首頁  >  文章  >  後端開發  >  IP門禁:保母式教你用PHP實現一個IP防火牆

IP門禁:保母式教你用PHP實現一個IP防火牆

藏色散人
藏色散人轉載
2022-08-06 14:52:013809瀏覽

最近我遇到一個需求,我的一台伺服器總是遭到連接埠掃描和惡意登入攻擊,對此可以怎麼做呢?似乎除了內網隔離、增強密碼認證、憑證登入、設定防火牆iptables,網路上找不到什麼別的方案,對了,還用堡壘機的方案。

這些方案其實都無法解決我的問題。這是一台公網伺服器,並沒有什麼複雜的網路結構,所以不能建立內網隔離。調整帳號的密碼策略,自然是一個方案,但是人工操作太麻煩,而且我通常經常換電腦使用,如果修改密碼,公司的和家裡的電腦都要更新,很麻煩。設定防火牆自然是維運的基本操作,但是iptables的配置太麻煩,ufw工具還好些,firewall-cmd就麻煩些,而且有一個巨大的痛點,眾所周知,大家的出網IP都會經常變,好不容易在命令行裡一個字母一個字母的配置好了,睡了一覺,白費了。堡壘機更不是一個主流的方案,有點大材小用,用了堡壘機,反而不能隨意使用系統,更何況還沒聽說過那個免費的堡壘機呢。 【推薦:PHP影片教學

那怎麼辦呢,身為一個資深的PHP開發者,伺服器這塊的應用還不是手到擒來,當初連內網穿透都能輕鬆實現,一個IP過濾系統,小意思。所以我打算自己開發這樣一個項目,首先能夠實現IP過濾,另外,可以輕鬆地將IP加入到白名單裡,比如訪問一個網頁,就自動加入到白名單。

整個專案不到幾個小時就研發完了,起碼滿足了我自己的需求,並且實現了這樣幾個特性:

  • 多進程
  • #支援並發
  • 守護程式
  • 可以透過網頁面板管理IP
  • #流量統計
  • 攔截記錄

現在我們來一步一步的實作這個系統。

第一步,首先能夠簡簡單單的過濾IP

使用PHP監聽埠並且轉送資料的框架很多,對此我選擇workerman,原因有3

  • 運行簡單穩定
  • 方法介面簡單
  • 內建程式守護

至於具體的安裝方法,可以參考他的官方文件。

版權聲明:本文由phpreturn.comPHP武器庫官網)原創與首發,所有權利歸phpreturn PHP武器庫)所有,本站允許任何形式的轉載/引用文章,但必須同時註明出處。

IP門禁:保母式教你用PHP實現一個IP防火牆

workerman的使用方法非常簡單,只要10行程式碼,就實作了IP轉發 白名單過濾:

$worker = new Worker('tcp:0.0.0.0:' . Config::get('door.port_in'));
// 监听一个端口
$worker->count = 2;
// 设置多进程
$worker->onConnect = function (TcpConnection $connection) {
    // 获取IP白名单
    $list_ip = AppIp::where('status', 0)->cache(3)->column('ip');
    $remote_ip = $connection->getRemoteIp();
    // 拦截IP
    if (!in_array($remote_ip, $list_ip)) {
        $connection->close();
    }
    // 放行连接,连接内部目标端口
    $to_connection = new AsyncTcpConnection('tcp:127.0.0.1:' . Config::get('door.port_to'));
    // 互相转发流量
    $connection->pipe($to_connection);
    $to_connection->pipe($connection);
    $to_connection->connect();
}

正如上面程式碼所示,只有簡單幾行,便實現了IP監聽和轉發,其中IP白名單透過資料庫查詢,並且快取。

第二步,與ThinkPHP命令列整合在一起

為了專案開發方便,我都會使用ThinkPHP框架進行開發,它夠簡單,功能也比較齊全。

IP門禁:保母式教你用PHP實現一個IP防火牆

最终实现的命令行效果如下:

版权声明:本文由phpreturn.comPHP武器库官网)原创和首发,所有权利归phpreturnPHP武器库)所有,本站允许任何形式的转载/引用文章,但必须同时注明出处。

运行命令
php think door start
php think door start --mode d  // 守护进程重启
重启
php think door restart
停止
php think door stop

workerman的命令参数与thinkphp并不兼容,但是实现这样的效果并不难,实际上很简单,代码如下:

<?php

declare(strict_types=1);

namespace app\common\command;

use think\console\Command;
use think\console\Input;
use think\console\input\Argument;
use think\console\input\Option;
use think\console\Output;

class Door extends Command
{
    protected function configure()
    {
        // 指令配置
        $this->setName(&#39;door&#39;)
            // 设置think的命令参数
            ->addArgument(&#39;action&#39;, Argument::OPTIONAL, "start|stop|restart|reload|status|connections", &#39;start&#39;)
            ->addOption(&#39;mode&#39;, &#39;m&#39;, Option::VALUE_OPTIONAL, &#39;Run the workerman server in daemon mode.&#39;)
            ->setDescription(&#39;the door command&#39;);
    }
    protected function execute(Input $input, Output $output)
    {
        // 指令输出
        $output->writeln(&#39;door&#39;);
        $action = $input->getArgument(&#39;action&#39;);
        $mode = $input->getOption(&#39;mode&#39;);
        // 重新构造命令行参数,以便兼容workerman的命令
        global $argv;
        $argv = [];
        array_unshift($argv, &#39;think&#39;, $action);
        if ($mode == &#39;d&#39;) {
            $argv[] = &#39;-d&#39;;
        } else if ($mode == &#39;g&#39;) {
            $argv[] = &#39;-g&#39;;
        }
        // ...workerman的代码
    }
}

在上面的代码中,主要做了两件事:

  • 实现ThinkPHP的命令设置
  • 将命令参数重新构造为workerman兼容的方式

第三步,实现管理面板

使用PHP实现一个管理面板太简单了,PHP到处都是这样的后台框架,这里我选择ulthon_admin,这是我自己开发维护的,它基于ThinkPHP6,很简单,为定制而生,不搞所谓的“插件”和“市场”生态,能够自动生成CURD代码,并且内置几了几个有趣的皮肤。

最终效果如下:

IP門禁:保母式教你用PHP實現一個IP防火牆IP門禁:保母式教你用PHP實現一個IP防火牆

以上是ulthon_admin内置的两款皮肤效果,分别是:科幻、像素。

对于面板的管理,这里多做介绍,这算是PHP开发者的基本功,谁还不会个CURD啊。

版权声明:本文由phpreturn.comPHP武器库官网)原创和首发,所有权利归phpreturnPHP武器库)所有,本站允许任何形式的转载/引用文章,但必须同时注明出处。

第四步,进阶,更好的性能和流量统计

我们的IP拦截客户端需要运行在服务器上,并且直接连接数据库,如果每次收到请求都要查询数据库,那么很有可能导致连接不通畅,尤其是客户端和数据库本身位置较远的时候。在第一步的代码中,我们只是简单的使用了查询缓存,但是还不够,还可以优化。并且我们可以在管理面板的截图中看到,我们是可以统计流量和拦截次数的,现在我们要实现这些功能:

流量统计

首先我们将第一个步中,流量转发部分的代码改造成如下的样子:

<?php
// 向TO发起连接
$to_connection = new AsyncTcpConnection(&#39;tcp://127.0.0.1:&#39; . Config::get(&#39;door.port_to&#39;));
$to_connection->onMessage = function ($source, $data) use ($connection, $remote_ip) {
    // 接收到来自TO的数据,返回的数据
    $connection->send($data);
    // 将流量统计存储到内存里
    Cache::inc(md5($remote_ip) . &#39;-to&#39;, strlen($data));
};
// 流程和流量控制
$to_connection->onClose = function ($source) use ($connection) {
    $connection->close();
};
$connection->onBufferFull = function ($dest) use ($to_connection) {
    $to_connection->pauseRecv();
};
$connection->onBufferDrain = function ($dest) use ($to_connection) {
    $to_connection->resumeRecv();
};
$connection->onMessage = function ($source, $data) use ($to_connection, $remote_ip) {
    // 接收来自IN的数据,请求的数据
    $to_connection->send($data);
    // 将流量统计存储到内存里
    Cache::inc(md5($remote_ip) . &#39;-in&#39;, strlen($data));
};
// 流程和流量控制
$connection->onClose = function ($source) use ($to_connection) {
    $to_connection->close();
};
$to_connection->onBufferFull = function ($dest) use ($connection) {
    $connection->pauseRecv();
};
$to_connection->onBufferDrain = function ($dest) use ($connection) {
    $connection->resumeRecv();
};

在第一部的代码中,只用两行便实现了这些代码:

// 放行连接,连接内部目标端口
$to_connection = new AsyncTcpConnection(&#39;tcp:127.0.0.1:&#39; . Config::get(&#39;door.port_to&#39;));
// 互相转发流量
$connection->pipe($to_connection);
$to_connection->pipe($connection);

这里使用的是workerman内置的流量转发,它很好用,但是这里我们要统计流量,所以我们手动转发流量。

这里我们将统计的数据存储到缓存里,而不是直接连接数据库更新,这是为了更好的连接性能。我们会另外开启一个进程将这些改动更新到数据库。后面会介绍到。

拦截统计

我们将第一步中的加载IP白名单的逻辑改成下面这样:

版权声明:本文由phpreturn.comPHP武器库官网)原创和首发,所有权利归phpreturnPHP武器库)所有,本站允许任何形式的转载/引用文章,但必须同时注明出处。

<?php
$worker->onConnect = function (TcpConnection $connection) {
    $disable_cache_key = &#39;disable_ip_list&#39;;
    $list_ip = Cache::get($disable_cache_key);
    if (empty($list_ip)) {
        $connection->close();
    }
    $remote_ip = $connection->getRemoteIp();
    if (!in_array($remote_ip, $list_ip)) {
        AppIpReject::initRecord($remote_ip);
        $connection->close();
    }
};

在这里我们不连接数据库查询,而是直接从本地缓存读取白名单,这样会有更好的性能。我们会在另一个进程中更新这份白名单。

另外我们可以看到,拦截的IP调用了一个静态方法,这里的功能很简单,判断数据库中该IP是否存在,如果不存在则新增,如果存在,则更新拦截次数+·1。这里就不多介绍了。这里也没有必要做什么性能优化,反正本来就是拦截的IP,优化个毛。

高性能处理缓存数据

上面我们介绍,我们会另外开启一个进程,维护IP白名单,并且将流量统计提交到数据库。这就是这个进程:

<?php
$worker_ip = new Worker();
$worker_ip->name = &#39;report&#39;;
$worker_ip->onWorkerStart = function () {
    Timer::add(5, function () {
        $disable_cache_key = &#39;disable_ip_list&#39;;
        $list_ip = AppIp::where(&#39;status&#39;, 1)->column(&#39;ip&#39;);
        Cache::set($disable_cache_key, $list_ip);
        foreach ($list_ip as  $ip) {
            $ip_md5 = md5($ip);
            $in_length = Cache::pull("$ip_md5-in");
            // 请求的数据
            $to_length = Cache::pull("$ip_md5-to");
            // 返回的数据
            if (!empty($in_length) || !empty($to_length)) {
                $model_ip = AppIp::where(&#39;ip&#39;, $ip)->find();
                $model_ip->in_buffer += $in_length;
                $model_ip->to_buffer += $to_length;
                $model_ip->save();
            }
        }
    });
};

他做的事情很简单,读取缓存,更新数据到数据库,并且更新IP白名单。这里不需要考虑它和数据库之间的性能问题,这是额外的进程,不影响端口的连接和转发。

下一步,更好的性能设计

以上,只有几行代码,几个小时(如果不含设计系统的时间,代码量可能只有一两个小时。还能再怎么优化呢?实际上还是可以优化的。

更好的内存驱动

这里使用的是ThinkPHP内置的文件缓存,存储到磁盘上,以上方法,在大量连接并发时,肯定受制于磁盘的性能。所以自然而然,我们可以使用内存缓存。

版权声明:本文由phpreturn.comPHP武器库官网)原创和首发,所有权利归phpreturnPHP武器库)所有,本站允许任何形式的转载/引用文章,但必须同时注明出处。

但是使用内存缓存,redis可以吗?并不好。这里是客户端,它只是想简简单单实现一个拦截转发,还要再部署redis,不可取。

但实际上,workerman本身内置了数据共享组件,这是一个很好的方案。相当于一个极简的redis。完美符合我们的需求。但是我并没有实现这个功能,目前的系统已经符合我的场景。

更好的客户端

目前拦截IP客户端和管理面板集成在一起,使用相同的配置,面板基于ThinkPHP,客户端只是ThinkPHP的一个命令。我之所以这样做,是希望直接在Workerman中使用ThinkPHP的众多特性(数据库、缓存

实际上,我们可以将客户端的代码,另外开一个项目,使客户端和面板独立开。在面板上实现通用得API。客户端通过API操作数据。这样客户端就不需要连接数据库。好处多多。

但這樣也帶來的更多的工作量,這種情況下,我們自然而然的認為客戶端的環境不安全,所以要做權限認證,登入認證。介面開發也要寫更多的程式碼。

總結

這篇文章主要介紹了我實作IP防火牆的想法。這些技術,需要開發者有豐富的網站開發經驗,這個要求不高,但是也要有基本的網頁開發經驗,這就有一定的門檻。 Workerman非常簡單,但Workerman不是HTTP,這不是一般的網站開發,需要一定的學習和思考轉變。但對我來說,輕車駕熟。如果我去找其他的方案,學習、部署、測試,可能還不如我自己開發得更快。

版權聲明:本文由phpreturn.comPHP武器庫官網)原創與首發,所有權利歸phpreturn PHP武器庫)所有,本站允許任何形式的轉載/引用文章,但必須同時註明出處。

IP白名單是怎麼管理的呢,既可以透過面板添加,也可以訪問面板的一個頁面,自動獲取出網IP添加到白名單中,使用體驗和很好。

其實還有更好的方式,就是做一個rss伺服器,自動取得訂閱rss的客戶單的出網IP加入到白名單。但是我本身沒有使用rss的習慣,而且手機上也沒有好的rss閱讀器,也不想每次更新IP白名單都要特意打開它,也就沒使用這個方案。

我把它開源了,如果有需要可以參考: https://gitee.com/augushong/ip-door 。

更多

這個系統,跟iptables相比,只是有一個更方便的IP白名單管理體驗而已,相當於一個簡單堡壘機。他可以實現,將一些連接埠隱藏起來,只有「我」能連接。

例如將ssh的連接埠隱藏起來,透過ip門禁轉送過去。再例如將80埠隱藏起來,透過ip門禁轉送過去。

目前我的系統還沒有實作多個連接埠的同時綁定轉發,但是核心的思路是一樣的,可以參考使用。

版權聲明:本文由phpreturn.comPHP武器庫官網)原創與首發,所有權利歸phpreturn PHP武器庫)所有,本站允許任何形式的轉載/引用文章,但必須同時註明出處。

以上是IP門禁:保母式教你用PHP實現一個IP防火牆的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:phpreturn.com。如有侵權,請聯絡admin@php.cn刪除