防火墻
防火墻是一套規則。當數據包進入或離開受保護的網絡空間時,將根據防火墻規則測試數據包的內容(特別是有關其來源、目標和計劃使用的協議的信息),以確定是否應該允許數據包通過。下面是一個簡單的例子:
防火墻可以根據協議或基于目標的規則過濾請求.
一方面,iptables是管理Linux機器上防火墻規則的工具。
另一方面,firewalld也是管理Linux機器上防火墻規則的工具。
你對此有意見嗎?如果我告訴你外面還有另一個工具,叫做nftable?
好吧,我承認整件事聞起來有點怪怪的,所以讓我解釋一下。這一切都是從Netfilter開始的,Netfilter控制Linux內核模塊級別對網絡堆棧的訪問。幾十年來,管理Netfilter鉤子的主要命令行工具是iptables規則集。
因為調用這些規則所需的語法可能有點神秘,各種用戶友好的實現如下UFW并引入了Firewalld作為高級Netfilter解釋器.然而,UFW和Firewalld主要是為了解決獨立計算機所面臨的各種問題而設計的。構建全尺寸的網絡解決方案通常需要iptables的額外功能,或者自2014年以來,它的替代品nftable(通過nft命令行工具)。
iptables沒有去任何地方,而且仍然被廣泛使用。事實上,在未來的許多年里,您應該會在管理員的工作中遇到受iptables保護的網絡。但是nftable通過添加到經典的Netfilter工具集,帶來了一些重要的新功能。
從現在開始,我將通過示例演示Firewalld和iptables如何解決簡單的連接問題。
使用Firewalld配置HTTP訪問
正如您從其名稱中可能猜到的那樣,Firewalld是systemd一家人。Firewalld可以安裝在Debian/Ubuntu機器上,但在RedHat和CentOS上是默認的。如果在計算機上運行了像Apache這樣的Web服務器,則可以通過瀏覽服務器的Web根目錄來確認防火墻是否正常工作。如果這個網站無法到達,那么Firewalld就在做它的工作。
您將使用firewall-cmd工具來管理命令行中的Firewalld設置。添加–state參數返回當前防火墻狀態:
# firewall-cmd --state
running
默認情況下,Firewalld將處于活動狀態,并將拒絕所有傳入通信量,但有幾個例外情況,如SSH。這意味著您的網站將不會有太多的訪問者,這肯定會為您節省大量的數據傳輸成本。但是,由于這可能不是您對Web服務器的想法,所以您需要打開HTTP和HTTPS端口,按照約定,這兩個端口分別被指定為80和443。Firewalld提供了兩種方法來做到這一點。一個是通過–add-port參數,直接引用端口號以及它將使用的網絡協議(在本例中為TCP)。這,這個,那,那個–permanent參數告訴Firewalld在每次服務器啟動時加載此規則:
# firewall-cmd --permanent --add-port=80/tcp
# firewall-cmd --permanent --add-port=443/tcp
–reload參數將這些規則應用于本屆會議:
對防火墻上的當前設置很好奇嗎?跑–list-services:
# firewall-cmd --list-services
dhcpv6-client http https ssh
假設您添加了前面描述的瀏覽器訪問,HTTP、HTTPS和SSH端口現在都應該是打開的dhcpv6-client,它允許Linux從本地DHCP服務器請求IPv 6 IP地址。
使用iptables配置鎖定的客戶信息亭
我敢肯定你見過售貨亭-它們是平板電腦、觸摸屏和類似ATM的個人電腦-在一個包廂里,機場、圖書館和商務室隨處可見,邀請顧客和過路人瀏覽內容。大多數信息亭的特點是,你通常不希望用戶在家里把自己當成自己的設備。它們通常不是用來瀏覽、觀看youtube視頻或對五角大樓發起拒絕服務攻擊的。所以,為了確保它們不被濫用,你需要把它們鎖起來。
一種方法是應用某種Kiosk模式,無論是通過聰明地使用Linux顯示管理器還是在瀏覽器級別。但是,為了確保所有的漏洞都已堵塞,您可能還需要通過防火墻添加一些硬網絡控件。在下一節中,我將描述如何使用iptable來實現它。
關于使用iptables,有兩件重要的事情要記住:您給出的規則的順序是至關重要的,僅憑它本身,Iptable規則將無法在重新啟動后存活下來。我會在這里一次講一遍。
亭工程
為了說明這一切,讓我們想象一下,我們在一家名為BigMart的大型連鎖商店工作。他們已經存在了幾十年;事實上,我們想象中的祖父母很可能是在那里購物長大的。但如今,BigMart公司總部的人可能只是在數著亞馬遜(Amazon)把他們永遠趕下去之前的幾個小時。
盡管如此,BigMart的IT部門正在盡力而為,他們剛剛給您發送了一些WiFi準備的信息亭設備,您可以在整個商店的戰略位置安裝這些設備。他們的想法是,他們將顯示一個登錄到BigMart.com產品頁面的網頁瀏覽器,允許他們查找商品特征、走道位置和庫存級別。這些信息亭還需要訪問bigmart-data.com,那里存儲了許多圖像和視頻媒體。
除此之外,您還希望允許更新,并在必要時允許包下載。最后,您希望只允許從本地工作站訪問入站SSH,并阻止其他所有人。下圖說明了這一切將如何運作:
亭的交通流量由iptable控制。
劇本
下面是如何將所有這些都放入一個Bash腳本中:
#!/bin/bash
iptables -A OUTPUT -p tcp -d bigmart.com -j ACCEPT
iptables -A OUTPUT -p tcp -d bigmart-data.com -j ACCEPT
iptables -A OUTPUT -p tcp -d ubuntu.com -j ACCEPT
iptables -A OUTPUT -p tcp -d ca.archive.ubuntu.com -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j DROP
iptables -A OUTPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p tcp -s 10.0.3.1 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP
我們的規則的基本解剖是從-A告訴iptables我們要添加以下規則。OUTPUT這意味著這個規則應該成為輸出鏈的一部分。-p指示此規則僅適用于使用tcp協議的數據包,其中,-d告訴我們,目的地是bigmart.com。這,這個,那,那個-j標志指向ACCEPT作為當數據包與規則匹配時要采取的操作。在第一條規則中,該操作是允許或接受請求。但在更低的范圍內,您可以看到將被刪除或拒絕的請求。
記住秩序很重要。這是因為iptables將運行一個請求,超過它的每個規則,但只有在它得到匹配為止。所以一個向外發送的瀏覽器請求,比如說,youtube.com將通過前四條規則,但是當它到達–dport 80或–dport 443規則-取決于它是HTTP請求還是HTTPS請求-它將被刪除。Iptable不會再費心檢查了,因為那是匹配的。
另一方面,如果系統請求ubuntu.com進行軟件升級,那么當它達到適當的規則時,它就會通過。顯然,我們在這里所做的是只允許發送HTTP或HTTPS請求到我們的BigMart或Ubuntu目的地,而不是其他目的地。
最后兩個規則將處理傳入的SSH請求。由于它們不使用端口80或443,而是使用22,所以它們不會被前面的兩個DROP規則所拒絕。在這種情況下,從我的工作站登錄請求將被接受,但其他任何地方的請求將被刪除。這一點很重要:確保用于端口22規則的IP地址與用于登錄的機器的地址相匹配-如果不這樣做,您將立即被鎖在門外。當然,這沒什么大不了的,因為按照當前的配置方式,您可以簡單地重新啟動服務器,而iptables規則就會被刪除。如果您使用LXC容器作為您的服務器并從您的LXC主機登錄,那么使用您的主機用來連接到容器的IP地址,而不是它的公共地址。
如果我的機器的IP曾經改變,您需要記住更新這個規則;否則,您將被鎖在門外。
在家里玩(希望是在一個丟棄的VM上)?太棒了創建自己的腳本。現在我可以保存腳本,使用chmod使其可執行,并將其運行為sudo。別擔心bigmart-data.com not found錯誤-當然找不到;它不存在。
chmod +X scriptname.sh
sudo ./scriptname.sh
您可以在命令行中使用cURL。請求ubuntu.com有效,但是manning.com失敗了。
curl ubuntu.com
curl manning.com
將iptables配置為在系統啟動時加載
現在,我如何使這些規則自動加載每次售貨機啟動?第一步是使用iptables-save工具。這將在根目錄中創建一個包含規則列表的文件。這個管道,后面跟著tee命令,是應用我的sudo權限到字符串的第二部分:將文件實際保存到其他受限制的根目錄。
然后,我可以告訴系統運行一個名為iptables-restore每次它啟動。像我們在前面的模塊中看到的那樣的常規cron作業不會有幫助,因為它們是在設定的時間運行的,但是我們不知道我們的計算機何時會決定崩潰和重新啟動。
有很多方法來處理這個問題。這里有一個:
在我的Linux機器上,我將安裝一個名為anacron這將在/etc/目錄中提供一個名為anacrontab的文件。我將編輯該文件并添加以下內容iptables-restore命令,告訴它每天(必要時)在啟動后一分鐘將該.Rule文件的當前值加載到iptables中。我會給作業一個標識符(iptables-restore),然后添加命令本身。既然你在家里和我一起玩,你應該重新啟動你的系統來測試這一切。
sudo iptables-save | sudo tee /root/my.active.firewall.rules
sudo apt install anacron
sudo nano /etc/anacrontab
1 1 iptables-restore iptables-restore < /root/my.active.firewall.rules
我希望這些實際的例子已經說明了如何使用iptables和Firewalld來管理基于Linux的防火墻上的連接問題。
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,謝謝大家對腳本之家的支持。如果你想了解更多相關內容請查看下面相關鏈接
