --permanent --add-port=443/tcp
-reload参数将这些规则应用于当前会话:
# firewall-cmd --reload
对防火墙的当前设置很好奇? 运行-list-services:
# firewall-cmd --list-services
dhcpv6-client http HTTPS ssh
假设你已按前面所述添加了浏览器访问权限,现在应该打开HTTP,HTTPS和SSH端口以及dhcpv6-client,这样Linux就可以从本地DHCP服务器请求IPv6 IP地址。
使用iptables配置锁定的自助服务终端
我相信你已经看到了自助服务终端,它们是平板电脑,触摸屏和类似ATM机的电脑,机场,图书馆和商家都在四处闲逛,邀请客户和路人浏览内容。关于大多数自助服务终端的事情是,你通常不希望用户像在自己家里对待自己的设备一样使用它们。它们通常不用于浏览,观看YouTube视频或针对五角大楼发起拒绝服务攻击。因此,为了确保它们不会被滥用,你需要锁定它们。
一种方法是应用某种自助服务终端模式,无论是通过巧妙地使用Linux显示管理器还是在浏览器级别。但是为了确保你已经封锁所有漏洞,你可能还想通过防火墙添加一些硬网络控制。在下一节中,我将描述如何使用iptables进行操作。
关于使用iptables,有两件重要的事情需要记住:你提供规则的顺序至关重要,并且iptables规则本身不会在重启后继续存在。我会一次一个地解决这些问题。
自助服务终端项目
为了说明这一切,让我们假设我们为一家名为BigMart的大型连锁店的商店工作。他们已经存在了几十年;事实上,我们想象中的祖父母可能在那里长大。但如今,在BigMart公司总部工作的人可能只是在计算亚马逊把他们永远干掉的时间。
尽管如此,BigMart的IT部门正在尽力而为,他们向你发送了一些支持WiFi的自助服务终端设备,你希望这些设备可以安装在整个商店的战略位置。他们的想法是,他们将显示登录BigMart.com产品页面的Web浏览器,允许他们查找商品功能,过道位置和库存水平。自助服务终端还需要访问bigmart-data.com,其中存储了许多图像和视频媒体。
除此之外,你还需要允许更新,并在必要时允许包下载。最后,你只想从本地工作站允许入站SSH访问,并阻止其他所有人。下图说明了它将如何工作:
自助服务终端的流量由iptables控制
脚本
以下是这些将适合Bash脚本的方式:
#!/bin/bash
iptables -A OUTPUT -p tcp -d bigmart.com -j ACCEPT
iptables -A OUTPUT -p tcp -d bigmart-data.com -j ACCEPT
iptables -A OUTPUT -p tcp -d ubuntu.com -j ACCEPT
iptables -A OUTPUT -p tcp -d ca.archive.ubuntu.com -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j DROP
iptables -A OUTPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p tcp -s 10.0.3.1 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP
我们规则的基本阐述从-A开始,告诉iptables我们要添加以下规则。OUTPUT表示此规则应成为OUTPUT链的一部分。-p表示此规则仅适用于使用TCP协议的数据包,正如-d告诉我们的那样,目标是bigmart.com。 -j标志指向ACCEPT,作为数据包与规则匹配时要采取的操作。在第一条规则中,该操作是允许或接受请求。但更进一步,可以看到将被删除或拒绝的请求。
请记住,订单很重要。这是因为iptables将通过其每个规则运行请求,但只有在匹配之后才会运行。因此,对youtube.com的传出浏览器请求将传递前四个规则,但是当它到达-dport 80或-dport 443规则时,取决于它是HTTP还是HTTPS请求,它将被丢弃。iptables不会再费心检查因为那是一场比赛。
另一方面,当ubuntu.com达到其适当的规则时,系统请求ubuntu.com进行软件升级。显然,我们在这里做的是允许仅向我们的BigMart或Ubuntu目的地发送HTTP或HTTPS请求而不允许其他目的地。
最后两条规则将处理传入的SSH请求。它们不会被前两个丢弃规则拒绝,因为它们不使用端口80或443,而是22。在这种情况下,将接受来自我的工作站的登录请求,但是其他任何地方的请求都将被删除。这很重要:确保用于端口22规则的IP地址与用于登录的计算机的地址相匹配,如果不这样做,将立即被锁定。当然,这没什么大不了的,因为它当前配置的方式,你只需重新启动服务器,iptables规则都将被删除。如果使用LXC容器作为服务器并从LXC主机登录,则使用主机用于连接容器的IP地址,而不是其公共地址。
如果机器的IP发生变化,需要记住更新此规则,否则,你会被锁定。
在家里测试(希望是在一台丢弃的虚拟机上)?太好了,创建自己的脚本。现在可以保存脚本,使用chmod使其可执行,并以sudo的方式运行它。不要担心bigmar -data.com没有发现错误——当然不会发现,它不存在。
chmod X scriptname.sh
sudo ./scriptname.sh
可以使用cURL从命令行测试防火墙,请求ubuntu.com工作,但manning.com失败。
curl ubuntu.com
curl manning.com
配置iptables以在系统引导时加载
现在,如何在每次自助服务终端启动时自动加载这些规则?第一步是使用iptables-save工具将当前规则保存到.rules文件。这将在根目录中创建一个包含规则列表的文件,管道,后跟tee命令,是将sudo权限应用于字符串的第二部分所必需的:实际将文件保存到受限制的根目录。
然后,我可以告诉系统每次启动时都运行一个名为iptables-restore的相关工具。我们在上一个模块中看到的常规cron作业无济于事,因为它们是在设定的时间运行,但我们不知道我们的计算机何时可能决定崩溃并重新启动。
有很多方法可以解决这个问题。这是一个:
在我的Linux机器上,我将安装一个名为anacron的程序,该程序将在/etc/目录中为我们提供一个名为anacrontab的文件。我将编辑该文件并添加此iptables-restore命令,告诉它在启动一分钟后每天(必要时)将该.rules文件的当前值加载到iptables中。我将给作业一个标识符(iptables-restore),然后添加命令本身。既然你在家里测试,你应该通过重新启动你的系统来测试所有这些。
sudo iptables-save | sudo tee /root/my.active.firewall.rules
sudo apt install anacron
sudo nano /etc/anacrontab
1 1 iptables-restore iptables-restore < /root/my.active.firewall.rules
我希望这些实际例子说明了如何使用iptables和firewalld来管理基于Linux的防火墙的连接问题。
关于作者
DAVID CLINTON是系统管理员,教师和作家。他为许多重要的技术主题管理,撰写和创建了培训材料,包括Linux系统,云计算和Docker等容器技术。
原文链接:
https://opensource.com/article/18/9/linux-iptables-firewalld