# 防火墙

你应该在你的实例上部署防火墙，以关闭任何开放端口，并提供一个机制来封禁可能行为不端的客户端。许多防火墙前端还会自动安装一些规则来屏蔽明显的恶意数据包。

部署工具来监控日志文件中的某些趋势，并自动封禁表现出某种行为的客户端是很有帮助的。这可以用于监控你的 SSH 和 Web 服务器访问日志，以应对如 SSH 暴力破解攻击。

## 端口

对于 GoToSocial，你需要确保端口 `443` 保持开放。没有它，任何人都无法访问你的实例。联合将失败，客户端应用程序将无法正常工作。

如果你使用 ACME 或 GoToSocial 的内置 Lets Encrypt 支持[配置 TLS 证书](../certificates.md)，你还需要开放端口 `80`。

为了通过 SSH 访问你的实例，你还需要保持 SSH 守护进程绑定的端口开放。默认情况下，SSH 端口是 `22`。

## ICMP

[ICMP](https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol) 是在机器之间交换数据，以检测某些网络条件或排除故障的协议。许多防火墙倾向于完全屏蔽 ICMP，但这并不理想。应该允许一些 ICMP 类型，你可以使用防火墙为它们配置速率限制。

### IPv4

为了确保功能可靠，你的防火墙必须允许：

* ICMP 类型 3："目标不可达"，并有助于路径 MTU 发现
* ICMP 类型 4："源抑制"

如果你希望能够 ping 或被 ping，还应允许：

* ICMP 类型 0："回显应答"
* ICMP 类型 8："回显请求"

为了 traceroute 能够工作，还可以允许：

* ICMP 类型 11："时间超限"

### IPv6

IPv6 协议栈的所有部分非常依赖 ICMP，屏蔽它会导致难以调试的问题。[RFC 4890](https://www.rfc-editor.org/rfc/rfc4890) 专门为此而写，值得查看。

简单来说，你必须始终允许：

* ICMP 类型 1："目标不可达"
* ICMP 类型 2："数据包过大"
* ICMP 类型 3，代码 0："时间超限"
* ICMP 类型 4，代码 1, 2："参数问题"

对于 ping，你应该允许：

* ICMP 类型 128："回显请求"
* ICMP 类型 129："回显应答"

## 防火墙配置

在 Linux 上，通常使用 [iptables](https://en.wikipedia.org/wiki/Iptables) 或更现代、更快的 [nftables](https://en.wikipedia.org/wiki/Nftables) 作为后端进行防火墙配置。大多数发行版正在转向使用 nftables，许多防火墙前端可以配置为使用 nftables。你需要参考发行版的文档，但通常会有一个 `iptables` 或 `nftables` 服务，可以通过预定义的位置加载防火墙规则。

手动使用原始的 iptables 或 nftables 规则提供了最大的控制精度，但如果不熟悉这些系统，这样做可能会有挑战。为了帮助解决这个问题，存在许多配置前端可以使用。

在 Debian 和 Ubuntu 以及 openSUSE 系列的发行版中，通常使用 UFW。它是一个简单的防火墙前端，许多针对这些发行版的教程都会使用它。

对于 Red Hat/CentOS 系列的发行版，通常使用 firewalld。它是一个更高级的防火墙配置工具，也有桌面 GUI 和 [Cockpit 集成](https://cockpit-project.org/)。

尽管发行版有各自偏好，你可以在任何 Linux 发行版中使用 UFW、firewalld 或其他完全不同的工具。

* [Ubuntu Wiki](https://wiki.ubuntu.com/UncomplicatedFirewall?action=show&redirect=UbuntuFirewall) 关于 UFW 的介绍
* [ArchWiki](https://wiki.archlinux.org/title/Uncomplicated_Firewall) 关于 UFW 的介绍
* DigitalOcean 指南 [在 Ubuntu 22.04 上使用 UFW 建立防火墙](https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-ubuntu-22-04)
* [firewalld](https://firewalld.org/) 项目主页及文档
* [ArchWiki](https://wiki.archlinux.org/title/firewalld) 关于 firewalld 的介绍
* [使用和配置 firewalld](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/configuring_firewalls_and_packet_filters/using-and-configuring-firewalld_firewall-packet-filters) 的 Red Hat 文档
* Linode 指南 [如何使用 firewalld](https://www.linode.com/docs/guides/introduction-to-firewalld-on-centos/)

## 暴力攻击防护

[fail2ban](https://www.fail2ban.org) 和 [SSHGuard](https://www.sshguard.net/) 可以配置以监控日志文件中暴力破解登录和其他恶意行为的尝试。它们可以配置为自动插入防火墙规则，以屏蔽恶意 IP 地址，屏蔽可以是暂时的，也可以是永久的。

SSHGuard 最初只为 SSH 设计，但现在支持多种服务。Fail2ban 往往支持任何可生成一致日志行的服务，而 SSHGuard 的签名方法可以捕获更复杂或隐蔽的攻击，因为它随着时间的推移计算攻击分数。

SSHGuard 和 fail2ban 都带有后端，可以直接针对 iptables 和 nftables，或与你选择的前端如 UFW 或 firewalld 在 Linux 上工作，在 \*BSD 系统上可以使用 pf。确保查看其文档以正确配置。

* [ArchWiki](https://wiki.archlinux.org/title/Fail2ban) 关于 fail2ban 的介绍
* DigitalOcean 指南如何在 Ubuntu 上使用 [fail2ban 保护 SSH](https://www.digitalocean.com/community/tutorial_collections/how-to-protect-ssh-with-fail2ban)
* Linode 指南如何使用 [fail2ban 保护服务器](https://www.linode.com/docs/guides/using-fail2ban-to-secure-your-server-a-tutorial/)
* [ArchWiki](https://wiki.archlinux.org/title/sshguard) 关于 sshguard 的介绍
* [FreeBSD 手册](https://man.freebsd.org/cgi/man.cgi?query=sshguard&sektion=8&manpath=FreeBSD+13.2-RELEASE+and+Ports) sshguard 的介绍
* [SSHGuard 设置](https://manpages.ubuntu.com/manpages/lunar/en/man7/sshguard-setup.7.html) 的 Ubuntu 手册

对于 fail2ban，可以使用以下正则表达式，该正则表达式在身份验证失败时触发 fail2ban，而不是其他“未经授权”的错误（例如 API）：

```regex
statusCode=401 path=/auth/sign_in clientIP=<HOST> .* msg=\"Unauthorized:
```

## IP 屏蔽

GoToSocial 实现了速率限制，以保护你的实例不被单个主体占用所有处理能力。然而，如果你知道这不是合法流量，或者来自你不想与之联邦的实例，你可以屏蔽流量来源的 IP，以节省 GoToSocial 的处理能力。

### Linux

屏蔽 IP 是通过 iptables 或 nftables 实现的。如果你使用 UFW 或 firewalld 等防火墙前端，请使用其功能来屏蔽 IP。

在 iptables 中，人们倾向于在 `filter` 表的 `INPUT` 链中为 IP 添加一个 `DROP` 规则。在 nftables 中，通常在一个具有 `ip` 或 `ip6` 地址族的链的表中完成。在这些情况下，内核已经对传入流量进行了大量不必要的处理，然后再通过 IP 匹配进行屏蔽。

使用 iptables 时，可以更有效地使用 `mangle` 表和 `PREROUTING` 链。你可以查看这篇博客文章，[了解它在 iptables 中的工作原理][iptblock]。对于 nftables，你可能会想要使用 [`netdev` family][nftnetdev] 进行屏蔽。

[iptblock]: https://javapipe.com/blog/iptables-ddos-protection/
[nftnetdev]: https://wiki.nftables.org/wiki-nftables/index.php/Nftables_families#netdev

#### iptables

使用 `iptables` 屏蔽 IP 的示例：

```
iptables -t mangle -A PREROUTING -s 1.0.0.0/8 -j DROP
ip6tables -t mangle -A PREROUTING -s fc00::/7 -j DROP
```

当使用 iptables 时，添加许多规则会显著降低速度，包括在添加/删除规则时重新加载防火墙。由于你可能希望屏蔽许多 IP 地址，请使用 [ipset 模块][ipset] 并为集合添加单个屏蔽规则。

[ipset]: https://ipset.netfilter.org/ipset.man.html

首先创建你的集合并添加一些 IP：

```
ipset create baddiesv4 hash:ip family inet
ipset create baddiesv6 hash:ip family inet6

ipset add baddiesv4 1.0.0.0/8
ipset add baddiesv6 fc00::/7
```

然后，更新你的 iptables 规则以针对该集合：

```
iptables -t mangle -A PREROUTING -m set --match-set baddiesv4 src -j DROP
ip6tables -t mangle -A PREROUTING -m set --match-set baddiesv6 src -j DROP
```

#### nftables

对于 nftables，你可以使用如下配置：

```
table netdev filter {
    chain ingress {
        set baddiesv4 {
            type ipv4_addr
            flags interval
            elements = { \
                1.0.0.0/8, \
                2.2.2.2/32 \
            }
        }
        set baddiesv6 {
            type ipv6_addr
            flags interval
            elements = { \
                2620:4f:8000::/48, \
                fc00::/7 \
            }
        }

        type filter hook ingress device <interface name> priority -500;
        ip saddr @baddiesv4 drop
        ip6 saddr @baddiesv6 drop
    }
}
```

### BSDs

使用 pf 时，你可以创建一个通常命名为 `<badhosts>` 的持久化表，将需要屏蔽的 IP 地址添加到该表中。表格还可以从其他文件读取，因此可以将 IP 列表保存在主 `pf.conf` 之外。

有关如何执行此操作的示例，可以在 [pf 手册][manpf] 中找到。

[manpf]: https://man.openbsd.org/pf.conf#TABLES