Linux 防火墙：关于 iptables 和 firewalld 您需要了解的

本文摘录自我的著作《Linux in Action》以及即将发布的第二本 Manning 项目书籍。

防火墙

防火墙是一组规则。当数据包进入或离开受保护的网络空间时，会根据防火墙规则测试其内容（特别是关于其来源、目标以及计划使用的协议的信息），以查看是否应允许其通过。这是一个简单的例子

图片来源

^{防火墙可以根据协议或基于目标的规则来过滤请求。}

一方面，iptables 是用于管理 Linux 机器上防火墙规则的工具。

另一方面，firewalld 也是用于管理 Linux 机器上防火墙规则的工具。

您对此有疑问吗？如果我告诉您还有另一个名为 nftables 的工具，您会感到扫兴吗？

好吧，我承认整件事确实有点奇怪，所以让我解释一下。这一切都始于 Netfilter，它在 Linux 内核模块级别控制对网络堆栈的访问。几十年来，用于管理 Netfilter 钩子的主要命令行工具是 iptables 规则集。

由于调用这些规则所需的语法可能显得有些晦涩难懂，因此引入了各种用户友好的实现，例如 ufw 和 firewalld，作为更高级别的 Netfilter 解释器。然而，Ufw 和 firewalld 主要旨在解决独立计算机面临的各种问题。构建完整的网络解决方案通常需要 iptables 或自 2014 年以来的替代品 nftables（通过 nft 命令行工具）的额外力量。

iptables 并没有消失，并且仍然被广泛使用。事实上，您应该预料到在您作为管理员的未来工作中会遇到受 iptables 保护的网络多年。但是 nftables 通过添加到经典的 Netfilter 工具集，带来了一些重要的新功能。

接下来，我将通过示例展示 firewalld 和 iptables 如何解决简单的连接问题。

使用 firewalld 配置 HTTP 访问

正如您可能从其名称中猜到的那样，firewalld 是 systemd 家族的一部分。Firewalld 可以安装在 Debian/Ubuntu 机器上，但在 Red Hat 和 CentOS 上默认存在。如果您的机器上运行着像 Apache 这样的 Web 服务器，您可以通过浏览到服务器的 Web 根目录来确认防火墙是否正在工作。如果站点无法访问，则 firewalld 正在执行其工作。

您将使用 firewall-cmd 工具从命令行管理 firewalld 设置。添加 –state 参数会返回当前的防火墙状态

# firewall-cmd --state
running

默认情况下，firewalld 将处于活动状态，并将拒绝所有传入流量，但有一些例外，例如 SSH。这意味着您的网站不会获得太多访问者，这肯定会为您节省大量数据传输成本。但是，由于这可能不是您对 Web 服务器的期望，因此您需要打开 HTTP 和 HTTPS 端口，按照惯例，它们分别被指定为 80 和 443。firewalld 提供了两种方法来执行此操作。一种是通过 –add-port 参数，该参数直接引用端口号以及它将使用的网络协议（在本例中为 TCP）。–permanent 参数告诉 firewalld 每次服务器启动时都加载此规则

# firewall-cmd --permanent --add-port=80/tcp
# firewall-cmd --permanent --add-port=443/tcp

–reload 参数会将这些规则应用于当前会话

# firewall-cmd --reload

想知道防火墙上的当前设置吗？运行 –list-services

# firewall-cmd --list-services
dhcpv6-client http https ssh

假设您已按照前面描述的方式添加了浏览器访问，则 HTTP、HTTPS 和 SSH 端口现在都应该已打开——以及 dhcpv6-client，它允许 Linux 从本地 DHCP 服务器请求 IPv6 IP 地址。

使用 iptables 配置锁定的客户自助服务终端

我相信您见过自助服务终端——它们是机场、图书馆和企业随意放置的平板电脑、触摸屏和类似 ATM 的盒装 PC，邀请顾客和路人浏览内容。关于大多数自助服务终端的事情是，您通常不希望用户随意使用它们，并将它们当作自己的设备。它们通常不是用于浏览、观看 YouTube 视频或对五角大楼发起拒绝服务攻击的。因此，为了确保它们不被滥用，您需要锁定它们。

一种方法是应用某种自助服务终端模式，无论是通过巧妙地使用 Linux 显示管理器还是在浏览器级别。但是为了确保您已堵住所有漏洞，您可能还需要通过防火墙添加一些硬网络控制。在以下部分中，我将描述我将如何使用 iptables 来做到这一点。

关于使用 iptables，有两件重要的事情要记住：您给出规则的顺序至关重要，并且 iptables 规则本身在重新启动后不会幸存。我将在这里一次解决一个问题。

自助服务终端项目

为了说明这一切，让我们想象一下我们为一家名为 BigMart 的大型连锁店工作。他们已经存在了几十年；事实上，我们想象中的祖父母可能在那里长大购物。但如今，BigMart 公司总部的家伙可能只是在倒计时亚马逊将他们彻底击垮的时间。

尽管如此，BigMart 的 IT 部门正在尽力而为，他们刚刚向您发送了一些支持 WiFi 的自助服务终端设备，您需要在商店的战略位置安装这些设备。其想法是，它们将显示一个 Web 浏览器，该浏览器已登录到 BigMart.com 产品页面，允许他们查找商品功能、过道位置和库存水平。自助服务终端还需要访问 bigmart-data.com，其中存储了许多图像和视频媒体。

除了这些，您还需要允许更新，并在必要时允许软件包下载。最后，您需要仅允许从本地工作站进行入站 SSH 访问，并阻止其他所有人。下图说明了这一切将如何运作

图片来源

^{由 iptables 控制的自助服务终端流量。}

脚本

以下是如何将所有这些内容放入 Bash 脚本中

#!/bin/bash
iptables -A OUTPUT -p tcp -d bigmart.com -j ACCEPT
iptables -A OUTPUT -p tcp -d bigmart-data.com -j ACCEPT
iptables -A OUTPUT -p tcp -d ubuntu.com -j ACCEPT
iptables -A OUTPUT -p tcp -d ca.archive.ubuntu.com -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j DROP
iptables -A OUTPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p tcp -s 10.0.3.1 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP

我们规则的基本结构以 -A 开头，告诉 iptables 我们要添加以下规则。OUTPUT 表示此规则应成为 OUTPUT 链的一部分。-p 表示此规则将仅适用于使用 TCP 协议的数据包，其中，正如 -d 告诉我们的那样，目标是 bigmart.com。-j 标志指向 ACCEPT 作为数据包与规则匹配时要采取的操作。在第一个规则中，该操作是允许或接受请求。但是在下面，您可以看到将被丢弃或拒绝的请求。

请记住，顺序很重要。这是因为 iptables 将运行一个请求通过其每个规则，但仅在它获得匹配项之前。因此，对 youtube.com 的传出浏览器请求将通过前四个规则，但是当它到达 –dport 80 或 –dport 443 规则时——取决于它是 HTTP 还是 HTTPS 请求——它将被丢弃。iptables 不会费心进一步检查，因为这是一个匹配项。

另一方面，对 ubuntu.com 的系统请求将在命中其适当的规则时通过。显然，我们在这里所做的是仅允许对我们的 BigMart 或 Ubuntu 目的地以及其他目的地发出传出的 HTTP 或 HTTPS 请求。

最后两个规则将处理传入的 SSH 请求。它们不会已经被前两个丢弃规则拒绝，因为它们不使用端口 80 或 443，而是 22。在这种情况下，来自我的工作站的登录请求将被接受，但来自其他任何地方的请求将被丢弃。这很重要：确保您用于端口 22 规则的 IP 地址与您用于登录的机器的地址匹配——如果您不这样做，您将被立即锁定。当然，这没什么大不了的，因为按照目前的配置方式，您可以简单地重新启动服务器，iptables 规则将全部被丢弃。如果您使用 LXC 容器作为服务器并从 LXC 主机登录，则使用您的主机用于连接到容器的 IP 地址，而不是其公共地址。

如果我的机器的 IP 发生变化，您需要记住更新此规则；否则，您将被锁定。

在家一起玩（希望在某种抛弃型 VM 上）？太好了。创建您自己的脚本。现在我可以保存脚本，使用 chmod 使其可执行，并以 sudo 身份运行它。不用担心 bigmart-data.com not found 错误——当然找不到它；它不存在。

chmod +X scriptname.sh
sudo ./scriptname.sh

您可以使用 cURL 从命令行测试您的防火墙。请求 ubuntu.com 可以工作，但 manning.com 失败。

curl ubuntu.com
curl manning.com

配置 iptables 在系统启动时加载

现在，我如何让这些规则在每次自助服务终端启动时自动加载？第一步是使用 iptables-save 工具将当前规则保存到 .rules 文件。这将在根目录中创建一个文件，其中包含规则列表。管道，后跟 tee 命令，对于将我的 sudo 权限应用于字符串的第二部分是必要的：将文件实际保存到原本受限制的根目录。

然后，我可以告诉系统每次启动时运行一个名为 iptables-restore 的相关工具。我们在上一个模块中看到的常规 cron 作业没有帮助，因为它们在设定的时间运行，但我们不知道我们的计算机何时可能决定崩溃并重新启动。

有很多方法可以处理这个问题。这是一个

在我的 Linux 机器上，我将安装一个名为 anacron 的程序，它将为我们在 /etc/ 目录中提供一个名为 anacrontab 的文件。我将编辑该文件并添加此 iptables-restore 命令，告诉它每天（必要时）在启动后一分钟将该 .rules 文件的当前值加载到 iptables 中。我将为作业提供一个标识符 (iptables-restore)，然后添加命令本身。由于您在家与我一起玩，因此您应该通过重新启动系统来测试所有这些。

sudo iptables-save | sudo tee /root/my.active.firewall.rules
sudo apt install anacron
sudo nano /etc/anacrontab
1 1 iptables-restore iptables-restore < /root/my.active.firewall.rules

我希望这些实际示例说明了如何使用 iptables 和 firewalld 来管理基于 Linux 的防火墙上的连接问题。