GNU/Linux系統(tǒng)下nftables防火墻的本地IPS能力部署實例
隨著各 GNU/Linux 系統(tǒng)廠商以及社區(qū)逐步開始采用新的內(nèi)核作為其發(fā)行版本的默認內(nèi)核,防火墻機制采用了更新的 nftables 防火墻機制。
盡管紅帽公司提供了 firewalld.service 防火墻服務組件以及相關的配置管理命令 firewall-config、firewall-cmd 來對防火墻進行管理,但該服務組件目前還沒有在其他發(fā)行版或者社區(qū)版本內(nèi)得到統(tǒng)一使用。
為了更好的幫助讀者朋友們理解該防火墻機制,筆者將自己在工作中直接使用 nftables 進行手工創(chuàng)建配置,從而使系統(tǒng)具有本地 IPS 能力的過程進行總結。
目前多數(shù)主流的新發(fā)行版 GNU/Linux 系統(tǒng),默認安裝完成后 systemd 系統(tǒng)和服務管理器中已經(jīng)添加了新的 nftables.serivce 子服務配置文件。同時依然支持 iptables 規(guī)則和 iptables 命令,不過為了徹底將防火墻升級到 nftables 機制,我們可以在沒有 firewalld.service 的發(fā)行版系統(tǒng)中直接啟用 nftables.service 服務來使用新的防火墻。
通過執(zhí)行命令 vi /lib/systemd/system/nftables.service,從該文件中的語句 ExecStart=/usr/sbin/nft -f /etc/nftables.conf 我們可以清楚的看到,nftables 防火墻的默認配置和規(guī)則文件一般都放置在系統(tǒng)的 /etc/nftables.conf 目錄中,不過該默認配置文件中只包含一個名為 inet filter 的簡單 IPv4/IPv6 防火墻列表。
inet 過濾器可以同時適用于 IPv4 和 IPv6 的規(guī)則,但不能用于 NAT 類型的鏈,只能用于過濾器類型的鏈。
為了保持和 iptables 防火墻的規(guī)則類比,便于用戶熟悉,我們可以使用如下 nftables 命令創(chuàng)建相應的表和鏈來建立一個類似于傳統(tǒng) iptables 防火墻框架,創(chuàng)建過程如下:
1、創(chuàng)建 nft 表
與 iptables 中的表不同,nftables 中沒有內(nèi)置表,表的數(shù)量和名稱由用戶決定。但是,每個表只有一個地址簇,并且只適用于該簇的數(shù)據(jù)包。
表可以指定五個(ip、ip6、inet、arp、bridge)簇中的一個,用戶可以依次執(zhí)行如下命令:
nft add table ip filternft add table ip6 filternft add table bridge filter”
nftables 將為我們分別建立三個 ip、ipv6、bridge 簇并且表名均為 filter 的防火墻框架。
2、創(chuàng)建鏈
表包含鏈,鏈的目的是保存規(guī)則。
與 iptables 中的鏈不同,nftables 也沒有內(nèi)置鏈。這意味著與 iptables 不同,如果鏈不匹配 nftables 框架中的簇或鉤子,則流經(jīng)這些鏈的數(shù)據(jù)包不會被 nftables 觸及。
鏈有兩種類型。基礎鏈是來自網(wǎng)絡棧的數(shù)據(jù)包的入口點,其中指定了鉤子,其實可以理解為 iptables 防火墻的默認規(guī)則。常規(guī)鏈可以理解為其它用戶自定義的規(guī)則鏈。
使用如下命令為每一個表建立 INPUT、FORWARD、OUTPUT 鏈,并且設置基礎鏈,其中 ip 簇 filter 表 INPUT 鏈默認為丟棄所有數(shù)據(jù)包的相應的命令格式如下。
添加 ip 簇 filter 表相應鏈命令集:
nft add chain ip filter INPUT { type filter hook input priority 0\; policy drop\; }nft add chain ip filter FORWARD { type filter hook forward priority 0\; policy accept\; }nft add chain ip filter OUTPUT { type filter hook output priority 0\; policy accept\; }
添加 ipv6 簇 filter 表相應鏈命令集:
nft add chain ip6 filter INPUT { type filter hook input priority 0\; policy accept\; }nft add chain ip6 filter FORWARD { type filter hook forward priority 0\; policy accept\; }nft add chain ip6 filter OUTPUT { type filter hook output priority 0\; policy accept\; }
添加 bridge 簇 filter 表相應鏈命令集:
nft add chain bridge filter INPUT { type filter hook input priority 0\; policy accept\; }nft add chain bridge filter FORWARD { type filter hook forward priority 0\; policy accept\; }nft add chain bridge filter OUTPUT { type filter hook forward priority 0\; policy accept\; }
3、添加規(guī)則
規(guī)則由語句或表達式構成,包含在鏈中。
將一條規(guī)則添加到鏈中使用如下語法:
nft add rule family table chain handle statement
規(guī)則添加到 handle 處,這是可選的。如果不指定,則規(guī)則添加到鏈的末尾,類似于 iptables -A 方法。
將規(guī)則插入到指定位置使用如下語法:
nft insert rule family table chain handle statement
如果未指定handle,則規(guī)則插入到鏈的開頭,類似于 iptables -I 方法。
以下是用戶根據(jù)自己的實際情況添加的具體規(guī)則:
放行本地回環(huán)接口 lo 的所有流量:
nft add rule ip filter INPUT iif lo accept
放行 established、related 狀態(tài)的數(shù)據(jù)包,這一點很重要,因為多數(shù)對外訪問的數(shù)據(jù)包在收到對端主機回包時多為這兩種狀態(tài),如果在 INPUT 鏈中不放行該類型數(shù)據(jù)包,即使本機的 OUTPUT 鏈默認為 ACCEPT,讓所有數(shù)據(jù)包出站,系統(tǒng)也會主動在 INPUT 鏈中丟棄掉相應的回包而導致數(shù)據(jù)無法交互。具體命令如下:
nft add rule ip filter INPUT ct state established,related accept
阻斷存在重大安全隱患的系統(tǒng)端口,包括已經(jīng)公布的比如勒索病毒等端口。nftables 在配置過程中,當用戶使用端口進行添加后,nftables 會自動將端口轉換為 service 模式,用戶可以通過使用命令 nft describe tcp dport 對照查看。阻斷安全隱患的系統(tǒng)端口具體命令如下:
nft add rule ip filter INPUT meta l4proto tcp tcp dport { loc-srv, 136, netbios-ns, netbios-dgm, netbios-ssn, microsoft-ds, 3389, radmin-port } counter dropnft add rule ip filter INPUT meta l4proto udp udp dport { loc-srv, 136, netbios-ns, netbios-dgm, netbios-ssn, microsoft-ds, 3389, radmin-port } counter drop
對服務進行限流控制,防止 DDoS 攻擊或者 CC 攻擊造成系統(tǒng)服務中斷,可以通過 limit 限制通信速率,以下是接受一個每秒最多 10 個 web 或者 https 或者 dns 查詢請求的數(shù)據(jù)包,同時可以有 2 個包超出限制的規(guī)則具體命令:
nft add rule ip filter INPUT meta l4proto tcp tcp dport { 80,443,53 } ct state new limit rate 10/second burst 4 packets accept
nft add rule ip filter INPUT meta l4proto udp udp dport { 80,443,53 } ct state new limit rate 10/second burst 4 packets accept
總結
經(jīng)過以上配置后,我們的主機就具有了很好的本機 IPS 能力。應對不論是面向南北跨路由器的訪問流量,還是本地網(wǎng)絡內(nèi)的東西訪問流量,常規(guī)的惡意掃描或者惡意攻擊基本是夠用了。
之后用戶可以使用命令 nft list ruleset > /etc/nftables.conf 將這些規(guī)則保存在 nftables 的默認配置文件中,并使用 systemctl enable nftables.service 打開該服務的默認啟動模式,之后系統(tǒng)將在開機時自動啟動 nftables 防火墻并應用相應規(guī)則。
用戶也可以通過命令 vi /etc/nftables.conf 來直接按照相應規(guī)則編輯該文件來修改防火墻配置,以確保自己的系統(tǒng)處于本機防火墻 IPS 能力的保護之下。
希望本文對你有用并能幫助到你。
