Gnu/Linux 系統nftables 防火墻的本地IPS 能力部署

西安 田立軍 解寶琦

隨著各Gnu/Linux 系統廠商以及社區逐步開始采用新的內核作為其發行版本的默認內核，防火墻機制采用了更新的nftables 防火墻機制，盡管紅帽公司提供了“firewalld.service”防火墻服務組件以及相關的配置管理命令“firewallconfig”“firewall-cmd”來對防火墻進行管理，但該服務組件目前還沒有在其他發行版或者社區版本內得到統一使用。

為了更好的幫助讀者朋友們理解該防火墻機制，筆者將自己在工作中直接使用nftables 進行手工創建配置，從而使系統具有本地IPS能力的過程進行總結。

目前多數主流的新發行版Gnu/Linux 系統，在默認安裝完成后的“Systemd”系統和服務管理器中就已經添加了新的“nftables.serivce”子服務配置文件，同時依然支持iptables 規則和iptables 命令格式。

不過為了徹底將防火墻升級到nftables 機制，我們可以在沒有“firewalld.service”的發行版系統中直接啟用“nftables.service”服務來使用新的防火墻。通過命令“vi/lib/systemd/system/nftables.service”，從該文件中的語句“ExecStart=/usr/sbin/nft -f/etc/nftables.conf”，我們可以清楚的看到nftables 防火墻的默認配置和規則文件一般都放置在系統的/etc/nftables.conf目錄中，不過該默認配置文件中只包含一個名為“inet filter”的簡單IPv4/IPv6防火墻列表。inet 表中可以同時適用于IPv4 和IPv6的規則，但不能用于nat 類型的鏈，只能用于filter 類型的鏈。

為了保持和iptables防火墻的規則類比，便于用戶熟悉，我們可以使用如下nftables 命令創建相應的表和鏈來建立一個類似于傳統iptables 防火墻框架，創建過程如下：

1.創建nft 表，表包含鏈。與iptables中的表不同，nftables 中沒有內置表，表的數量和名稱由用戶決定，但每個表只有一個地址簇，并且只適用于該簇的數據包。

表可以指定五個（IP、IPv6、inet、ARP、bridge）簇中的一個，用戶可以依次執行如下“nft add table filter”“nft add table ip6 filter”“nft add table bridge filter”三條命令，nftables 將為我們分別建立三個IP、IPv6、bridge 簇并且表名均為filter 的防火墻框架。

2.創建鏈，鏈的目的是保存規則。與iptables 中的鏈不同，nftables 沒有內置鏈。這意味著與iptables不同，如果鏈沒有使用netfilter 框架中的任何類型或鉤子，則流經這些鏈的數據包不會被nftables 觸及。

鏈有兩種類型：基本鏈是來自網絡棧的數據包的入口點，其中指定了鉤子值，其實可以理解為iptables 防火墻的默認規則；常規鏈可以理解為其它用戶自定義的規則鏈。

使用如下命令為每一個表建立“INPUT”“FORWARD”“OUTPUT”鏈，并且設置基礎鏈，其中IP 簇filter 表“INPUT”鏈默認為丟棄所有數據包，的相應的命令格式如下：

（1）添 加IP 簇filter表相應鏈命令集。

（2）添加IPv6 簇filter表相應鏈命令集。

（3）添 加bridge 簇filter 表相應鏈命令集。

3.添加規則，規則由語句或表達式構成，包含在鏈中。

將一條規則添加到鏈中使用如下語法：

nft add rule family table chain handle handle statement

規則添加到handle 處，這是可選的。如果不指定，則規則添加到鏈的末尾，類似于“iptables -A”方法。

將規則插入到指定位置使用如下語法：

如果未指定handle，則規則插入到鏈的開頭，類似于“iptables -I”方法。

以下是用戶根據自己的實際情況添加的具體規則：

（1）放行本地回環接口“lo”的所有流量。

（2）放 行established、related 狀態的數據包，這一點很重要，因為多數對外訪問的數據包在收到對端主機回包時多為這兩種狀態，如果在INPUT 鏈中不放行該類型數據包，即使本機的OUTPUT 鏈默認為ACCEPT，讓所有數據包出站，系統也會主動在INPUT 鏈中丟棄掉相應的回包而導致數據無法交互。具體命令如下：

（3）阻斷存在重大安全隱患的系統端口，包括已經公布的比如勒索病毒等端口，nftables 在配置過程中，當用戶使用端口進行添加后，nftables 會自動將端口轉換為service 模式，用戶可以通過使用命令”nft describe tcp dport”對照查看。阻斷安全隱患的系統端口具體命令如下：

（4）對服務進行限流控制，防止DDoS 攻擊或者CC攻擊造成系統服務中斷，可以通過limit 限制通信速率，以下是接受一個每秒最多10個Web 或者HTTPS 或 者DNS查詢請求的數據包，同時可以有2個包超出限制的規則具體命令：

經過以上配置后，我們的主機就具有了很好的本機IPS 能力，從而應對不論是面向南北跨路由器的訪問流量，還是本地網絡內的東西訪問流量，常規的惡意掃描或者惡意攻擊基本是夠用了。

之后用戶可以使用命令“nft list ruleset >/etc/nftables.conf”將 這些規則保存在nftables的默認配置文件中，并使用“systemctl enable nftables.service”打開該服務的默認啟動模式，之后系統將在開機時自動啟動nftables 防火墻并應用相應規則。用戶也可以通過命令“vi/etc/nftables.conf”來直接按照相應規則編輯該文件來修改防火墻配置，以確保自己的系統處于本機防火墻IPS 能力的保護之下。

希望本文對通過使用新的Gnu/Linux 系統提供的nftables 防火墻機制，建設屬于自己的本機IPS 能力有用，并能幫助到讀者。