我有一个运行 Debian 的虚拟服务器。它的主机操作系统使用 Linux Vserver,由于它不支持网络命名空间,因此无法使用 iptables 来保护机器。我进行了很多搜索以寻找替代方案,但到目前为止,我只找到了不同的前端来管理 iptables 本身。
还有其他方法吗?我希望将其与我的 OSSEC 主动响应脚本结合起来,以便在检测到恶意活动时实现实时阻止。
答案1
据我所知,iptables 是这Linux 防火墙。在我使用 Linux 的这么多年里,我从来没有听说过或见过任何替代方案。
您是否可以选择仅在主机操作系统上运行防火墙层?
答案2
永远有 DebianGNU/kFreeBSD将 FreeBSD 内核移植到 Debian/GNU 用户空间。这将允许您使用 pf 作为防火墙。不幸的是,截至目前(Debian 6/Squeeze),GNU/kFreeBSD 被视为“技术预览”,这意味着尚未准备好投入生产。
答案3
Linux内核只有一个内置防火墙,iptables。
还有一些附带项目,例如 dummynet(BSD 防火墙的 Linux 端口),但这些仅用于测试目的,不能用于生产。
答案4
检查一下nftables。它正在获得发展势头,据我所知,它将会取代iptables。