如何向百度提交站点收录信息,江苏固茗建设有限公司网站,网站建设人员安排,wordpress 订阅者前些天发现了一个巨牛的人工智能学习网站#xff0c;通俗易懂#xff0c;风趣幽默#xff0c;忍不住分享一下给大家。点击跳转到网站。
简介
实施防火墙是保护服务器的重要步骤。其中很大一部分是决定强制执行对网络流量的限制的个别规则和策略。像 iptables 这样的防火墙…前些天发现了一个巨牛的人工智能学习网站通俗易懂风趣幽默忍不住分享一下给大家。点击跳转到网站。
简介
实施防火墙是保护服务器的重要步骤。其中很大一部分是决定强制执行对网络流量的限制的个别规则和策略。像 iptables 这样的防火墙还允许您对应用规则的结构框架发表意见。
在本指南中我们将构建一个可以作为更复杂规则集基础的防火墙。这个防火墙主要关注于提供合理的默认设置并建立一个鼓励易于扩展性的框架。我们将在 Ubuntu 14.04 服务器上演示这一点。
先决条件
在开始之前您应该对您希望实施的防火墙策略有一个基本的了解。您可以按照本指南来更好地了解一些您应该考虑的事项。
为了跟随本指南您需要访问一个配置了 sudo 权限的非 root 用户的 Ubuntu 14.04 服务器。您可以在我们的 Ubuntu 14.04 初始服务器设置指南中了解如何配置这种类型的用户。
当您完成后请继续以下步骤。
安装持久防火墙服务
要开始如果您还没有安装 iptables-persistent 包您需要安装它。这将允许我们保存我们的规则集并在启动时自动应用它们
sudo apt-get update
sudo apt-get install iptables-persistent在安装过程中您将被问及是否要保存当前规则。在这里选择 “yes”。我们将稍后编辑生成的规则文件。
本指南中 IPv6 的说明
在开始之前我们应该简要讨论一下 IPv4 与 IPv6。iptables 命令只处理 IPv4 流量。对于 IPv6 流量使用一个名为 ip6tables 的单独的伴随工具。规则存储在单独的表和链中。对于 iptables-persistentIPv4 规则写入和读取自 /etc/iptables/rules.v4而 IPv6 规则保存在 /etc/iptables/rules.v6。
本指南假设您的服务器不主动使用 IPv6。如果您的服务不使用 IPv6最安全的做法是完全阻止访问正如我们在本文中将要做的那样。
实施基本防火墙策略快速方式
为了尽快开始运行我们将向您展示如何直接编辑规则文件以复制并粘贴完成的防火墙策略。之后我们将解释一般策略并向您展示如何使用 iptables 命令来实现这些规则而不是修改文件。
为了实施我们的防火墙策略和框架我们将编辑 /etc/iptables/rules.v4 和 /etc/iptables/rules.v6 文件。使用 sudo 权限在文本编辑器中打开 rules.v4 文件
sudo nano /etc/iptables/rules.v4在文件中您将看到类似以下内容的文件 # Generated by iptables-save v1.4.21 on Tue Jul 28 13:29:56 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Tue Jul 28 13:29:56 2015将内容替换为 *filter
# 允许所有出站流量但默认情况下拒绝入站和转发数据包
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]# 自定义协议链
:UDP - [0:0]
:TCP - [0:0]
:ICMP - [0:0]# 可接受的 UDP 流量# 可接受的 TCP 流量
-A TCP -p tcp --dport 22 -j ACCEPT# 可接受的 ICMP 流量# 标准接受策略
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT# 拒绝无效数据包
-A INPUT -m conntrack --ctstate INVALID -j DROP# 将流量传递到特定协议链
## 仅允许新连接已建立和相关的连接应已处理
## 对于 TCP此外仅允许新的 SYN 数据包因为这是建立新 TCP 连接的唯一有效方法
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP
-A INPUT -p icmp -m conntrack --ctstate NEW -j ICMP# 拒绝任何已经到达此点的流量## 尝试使用协议特定的拒绝消息
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp-proto-unreachable# 提交更改
COMMIT*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT*security
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT保存并关闭文件。
您可以通过输入以下命令来测试文件的语法错误。在继续之前修复任何此命令显示的语法错误
sudo iptables-restore -t /etc/iptables/rules.v4接下来打开 /etc/iptables/rules.v6 文件以修改 IPv6 规则
sudo nano /etc/iptables/rules.v6我们可以通过替换文件的内容为以下配置来阻止所有 IPv6 流量 *filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT*raw
:PREROUTING DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT*nat
:PREROUTING DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
:POSTROUTING DROP [0:0]
COMMIT*security
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT*mangle
:PREROUTING DROP [0:0]
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:POSTROUTING DROP [0:0]
COMMIT保存并关闭文件。
要测试此文件的语法错误我们可以使用 ip6tables-restore 命令和 -t 选项
sudo ip6tables-restore -t /etc/iptables/rules.v6当两个规则文件都报告没有语法错误时您可以通过输入以下命令来应用其中的规则
sudo service iptables-persistent reload这将立即实施文件中概述的策略。您可以通过列出当前使用的 iptables 规则来验证这一点
sudo iptables -S
sudo ip6tables -S这些防火墙规则将在每次启动时重新应用。测试以确保您仍然可以登录并且所有其他访问都被阻止。
我们一般防火墙策略的解释
在上述规则中构建的基本防火墙中我们创建了一个可轻松调整以添加或删除规则的可扩展框架。对于 IPv4 流量我们主要关注 filter 表中的 INPUT 链。此链将处理所有发送到我们服务器的数据包。我们还允许所有出站流量并拒绝所有数据包转发这只有在此服务器作为其他主机的路由器时才合适。我们在所有其他表中接受数据包因为我们只想在本指南中过滤数据包。
一般来说我们的规则建立了一个默认拒绝传入流量的防火墙。然后我们开始创建例外以排除我们希望从此策略中排除的服务和流量类型。
在主 INPUT 链中我们添加了一些通用规则用于处理我们确信始终以相同方式处理的流量。例如我们始终希望拒绝被视为“无效”的数据包并且我们始终希望允许本地回环接口上的流量以及与已建立连接相关的数据。
之后我们根据流量使用的协议匹配流量并将其转移到协议特定的链。这些协议特定的链旨在保存匹配并允许特定服务的规则。在此示例中我们在 TCP 链中仅允许 SSH 服务。如果我们提供另一个服务比如 HTTP(S) 服务器我们也可以在这里添加例外。这些链将是大部分自定义的重点。
任何不符合通用规则或协议特定服务规则的流量都由 INPUT 链中的最后几条规则处理。我们将默认策略设置为防火墙的 DROP这将拒绝通过我们的规则的数据包。但是INPUT 链末尾的规则会拒绝数据包并向客户端发送一条消息模拟服务器在该端口上没有运行服务时的响应。
对于 IPv6 流量我们简单地拒绝所有流量。我们的服务器没有使用此协议因此最安全的做法是根本不与流量交互。
(可选) 更新域名服务器
阻止所有 IPv6 流量可能会干扰服务器在互联网上解析事物的方式。例如这可能会影响您使用 APT。
如果您在运行 apt-get update 时遇到以下错误 Err http://security.ubuntu.com trusty-security InReleaseErr http://security.ubuntu.com trusty-security Release.gpgCould not resolve security.ubuntu.com. . .您应该按照以下步骤使 APT 再次正常工作。
首先将您的域名服务器设置为外部域名服务器。以下示例使用了 Google 的域名服务器。打开 /etc/network/interfaces 进行编辑
sudo nano /etc/network/interfaces按照以下所示更新 dns-nameservers 行 . . .
iface eth0 inet6 staticaddress 2604:A880:0800:0010:0000:0000:00B2:0001netmask 64gateway 2604:A880:0800:0010:0000:0000:0000:0001autoconf 0dns-nameservers 8.8.8.8 8.8.4.4刷新您的网络设置
sudo ifdown eth0 sudo ifup eth0预期输出为 RTNETLINK answers: No such process
Waiting for DAD... Done接下来创建一个新的防火墙规则以在 IPv4 可用时强制使用 IPv4。创建这个新文件
sudo nano /etc/apt/apt.conf.d/99force-ipv4在文件中添加以下一行 Acquire::ForceIPv4 true;保存并关闭文件。现在您应该能够使用 APT 了。
使用 IPTables 命令实现我们的防火墙
现在您了解了我们构建的策略背后的一般思想我们将介绍如何使用 iptables 命令创建这些规则。我们最终将得到与上面指定的相同规则但我们将通过逐步添加规则来创建我们的策略。因为 iptables 立即应用每个规则所以规则排序非常重要我们将拒绝数据包的规则留到最后。
重置您的防火墙
我们将首先重置我们的防火墙规则以便了解如何从命令行构建策略。您可以通过输入以下命令来清除所有规则
sudo service iptables-persistent flush您可以通过输入以下命令来验证您的规则是否已重置
sudo iptables -S您应该看到 filter 表中的规则已经消失并且所有链上的默认策略都设置为 ACCEPT
[secondary_label output]
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT创建特定协议的链
我们将首先创建所有特定协议的链。这些链将用于保存我们希望公开的服务的拒绝策略的规则。我们将为 UDP 流量创建一个链为 TCP 创建一个链为 ICMP 创建一个链
sudo iptables -N UDP
sudo iptables -N TCP
sudo iptables -N ICMP我们可以立即添加 SSH 流量的例外。SSH 使用 TCP因此我们将添加一个规则以接受目标端口为 22 的 TCP 流量到 TCP 链
sudo iptables -A TCP -p tcp --dport 22 -j ACCEPT如果我们想要添加其他 TCP 服务现在可以通过替换端口号重复该命令。
创建通用接受和拒绝规则
在 INPUT 链中所有传入流量开始过滤我们需要添加我们的通用规则。这些是一些常识规则通过接受低风险流量本地流量和与我们已经检查的连接相关的流量和拒绝明显无用的流量无效数据包为我们的防火墙设置基线。
首先我们将创建一个例外以接受所有属于已建立连接或与已建立连接相关的流量
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT此规则使用 conntrack 扩展提供内部跟踪以便 iptables 具有评估数据包的上下文作为较大连接的一部分而不是作为一系列离散、不相关的数据包流的上下文。TCP 是基于连接的协议因此已建立的连接相当明确定义。对于 UDP 和其他无连接的协议已建立的连接指的是已经看到响应的流量原始数据包的源将是响应数据包的目的地反之亦然。相关连接指的是与现有连接相关联的已启动的新连接。这里的经典示例是 FTP 数据传输连接它将与已建立的 FTP 控制连接相关联。
我们还希望允许所有源自本地回环接口的流量。这是由服务器生成并发送到服务器的流量。它被主机上的服务用于彼此通信
sudo iptables -A INPUT -i lo -j ACCEPT最后我们希望拒绝所有无效数据包。数据包可能因多种原因无效。它们可能指的是不存在的连接可能被发送到不存在的接口、地址或端口或者可能只是格式错误。无论如何我们将丢弃所有无效数据包因为没有适当的处理方式它们可能代表恶意活动
sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP创建跳转规则到特定协议链
到目前为止我们已经在INPUT链中创建了一些通用规则并在特定协议链中创建了一些特定可接受服务的规则。然而现在流量进入INPUT链后无法到达我们的特定协议链。
我们需要将INPUT链中的流量定向到适当的特定协议链。我们可以根据协议类型进行匹配将其发送到正确的链中。我们还将确保数据包代表一个新连接任何已建立或相关的连接应该已经在之前处理过。对于TCP数据包我们将添加额外的要求即数据包是SYN数据包这是开始TCP连接的唯一有效类型
sudo iptables -A INPUT -p udp -m conntrack --ctstate NEW -j UDP
sudo iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP
sudo iptables -A INPUT -p icmp -m conntrack --ctstate NEW -j ICMP拒绝所有剩余流量
如果传递到特定协议链的数据包没有匹配任何规则控制将被传回到INPUT链。任何到达这一点的东西都不应该被我们的防火墙允许。
我们将使用REJECT目标拒绝流量这会向客户端发送一个响应消息。这使我们能够指定出站消息以便我们可以模仿客户端尝试发送数据包到常规关闭端口时会收到的响应。响应取决于客户端使用的协议。
尝试到达关闭的UDP端口将导致ICMP“端口不可达”消息。我们可以通过输入以下内容来模仿这一行为
sudo iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable尝试在关闭端口上建立TCP连接会导致TCP RST响应
sudo iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset对于所有其他数据包我们可以发送ICMP“协议不可达”消息以指示服务器不响应该类型的数据包
sudo iptables -A INPUT -j REJECT --reject-with icmp-proto-unreachable调整默认策略
我们添加的最后三条规则应该处理INPUT链中的所有剩余流量。然而作为预防措施我们应该将默认策略设置为DROP。如果此服务器未配置为路由到其他机器则还应在FORWARD链中设置此策略
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP为了匹配我们的IPv6策略将所有流量丢弃我们可以使用以下ip6tables命令
sudo ip6tables -P INPUT DROP
sudo ip6tables -P FORWARD DROP
sudo ip6tables -P OUTPUT DROP这应该相当接近复制我们设置的规则。
保存IPTables规则
此时您应该测试您的防火墙规则并确保它们覆盖了您想要阻止的流量同时不会妨碍您的正常访问。一旦您确信您的规则行为正确您可以保存它们这样它们将在系统启动时自动应用。
通过输入以下内容保存您当前的规则IPv4和IPv6
sudo service iptables-persistent save这将覆盖您在命令行上制定的/etc/iptables/rules.v4和/etc/iptables/rules.v6文件中的策略。
结论
通过遵循本指南无论是直接将防火墙规则粘贴到配置文件中还是通过命令行手动应用和保存它们您都已经创建了一个良好的起始防火墙配置。您将需要添加单独的规则来允许访问您想要提供的服务。
本指南中建立的框架应该使您能够轻松进行调整并有助于澄清您现有的策略。查看我们的其他一些指南了解如何使用一些流行的服务构建防火墙策略
Iptables基础知识常见防火墙规则和命令如何设置Iptables防火墙以保护服务器之间的流量如何通过Iptables在Linux网关上转发端口如何使用Nmap和Tcpdump测试您的防火墙配置
