幕雪

debian防火墙安装、配置与实用技巧


理解 Debian 上的防火墙

在 Debian 系统上,防火墙是确保系统安全的一道至关重要的屏障。它控制着进出您服务器或计算机的网络流量,决定哪些连接被允许,哪些被阻止。理解如何在 Debian 上设置和管理防火墙,是保护您的数据和服务的关键一步。

Debian 上常用的防火墙工具是什么?

Debian 系统本身提供了一个强大的内核级网络包过滤框架,称为 Netfilter。然而,直接与 Netfilter 交互通常是通过用户空间的工具来实现的。Debian 上最常见的用户空间防火墙管理工具包括:

  • iptables/ip6tables:
    这是历史悠久且功能强大的命令行工具,用于配置 IPv4 (iptables) 和 IPv6 (ip6tables) 的 Netfilter 规则。它可以实现非常精细和复杂的规则集。许多较老的教程和脚本仍然使用 iptables。
  • nftables:
    作为 iptables 的现代替代品,nftables 提供了一个新的命令行工具 (`nft`) 和一个更灵活、更统一的规则集语法,旨在取代 iptables、ip6tables、arptables 和 ebtables。在较新的 Debian 版本中,nftables 可能是默认的后端。
  • ufw (Uncomplicated Firewall):
    ufw 是一个旨在简化 iptables/nftables 配置的前端工具。它的命令语法更易于理解和使用,特别适合不希望深入了解 Netfilter 复杂性的用户。对于大多数桌面或服务器的基本防火墙需求,ufw 是一个优秀的选择。本篇文章的配置示例将主要围绕 ufw 进行,因为它更贴近普通用户的实际操作。

为什么我的 Debian 系统需要防火墙?

即使您的 Debian 系统不作为公共服务器运行,拥有一个配置得当的防火墙也是非常有必要的,原因如下:

  • 阻止未经授权的访问:
    默认情况下,许多服务可能会在某些端口上监听连接请求。如果您没有防火墙,任何人只要知道您的 IP 地址,就可以尝试连接到这些开放的服务端口。防火墙可以阻止来自不受信任来源的连接尝试。
  • 抵御网络攻击:
    防火墙可以帮助抵御多种网络攻击,如端口扫描、DDoS 攻击(通过限制连接速率或来源)、以及针对特定服务漏洞的攻击。
  • 控制出站连接:
    防火墙不仅可以控制入站流量,也可以控制系统发起的外发连接。这有助于防止恶意软件(如果系统不幸感染)与外部C&C服务器通信,或限制特定应用程序的网络行为。
  • 隔离服务:
    如果您在同一台机器上运行多个服务(例如 Web 服务器、数据库、SSH),防火墙可以确保每个服务只接受来自预期来源的连接(例如,数据库只接受来自本地 Web 服务器的连接)。

  • 最低权限原则:
    安全的一个基本原则是“最低权限”。防火墙体现了这一点,它只允许必要的网络流量通过,阻止所有未明确允许的内容。

防火墙规则配置在哪里?它们存储在多少个地方?

防火墙规则的核心功能是由 Linux 内核的 Netfilter 框架实现的。用户空间工具(如 iptables, nftables, ufw)负责与 Netfilter 交互,将用户定义的规则翻译成内核能理解的指令。

规则配置的位置:

  • 命令行:
    直接通过 `iptables`、`nft` 或 `ufw` 等命令在运行时添加、删除或修改规则。这些规则会立即生效。
  • 配置文件:
    为了使防火墙规则在系统重启后依然生效,需要将规则“保存”下来,并在启动时“加载”回去。不同的工具和方法有不同的保存位置:

    • ufw: ufw 会将其状态和规则存储在 `/etc/ufw/` 目录下的文件中(例如 `user.rules`, `before.rules`, `after.rules` 等)。当 ufw 服务启动时,它会读取这些文件并应用规则。
    • iptables-persistent / nftables-persistent: 如果您使用 iptables 或 nftables,通常会安装 `iptables-persistent` 或 `nftables-persistent` 包。这些包提供了保存和加载规则的服务。规则通常保存到 `/etc/iptables/rules.v4` (IPv4) 和 `/etc/iptables/rules.v6` (IPv6),或 `/etc/nftables/nftables.conf`。
    • 自定义脚本: 有些高级用户可能会编写脚本来设置防火墙规则,并在系统启动时通过 systemd service 或其他启动机制来执行这些脚本。

规则的存储数量和复杂性:

防火墙规则的数量可以从非常少(例如,只允许 SSH 连接)到非常多(例如,为各种服务设置详细的访问控制列表,阻止大量恶意 IP 地址范围等)。规则的数量没有固定的上限,主要受限于系统资源(CPU、内存)以及管理员的管理能力。对于大多数用户而言,几十条到几百条规则已经足够应对常见的安全需求。复杂的规则集需要更仔细的设计、测试和维护。

如何安装和基本管理 Debian 防火墙(以 ufw 为例)?

安装 ufw:

ufw 通常不是 Debian 的默认安装组件(尤其是在服务器版本上),您需要手动安装它: 

sudo apt update
sudo apt install ufw

检查 ufw 状态:

在配置或启用防火墙之前,最好先检查其当前状态: 

sudo ufw status

如果输出显示 “Status: inactive”,说明防火墙当前未启用,所有流量都将被允许(除非有其他网络过滤措施)。
要查看更详细的状态,包括已加载的规则: 

sudo ufw status verbose

或者带编号的列表,方便删除规则: 

sudo ufw status numbered

启用防火墙(重要警告!):

启用防火墙是让规则生效的关键步骤。在远程连接(如 SSH)上启用防火墙之前,请务必先添加允许您当前连接的规则! 否则,启用防火墙后您可能会立即失去连接,无法管理系统。

例如,如果您通过 SSH 连接,并且 SSH 服务运行在默认的 22 端口上,您应该先允许 SSH 连接: 

sudo ufw allow ssh

或者更具体地指定端口和协议: 

sudo ufw allow 22/tcp

添加了允许当前连接的规则后,就可以安全地启用了: 

sudo ufw enable

系统会提示您这可能会中断现有的 SSH 连接,并询问您是否确定继续。输入 ‘y’ 并回车。如果您的 SSH 规则正确,连接应该会保持或快速恢复。

禁用防火墙:

如果需要临时禁用防火墙(例如为了排查网络问题),可以使用: 

sudo ufw disable

请记住,禁用防火墙会使您的系统门户大开,排查完成后应尽快重新启用。

重置防火墙:

如果您的规则配置混乱,想要回到初始状态,可以使用重置命令。这将删除所有规则并禁用防火墙: 

sudo ufw reset

重置后,您需要重新启用 ufw 并重新添加规则。

如何配置常见的防火墙规则(ufw 示例)?

设置默认策略:

ufw 允许您为传入和传出连接设置默认策略。最安全的做法是拒绝所有未明确允许的传入连接,并允许所有传出连接(或者根据需要限制传出连接)。 

sudo ufw default deny incoming    # 默认拒绝所有传入连接
sudo ufw default allow outgoing    # 默认允许所有传出连接

设置默认拒绝传入策略后,您必须明确允许所有您希望外部访问的服务端口。

允许/拒绝特定端口:

您可以允许或拒绝特定端口上的连接。可以指定协议(tcp 或 udp),也可以省略协议,ufw 会同时为 TCP 和 UDP 添加规则。

  • 允许 HTTP (80) 和 HTTPS (443) 端口: 
    sudo ufw allow 80/tcp
    sudo ufw allow 443/tcp

    或者使用服务名称(ufw 识别一些常见服务):

    sudo ufw allow http
    sudo ufw allow https
  • 允许邮件提交端口 (587): 
    sudo ufw allow 587/tcp
  • 拒绝未经加密的邮件发送端口 (25): 
    sudo ufw deny 25/tcp

允许/拒绝来自特定 IP 地址或范围的连接:

您可以将规则限制到特定的源 IP 地址或 IP 地址范围(使用 CIDR 表示法)。

  • 允许来自 IP 地址 192.168.1.100 的所有连接: 
    sudo ufw allow from 192.168.1.100
  • 拒绝来自 IP 地址范围 1.2.3.0/24 的所有连接: 
    sudo ufw deny from 1.2.3.0/24
  • 只允许来自本地网络 192.168.1.0/24 的 IP 地址连接到 SSH 端口 22: 
    sudo ufw allow from 192.168.1.0/24 to any port 22

删除规则:

删除不需要的规则通常有两种方法:通过规则编号或通过指定完整的规则。

  • 先查看带编号的规则列表: 
    sudo ufw status numbered
  • 根据编号删除规则(例如删除编号为 3 的规则): 
    sudo ufw delete 3
  • 或者直接指定要删除的规则内容(必须与 `ufw status verbose` 中显示的规则完全匹配): 
    sudo ufw delete allow 22/tcp

防火墙规则如何工作以及如何实现持久性?

规则处理顺序:

Netfilter (以及 ufw 等前端工具) 按照特定的顺序处理网络数据包和防火墙规则。通常,规则是按照它们被添加到的“链”(例如 INPUT、OUTPUT、FORWARD)的顺序从上到下依次检查的。当一个数据包匹配到某条规则时,对应的动作(允许、拒绝、丢弃等)就会被执行,并且通常会停止检查后续规则。这就是为什么规则的顺序很重要,更具体、更严格的规则通常应该放在更靠前的位置,以免被后面更宽松的规则覆盖。ufw 会在内部管理规则的顺序,但理解规则是顺序处理的是基础。

规则的持久性:

使用 `ufw enable` 命令启用 ufw 时,ufw 会自动将其当前的规则集保存到配置文件中(如 `/etc/ufw/user.rules`),并在系统启动时加载和应用这些规则。这意味着使用 ufw 命令添加或删除的规则在系统重启后会自动保留。

如果您直接使用 iptables 或 nftables 命令添加了规则,这些规则默认是临时的,系统重启后会丢失。为了使它们持久化,您需要使用特定的工具,例如之前提到的 `iptables-persistent` 或 `nftables-persistent` 包,它们提供了保存和加载规则的功能。安装这些包后,可以使用命令保存当前规则: 

sudo netfilter-persistent save

或者,这些工具通常会在 `/etc/iptables/` 或 `/etc/nftables/` 目录下有配置文件,您也可以直接编辑这些文件来定义持久的规则集。

如何为特定服务配置防火墙(ufw 示例)?

根据您在 Debian 系统上运行的服务,您需要打开相应的端口。以下是一些常见服务的配置示例:

SSH (Secure Shell – 默认端口 22):

如果您通过 SSH 管理服务器,这是必须允许的端口。 

sudo ufw allow ssh

如果您更改了 SSH 的默认端口(例如改到 2222),请允许新端口: 

sudo ufw allow 2222/tcp

出于安全考虑,强烈建议只允许来自特定 IP 地址或 IP 范围的 SSH 连接: 

sudo ufw allow from 您的静态IP地址 to any port ssh

或者对于一个网络范围: 

sudo ufw allow from 192.168.1.0/24 to any port ssh

Web 服务器 (HTTP – 端口 80, HTTPS – 端口 443):

如果您托管网站,需要开放这些端口。 

sudo ufw allow http
sudo ufw allow https

或者: 

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

邮件服务器 (SMTP, POP3, IMAP 等):

邮件相关的端口较多,取决于您使用的服务和加密方式。

  • SMTP (发送邮件):25 (不加密), 587 (提交,加密), 465 (SMTPS, 旧式加密) 
    sudo ufw allow smtp    # 允许端口 25/tcp
    sudo ufw allow submission # 允许端口 587/tcp
    sudo ufw allow smtps    # 允许端口 465/tcp
  • POP3 (接收邮件):110 (不加密), 995 (POP3S, 加密) 
    sudo ufw allow pop3    # 允许端口 110/tcp
    sudo ufw allow pop3s    # 允许端口 995/tcp
  • IMAP (接收邮件):143 (不加密), 993 (IMAPS, 加密) 
    sudo ufw allow imap    # 允许端口 143/tcp
    sudo ufw allow imaps    # 允许端口 993/tcp

您只需要允许您实际使用的那些端口。对于出站邮件服务器,您可能还需要允许您的服务器连接到外部 SMTP 服务器(通常也是端口 25 或 587),但这属于出站规则,如果您的默认出站策略是允许,则无需额外配置。

数据库服务器 (例如 PostgreSQL 5432, MySQL 3306):

数据库端口通常不需要向整个互联网开放。它们通常只被同一网络内的其他服务器(如 Web 服务器)或特定的管理工作站访问。 

# 只允许来自 192.168.1.100 的机器访问 PostgreSQL 端口 5432
sudo ufw allow from 192.168.1.100 to any port 5432/tcp
# 只允许来自 192.168.1.0/24 网络范围的机器访问 MySQL 端口 3306
sudo ufw allow from 192.168.1.0/24 to any port 3306/tcp

重要提示:在允许任何服务的端口之前,请确保该服务本身已正确配置,并且您理解开放该端口可能带来的安全影响。只开放那些绝对必要的端口。

如何排除防火墙相关问题?

当您遇到网络连接问题,怀疑是防火墙引起的时,可以按照以下步骤进行排查:

  • 检查防火墙状态和规则:
    使用 `sudo ufw status verbose` 或 `sudo ufw status numbered` 查看当前哪些规则是激活的,以及默认策略是什么。检查是否有规则意外地拒绝了您需要的连接。
  • 查看日志:
    防火墙通常会记录被拒绝的连接尝试。ufw 的日志通常位于 `/var/log/ufw.log`。检查这个文件,看看是否有来自您尝试连接的 IP 地址或端口的拒绝记录。
  • 临时禁用防火墙:
    这是一个快速判断问题是否出在防火墙上的方法。使用 `sudo ufw disable` 临时禁用防火墙,然后再次尝试连接。如果连接成功,那么问题肯定与防火墙规则有关。请记住,在测试完成后立即使用 `sudo ufw enable` 重新启用防火墙。
  • 检查规则顺序:
    虽然 ufw 会简化规则顺序,但在极少数情况下,如果您使用了更复杂的规则(例如拒绝某个范围但允许其中一个 IP),顺序可能会很重要。使用 `sudo ufw status numbered` 仔细检查规则列表。
  • 检查服务是否正在监听:
    确保您尝试连接的服务实际上正在运行并且正在监听预期的端口。可以使用 `ss -tulnp` 或 `netstat -tulnp` (如果安装了 net-tools) 命令来查看系统当前监听的所有端口和对应的程序。
  • 检查其他网络过滤:
    除了 ufw/iptables,系统中可能还有其他网络过滤层,例如安全组(如果在云环境中)或物理防火墙。确保这些地方也没有阻止连接。

通过系统性地检查状态、规则、日志并进行临时测试,您通常可以快速定位并解决因防火墙配置不当引起的问题。

始终遵循“默认拒绝,按需允许”的原则来配置防火墙,这能最大限度地减少潜在的攻击面。


debian防火墙