Linux防火墙:iptables和firewalld详解

如何使用iptables和firewalld工具来管理Linux防火墙连接规则。

本文摘自我的书“Linux in Action”和第二个尚未发布的Manning项目。

防火墙

防火墙是一组规则。当数据包流入或流出受保护的网络空间时，将根据防火墙规则测试其内容（特别是有关其来源，目标和计划使用的协议的信息），以确定是否应允许其通过。 这是一个简单的例子：

防火墙可以根据协议或基于目标的规则过滤请求

一方面，iptables是一种在Linux机器上管理防火墙规则的工具。

另一方面，firewalld也是用于管理Linux机器上的防火墙规则的工具。

你对此有看法？如果我告诉你那里还有另一种叫做nftables的工具，会破坏你一天的心情吗？

好吧，我承认整个事情确实有点搞笑，所以让我解释一下。这一切都始于Netfilter，它控制Linux内核模块级别的网络堆栈访问。几十年来，用于管理Netfilter钩子的主要命令行工具是iptables规则集。

因为调用这些规则所需的语法可能会有点神秘，ufw和firewalld等各种用户友好的实现被引入为更高级别的Netfilter解释器。但是，Ufw和firewalld主要用于解决独立计算机所面临的各种问题。构建全网络解决方案通常需要额外的iptables，或者自2014年以来，它需要更换nftables（通过nft命令行工具）。

iptables没有去任何地方，仍然被广泛使用。实际上，应该期望在未来许多年内作为管理员在工作中遇到受iptables保护的网络。但是nftables通过添加到经典的Netfilter工具集，带来了一些重要的新功能。

从这里开始，我将通过示例演示firewalld和iptables如何解决简单的连接问题。

使用firewalld配置HTTP访问

正如你可能从其名称中猜到的那样，firewalld是systemd系列的一部分。 firewalld可以安装在Debian/Ubuntu机器上，但默认情况下它安装在Red Hat和CentOS上。如果计算机上运行了像Apache这样的Web服务器，则可以通过浏览到服务器的Web根目录来确认防火墙是否正常工作。如果该站点无法访问，那么firewalld正在完成其工作。

你将使用firewall-cmd工具从命令行管理firewalld设置。添加-state参数将返回当前防火墙状态：

# firewall-cmd --state

running

默认情况下，firewalld将处于活动状态，并将通过一些例外来拒绝所有传入流量，例如SSH。这意味着你的网站不会有太多的访问者，这肯定会为你节省大量的数据传输成本。但是，由于这可能不是你对Web服务器的想法，因此你需要打开按照惯例分别指定为80和443的HTTP和HTTPS端口。firewalld提供了两种方法。一种是通过-add-port参数直接引用端口号以及它将使用的网络协议（在本例中为TCP），-permanent参数告诉firewalld每次服务器启动时加载此规则：

# firewall-cmd --permanent --add-port=80/tcp

# firewall-cmd --permanent --add-port=443/tcp

-reload参数将这些规则应用于当前会话：

# firewall-cmd --reload

对防火墙的当前设置很好奇？ 运行-list-services：

# firewall-cmd --list-services

dhcpv6-client http https ssh

假设你已按前面所述添加了浏览器访问权限，现在应该打开HTTP，HTTPS和SSH端口以及dhcpv6-client，这样Linux就可以从本地DHCP服务器请求IPv6 IP地址。

使用iptables配置锁定的自助服务终端

我相信你已经看到了自助服务终端，它们是平板电脑，触摸屏和类似ATM机的电脑，机场，图书馆和商家都在四处闲逛，邀请客户和路人浏览内容。关于大多数自助服务终端的事情是，你通常不希望用户像在自己家里对待自己的设备一样使用它们。它们通常不用于浏览，观看YouTube视频或针对五角大楼发起拒绝服务攻击。因此，为了确保它们不会被滥用，你需要锁定它们。

一种方法是应用某种自助服务终端模式，无论是通过巧妙地使用Linux显示管理器还是在浏览器级别。但是为了确保你已经封锁所有漏洞，你可能还想通过防火墙添加一些硬网络控制。在下一节中，我将描述如何使用iptables进行操作。

关于使用iptables，有两件重要的事情需要记住：你提供规则的顺序至关重要，并且iptables规则本身不会在重启后继续存在。我会一次一个地解决这些问题。

自助服务终端项目

为了说明这一切，让我们假设我们为一家名为BigMart的大型连锁店的商店工作。他们已经存在了几十年;事实上，我们想象中的祖父母可能在那里长大。但如今，在BigMart公司总部工作的人可能只是在计算亚马逊把他们永远干掉的时间。

尽管如此，BigMart的IT部门正在尽力而为，他们向你发送了一些支持WiFi的自助服务终端设备，你希望这些设备可以安装在整个商店的战略位置。他们的想法是，他们将显示登录BigMart.com产品页面的Web浏览器，允许他们查找商品功能，过道位置和库存水平。自助服务终端还需要访问bigmart-data.com，其中存储了许多图像和视频媒体。

除此之外，你还需要允许更新，并在必要时允许包下载。最后，你只想从本地工作站允许入站SSH访问，并阻止其他所有人。下图说明了它将如何工作：

自助服务终端的流量由iptables控制

脚本

以下是这些将适合Bash脚本的方式：

#!/bin/bash

iptables -A OUTPUT -p tcp -d bigmart.com -j ACCEPT

iptables -A OUTPUT -p tcp -d bigmart-data.com -j ACCEPT

iptables -A OUTPUT -p tcp -d ubuntu.com -j ACCEPT

iptables -A OUTPUT -p tcp -d ca.archive.ubuntu.com -j ACCEPT

iptables -A OUTPUT -p tcp --dport 80 -j DROP

iptables -A OUTPUT -p tcp --dport 443 -j DROP

iptables -A INPUT -p tcp -s 10.0.3.1 --dport 22 -j ACCEPT

iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP

我们规则的基本阐述从-A开始，告诉iptables我们要添加以下规则。OUTPUT表示此规则应成为OUTPUT链的一部分。-p表示此规则仅适用于使用TCP协议的数据包，正如-d告诉我们的那样，目标是bigmart.com。 -j标志指向ACCEPT，作为数据包与规则匹配时要采取的操作。在第一条规则中，该操作是允许或接受请求。但更进一步，可以看到将被删除或拒绝的请求。

请记住，订单很重要。这是因为iptables将通过其每个规则运行请求，但只有在匹配之后才会运行。因此，对youtube.com的传出浏览器请求将传递前四个规则，但是当它到达-dport 80或-dport 443规则时，取决于它是HTTP还是HTTPS请求，它将被丢弃。iptables不会再费心检查因为那是一场比赛。

另一方面，当ubuntu.com达到其适当的规则时，系统请求ubuntu.com进行软件升级。显然，我们在这里做的是允许仅向我们的BigMart或Ubuntu目的地发送HTTP或HTTPS请求而不允许其他目的地。

最后两条规则将处理传入的SSH请求。它们不会被前两个丢弃规则拒绝，因为它们不使用端口80或443，而是22。在这种情况下，将接受来自我的工作站的登录请求，但是其他任何地方的请求都将被删除。这很重要：确保用于端口22规则的IP地址与用于登录的计算机的地址相匹配，如果不这样做，将立即被锁定。当然，这没什么大不了的，因为它当前配置的方式，你只需重新启动服务器，iptables规则都将被删除。如果使用LXC容器作为服务器并从LXC主机登录，则使用主机用于连接容器的IP地址，而不是其公共地址。

如果机器的IP发生变化，需要记住更新此规则，否则，你会被锁定。

在家里测试(希望是在一台丢弃的虚拟机上)？太好了，创建自己的脚本。现在可以保存脚本，使用chmod使其可执行，并以sudo的方式运行它。不要担心bigmar -data.com没有发现错误——当然不会发现，它不存在。

chmod +X scriptname.sh

sudo ./scriptname.sh

可以使用cURL从命令行测试防火墙，请求ubuntu.com工作，但manning.com失败。

curl ubuntu.com

curl manning.com

配置iptables以在系统引导时加载

现在，如何在每次自助服务终端启动时自动加载这些规则？第一步是使用iptables-save工具将当前规则保存到.rules文件。这将在根目录中创建一个包含规则列表的文件，管道，后跟tee命令，是将sudo权限应用于字符串的第二部分所必需的：实际将文件保存到受限制的根目录。

然后，我可以告诉系统每次启动时都运行一个名为iptables-restore的相关工具。我们在上一个模块中看到的常规cron作业无济于事，因为它们是在设定的时间运行，但我们不知道我们的计算机何时可能决定崩溃并重新启动。

有很多方法可以解决这个问题。这是一个：

在我的Linux机器上，我将安装一个名为anacron的程序，该程序将在/etc/目录中为我们提供一个名为anacrontab的文件。我将编辑该文件并添加此iptables-restore命令，告诉它在启动一分钟后每天（必要时）将该.rules文件的当前值加载到iptables中。我将给作业一个标识符（iptables-restore），然后添加命令本身。既然你在家里测试，你应该通过重新启动你的系统来测试所有这些。

sudo iptables-save | sudo tee /root/my.active.firewall.rules

sudo apt install anacron

sudo nano /etc/anacrontab

1 1 iptables-restore iptables-restore < /root/my.active.firewall.rules

我希望这些实际例子说明了如何使用iptables和firewalld来管理基于Linux的防火墙的连接问题。

关于作者

DAVID CLINTON是系统管理员，教师和作家。他为许多重要的技术主题管理，撰写和创建了培训材料，包括Linux系统，云计算和Docker等容器技术。

原文链接：

https://opensource.com/article/18/9/linux-iptables-firewalld