亚游wwwag8com
你好,游客 登录 注册
背景:
阅读新闻

Linux 防火墙:关于 iptables 和 firewalld 的那些事

[日期:2018-10-06] 来源:Linux中国  作者:Linux [字体: ]

亚游wwwag8com,  九城第三季度的收入与华尔街分析师的预期相差10万美元,每股盈利相差8美分,导致九城股价在业绩公布后的次日下挫了12.3%。但《》的商业化运作所取得的成就,我们认为仍然是相当出色的。

  高盛分析师里克·谢朗德(Rick Sherlund)预计,从今年7月开始,微软将追加20亿美元的投资,其中大部分将用于组建广告支持的在线商务平台,平台将效仿Google和雅虎的已有模式。巴尔默承认,在网络广告上,微软已落后于Google和雅虎,但今后仍有时间去赢得更多网络广告商和用户。他说:“我们在这场竞争中已稍微落在了后面,但要成为最后赢家,将取决于它能否为家和消费者创造巨大。”违规攀登四姑娘山遇难者男友独自离开?救援者回应  其实一直以来不少产品生产商都会在消音室内进行各种声音测试,当然微软也不会例外,其华盛顿总部的Building 87就本身设有三间消音室,而当中最大的一间较早前更成功打破迪尼斯世界纪录,成为全球最宁静的地方。据了解该消音室采用了相当特别的设计,室内墙壁全部都铺满了特殊隔音,并经过精心计算排列成特定形状,以确保所有声音都会被完全吸收而不会反弹。

以下是如何使用 iptables 和 firewalld 工具来管理 Linux 防火墙规则。

防火墙

防火墙是一组规则。当数据包进出受保护的网络区域时,进出内容(特别是关于其来源、目标和使用的协议等信息)会根据防火墙规则进行检测,以确定是否允许其通过。下面是一个简单的例子:

防火墙可以根据协议或基于目标的规则过滤请求。

防火墙可以根据协议或基于目标的规则过滤请求。

一方面, iptables 是 Linux 机器上管理防火墙规则的工具。

另一方面,firewalld 也是 Linux 机器上管理防火墙规则的工具。

你有什么问题吗?如果我告诉你还有另外一种工具,叫做 nftables,这会不会糟蹋你的美好一天呢?

好吧,我承认整件事确实有点好笑,所以让我来解释一下。这一切都从 Netfilter 开始,它在 Linux 内核模块级别控制访问网络栈。几十年来,管理 Netfilter 钩子的主要命令行工具是 iptables 规则集。

因为调用这些规则所需的语法看起来有点晦涩难懂,所以各种用户友好的实现方式,如 ufw 和 firewalld 被引入,作为更高级别的 Netfilter 解释器。然而,ufw 和 firewalld 主要是为解决单独的计算机所面临的各种问题而设计的。构建全方面的网络解决方案通常需要 iptables,或者从 2014 年起,它的替代品 nftables (nft 命令行工具)。

iptables 没有消失,仍然被广泛使用着。事实上,在未来的许多年里,作为一名管理员,你应该会使用 iptables 来保护的网络。但是 nftables 通过操作经典的 Netfilter 工具集带来了一些重要的崭新的功能。

从现在开始,我将通过示例展示 firewalld 和 iptables 如何解决简单的连接问题。

使用 firewalld 配置 HTTP 访问

正如你能从它的名字中猜到的,firewalld 是 systemd 家族的一部分。firewalld 可以安装在 Debian/Ubuntu 机器上,不过,它默认安装在 RedHatCentOS 上。如果您的计算机上运行着像 Apache 这样的 web 服务器,您可以通过浏览服务器的 web 根目录来确认防火墙是否正在工作。如果网站不可访问,那么 firewalld 正在工作。

你可以使用 firewall-cmd 工具从命令行管理 firewalld 设置。添加 –state 参数将返回当前防火墙的状态:

  1. # firewall-cmd --state
  2. running

默认情况下,firewalld 处于运行状态,并拒绝所有传入流量,但有几个例外,如 SSH。这意味着你的网站不会有太多的访问者,这无疑会为你节省大量的数据传输成本。然而,这不是你对 web 服务器的要求,你希望打开 HTTP 和 HTTPS 端口,按照惯例,这两个端口分别被指定为 80 和 443。firewalld 提供了两种方法来实现这个功能。一个是通过 –add-port 参数,该参数直接引用端口号及其将使用的网络协议(在本例中为TCP)。 另外一个是通过 –permanent 参数,它告诉 firewalld 在每次服务器启动时加载此规则:

  1. # firewall-cmd --permanent --add-port=80/tcp
  2. # firewall-cmd --permanent --add-port=443/tcp

–reload 参数将这些规则应用于当前会话:

  1. # firewall-cmd --reload

查看当前防火墙上的设置,运行 –list-services

  1. # firewall-cmd --list-services
  2. dhcpv6-client http https ssh

假设您已经如前所述添加了浏览器访问,那么 HTTP、HTTPS 和 SSH 端口现在都应该是和 dhcpv6-client 一样开放的 —— 它允许 Linux 从本地 DHCP 服务器请求 IPv6 IP 地址。

使用 iptables 配置锁定的客户信息亭

我相信你已经看到了信息亭——它们是放在机场、图书馆和商务场所的盒子里的平板电脑、触摸屏和 ATM 类电脑,邀请顾客和路人浏览内容。大多数信息亭的问题是,你通常不希望用户像在自己家一样,把他们当成自己的设备。它们通常不是用来浏览、观看 YouTube 视频或对五角大楼发起拒绝服务攻击的。因此,为了确保它们没有被滥用,你需要锁定它们。

一种方法是应用某种信息亭模式,无论是通过巧妙使用 Linux 显示管理器还是控制在浏览器级别。但是为了确保你已经堵塞了所有的漏洞,你可能还想通过防火墙添加一些硬性的网络控制。在下一节中,我将讲解如何使用iptables 来完成。

关于使用 iptables,有两件重要的事情需要记住:你给出的规则的顺序非常关键;iptables 规则本身在重新启动后将无法保持。我会一次一个地在解释这些。

信息亭项目

为了说明这一切,让我们想象一下,我们为一家名为 BigMart 的大型连锁商店工作。它们已经存在了几十年;事实上,我们想象中的祖父母可能是在那里购物并长大的。但是如今,BigMart 公司总部的人可能只是在数着亚马逊将他们永远赶下去的时间。

尽管如此,BigMart 的 IT 部门正在尽他们最大努力提供解决方案,他们向你发放了一些具有 WiFi 功能信息亭设备,你在整个商店的战略位置使用这些设备。其想法是,登录到 BigMart.com 产品页面,允许查找商品特征、过道位置和库存水平。信息亭还允许进入 bigmart-data.com,那里储存着许多图像和视频媒体信息。

除此之外,您还需要允许下载软件包更新。最后,您还希望只允许从本地工作站访问 SSH,并阻止其他人登录。下图说明了它将如何工作:

信息亭流量IP表

kiosk traffic flow ip tables

*信息亭业务流由 iptables 控制。 *

脚本

以下是 Bash 脚本内容:

  1. #!/bin/bash
  2. iptables -A OUTPUT -p tcp -d bigmart.com -j ACCEPT
  3. iptables -A OUTPUT -p tcp -d bigmart-data.com -j ACCEPT
  4. iptables -A OUTPUT -p tcp -d ubuntu.com -j ACCEPT
  5. iptables -A OUTPUT -p tcp -d ca.archive.ubuntu.com -j ACCEPT
  6. iptables -A OUTPUT -p tcp --dport 80-j DROP
  7. iptables -A OUTPUT -p tcp --dport 443-j DROP
  8. iptables -A INPUT -p tcp -s 10.0.3.1--dport 22-j ACCEPT
  9. iptables -A INPUT -p tcp -s 0.0.0.0/0--dport 22-j DROP

我们从基本规则 -A 开始分析,它告诉 iptables 我们要添加规则。OUTPUT 意味着这条规则应该成为输出链的一部分。-p 表示该规则仅使用 TCP 协议的数据包,正如 -d 告诉我们的,目的地址是 亚游wwwag8combigmart.com-j 参数的作用是当数据包符合规则时要采取的操作是 ACCEPT。第一条规则表示允许(或接受)请求。但,往下的规则你能看到丢弃(或拒绝)的请求。

规则顺序是很重要的。因为 iptables 会对一个请求遍历每个规则,直到遇到匹配的规则。一个向外发出的浏览器请求,比如访问 bigmart.com 是会通过的,因为这个请求匹配第一条规则,但是当它到达 dport 80dport 443 规则时——取决于是 HTTP 还是 HTTPS 请求——它将被丢弃。当遇到匹配时,iptables 不再继续往下检查了。(LCTT 译注:此处原文有误,径改。)

另一方面,向 ubuntu.com 发出软件升级的系统请求,只要符合其适当的规则,就会通过。显然,我们在这里做的是,只允许向我们的 BigMart 或 Ubuntu 发送 HTTP 或 HTTPS 请求,而不允许向其他目的地发送。

最后两条规则将处理 SSH 请求。因为它不使用端口 80 或 443 端口,而是使用 22 端口,所以之前的两个丢弃规则不会拒绝它。在这种情况下,来自我的工作站的登录请求将被接受,但是对其他任何地方的请求将被拒绝。这一点很重要:确保用于端口 22 规则的 IP 地址与您用来登录的机器的地址相匹配——如果不这样做,将立即被锁定。当然,这没什么大不了的,因为按照目前的配置方式,只需重启服务器,iptables 规则就会全部丢失。如果使用 LXC 容器作为服务器并从 LXC 主机登录,则使用主机 IP 地址连接容器,而不是其公共地址。

如果机器的 IP 发生变化,请记住更新这个规则;否则,你会被拒绝访问。

在家玩(是在某种一次性虚拟机上)?太好了。创建自己的脚本。现在我可以保存脚本,使用 chmod 使其可执行,并以 sudo 的形式运行它。不要担心“igmart-data.com 没找到”之类的错误 —— 当然没找到;它不存在。

  1. chmod+X scriptname.sh
  2. sudo./scriptname.sh

你可以使用 cURL 命令行测试防火墙。请求 ubuntu.com 奏效,但请求 亚游wwwag8commanning.com 是失败的 。

  1. curl ubuntu.com
  2. curl manning.com

配置 iptables 以在系统启动时加载

现在,我如何让这些规则在每次信息亭启动时自动加载?第一步是将当前规则保存。使用 iptables-save 工具保存规则文件。这将在根目录中创建一个包含规则列表的文件。管道后面跟着 tee 命令,是将我的sudo 权限应用于字符串的第二部分:将文件实际保存到否则受限的根目录。

然后我可以告诉系统每次启动时运行一个相关的工具,叫做 iptables-restore 。我们在上一章节(LCTT 译注:指作者的书)中看到的常规 cron 任务并不适用,因为它们在设定的时间运行,但是我们不知道什么时候我们的计算机可能会决定崩溃和重启。

有许多方法来处理这个问题。这里有一个:

在我的 Linux 机器上,我将安装一个名为 亚游wwwag8comanacron 的程序,该程序将在 /etc/ 目录中为我们提供一个名为 anacrontab 的文件。我将编辑该文件并添加这个 iptables-restore 命令,告诉它加载那个 .rule 文件的当前内容。当引导后,规则每天(必要时)01:01 时加载到 iptables 中(LCTT 译注:anacron 会补充执行由于机器没有运行而错过的 cron 任务,因此,即便 01:01 时机器没有启动,也会在机器启动会尽快执行该任务)。我会给该任务一个标识符(iptables-restore),然后添加命令本身。如果你在家和我一起这样,你应该通过重启系统来测试一下。

  1. sudo iptables-save |sudotee/root/my.active.firewall.rules
  2. sudo apt install anacron
  3. sudonano/etc/anacrontab
  4. 11 iptables-restore iptables-restore </root/my.active.firewall.rules

我希望这些实际例子已经说明了如何使用 iptables 和 firewalld 来管理基于 Linux 的防火墙上的连接问题。

via: 亚游wwwag8com/opensourced35ccom/article/18/9/linux-iptables-firewalld

作者:亚游wwwag8comDavid Clinton 选题:lujun9972 译者:heguangzhi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

Linux公社的RSS地址/wwwd35clinuxidcd35ccom/rssFeed.aspx

本文永久更新链接地址/wwwd35clinuxidcd35ccom/Linux/2018-10/154646.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
FB投资人呼吁扎克伯格放权 公司需要独立董事会主席 关键球5中4!今天谁也黑不成这位汽车城新核 中国海军陆战队出动万人千车远程训练 规模史上最大 杨利伟出任中国载人航天工程办公室主任 英超-萨拉赫进球利物浦4-0胜 切尔西0-3无缘前四 民警偷拍上司通奸举报后反被拘?官方回应来了 央视:比埃拉的进球太了不起 比赛像足协杯决赛 基辛格:世界处于严峻时期 大西洋分裂后患无穷 特朗普磨刀霍霍 中国要提防“狼真的来了!” 国安确认巴坎布缺战大连一方 提前归国陪爱妻待产 他汶川地震时曾救出29人后因诈骗获刑 如今咋样了 欧冠下赛季32强已定26席!西德英意席位全确定
小鸣单车进入破产程序 未退押金可申报债权 没见过这么戏精的:上百人微信群除受害者全是骗子 逗妹说体育:SKR?只是一次实力派和偶像派的较量而已 中国升级战机应对印度威胁?印网友:可虐印军 美方被曝拟对600亿美元中国商品征关税 中方回应 巴斯季后赛首秀10分3板 他一劣势被无限放大 江西文化厅:使命召唤9有轰炸天安门 是违禁游戏 特级飞行员点赞川航机长 解析“世界级”备降过程 德国经济部长:俄德经济对话有助于解决政治问题 韩媒:中国军机进入韩“防空识别区” 韩军机出动 长生科技董事长等15人被刑拘 澳洲男子向极端分子供枪致警员遇害 被判44年
美媒披露政府贸易高官与钢铁利益集团互相利用 欧联-阿森纳3-1逆转双杀AC米兰 马竞总分8-1晋级 9000分!哈德森里程碑之战!CBA得分榜第1外援 济南限购限贷要取消? 官方:误读 不会“加码” 男子为发泄情绪 用弹弓钢珠打碎13辆汽车玻璃被拘 巴萨5000万突击法甲妖锋!罗马官宣后出手截胡 美国议员向澳抛出南海“自由航行”提议 澳外长拒绝 午盘:联储今年或无需加息4次 美股继续上扬 白宫证实特朗普首席经济顾问人选:是位“名嘴” 博通提高收购高通报价 总额超1210亿美元 “新司考”拟提高门槛 报考者专业学历“从严” 虚拟货币交易平台迎来新一轮监管:发现一家关闭一家 陆慧明竞彩暴击2串1:拉齐奥主场输球 亚游wwwag8com