【Linux系列】Linux 防火墙的详细学习

在开始今天的分享之前，我想先推荐一篇非常精彩的文章。

文章就是《渗透测试文件包含漏洞原理与验证(1)——文件包含概述》🚀🌟🚀🌟🚀🌟

链接是：点击这里。

这篇文章详细解释了文件包含漏洞的原理，以及如何在实际的 Web 应用程序中发现和验证这类漏洞。它提到，文件包含漏洞通常发生在 PHP 等脚本语言中，当开发者在引入文件时没有对文件名进行充分的校验，就可能导致意外的文件泄露或恶意代码注入。

文章还介绍了几种 PHP 中的文件包含函数，包括include()、include_once()、require()和require_once()，以及它们在找不到文件时的不同行为。此外，文章还探讨了利用文件包含漏洞的条件，比如函数通过动态变量引入文件，以及用户能够控制这个动态变量。

通过一些实际的示例，文章展示了如何通过修改文件扩展名来绕过某些安全限制，以及如何通过修改 URL 参数来实现文件包含攻击。

这篇文章不仅提供了丰富的技术细节，还强调了合法合规的重要性。它提醒我们，所有的渗透测试活动都应该在获得明确授权的情况下进行，并且要遵守相关法律法规。

如果你对 Web 安全感兴趣，或者想要提高你的 Web 应用程序的安全性，我强烈推荐你阅读这篇文章。它不仅能够提供实用的技术知识，还能帮助你更好地理解安全领域的法律和道德规范。让我们一起在合法合规的前提下，探索和提升 Web 安全吧！

Linux 防火墙是保护系统免受未授权访问的关键工具，它通过一系列的规则控制数据包的流入、流出及转发行为。

1. 防火墙基础概念

防火墙是操作系统用于保护网络安全的核心组件。它通过设置规则，允许或拒绝网络数据包的传输。Linux 防火墙基于 Netfilter 框架实现，并提供两类主要工具：iptables 和 现代封装工具 如 firewalld 和 UFW。

2. Netfilter 和 iptables

Netfilter 是 Linux 2.4.x 之后新一代的 Linux 防火墙机制，是 linux 内核的一个子系统。它采用模块化设计，具有良好的可扩充性，提供扩展各种网络服务的结构化底层框架。Netfilter 与 IP 协议栈是无缝契合，并允许对数据报进行过滤、地址转换、处理等操作。

iptables 是由软件包 iptables 提供的命令行工具，工作在用户空间，用来编写规则，写好的规则被送往 netfilter，告诉内核如何去处理信息包。

3. firewalld 介绍

firewalld 是 CentOS 默认的防火墙工具，它基于区域（zone）管理规则，可以动态修改防火墙配置，适合现代化的网络管理。firewalld 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具，支持 IPv4、IPv6 防火墙设置以及以太网桥。

4. 防火墙的配置方法

4.1 iptables 配置

iptables 的规则由四部分组成：链（如 INPUT, OUTPUT, FORWARD），条件（如：-p tcp --dport 80），以及动作（如：ACCEPT, DROP）。例如，允许所有进入 80 端口（HTTP 服务）的连接的规则如下：

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

保存规则并重启 iptables 服务：

sudo iptables-save > /etc/iptables/rules.v4
sudo systemctl restart iptables

4.2 firewalld 配置

firewalld 的使用更加直观。首先，确保 firewalld 服务正在运行：

sudo systemctl start firewalld
sudo systemctl enable firewalld

开放端口：

sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload

5. 实用技巧与注意事项

• 定期检查和更新防火墙规则，以应对新出现的威胁和漏洞。
• 理解不同区域（zone）和服务（service）的概念，以便更灵活地配置防火墙。
• 使用 ufw 可以简化防火墙的配置过程，特别是在 Ubuntu/Debian 系统上。