我今天花了一些时间审核我的 iptables 脚本。我是一名软件工程师,而不是 Ops 专家,但我尝试学习 iptables 的基础知识。我注意到一些东西肯定已经坏了很长时间了:
# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -i lo -d 127.0.0.0/8 -j REJECT
好的,所以,看起来应该是:
-A INPUT -i ! lo -d 127.0.0.0/8 -j REJECT
正确的?
麻烦的是,服务器正在运行实时流量。虽然这看起来像是一个无害的更改,但我对 iptables 有适当的尊重。此外,这意味着我一直在接受来自 /8 的来自其他接口的流量。这在现实世界中意味着什么?机器如何在不同的接口上接收来自 127/8 的任何请求?
大概是。此规则的精神似乎是阻止 IP 目标为 127.0.0.0/8且未到达
lo(环回)接口的任何内容。看到这个关于
!角色正确定位的问题:Iptables bang position。如果有人制造了一个伪造的数据包,在它的一个公共连接接口上发往你的机器,你可能已经回复了它,并且在某些退化的情况下,可能已经允许访问本地守护程序和仅在环回接口上侦听的服务。如果这种行为真的发生了,我会感到惊讶,而且任何潜在的攻击面都相当遥远。
实际上,至少在我看来,利用这一点的机会微乎其微。攻击者需要与您位于同一网段以伪造 IP 标头,同时保持以太网标头(特别是目标 MAC 地址)完好无损。远程主机将无法利用伪造的 IP 标头,因为数据包在通过网络中的路由器时将被丢弃,但未送达。机器上明确绑定到环回接口的 IP 地址的任何服务都应该只响应接收到的流量,而不是响应到达其他接口的欺骗数据包,所以我(个人)不认为这对你来说是一个主要问题。
非常正确的是,任何有可能将正在主动移动数据包的机器变成主动拒绝网络流量的机器的任何配置更改都应该谨慎处理,特别是如果停机会带来财务影响。您还应该权衡任何此类更改的后果——这种错误输入导致机器宕机的可能性很小,但在工作机器上操纵 iptables 配置有更大的导致停机的风险。应该仔细考虑这种权衡。
这种类型的更改应该是无害的,但是仍然存在相对较多的故障模式:粗手指键盘事务,误解了您的iptables配置的这方面与防火墙中的其他一些条目之间的相互作用等。
对于所有非常规防火墙更改,尤其是那些处理
REJECT规则的更改,您应该计划停机时间。如果您从远程位置对机器执行更改,请确保您有其他访问机器的方法应该丢失访问权限 - 最好,这应该在维护窗口内可用,这样您就可以避免违反任何 SLA。通过板载 IPMI 控制器或串行控制台的 OOB 连接,或者在此at risk期间物理访问数据中心中机器的能力,都适用于此。