Debian iptables/nftables 防火墙：完整配置示例

在当今互联网环境中，网络安全至关重要。防火墙作为网络安全的第一道防线，负责控制进出网络的数据流，阻止未经授权的访问和潜在的恶意攻击。Debian 系统提供了两种主要的防火墙工具：iptables 和 nftables。本文将深入探讨这两种工具，并提供详细的配置示例，帮助您构建一个安全可靠的网络环境。

1. iptables 简介与原理

iptables 是一个传统的、基于内核的防火墙工具，它使用一系列的表（tables）、链（chains）和规则（rules）来过滤网络数据包。

1.1 表（Tables）

iptables 主要有五个表：

• filter：默认表，用于过滤数据包，决定是否允许数据包通过。
• nat：用于网络地址转换（NAT），例如将私有 IP 地址转换为公共 IP 地址。
• mangle：用于修改数据包的头部信息，例如 TTL、TOS 等。
• raw：用于配置连接跟踪，通常用于优化性能。
• security：用于强制访问控制（MAC）网络规则，通常与 SELinux 结合使用。

1.2 链（chains）

每个表包含多个链，数据包在进入、通过或离开系统时会经过不同的链：

• INPUT：处理进入系统的数据包。
• OUTPUT：处理离开系统的数据包。
• FORWARD：处理转发的数据包（例如路由器）。
• PREROUTING：（仅在 nat 和 mangle 表中）在路由决策之前处理数据包。
• POSTROUTING：（仅在 nat 和 mangle 表中）在路由决策之后处理数据包。

1.3 规则（Rules）

规则定义了如何处理符合特定条件的数据包。每条规则包含：

• 匹配条件：指定数据包的特征，例如源 IP 地址、目标端口、协议等。
• 目标（target）：指定对匹配的数据包执行的操作，例如：
  • ACCEPT：允许数据包通过。
  • DROP：丢弃数据包，不发送任何响应。
  • REJECT：拒绝数据包，并向发送方发送 ICMP 错误消息。
  • LOG：记录数据包信息到系统日志。
  • DNAT：目标网络地址转换。
  • SNAT：源网络地址转换。

1.4 工作流程

数据包的处理流程如下：

1. 数据包进入系统。
2. 根据数据包的类型和方向，选择相应的表和链。
3. 在链中，按顺序检查每条规则。
4. 如果数据包与某条规则的匹配条件相符，则执行该规则的目标（target）。
5. 如果数据包与所有规则都不匹配，则执行链的默认策略（policy）。

2. iptables 配置示例

以下是一个基于 Debian 的 iptables 完整配置示例，适用于典型的服务器环境：

“`bash

清除现有规则

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t raw -F
iptables -t raw -X
iptables -t security -F
iptables -t security -X

设置默认策略 (通常为 DROP，以确保安全)

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT # 允许所有出站流量

允许本地回环流量

iptables -A INPUT -i lo -j ACCEPT

允许已建立连接和相关连接的流量

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

允许 SSH 连接 (端口 22)

iptables -A INPUT -p tcp –dport 22 -j ACCEPT

允许 HTTP 和 HTTPS 连接 (端口 80 和 443)

iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT

允许特定 IP 地址的访问 (例如，管理 IP)

iptables -A INPUT -s 192.168.1.100 -j ACCEPT

记录被丢弃的数据包 (可选，用于调试)

iptables -A INPUT -j LOG –log-prefix “iptables dropped: “

拒绝其他所有入站连接

iptables -A INPUT -j REJECT
“`

配置说明：

• 首先清除所有现有规则，确保配置干净。
• 设置默认策略为 DROP，这意味着所有未明确允许的数据包都将被丢弃。这是一个重要的安全措施。
• 允许本地回环流量（lo 接口），这是系统内部通信所必需的。
• 允许已建立连接和相关连接的流量。这允许系统响应已建立连接的请求。
• 允许 SSH、HTTP 和 HTTPS 连接，这是服务器常见的服务。
• 允许特定 IP 地址的访问，例如管理 IP，以允许管理员进行远程管理。
• 记录被丢弃的数据包，这有助于调试和监控。
• 最后使用REJECT，而不是DROP，这样能告知发送方。

保存和加载 iptables 规则：

• 保存：iptables-save > /etc/iptables/rules.v4 (IPv4) 和 iptables-save > /etc/iptables/rules.v6 (IPv6)
• 加载：iptables-restore < /etc/iptables/rules.v4 和 iptables-restore < /etc/iptables/rules.v6

持久化配置：

为了确保重启后 iptables 规则仍然有效，可以使用 iptables-persistent 包：

“`bash
sudo apt-get update
sudo apt-get install iptables-persistent

在安装过程中，系统会提示您是否保存当前的 iptables 规则。选择“是”。

“`

3. nftables 简介与原理

nftables 是一个新一代的防火墙工具，旨在取代 iptables。它提供了更灵活、更高效、更易于管理的防火墙框架。

3.1 主要特性

• 单一框架：nftables 提供了一个统一的框架，取代了 iptables、ip6tables、arptables 和 ebtables。
• 新的语法：nftables 使用了一种更简洁、更易于理解的语法。
• 原子操作：nftables 支持原子操作，可以在不中断现有连接的情况下更新规则集。
• 集合（sets）和映射（maps）：nftables 支持集合和映射，可以更有效地管理大量 IP 地址、端口等。
• 更好的性能：nftables 在性能方面进行了优化，尤其是在处理大量规则时。

3.2 表（Tables）、链（Chains）和规则（Rules）

nftables 的概念与 iptables 类似，但有一些关键区别：

• 表（Tables）：nftables 的表用于组织规则，可以自定义表的名称和类型（例如 inet、ip、ip6、arp、bridge）。
• 链（Chains）：链包含规则，用于处理数据包。nftables 的链可以是基本链（base chain）或普通链（regular chain）。基本链是数据包的入口点，普通链用于组织规则。
• 规则（Rules）：规则定义了如何处理符合特定条件的数据包。nftables 的规则语法更简洁，并且支持更复杂的表达式。

4. nftables 配置示例

以下是一个基于 Debian 的 nftables 完整配置示例，与前面的 iptables 示例功能相同：

“`nftables

!/usr/sbin/nft -f

flush ruleset

table inet filter {
chain input {
type filter hook input priority 0; policy drop;

# 允许本地回环流量
iifname lo accept

# 允许已建立连接和相关连接的流量
ct state established,related accept

# 允许 SSH 连接 (端口 22)
tcp dport 22 accept

# 允许 HTTP 和 HTTPS 连接 (端口 80 和 443)
tcp dport { 80, 443 } accept

# 允许特定 IP 地址的访问 (例如，管理 IP)
ip saddr 192.168.1.100 accept

# 记录被丢弃的数据包 (可选，用于调试)
log prefix "nftables dropped: "

# 拒绝其他所有入站连接
reject

}

chain forward {
type filter hook forward priority 0; policy drop;
}

chain output {
type filter hook output priority 0; policy accept;
}
}
“`

配置说明：

• flush ruleset：清除所有现有规则。
• table inet filter：定义一个名为 filter 的表，类型为 inet（同时处理 IPv4 和 IPv6）。
• chain input：定义一个名为 input 的链，类型为 filter，钩子为 input，优先级为 0，默认策略为 drop。
• 规则的语法更简洁，例如 tcp dport { 80, 443 } 表示匹配目标端口为 80 或 443 的 TCP 数据包。
• ct state established,related accept：允许已建立连接和相关连接的流量。
• ip saddr 192.168.1.100 accept：允许源 IP 地址为 192.168.1.100 的数据包。
• log prefix "nftables dropped: "：记录被丢弃的数据包。
• reject：使用reject，而不是drop.

保存和加载 nftables 规则：

• 保存：nft list ruleset > /etc/nftables.conf
• 加载：nft -f /etc/nftables.conf

持久化配置：

Debian 默认使用 /etc/nftables.conf 文件来保存 nftables 规则。您可以将上述配置保存到该文件，并确保以下服务已启用：

bash
sudo systemctl enable nftables.service
sudo systemctl start nftables.service

5. iptables 与 nftables 的比较

特性	iptables	nftables
框架	多个工具（iptables、ip6tables、arptables、ebtables）	单一框架
语法	较复杂	更简洁、更易于理解
原子操作	不支持	支持
集合和映射	不支持	支持
性能	在处理大量规则时可能较慢	优化了性能，尤其是在处理大量规则时
学习曲线	较陡峭	较平缓
社区支持	成熟、广泛	正在增长，但可能不如 iptables 成熟
未来发展	逐渐被 nftables 取代	Debian 和其他 Linux 发行版的未来发展方向

6. 总结与建议

iptables 和 nftables 都是强大的防火墙工具，可以为 Debian 系统提供可靠的安全保护。iptables 成熟稳定，有大量的文档和社区支持；nftables 是新一代的防火墙工具，具有更灵活、更高效、更易于管理的特性。

选择建议：

• 如果您熟悉 iptables 并且不需要 nftables 的高级特性，可以继续使用 iptables。
• 如果您是新手或者需要更高级的特性（例如原子操作、集合和映射），建议使用 nftables。
• 对于新的 Debian 系统，建议直接使用 nftables，因为它是未来的发展方向。

无论您选择哪种工具，都应该：

• 最小化开放端口：只开放必要的端口，减少攻击面。
• 设置合理的默认策略：通常将 INPUT 和 FORWARD 链的默认策略设置为 DROP。
• 允许已建立连接和相关连接的流量：这是系统正常运行所必需的。
• 定期审查和更新规则：根据实际需求调整规则，确保安全性和可用性。
• 监控日志：定期检查防火墙日志，及时发现并处理潜在的安全威胁。

通过合理配置防火墙，您可以大大提高 Debian 系统的安全性，保护您的数据和应用程序免受未经授权的访问和恶意攻击。