我有一本很棒的书,名为“Linux 防火墙:攻击检测和响应”,作者是 Michael Rash。在开始之前我有几个问题。
我想制作一个企业级 iptables 防火墙,想知道是否需要像书中所说的那样进行自己的内核编译,或者现在是否可以只下载 Debian/linux 操作系统服务器并简单地在其上安装 Iptables 并启动配置?
我想知道既然 nftables 是 iptables 的更新改进版本,它的安装方式是否相同? (没有找到nftables的研究资料)
答案1
至于防火墙,我会担心它们放置在哪里、您的互联网速度以及您需要多少规则。它们几乎可以决定您需要的硬件类型。请注意,为了获得更高的性能/更高的速度,您可能需要更好的网卡。过去,我使用顶级英特尔 Pro 卡。
关于 ISP 设置中的路由器/防火墙,我曾经在我运行的 ISP 上有一个带有 IPtables 的 Linux 路由器,用于防火墙/计费。后来,我用 Cisco ISP 级路由器替换了它,创建了访问列表来阻止我需要切断的几个端口(主要是 Windows 默认端口、SQLSERVER 等等),并开始将 netflow 发送到 Linux 服务器来处理客户数据当我们的能力开始增长时进行会计。
请注意,如果您是有线电视设备公司,则可以将第 2/3 层防火墙规则添加到 DOCSIS 调制解调器配置中。这样您就可以节省大量上行带宽。
至于开源防火墙,我推荐pfSense。我过去用它来保护 ISP 的公司网络,现在用它们为 OS/X、Linux 和 Windows 7-10 提供本机客户端 VPN。它们还支持完全故障转移,如果主服务器发生故障,从服务器会随着时间的推移维持连接状态,并恢复所有内容。 pfSense 运行在 FreeBSD 之上,并具有非常灵活的图形管理界面。
关于Linux中的iptables/VPN,我使用Debian作为防火墙和VPN(带有strongswan)来保护特殊网络,并且没有必要弄乱内核编译。
至于七层流量整形,我们在Linux上尝试过一段时间,但效率不是很高,而且是一个耗时的过程。我们最终选择了 NetEnforcer 流量整形器。
答案2
nftables 目前正在开发中以取代 iptables,虽然他们没有说太多,但我现在认为它是“测试版”。我对他们的时间表没有任何了解,但您可以在这里阅读更多内容: http://netfilter.org/projects/nftables/
许多 Linux 发行版已经默认启用了 iptables。要么编译进去,要么在启动时加载模块(最常见)。最简单的判断方法是运行:
lsmod | grep ip_tables
如果模块已加载,您应该会看到一行显示 ip_tables。您还可以尝试:
iptables -L
看看你是否能得到任何回报。默认情况下,大多数框都有空的“链”,这基本上意味着允许所有内容(默认配置为默认允许)。