我有一个运行 CentOS 的虚拟机和一个用于托管我在那里部署的随机服务的 Web 服务器,所以为了使它可以从 Internet 访问,我使用iptables. 由于 Web 服务器本身在非root的专用用户下作为服务运行,因此无法直接使用端口 80。因此,在阅读完文档后,我添加了从端口 80 到 8080 的重定向,以便 Web 服务器可以绑定到该端口(我确实计划稍后添加对 HTTPS 的支持,也许我会购买一个合适的域,然后使用 Let's加密什么的)。
到目前为止它工作正常,但最近我注意到端口 8080 也保持开放状态,因此任何针对端口 80 或 8080 的请求都会得到相同的响应。问题是,我只需要从外部访问端口 80,因为我的提供商以某种方式考虑让端口 8080 开放某种潜在的滥用?无论哪种方式,我都不希望定向到端口 8080 的外部请求得到响应,只有那些以端口 80 为目标的请求才能得到响应。
到目前为止,这就是我的配置文件的iptables样子:
*nat
:PREROUTING ACCEPT [89:7936]
:INPUT ACCEPT [70:3812]
:OUTPUT ACCEPT [41:2756]
:POSTROUTING ACCEPT [41:2756]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
COMMIT
*filter
:INPUT ACCEPT [916:134290]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [819:117300]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
我尝试删除打开端口 8080 的规则,但重新加载后iptables服务器也不会响应来自端口 80 的请求。最近,我一直在考虑添加另一个重定向规则,将源 IP 更改为特定的东西以在端口 8080 中接受,但我不确定这是否可行。我需要这里的指导。
注意:我对这个工具不太熟悉,这是我怀疑的主要来源。另外,也许我遗漏了一些可能有用的规则,因此我们将不胜感激下面评论中对新规则的任何建议。
该示意图应该可以帮助您了解如何完成数据包处理:
过滤器/输入规则只看到在 nat/PREROUTING 中被 NAT 后的数据包,因此默认情况下无法区分在端口 8080 上接收数据包(因为客户端直接发送它)与在端口 8080 上接收数据包之间的区别,因为客户端在端口 80 上发送它,然后重定向到端口 8080。在这两种情况下,他们都会看到一个数据包到达端口 8080。因此,您需要额外的信息才能区分这两种情况。
首先第一件事:这个规则应该被删除,因为它没用:
因为正如所解释的,过滤器/输入不会在端口 80 上看到数据包:它现在到达端口 8080。在这里不要
tcpdump盲目相信:如示意图所示,tcpdump(AF_PACKET)在这一切之前看到数据包,所以会看到端口 80 .您可以使用 iptables 的
conntrackmatch 查询 netfilter 的连接跟踪系统,从而访问丢失的信息:对于这种情况,当前传入的数据包是否是经历 DNAT 转换的连接的一部分,使用--ctstate DNAT(REDIRECT 是 DNAT 的一个特例,就像 MASQUERADE 是 SNAT 的一个特例一样)。此匹配还有其他选项,例如--ctorigdstport等,可能会达到类似的结果。我将仅列出有关此案例的重要规则,而不是全部,以说明解释。只需在需要时在正确的地方使用它们。
可能就在通用
... ESTABLISHED,RELATED -j ACCEPT行之后:(或者如果以后有一个包罗万象的删除规则,则不要添加最后一个 DROP 规则)。
第一个 INPUT 规则将匹配到达端口 8080 的流量(这里是从最初到达端口 80),而第二个规则将丢弃剩余到达端口 8080 的流量:直接连接尝试。
注意:如果你想知道为什么
statematch 和conntrackmatch 看起来很相似,那state已经被conntrack. 实际上,内核模块在内部xt_conntrack.ko处理state除了匹配之外的conntrack匹配,以实现向后兼容性。传输此信息的另一种方法是使用数据包标记,这是一种更通用的方法,可以应用于许多其他情况。它是一个任意数字,将标记数据包(仅在内核中,不在网络上)并且可以在一些地方使用,包括 iptables
mark匹配以更改决策。由于MARK目标不是终止规则,因此可以在实际使用之前使用REDIRECT规则。由于它们以十六进制显示,因此我也将它们设置为十六进制。价值是你选择它的意思。这里的 0x80(即十进制 128)将自己传达“命中端口 80 并被重定向到端口 8080”的信息,因此无需稍后重新检查端口,检查标记验证所有。像往常一样,它是连接的第一个数据包:此连接的每个其他数据包都由通用 conntrack stateful rule 处理... ESTABLISHED,RELATED -j ACCEPT。在通用
... ESTABLISHED,RELATED -j ACCEPT行之后:我还必须警告您不要先丢弃(而不是拒绝)无效状态数据包就使用 REJECT 规则的危险。当 TCP 数据包以错误的顺序到达时,这可能会在某些罕见的拥塞情况下为您带来随机连接重置问题。目前正在考虑添加此问题的相关文档:
根据我的经验,您通常会更改 8080 服务的绑定。
IE 不是绑定到 0.0.0.0:8080,而是将服务绑定到 127.0.0.1:8080,这意味着应用程序不会监听您的公共接口。
在这种情况下,我将设置一个从端口 80/443 到端口 8080 的反向代理(nginx),允许您配置从 http 端口 80 到 https 端口 443 的重定向,应用程序能够在端口 8080 上运行而无需了解 SSL。
我不是 iptables 的专家,所以我不会尝试解决你上面的问题。
REDIRECT 只是更改端口号,所以如果连接是:
它成为了
因此,您将无法通过做您正在做的事情同时阻止和接受。
首先删除此规则:
并使用 DNAT 而不是 REDIRECT,例如:
那可能行得通。
您也可以只收听 127.0.0.1:8080(而不是 0.0.0.0:8080)。