實驗室擬態存儲的項目需要通過LVS NAT模式通過LVS伺服器來區隔內外網的服務,所以安全防護的重心則落在了LVS伺服器之上。筆者最終選擇 通過firewalld放行埠 的方式來實現需求,由於firewall與傳統Linux使用的iptable工具有不小的區別,接下來通過博客來記錄一下firewa ...
實驗室擬態存儲的項目需要通過LVS-NAT模式通過LVS伺服器來區隔內外網的服務,所以安全防護的重心則落在了LVS伺服器之上。筆者最終選擇通過firewalld放行埠的方式來實現需求,由於firewall與傳統Linux使用的iptable工具有不小的區別,接下來通過博客來記錄一下firewalld的配置流程。
1.Firewall服務的簡介:
firewalld提供了一個 動態管理的防火牆,用以支持不同網路區域的規則,分配對一個網路及其相關鏈接和界面一定程度的信任。它具備對 IPv4 和 IPv6 防火牆設置的支持。它支持乙太網橋,並有分離運行時間和永久性配置選擇。它還具備一個通向服務或者應用程式以直接增加防火牆規則的介面。
上述內容是來自RetHat官方文檔的說明,看起來不知所云。所以筆者在這裡簡單介紹一下firewalld的定位與傳統的iptable存在什麼樣的不同:
動態防火牆
firewalld 提供的是動態的防火牆服務。配置的改變可以隨時隨地立刻執行,不再需要保存或者執行這些改變。而iptable的部分,每一個單獨更改意味著要清除所有舊有的規則和從 里讀取所有新的規則,相對來說firewalld的方式會更加靈活。區域隔離
firewalld 提供了區域隔離的服務,也就是說類似於window之中的公共網路與內部網路的區別,可以通過不同的區域的配置對應的規則來實現不同的網路規則服務。通過區域規則的方式,可以讓防火牆的工作更加的靈活。
如圖所示,firewalld的防火牆本質上是建立在原生的iptable防火牆之上的抽象層,通過定製規則的方式來利用iptable的功能,所以兩個防火牆是上下級並行工作的關係,最終都需要落地到內核之中的netfilter來實現網路包的過濾,來簡化防火牆的工作流程。(傳統iptable的“四表五鏈”實在是有夠複雜~~囧rz)
2.系統環境:
如下圖所示,這裡需要在LVS的伺服器需要部署firewall的防火牆,這裡筆者僅簡要梳理一下一臺LVS伺服器的工作:
系統平臺:Centos 7
LVS伺服器: 雙網卡
- 外網地址:219.223.199.154
- 內網地址:192.168.1.17
對外伺服器:
- 伺服器A:192.168.1.11
- 伺服器B:192.168.1.14
在這裡,外網地址之上需要開放的埠為10086埠,通過該埠進行轉發。而內網地址之上並不設置限制,我們認為是安全的網路環境。
3.配置流程:
Firewalld的配置可通過三種方式:
firewall-config
一個圖形化的用戶介面的配置工具firewall-cmd
一個命令行的用戶介面的配置工具靜態xml文件配置
firewalld 的配置設定存儲在/etc/firewalld/ 目錄下的 xml 文件里。可以通過查看和編輯這些 xml 文件,來實現firewall的配置。
之後筆者的配置流程主要是基於firewall-cmd命令展開,首先啟動firewall服務:
systemctl start firewalld.service //啟動firewalld服務接下來,開放外網網卡的對應的TCP埠,這裡筆者選擇public區域,也就是雙網卡同時開放埠。
firewall-cmd --zone=public --add-port=10086/tcp --permanent該命令的配置了public區域添加10086的埠,後續的參數--permannet則代表永久添加。也就是一次寫入,後續重啟之後依然生效。在firewall之中支持如下不同的區域區隔與過濾規則,之後不同的配置可以參考下麵的內容:
區域
drop: 丟棄所有進入的包,而不給出任何響應
block: 拒絕所有外部發起的連接,允許內部發起的連接
public: 允許指定的進入連接
external: 同上,對偽裝的進入連接,一般用於路由轉發
dmz: 允許受限制的進入連接
work: 允許受信任的電腦被限制的進入連接,類似 workgroup
home: 同上,類似 homegroup
internal: 同上,範圍針對所有互聯網用戶
trusted: 信任所有連接過濾規則
source: 根據源地址過濾
interface: 根據網卡過濾
service: 根據服務名過濾
port: 根據埠過濾
icmp-block: icmp 報文過濾,按照 icmp 類型配置
masquerade: ip 地址偽裝
forward-port: 埠轉發
rule: 自定義規則之後通過LVS配置好下圖是通過ipvsadm配置好的轉發機制:
通過外網嘗試連接外網的ip地址,219.223.199.154:10086,發現並無法聯通後端伺服器的服務,也就是運行在192.168.1.11與192.168.1.14的伺服器。
調用ipvsadm -lcn命令之後,發現內網的轉發出現了問題:
通過抓包發現LVS伺服器在內網網卡192.168.1.17上的通信包被攔截,於是繼續通過firewalld-cmd命令開發內網網卡的埠,將內網網卡加入trusted區域:
firewall-cmd --zone=trusted --add-interface=enp3s0接下來可以看到開放了對應內網網卡到trusted,trusted區域允許所有通信包放行,因為內網是相對安全的環境,所以並不存在很大的影響,調用:
firewall-cmd --list-all-zones命令展示firewall的配置結果,public與trusted區域都出於active狀態,外網服務能夠正常連接內網的埠服務了。
可以看到上述public的設置之中涉及到了對應的ssh服務於dhcpv6-client的服務,在Firewalld之中是可以直接通過服務來放行對應的內容,也就是上文參數service,詳細的配置參數需要在目錄/usr/lib/firewalld/services之中進行配置,我們嘗試打開上文ssh服務的內容:
由上文的配置內容可見:所謂的服務配置防火牆,本身也是通過標註協議與埠的方式進行的,只不過是用服務的邏輯進行包裝了。至於使用哪種形式,各位見仁見智了。
小結
梳理了一下在LVS下雙網卡Firewalld的配置流程。Debian系列的發行版也是大同小異,只不過Firewalld工具需要自行使用apt-get進行安裝。上述內容若有疏漏,望各位指點斧正。
