GNU/Linux 系統下 nftables 防火牆的本地 IPS 能力部署實例

隨著各 GNU/Linux 系統廠商以及社區逐步開始採用新的內核作為其發行版本的默認內核，防火牆機制採用了更新的 nftables 防火牆機制。

儘管紅帽公司提供了 firewalld.service 防火牆服務組件以及相關的配置管理命令 firewall-config、firewall-cmd 來對防火牆進行管理，但該服務組件目前還沒有在其他發行版或者社區版本內得到統一使用。

為了更好的幫助讀者朋友們理解該防火牆機制，筆者將自己在工作中直接使用 nftables 進行手工創建配置，從而使系統具有本地 IPS 能力的過程進行總結。

目前多數主流的新發行版 GNU/Linux 系統，默認安裝完成後 systemd 系統和服務管理器中已經添加了新的 nftables.serivce 子服務配置文件。同時依然支持 iptables 規則和 iptables 命令，不過為了徹底將防火牆升級到 nftables 機制，我們可以在沒有 firewalld.service 的發行版系統中直接啟用 nftables.service 服務來使用新的防火牆。

通過執行命令 vi /lib/systemd/system/nftables.service，從該文件中的語句 ExecStart=/usr/sbin/nft -f /etc/nftables.conf 我們可以清楚的看到，nftables 防火牆的默認配置和規則文件一般都放置在系統的 /etc/nftables.conf 目錄中，不過該默認配置文件中只包含一個名為 inet filter 的簡單 IPv4/IPv6 防火牆列表。

inet 過濾器可以同時適用於 IPv4 和 IPv6 的規則，但不能用於 NAT 類型的鏈，只能用於過濾器類型的鏈。

為了保持和 iptables 防火牆的規則類比，便於用戶熟悉，我們可以使用如下 nftables 命令創建相應的表和鏈來建立一個類似於傳統 iptables 防火牆框架，創建過程如下：

1、創建 nft 表

與 iptables 中的表不同，nftables 中沒有內置表，表的數量和名稱由用戶決定。但是，每個表只有一個地址簇，並且只適用於該簇的數據包。

表可以指定五個（ip、ip6、inet、arp、bridge）簇中的一個，用戶可以依次執行如下命令：

nft add table ip filter
nft add table ip6 filter
nft add table bridge filter」

nftables 將為我們分別建立三個 ip、ipv6、bridge 簇並且表名均為 filter 的防火牆框架。

2、創建鏈

表包含鏈，鏈的目的是保存規則。

與 iptables 中的鏈不同，nftables 也沒有內置鏈。這意味著與 iptables 不同，如果鏈不匹配 nftables 框架中的簇或鉤子，則流經這些鏈的數據包不會被 nftables 觸及。

鏈有兩種類型。基礎鏈是來自網路棧的數據包的入口點，其中指定了鉤子，其實可以理解為 iptables 防火牆的默認規則。常規鏈可以理解為其它用戶自定義的規則鏈。

使用如下命令為每一個表建立 INPUT、FORWARD、OUTPUT 鏈，並且設置基礎鏈，其中 ip 簇 filter 表 INPUT 鏈默認為丟棄所有數據包的相應的命令格式如下。

添加 ip 簇 filter 表相應鏈命令集：

nft add chain ip filter INPUT { type filter hook input priority 0; policy drop; }  

nft add chain ip filter FORWARD { type filter hook forward priority 0; policy accept; }  

nft add chain ip filter OUTPUT { type filter hook output priority 0; policy accept; }

添加 ipv6 簇 filter 表相應鏈命令集：

nft add chain ip6 filter INPUT { type filter hook input priority 0; policy accept; }  

nft add chain ip6 filter FORWARD { type filter hook forward priority 0; policy accept; }  

nft add chain ip6 filter OUTPUT { type filter hook output priority 0; policy accept; }

添加 bridge 簇 filter 表相應鏈命令集：

nft add chain bridge filter INPUT { type filter hook input priority 0; policy accept; }  

nft add chain bridge filter FORWARD { type filter hook forward priority 0; policy accept; }  

nft add chain bridge filter OUTPUT { type filter hook forward priority 0; policy accept; }

3、添加規則

規則由語句或表達式構成，包含在鏈中。

將一條規則添加到鏈中使用如下語法：

nft add rule family table chain handle statement

規則添加到 handle 處，這是可選的。如果不指定，則規則添加到鏈的末尾，類似於 iptables -A 方法。

將規則插入到指定位置使用如下語法：

nft insert rule family table chain handle statement

如果未指定handle，則規則插入到鏈的開頭，類似於 iptables -I 方法。

以下是用戶根據自己的實際情況添加的具體規則：

放行本地迴環介面 lo 的所有流量：

nft add rule ip filter INPUT iif lo accept

放行 established、related 狀態的數據包，這一點很重要，因為多數對外訪問的數據包在收到對端主機回包時多為這兩種狀態，如果在 INPUT 鏈中不放行該類型數據包，即使本機的 OUTPUT 鏈默認為 ACCEPT，讓所有數據包出站，系統也會主動在 INPUT 鏈中丟棄掉相應的回包而導致數據無法交互。具體命令如下：

nft add rule ip filter INPUT ct state established,related accept

阻斷存在重大安全隱患的系統埠，包括已經公布的比如勒索病毒等埠。nftables 在配置過程中，當用戶使用埠進行添加後，nftables 會自動將埠轉換為 service 模式，用戶可以通過使用命令 nft describe tcp dport 對照查看。阻斷安全隱患的系統埠具體命令如下：

nft add rule ip filter INPUT meta l4proto tcp tcp dport { loc-srv, 136, netbios-ns, netbios-dgm, netbios-ssn, microsoft-ds, 3389, radmin-port } counter drop

nft add rule ip filter INPUT meta l4proto udp udp dport { loc-srv, 136, netbios-ns, netbios-dgm, netbios-ssn, microsoft-ds, 3389, radmin-port } counter drop

對服務進行限流控制，防止 DDoS 攻擊或者 CC 攻擊造成系統服務中斷，可以通過 limit 限制通信速率，以下是接受一個每秒最多 10 個 web 或者 https 或者 dns 查詢請求的數據包，同時可以有 2 個包超出限制的規則具體命令：

nft add rule ip filter INPUT meta l4proto tcp tcp dport { 80,443,53 } ct state new limit rate 10/second burst 4 packets accept

nft add rule ip filter INPUT meta l4proto udp udp dport { 80,443,53 } ct state new limit rate 10/second burst 4 packets accept

總結

經過以上配置後，我們的主機就具有了很好的本機 IPS 能力。應對不論是面向南北跨路由器的訪問流量，還是本地網路內的東西訪問流量，常規的惡意掃描或者惡意攻擊基本是夠用了。

之後用戶可以使用命令 nft list ruleset > /etc/nftables.conf 將這些規則保存在 nftables 的默認配置文件中，並使用 systemctl enable nftables.service 打開該服務的默認啟動模式，之後系統將在開機時自動啟動 nftables 防火牆並應用相應規則。

用戶也可以通過命令 vi /etc/nftables.conf 來直接按照相應規則編輯該文件來修改防火牆配置，以確保自己的系統處於本機防火牆 IPS 能力的保護之下。

希望本文對你有用並能幫助到你。

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive