使iptables更易于维护

除了被列入白名单的几个站点之外，我的网络已完全锁定。这都是通过iptables完成的，看起来像这样：

# Allow traffic to google.com
iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT
iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT
iptables -A zone_lan_forward -p tcp -d 11.12.13.0/24 -j ACCEPT
iptables -A zone_lan_forward -p udp -d 11.12.13.0/24 -j ACCEPT
iptables -A zone_lan_forward -p tcp -d 101.102.103.0/24 -j ACCEPT
iptables -A zone_lan_forward -p udp -d 101.102.103.0/24 -j ACCEPT
...

显然，这些地址是假设的，但是您知道了。我的防火墙越来越庞大。如果我能做到这一点，维护起来会容易得多：

# Allow traffic to google.com
iptables -A zone_lan_forward -p tcp -d google.com -j ACCEPT
iptables -A zone_lan_forward -p udp -d google.com -j ACCEPT

我相信这是可能的，因为这样man iptables说：

地址可以是网络名称，主机名（请注意，指定要通过远程查询解析的任何名称（例如DNS）是个坏主意），网络IP地址（带有/ mask）或纯IP地址。

但是我担心的是“指定要使用... DNS解析的任何名称”这一部分。为什么这是个坏主意？它会减慢一切速度吗？

如果我真的不应该在iptables规则中使用主机名，那么应该怎么做来简化防火墙？

• 添加规则时解析DNS名称，而不是检查数据包时解析。这违反了大多数人的期望。
  • 规则不会更新以反映更改后的DNS结果。添加时已解决，仅此而已。您将需要定期重新加载规则，否则某些站点可能会中断。
• 有一个安全问题，因为您基本上是将防火墙规则的控制权委派给外部实体。
  • 如果您的父DNS服务器遭到破坏并返回错误数据该怎么办。

如果您的目的是阻止HTTP访问，那么通常最好设置一个旨在在该级别进行过滤的软件（例如squid + squidquard）。

如果在防火墙中使用主机名，则防火墙现在依赖于DNS。这使防火墙面临许多问题：

• 高容量下的DNS查找可能会导致延迟。
• DNS更改不会立即传播。因此，您的防火墙可能正在使用缓存的IP。
• DNS可以被欺骗，劫持，被黑。
• DNS可能会失败-这意味着您的防火墙会失败。
• 您的防火墙规则现在由第三方控制。

如果使用主机名而不控制DNS，则其他人将有效控制IPtables规则。错误，错误或安全问题最终将成为您的问题。

我唯一看到主机名使用得当的地方是内部操作。我曾在通过DHCP分配IP和主机名的办公室工作。防火墙使用主机名在不同组之间设置屏障。由于所有这些都是内部控制的，因此效果很好。

您可以在iptables（例如Shorewall）周围使用包装器，以使规则更易于维护。

正如其他人已经说过的那样，您不应在iptables规则中使用DNS可解析的名称。它们是不准确的，受第三方控制，通常是不道德的行为（tm）。我还要补充一点，在iptables服务启动时，您的DNS可能会失败或无法访问。在这种情况下，根本不会添加该规则，并且可能会发生全新的问题（例如，重新启动后失去ssh访问权限）。

您可以做的是：

1. 使用自定义链在逻辑上分隔规则
2. 使用ipset来将地址分组并与规则分开
3. 在规则中添加注释

也没有人对没有由DNS解析的主机名说不好（即在中指定）hosts。如果确实需要，可以使用它们。

我个人在/ etc / hosts中手动将主机名分配给ip ，然后在iptables中使用它。

这样你

1. 不要将防火墙规则卸载到外部实体
2. 具有易于维护的iptables