IPtables安装问题

IPtables安装问题

我有一本很棒的书,名为“Linux 防火墙:攻击检测和响应”,作者是 Michael Rash。在开始之前我有几个问题。

我想制作一个企业级 iptables 防火墙,想知道是否需要像书中所说的那样进行自己的内核编译,或者现在是否可以只下载 Debian/linux 操作系统服务器并简单地在其上安装 Iptables 并启动配置?

我想知道既然 nftables 是 iptables 的更新改进版本,它的安装方式是否相同? (没有找到nftables的研究资料)

答案1

至于防火墙,我会担心它们放置在哪里、您的互联网速度以及您需要多少规则。它们几乎可以决定您需要的硬件类型。请注意,为了获得更高的性能/更高的速度,您可能需要更好的网卡。过去,我使用顶级英特尔 Pro 卡。

关于 ISP 设置中的路由器/防火墙,我曾经在我运行的 ISP 上有一个带有 IPtables 的 Linux 路由器,用于防火墙/计费。后来,我用 Cisco ISP 级路由器替换了它,创建了访问列表来阻止我需要切断的几个端口(主要是 Windows 默认端口、SQLSERVER 等等),并开始将 netflow 发送到 Linux 服务器来处理客户数据当我们的能力开始增长时进行会计。

请注意,如果您是有线电视设备公司,则可以将第 2/3 层防火墙规则添加到 DOCSIS 调制解调器配置中。这样您就可以节省大量上行带宽。

至于开源防火墙,我推荐pfSense。我过去用它来保护 ISP 的公司网络,现在用它们为 OS/X、Linux 和 Windows 7-10 提供本机客户端 VPN。它们还支持完全故障转移,如果主服务器发生故障,从服务器会随着时间的推移维持连接状态,并恢复所有内容。 pfSense 运行在 FreeBSD 之上,并具有非常灵活的图形管理界面。

https://www.pfsense.org

关于Linux中的iptables/VPN,我使用Debian作为防火墙和VPN(带有strongswan)来保护特殊网络,并且没有必要弄乱内核编译。

至于七层流量整形,我们在Linux上尝试过一段时间,但效率不是很高,而且是一个耗时的过程。我们最终选择了 NetEnforcer 流量整形器。

答案2

nftables 目前正在开发中以取代 iptables,虽然他们没有说太多,但我现在认为它是“测试版”。我对他们的时间表没有任何了解,但您可以在这里阅读更多内容: http://netfilter.org/projects/nftables/

许多 Linux 发行版已经默认启用了 iptables。要么编译进去,要么在启动时加载模块(最常见)。最简单的判断方法是运行:

lsmod | grep ip_tables

如果模块已加载,您应该会看到一行显示 ip_tables。您还可以尝试:

iptables -L

看看你是否能得到任何回报。默认情况下,大多数框都有空的“链”,这基本上意味着允许所有内容(默认配置为默认允许)。

答案3

我会shorewall优先使用iptables直接编写规则。还有一些替代方案,例如firewalld.

关于内核编译,它实际上取决于您需要的功能是否在库存内核中或作为模块化插件提供。如果不是,那么您将需要自己推出。然而,这并不是真正的企业性,因为每次升级内核包都意味着更多的工作。

在评论中,您询问了 ISP 级数据包过滤。我认为你最好使用ipset扩大iptables进行此类工作。在保护方面,它允许您构建数千个集合(如果没有成千上万) 类似的规则,这些规则可以在不显著减慢流经规则集的流量的情况下运行。

我想您也会关注全面的 IDS/IPS。

相关内容