1. 复杂网络环境实战
场景:多区域防火墙架构
拓扑需求:
- 公网:
- 公网IP:203.203.203.203运行nftables,暴露HTTP/HTTPS到互联网
- VPN网关(IPsec)连接本地数据中心
- 本地:
- 内部网络:192.168.10.0/24(VLAN 10),192.168.20.0/24(VLAN 20)
- 防火墙运行iptables,实现VLAN间策略路由和NAT
- 通过HAProxy实现DMZ区(172.16.1.0/24)负载均衡
核心配置代码
公网规则
# 允许VPN流量(UDP 500/4500,ESP协议)
nft add rule inet filter input udp dport {500, 4500} accept
nft add rule inet filter input ip protocol esp accept
# DNAT映射HTTP到后端HAProxy
nft add rule nat prerouting tcp dport {80, 443} dnat to 172.16.1.100
# 防DDoS规则(限制新建连接)
nft add rule inet filter input tcp dport 80 \
ct state new \
meter http_flood { ip saddr limit rate 50/second burst 100 packets } \
counter accept本地iptables规则
# VLAN间访问控制(允许VLAN10访问VLAN20的SSH)
iptables -A FORWARD -i vlan10 -o vlan20 -p tcp --dport 22 -j ACCEPT
# 出站SNAT(本地数据中心访问互联网)
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to 10.0.0.200
# HAProxy健康检查放行
iptables -A INPUT -s 172.16.1.0/24 -p tcp --dport 1936 -j ACCEPT2. 全链路故障排查
问题1:VPN建立成功但无法访问内网
排查步骤:
# 1. 检查IPsec状态
ipsec status
# 2. 验证防火墙规则(nftables/iptables)
nft list ruleset | grep -i esp
iptables -L -n -v | grep 172.16.1.0
# 3. 抓包分析(VPN网关侧)
tcpdump -i eth0 'udp port 500 or 4500' -nn -vv
# 4. 检查路由表
ip route show table all
# 5. 验证NAT穿透配置
grep nat_traversal /etc/ipsec.conf问题2:负载均衡流量不均
诊断工具:
# 查看HAProxy实时会话
echo "show stat" | socat /var/run/haproxy.sock stdio
# 跟踪DNAT映射(nftables)
nft monitor | grep "dnat to"
# 统计后端服务器连接数
netstat -tn | awk '{print $4}' | grep ':80' | sort | uniq -c3. 性能调优实战
连接跟踪优化
# 调整内核参数(/etc/sysctl.conf)
net.netfilter.nf_conntrack_max=2000000
net.netfilter.nf_conntrack_tcp_timeout_established=7200
# 监控连接跟踪表
conntrack -L -o extended | cut -d' ' -f1 | sort | uniq -c | sort -nr规则集优化
# 1. 高频规则前置(nftables)
nft insert rule inet filter input position 1 tcp dport 443 accept
# 2. 合并相似规则(iptables)
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
# 3. 使用ipset加速黑名单匹配
ipset create blacklist hash:ip family inet maxelem 1000000 timeout 86400
iptables -A INPUT -m set --match-set blacklist src -j DROP4. 安全策略验证
渗透测试验证
# 使用nmap扫描暴露端口
nmap -sS -Pn -T4 -p- 203.0.113.100
# SQL注入测试(验证WAF规则)
sqlmap -u "http://203.0.113.100/?id=1" --batch --level=5
# 暴力破解防护测试
hydra -L users.txt -P passwords.txt ssh://203.0.113.100 -t 4日志关联分析
# 分析被拦截攻击(Fail2ban + 防火墙日志)
grep "FW_DENIED" /var/log/syslog | awk '{print $1,$2,$3,$11}' | sort | uniq -c5. 排错工具箱
工具/命令 | 用途 | 示例 |
tcpdump | 抓包分析网络流量 | tcpdump -i eth0 'port 80' -w capture.pcap |
conntrack -L | 查看当前连接跟踪表 | conntrack -L -d 114.114.114.114 |
nft monitor | 实时监控nftables规则匹配 | nft monitor trace |
iptables -L -nv | 查看规则命中计数器 | iptables -t nat -L -nv |
systemtap | 内核级防火墙行为分析 | stap -e 'probe kernel.function("ipt_do_table") {printf("%s\n", pp())}' |
perf | 性能瓶颈分析 | perf record -g -p $(pidof nft) |
6. 终极实战任务
任务:构建安全SD-WAN网关
- 需求:
- 在2台服务器上部署高可用防火墙集群(Keepalived)
- 实现分支节点(192.168.100.0/24)与总部(10.8.0.0/16)的IPsec VPN互联
- 通过nftables实施零信任策略(仅允许加密流量穿越)
- 关键配置:
# IPsec隧道保护规则
nft add rule inet filter forward \
ip saddr 192.168.100.0/24 \
ip daddr 10.8.0.0/16 \
ip protocol udp \
meta l4proto udp \
udp dport 4500 \
counter accept
# 拒绝非加密跨站点流量
nft add rule inet filter forward \
ip saddr 192.168.100.0/24 \
ip daddr 10.8.0.0/16 \
counter drop7. 注意事项
- 分段测试原则:
- 使用iptables -N TEST_CHAIN创建测试链
- 通过iptables -A INPUT -j TEST_CHAIN临时挂载
- 验证后合并到主规则集
- 配置变更:
# nftables批量更新
nft -f new_rules.nft && echo "success" || (nft -f backup.nft && echo "rollback")- 镜像备份:
# 全量配置备份
nft list ruleset > /backup/firewall-$(date +%s).nft
iptables-save > /backup/iptables-$(date +%s).rules