我的根本目标是能够防止攻击者在我的服务器上进行未经授权的传出连接(例如,用于连接回壳)。
我可以通过使用“ufw”阻止所有传出流量的端口来实现这一点,除了服务器需要运行的端口(即DNS、HTTP、SSH和SMTP)。
ufw 允许我只允许到静态 IP 地址的传出 DNS 连接(因此我将配置服务器以使用 Google DNS),它允许我限制发往 127.0.0.1 的传出 SSH(我的自动部署脚本需要使用 Git)。
据我所知,ufw 并没有真正允许基于域名的传出限制,这是有道理的(从性能角度来看)。我需要能够执行此操作以限制与我的邮件服务器域的传出 SMTP 连接(目前仅使用 Gmail 进行测试)以及与 Ubuntu 服务器的 HTTP 连接(用于系统更新)。
我知道 iptables 允许您根据域指定规则,但它们在启动时被转换并且不是每次都执行(即反向 DNS)。我知道这是出于性能原因的设计。
那么通过域名限制传出网络流量的解决方案是什么(即每个传出连接都需要将其目标IP地址反向DNS并与域名白名单匹配)?
我在想,如果我不能使基于域的传出限制的一半起作用,那么使用 ufw 通过 IP 限制 DNS 和 SSH 没有多大意义。
- 编辑 1* 所以我已经研究出如何直接使用 iptables 将发往某个端口(例如 80)的传出“转发”到另一个端口。
然后我意识到在接收转发的流量时无法知道原始目标IP地址是什么。就在那时我找到了https://github.com/mitmproxy/mitmproxy并发现它(作为一个透明的 Python 代理)与 iptables 接口进行交互以计算出套接字的原始目标 IP 地址是什么。
我还没有让它全部工作,但我很确定这种方法应该有效。
这仅适用于一台机器,因为它依赖于透明代理能够连接
iptables并获取传出流量的原始目标 IP。另请注意,此方法有点 hacky,因为为了克服无限循环问题(重定向到代理 -> 重定向到代理 -> ...),防火墙规则应用于操作系统用户组,这意味着任何不在组中的用户都不会通过代理转发他们的传出流量。
脚步:
创建一个名为proxy的新操作系统用户组
将每个操作系统用户(root 除外!)添加到这个新组
获取代理组的id并记住它以备后用
设置某种透明代理服务器,该服务器可以接受您要代理的协议并可以与
iptables. 我使用mitmproxy(基于 Python)并将其设置为作为根服务运行并在proxyPort上侦听。添加规则以
iptables将所有发往某个端口(例如 http)的传出流量重定向到 127.0.0.1: proxyPort,如下所示:iptables -t nat -A OUTPUT -m owner --gid-owner proxyGID -p tcp --dport 80 -j DNAT --to 127.0.0.1:proxyPort,适当替换proxyGID和proxyPort配置
iptables或ufw允许到proxyPort的传出流量,允许任何端口被代理(例如 80)并默认禁止所有其他端口。配置您的透明代理以根据您的喜好丢弃请求。要回答这个问题,您需要将代理配置为在原始目标 IP 上执行反向 DNS,并检查生成的域是否在预先配置的白名单中,否则应该丢弃流量。