Linux 防火墻入門(mén)教程

作者：Seth Kenlon
譯者：Xiaobin.Liu

合理的防火墻是你的計算機防止網(wǎng)絡(luò )入侵的第一道屏障。你在家里上網(wǎng)，通�；ヂ�(lián)網(wǎng)服務(wù)提供會(huì )在路由中搭建一層防火墻。當你離開(kāi)家時(shí)，那么你計算機上的那層防火墻就是僅有的一層，所以配置和控制好你 Linux 電腦上的防火墻很重要。如果你維護一臺 Linux 服務(wù)器，那么知道怎么去管理你的防火墻同樣重要，只要掌握了這些知識你才能保護你的服務(wù)器免于本地或遠程非法流量的入侵。

很多 Linux 發(fā)行版本已經(jīng)自帶了防火墻，通常是 iptables。它很強大并可以自定義，但配置起來(lái)有點(diǎn)復雜。幸運的是，有開(kāi)發(fā)者寫(xiě)出了一些前端程序來(lái)幫助用戶(hù)控制防火墻，而不需要寫(xiě)冗長(cháng)的 iptables 規則。

在 Fedora、CentOS、Red Hat 和一些類(lèi)似的發(fā)行版本上，默認安裝的防火墻軟件是 firewalld，通過(guò) firewall-cmd 命令來(lái)配置和控制。在 Debian 和大部分其他發(fā)行版上，可以從你的軟件倉庫安裝 firewalld。Ubuntu 自帶的是簡(jiǎn)單防火墻(Uncomplicated Firewall)（ufw），所以要使用 firewalld，你必須啟用 universe 軟件倉庫：

1. $ sudo add-apt-repository universe

2. $ sudo apt install firewalld

你還需要停用 ufw：

1. $ sudo systemctl disable ufw

沒(méi)有理由不用 ufw。它是一個(gè)強大的防火墻前端。然而，本文重點(diǎn)講 firewalld，因為大部分發(fā)行版都支持它而且它集成到了 systemd，systemd 是幾乎所有發(fā)行版都自帶的。

1. $ sudo systemctl enable --now firewalld

Firewalld 旨在讓防火墻的配置工作盡可能簡(jiǎn)單。它通過(guò)建立域(zone)來(lái)實(shí)現這個(gè)目標。一個(gè)域是一組的合理、通用的規則，這些規則適配大部分用戶(hù)的日常需求。默認情況下有九個(gè)域。

◈ trusted：接受所有的連接。這是最不偏執的防火墻設置，只能用在一個(gè)完全信任的環(huán)境中，如測試實(shí)驗室或網(wǎng)絡(luò )中相互都認識的家庭網(wǎng)絡(luò )中。◈ home、work、internal：在這三個(gè)域中，接受大部分進(jìn)來(lái)的連接。它們各自排除了預期不活躍的端口進(jìn)來(lái)的流量。這三個(gè)都適合用于家庭環(huán)境中，因為在家庭環(huán)境中不會(huì )出現端口不確定的網(wǎng)絡(luò )流量，在家庭網(wǎng)絡(luò )中你一般可以信任其他的用戶(hù)。◈ public：用于公共區域內。這是個(gè)偏執的設置，當你不信任網(wǎng)絡(luò )中的其他計算機時(shí)使用。只能接收選定的常見(jiàn)和最安全的進(jìn)入連接。◈ dmz：DMZ 表示隔離區。這個(gè)域多用于可公開(kāi)訪(fǎng)問(wèn)的、位于機構的外部網(wǎng)絡(luò )、對內網(wǎng)訪(fǎng)問(wèn)受限的計算機。對于個(gè)人計算機，它沒(méi)什么用，但是對某類(lèi)服務(wù)器來(lái)說(shuō)它是個(gè)很重要的選項。◈ external：用于外部網(wǎng)絡(luò )，會(huì )開(kāi)啟偽裝（你的私有網(wǎng)絡(luò )的地址被映射到一個(gè)外網(wǎng) IP 地址，并隱藏起來(lái)）。跟 DMZ 類(lèi)似，僅接受經(jīng)過(guò)選擇的傳入連接，包括 SSH。◈ block：僅接收在本系統中初始化的網(wǎng)絡(luò )連接。接收到的任何網(wǎng)絡(luò )連接都會(huì )被 icmp-host-prohibited 信息拒絕。這個(gè)一個(gè)極度偏執的設置，對于某類(lèi)服務(wù)器或處于不信任或不安全的環(huán)境中的個(gè)人計算機來(lái)說(shuō)很重要。◈ drop：接收的所有網(wǎng)絡(luò )包都被丟棄，沒(méi)有任何回復。僅能有發(fā)送出去的網(wǎng)絡(luò )連接。比這個(gè)設置更極端的辦法，唯有關(guān)閉 WiFi 和拔掉網(wǎng)線(xiàn)。

你可以查看你發(fā)行版本的所有域，或通過(guò)配置文件 /usr/lib/firewalld/zones 來(lái)查看管理員設置。舉個(gè)例子：下面是 Fefora 31 自帶的 FedoraWorkstation 域：

1. $ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml

2.

3.

4.   Fedora Workstation

5.   Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.

6.   

7.   

8.   

9.   

10.   

11.

任何時(shí)候你都可以通過(guò) --get-active-zones 選項來(lái)查看你處于哪個(gè)域：

1. $ sudo firewall-cmd --get-active-zones

輸出結果中，會(huì )有當前活躍的域的名字和分配給它的網(wǎng)絡(luò )接口。筆記本電腦上，在默認域中通常意味著(zhù)你有個(gè) WiFi 卡：

1. FedoraWorkstation

2.   interfaces: wlp61s0

要更改你的域，請將網(wǎng)絡(luò )接口重新分配到不同的域。例如，把例子中的 wlp61s0 卡修改為 public 域：

1. $ sudo firewall-cmd --change-interface=wlp61s0 --zone=public

你可以在任何時(shí)候、任何理由改變一個(gè)接口的活動(dòng)域 —— 無(wú)論你是要去咖啡館，覺(jué)得需要增加筆記本的安全策略，還是要去上班，需要打開(kāi)一些端口進(jìn)入內網(wǎng)，或者其他原因。在你憑記憶學(xué)會(huì ) firewall-cmd 命令之前，你只要記住了關(guān)鍵詞 change 和 zone，就可以慢慢掌握，因為按下 Tab 時(shí)，它的選項會(huì )自動(dòng)補全。