使用 iptables 管理防火墙 · Puppet 2.7 Cookbook 中文版

### 使用 iptables 管理防火墙 > Programming can be fun, so can cryptography; however they should not be combined. > > — Kreitzberg and Shneiderman C 编程语言被形容为 “只写” 的语言；它是如此的简洁、高效，甚至你自己读自己写过的代码都可能很难理解。同样地，Linux 内核内置的包过滤防火墙的 iptables 的配置也是如此。一条原始的 iptables 命令规则看上去像这样： ``` iptables -A INPUT -d 10.0.2.15/32 -p tcp -m tcp --dport 80 -j ACCEPT ``` 除非你会因为掌握了命令行的这些似乎毫无意义的字符串而获得男子气概（诚然这是 UNIX 系统管理员的职业病），否则，能够以更加象征性和可读性的方式来表达防火墙规则是更好的选择。 Puppet 在这方面可以为我们提供帮助，因为我们可以用它对 iptables 的实现细节进行抽象，并通过参考管理员所控制的服务角色来定义防火墙规则，例如： ``` iptables::role { "web-server": } ``` #### 准备工作你需要我们在第 5 章 [为配置文件添加配置行](#ch05sec01) 一节中创建的 append_if_no_such_line 函数。 #### 操作步骤 1. 创建一个 iptables 模块： ``` # mkdir /etc/puppet/modules/iptables # mkdir /etc/puppet/modules/iptables/manifests # mkdir /etc/puppet/modules/iptables/files ``` 2. 使用如下内容创建 /etc/puppet/modules/iptables/manifests/init.pp 文件： ``` class iptables { file { [ "/root/iptables", "/root/iptables/hosts", "/root/iptables/roles" ]: ensure => directory, } file { "/root/iptables/roles/common": source => "puppet:///modules/iptables/common.role", notify => Exec["run-iptables"], } file { "/root/iptables/names": source => "puppet:///modules/iptables/names", notify => Exec["run-iptables"], } file { "/root/iptables/iptables.sh": source => "puppet:///modules/iptables/iptables.sh", mode => "755", notify => Exec["run-iptables"], } file { "/root/iptables/hosts/${hostname}": content => "export MAIN_IP=${ipaddress}\n", replace => false, require => File["/root/iptables/hosts"], notify => Exec["run-iptables"], } exec { "run-iptables": cwd => "/root/iptables", command => "/usr/bin/test -f hosts/${hostname} && /root/iptables/iptables.sh && /sbin/iptables-save > /etc/iptables.rules", refreshonly => true, } append_if_no_such_line { "restore iptables rules": file => "/etc/network/interfaces", line => "pre-up iptables-restore < /etc/iptables.rules", } define role() { include iptables file { "/root/iptables/roles/${name}": source => "puppet:///modules/iptables/${name}.role", replace => false, require => File["/root/iptables/roles"], notify => Exec["run-iptables"], } append_if_no_such_line { "${name} role": file => "/root/iptables/hosts/${hostname}", line => ". `dirname \$0`/roles/${name}", require => File["/root/iptables/hosts/${hostname}"], notify => Exec["run-iptables"], } } } ``` 3. 使用如下内容创建 /etc/puppet/modules/iptables/files/iptables.sh 文件： ``` # Server names and ports . `dirname $0`/names # Interfaces (override in host-specific file if necessary) export EXT_INTERFACE=eth0 # Flush and remove all chains iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -F iptables -X # Allow all traffic on loopback interface iptables -I INPUT 1 -i lo -j ACCEPT iptables -I OUTPUT 1 -o lo -j ACCEPT # Allow established and related connections iptables -I INPUT 2 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I OUTPUT 2 -m state --state ESTABLISHED,RELATED -j ACCEPT # Include machine specific settings HOST_RULES=`dirname $0`/hosts/`hostname -s` [ -f ${HOST_RULES} ] && . ${HOST_RULES} [ "${MAIN_IP}" == "" ] && ( echo No MAIN_IP was set, \ please set the primary IP address in ${HOST_RULES}. ; exit 1 ) # Include common settings . `dirname $0`/roles/common # Drop all non-matching packets iptables -A INPUT -j LOG --log-prefix "INPUT: " iptables -A INPUT -j DROP iptables -A OUTPUT -j LOG --log-prefix "OUTPUT: " iptables -A OUTPUT -j DROP echo -e "Test remote login and then:\n iptables-save \ >/etc/iptables.rules" ``` 4. 使用如下内容创建 /etc/puppet/modules/iptables/files/names 文件： ``` # Servers export PUPPETMASTER=10.0.2.15 # Well-known ports export DNS=53 export FTP=21 export GIT=9418 export HEARTBEAT=694 export IMAPS=993 export IRC=6667 export MONIT=2828 export MYSQL=3306 export MYSQL_MASTER=3307 export NRPE=5666 export NTP=123 export POSTGRES=5432 export PUPPET=8140 export RSYNCD=873 export SMTP=25 export SPHINX=3312 export SSH=22 export STARLING=3307 export SYSLOG=514 export WEB=80 export WEB_SSL=443 export ZABBIX=10051 ``` 5. 使用如下内容创建 /etc/puppet/modules/iptables/files/common.role 文件： ``` # Common rules for all hosts iptables -A INPUT -p tcp -m tcp -d ${MAIN_IP} --dport ${SSH} -j ACCEPT iptables -A INPUT -p ICMP --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p ICMP --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p tcp --dport ${SSH} -j ACCEPT iptables -A OUTPUT -p tcp --dport ${SMTP} -j ACCEPT iptables -A OUTPUT -p udp --dport ${NTP} -j ACCEPT iptables -A OUTPUT -p tcp --dport ${NTP} -j ACCEPT iptables -A OUTPUT -p udp --dport ${DNS} -j ACCEPT iptables -A OUTPUT -p tcp --dport ${WEB} -j ACCEPT iptables -A OUTPUT -p tcp --dport ${WEB_SSL} -j ACCEPT iptables -A OUTPUT -p tcp -d ${PUPPETMASTER} --dport ${PUPPET} -j ACCEPT iptables -A OUTPUT -p tcp --dport ${MYSQL} -j ACCEPT # Drop some commonly probed ports iptables -A INPUT -p tcp --dport 23 -j DROP # telnet iptables -A INPUT -p tcp --dport 135 -j DROP # epmap iptables -A INPUT -p tcp --dport 139 -j DROP # netbios iptables -A INPUT -p tcp --dport 445 -j DROP # Microsoft DS iptables -A INPUT -p udp --dport 1433 -j DROP # SQL server iptables -A INPUT -p tcp --dport 1433 -j DROP # SQL server iptables -A INPUT -p udp --dport 1434 -j DROP # SQL server iptables -A INPUT -p tcp --dport 1434 -j DROP # SQL server iptables -A INPUT -p tcp --dport 2967 -j DROP # SSC-agent ``` 6. 使用如下内容创建 /etc/puppet/modules/iptables/files/web-server.role 文件： ``` # Access to web iptables -A INPUT -p tcp -d ${MAIN_IP} --dport ${WEB} -j ACCEPT # Send mail from web applications iptables -A OUTPUT -p tcp --dport ${SMTP} -j ACCEPT ``` 7. 使用如下内容创建 /etc/puppet/modules/iptables/files/puppet-server.role 文件： ``` # Access to puppet iptables -A INPUT -p tcp -d ${MAIN_IP} --dport ${PUPPET} -j ACCEPT ``` 8. 在你的 Puppetmaster 节点上包含如下内容： ``` iptables::role { "web-server": } iptables::role { "puppet-server": } ``` 9. 运行 Puppet： ``` # puppet agent --test info: Retrieving plugin info: Caching catalog for cookbook.bitfieldconsulting.com info: Applying configuration version '1311682880' notice: /Stage[main]/Iptables/File[/root/iptables]/ensure: created notice: /Stage[main]/Iptables/File[/root/iptables/names]/ensure: defined content as '{md5}9bb004a7d2c6d70616b149d044c22669' info: /Stage[main]/Iptables/File[/root/iptables/names]: Scheduling refresh of Exec[run-iptables] notice: /Stage[main]/Iptables/File[/root/iptables/hosts]/ensure: created notice: /Stage[main]/Iptables/File[/root/iptables/hosts/cookbook]/ ensure: defined content as '{md5}d00bc730514bbb74cdef3dad70058a81' info: /Stage[main]/Iptables/File[/root/iptables/hosts/cookbook]: Scheduling refresh of Exec[run-iptables] notice: /Stage[main]//Node[cookbook]/Iptables::Role[web-server]/ Append_if_no_such_line[web-server role]/Exec[/bin/echo '. `dirname $0`/roles/web-server' >> '/root/iptables/hosts/cookbook']/returns: executed successfully info: /Stage[main]//Node[cookbook]/Iptables::Role[web-server]/ Append_if_no_such_line[web-server role]/Exec[/bin/echo '. `dirname $0`/roles/web-server' >> '/root/iptables/hosts/cookbook']: Scheduling refresh of Exec[run-iptables] notice: /Stage[main]//Node[cookbook]/Iptables::Role[puppetserver]/ Append_if_no_such_line[puppet-server role]/Exec[/bin/echo '. `dirname $0`/roles/puppet-server' >> '/root/iptables/hosts/ cookbook']/returns: executed successfully info: /Stage[main]//Node[cookbook]/Iptables::Role[puppet-server]/ Append_if_no_such_line[puppet-server role]/Exec[/bin/echo '. `dirname $0`/roles/puppet-server' >> '/root/iptables/hosts/ cookbook']: Scheduling refresh of Exec[run-iptables] notice: /Stage[main]/Iptables/File[/root/iptables/roles]/ensure: created notice: /Stage[main]//Node[cookbook]/Iptables::Role[puppetserver]/ File[/root/iptables/roles/puppet-server]/ensure: defined content as '{md5}c30a13f7792525c181e14e78c9a510cd' info: /Stage[main]//Node[cookbook]/Iptables::Role[puppet-server]/ File[/root/iptables/roles/puppet-server]: Scheduling refresh of Exec[run-iptables] notice: /Stage[main]//Node[cookbook]/Iptables::Role[web-server]/ File[/root/iptables/roles/web-server]/ensure: defined content as '{md5}11e5747cb2737903ffc34133f5fe2452' info: /Stage[main]//Node[cookbook]/Iptables::Role[web-server]/ File[/root/iptables/roles/web-server]: Scheduling refresh of Exec[run-iptables] notice: /Stage[main]/Iptables/File[/root/iptables/roles/common]/ ensure: defined content as '{md5}116f57d4e31f3e0b351da6679dca15e3' info: /Stage[main]/Iptables/File[/root/iptables/roles/common]: Scheduling refresh of Exec[run-iptables] notice: /Stage[main]/Iptables/File[/root/iptables/iptables.sh]/ ensure: defined content as '{md5}340ff9fb5945e9fc7dd78b21f45dd823' info: /Stage[main]/Iptables/File[/root/iptables/iptables.sh]: Scheduling refresh of Exec[run-iptables] notice: /Stage[main]/Iptables/Exec[run-iptables]: Triggered 'refresh' from 8 events notice: /Stage[main]/Iptables/Append_if_no_such_line[restore iptables rules]/Exec[/bin/echo 'pre-up iptables-restore < /etc/ iptables.rules' >> '/etc/network/interfaces']/returns: executed successfully notice: Finished catalog run in 4.86 seconds ``` 10. 检查要求的规则是否已被安装： ``` # iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 10.0.2.15 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 10.0.2.15 tcp dpt:8140 ACCEPT tcp -- 0.0.0.0/0 10.0.2.15 tcp dpt:22 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:135 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1433 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1434 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1434 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:2967 LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `INPUT: ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:123 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:123 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 10.0.2.15 tcp dpt:8140 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `OUTPUT: ' DROP all -- 0.0.0.0/0 0.0.0.0/0 ``` #### 工作原理为了创建一套合适的防火墙规则，我们需要知道节点的主 IP 地址以及其运行了哪些服务。我们还需要添加一些所有的机器都要设置的共同规则（例如，允许 SSH），并运行一系列的 iptables 命令以激活我们已经生成的规则。之后我们还要保存这些规则，以便使这些规则可以在开机时恢复执行。下面介绍所有的这一切是如何完成的。首先，我们创建一个 names 文件为常用的端口定义 shell 变量。这意味着，当我们定义防火墙规则时，可以引用变量，例如对于 MySQL 服务可以使用变量 ${MYSQL} 取代数值端口号 3306。 common.role 文件包含了一些对所有机器都有用的规则。编辑这个文件以适应你自己的所有机器（例如，你可能仅允许从指定的 IP 范围访问 SSH）。 web-server.role 和 puppet-server.role 文件包含了两个特定角色的规则。你可以添加更多的文件用于定义你的网络中所需的众多角色：例如，数据库服务器、应用服务器、 DNS 服务器，等等。文件中所有的规则都具有如下的格式： ``` iptables -A INPUT -p tcp -d ${MAIN_IP} --dport ${WEB} -j ACCEPT ``` 通常，你只需要修改 ${WEB} 这部分：将其替换为另一个端口名（定义在 names 文件中）的变量引用（例如 ${POSTGRES}）。如果你需要更多的端口名，在 names 文件中添加相应的定义。 iptables.sh 脚本读取其他的所有文件并执行规则要求的 iptables 命令。每当相关文件有任何改变，Puppet 就执行这个脚本，因此要想刷新防火墙，你需要做的工作就是改变相关的配置并运行 Puppet。 Puppet 还会将当前的规则集保存在 /etc/iptables.rules 文件中。为了让机器重启后加载规则集文件，Puppet 在 /etc/network/interfaces 文件中添加了如下一行： ``` pre-up iptables-restore < /etc/iptables.rules ``` 所有这一切意味着，在相关的模块中（例如 apache 模块），你只要简单地包含如下一行即可创建相应的防火墙： ``` iptables::role { "web-server": } ``` 一旦防火墙被激活，任何不符合规则的数据包将被阻止并记录到 /var/log/messages 日志文件。检查这个文件，以帮助解决防火墙的任何问题。 #### 更多用法如果在你的规则中引用了某些特定的机器（例如，你的监控服务器），可以在 names 文件中添加如下的定义： ``` MONITOR=10.0.2.15 ``` 然后在适当的位置（例如 common.role 文件中），你可以允许来自这台机器的访问，例如，允许来自监控服务器对指定主机 NRPE 端口的访问规则如下： ``` iptables -A INPUT -p tcp -m tcp -d ${MAIN_IP} -s ${MONITOR} --dport ${NRPE} -j ACCEPT ``` 你也可以用这种方法指定数据库服务器，以及在 .role 文件中需要引用特定的 IP 地址、网络地址和地址范围等情况。像这样动态生成防火墙规则集对于云基础设施是非常有用的，云中的服务器列表会因为节点的创建和销毁而不断地变化。对于需要触发防火墙重建的任何资源，你只要在此资源中添加如下代码即可： ``` notify => Exec["run-iptables"], ``` 你可能有一个由版本控制系统维护的或通过 **cloud API** （例如，Rackspace 或 Amazon EC2）自动更新的 “主服务器列表（master server list）”。可以在 Puppet 中将这个列表定义成一个 file 资源，通过在此资源中使用 notify 参数即可触发防火墙的重建，所以每次当你检入（check in）主服务器列表的变化，每台机器上运行的 Puppet 将相应地更新其防火墙。当然，这种高度的自动化意味着你需要对你检入的内容格外小心，因为任何错误都可能会导致整个基础设施离线。测试变更的一种好方法是对用于测试的 Puppet 配置清单使用一个单独的 Git 分支，在分支中仅将变更应用到一到两台服务器。一旦你验证了变更的正确性，就可以将其合并到主分支并回滚到主分支。