CFW（Cyber Firewall）是一个人性化的 Linux 防火墙。

概括

CFW（Cyber Firewall）是一个人性化的 Linux 防火墙。它旨在协助阻止拒绝服务攻击（DDoS），同时能控制 Linux 系统端口的开关。CFW 基于 Linux 原生基础设施运行，拥有良好的软件兼容性。

该软件基于 iptables 和 ipset，使用 Python 开发，使用时建议关闭发行版自带的防火墙（如 firewalld、ufw）避免冲突。

通过 CFW，你将能够：

• 通过自定义的规则自动封禁互联网中的恶意 IP，以防止拒绝服务攻击
• 保护 Linux 的所有端口遭受 DDoS 攻击，而不仅仅是 Web 应用
• 获得良好的软件兼容性，原生支持 Nginx、Caddy 等服务器
• 支持配合 CDN 使用，使用 CDN 时请将 CDN 的 IP 段设置为 CFW 白名单
• 控制开启或关闭 Linux 系统的 TCP/UDP 端口
• 获得友好的命令行交互式体验

背景

Web 应用程序运行在复杂的互联网中，随时可能面临恶意攻击，导致拒绝服务现象。为了封禁这些不友好的 IP，CFW 正是为此而诞生。

CFW 的灵感最初来自宝塔面板的 Nginx 防火墙。然而，使用 Nginx 防火墙的过程中遇到诸多不顺。该防火墙仅针对 Web 应用（通常是 80 和 443 端口）防御 CC 攻击，无法保护 Linux 服务器的其他端口。同时，该防火墙需要按月付费，并始终捆绑宝塔生态（最新的宝塔面板甚至需要登录绑定手机实名制的账号），从而限制了软件自由度。我们想在纯净的 Linux 中运行防火墙，并对所有端口生效，于是自己开发了一个。

由于 CFW 基于 iptables 和 ipset，不免会与发行版自带的防火墙（如 firewalld、ufw）冲突，我们增加了 CFW 对端口开关的控制。

实现

CFW 通过 ss -Hntu | awk '{print $5,$6}' 命令获取当前服务器的所有连接。客户端的请求若超过设定并发数，该 IP 将被 iptables 封禁，并存储在 ipset 数据结构中。

CFW 通过调用 iptables 命令实现 Linux 端口的开关。

安装

请先确保系统拥有以下依赖。

对于 Debian、Ubuntu 等：

sudo apt install -y curl ipset python3 git net-tools

对于 CentOS 等：

sudo yum install -y curl ipset python3 git net-tools

安装好系统依赖后，输入以下命令安装 CFW：

sudo curl https://raw.githubusercontent.com/Cyberbolt/cfw/main/install.py | python3

你也可以下载该脚本阅读，以了解该脚本所进行的工作后再执行上述命令。

完成安装后，使用 source ~/.bashrc 激活 CFW 的环境变量。（或者新打开一个 shell 环境，自动激活环境变量。）

在 Linux 终端输入 systemctl status cfw，显示 active (running) 字样说明 CFW 已成功运行，同时会在服务器重启时自动运行。

卸载

sudo curl https://raw.githubusercontent.com/Cyberbolt/cfw/main/uninstall.py | python3

配置

配置文件在 /etc/cfw/config.yaml 中，修改配置文件后运行 systemctl restart cfw 即可生效。

配置文件参数说明：

# CFW 运行端口
port: 6680
# CFW 检测连接的频率，单位：秒。此处默认 5 秒一次。
frequency: 5
# 允许每个 IP 连接的最大并发数，超过将被 CFW 封禁。
max_num: 100
# 解封 IP 的时间。此处默认 IP 被封禁后 600 秒将自动解封。若此处值为 0，则永久封禁。
unblock_time: 600
# 数据备份时间，单位：秒。
backup_time: 60

# IPv4 白名单路径。写在文本文件中，一行一个 IP，支持子网掩码。）本地地址、内网地址默认在该文件中）
whitelist: /etc/cfw/ip_list/whitelist.txt
# IPv4 黑名单路径。写在文本文件中，一行一个 IP，支持子网掩码。
blacklist: /etc/cfw/ip_list/blacklist.txt

# IPv6 白名单路径。写在文本文件中，一行一个 IP。
whitelist6: /etc/cfw/ip_list/whitelist6.txt
# IPv6 黑名单路径。写在文本文件中，一行一个 IP。
blacklist6: /etc/cfw/ip_list/blacklist6.txt

# 日志文件的路径
log_file_path: /etc/cfw/log/log.csv
# 日志文件的最大行数。（达到最大行数后将自动滚动。若此处值为 0，则不限制最大行数）
log_max_lines: 10000000

命令

命令中 [] 表示变量。

运行

• 停止 CFW：systemctl stop cfw
• 启动 CFW：systemctl start cfw
• 重启 CFW：systemctl restart cfw

IP 黑名单管理

• 手动封禁单个 IPv4 地址：cfw block [ip]
• 手动解封单个 IPv4 地址：cfw unblock [ip]
• 查看 IPv4 黑名单：cfw blacklist
• 手动封禁单个 IPv6 地址：cfw block6 [ip]
• 手动解封单个 IPv6 地址：cfw unblock6 [ip]
• 查看 IPv6 黑名单：cfw blacklist6

Linux 端口操作

• 放行 IPv4 端口：cfw allow [port]
• 阻止 IPv4 端口：cfw deny [port]
• 单独放行 IPv4 TCP 端口：cfw allow [port]/tcp，示例如 cfw allow 69.162.81.155/tcp
• 单独阻止 IPv4 TCP 端口：cfw deny [port]/tcp，示例如 cfw deny 69.162.81.155/tcp
• IPv4 UDP 端口操作同理
• 查看所有放行的 IPv4 端口：cfw status
• 放行 IPv6 端口：cfw allow6 [port]
• 阻止 IPv6 端口：cfw deny6 [port]
• 单独放行 IPv6 TCP 端口：cfw allow6 [port]/tcp，示例如 cfw allow6 69.162.81.155/tcp
• 单独阻止 IPv6 TCP 端口：cfw deny6 [port]/tcp，示例如 cfw deny6 69.162.81.155/tcp
• IPv6 UDP 端口操作同理
• 查看所有放行的 IPv6 端口：cfw status6

日志操作

动态查询日志 cfw log [num]。[num] 为查询日志的条数，查询结果将按时间倒序。

相关链接

• GitHub: https://github.com/Cyberbolt/cfw
• 电光笔记: https://www.cyberlight.xyz/
• Potato Blog: https://www.liuya.love/

更多

如果你在使用中遇到任何问题，欢迎在 https://github.com/Cyberbolt/cfw/issues 处留言。有了你的帮助，CFW 才能日渐壮大。

总结

CFW 可以防止一定程度的 DDoS 攻击，同时能控制开启或关闭 Linux 系统的 TCP/UDP 端口，很好地帮助我们解决恶意 IP 入侵的问题。但是不要做不切实际的想象，认为 CFW 可以抵御大型 DDoS 攻击。DDoS 攻击的规模往往与成本是正相关的，必要时提升网络带宽才能解决问题的根本。

作者简介：

Cyberbolt：一个自由的 Python 开发者。

作者：Cyberbolt 编辑：wxy

本文由贡献者投稿至 Linux 中国公开投稿计划，采用 CC-BY-SA 协议 发布，Linux中国 荣誉推出

CyberDB，一个基于 Python 字典和列表的内存数据库。

概括

CyberDB 是一个轻量级的 Python 内存数据库。它旨在利用 Python 内置数据结构字典、列表作数据存储，通过 TCP 套接字高效通信，并提供了数据持久化。该数据库的亮点在于它使用了 Pythonic 的方式编程，你可以像使用字典和列表一样使用 CyberDB。

现在我们把 CyberDB 带到能发挥其作用的地方，在生产环境中将 CyberDB 作为 Flask 的内存数据库，使用 Gunicorn 运行，并实现多进程间的通信。

这篇文章通过一个尽可能精简的 Flask 实例讲解，不会涉及复杂的 Web 知识。核心思路为 CyberDB + Gunicorn + Gevent + Flask（多进程 + 协程），启动一个 CyberDB 服务器，使用 Gunicorn 多进程运行 Flask 实例，每个进程的实例通过 Gevent 运行，进程中使用 CyberDB 客户端连接至内存数据库，由此实现对 CyberDB 数据库的高并发访问。

源码解析

文章使用 PyPy 运行，同样适用 CPython。

运行环境: Debian 10, Python 3.8.12, PyPy 7.3.7

此项目的目录结构

.
├── app.py
├── cyberdb_init.py
├── cyberdb_serve.py
├── requirements.txt
└── venv

我们通过列举每个文件的内容顺序讲解 CyberDB 的核心操作。

文件 requirements.txt

CyberDB>=0.7.1
Flask==2.1.1
gevent==21.12.0
gunicorn==20.1.0

这是此项目的依赖。这篇文章不是 Python 基础教程，如果你不清楚，请查询相关文档创建虚拟环境 venv 目录并安装 requirements.txt 中的依赖。

生成 venv 目录并安装好依赖后，下面所有操作都在激活的虚拟环境中运行。

文件 cyberdb\_init.py

功能：初始化 CyberDB 的表结构，只在第一次运行时使用，后续不再使用。

import time

import cyberdb

db = cyberdb.Server()
# 配置 CyberDB 服务端的 地址、端口、密码。
db.start(host='127.0.0.1', port=9980, password='123456')

# 待服务端启动后，连接 CyberDB 服务端。
time.sleep(3)
client = cyberdb.connect(host='127.0.0.1', port=9980, password='123456')
# 生成 proxy 对象。
with client.get_proxy() as proxy:
    # 创建类型为 CyberDict 的表 centre，并初始化内容。
    proxy.create_cyberdict('centre')
    centre = proxy.get_cyberdict('centre')
    centre['content'] = 'Hello CyberDB!'

# 将 CyberDB 保存至 data.cdb 。
db.save_db('data.cdb')

在项目根目录执行

python cyberdb_init.py

以完成 CyberDB 数据库表的初始化。

它会在 CyberDB 中创建了一个名为 centre、类型为 CyberDict 的表；初始化 content 键的值为 Hello CyberDB!；最后将 CyberDB 数据库保存至硬盘（在项目根目录生成了名为 data.cdb 的文件）。

文件 cyberdb\_serve.py

功能：运行 CyberDB 服务端。

import cyberdb

def main():
    # 后台运行 CyberDB 服务端，设置相关信息。
    db = cyberdb.Server()
    # 从硬盘读取 data.cdb 至 CyberDB。
    db.load_db('data.cdb')
    # 每 300 秒备份一次数据库。
    db.set_backup('data.cdb', cycle=300)
    db.run(
        host='127.0.0.1', # TCP 运行地址
        port=9980, # TCP 监听端口
        password='hWjYvVdqRC', # 数据库连接密码
        max_con=10000, # 最大并发数
        encrypt=True, # 加密通信
        print_log=False # 不打印日志
    )


if __name__ == '__main__':
    main()

在项目根目录执行

python cyberdb_serve.py

以运行 CyberDB 服务端。

此处设置了 encrypt=True ，CyberDB 会将 TCP 通信内容使用 AES-256 算法加密。开启 encrypt=True 后，CyberDB 仅允许白名单中的 IP 通信，默认白名单为 ['127.0.0.1']（查看白名单 设置方法）。一般，若只需在本地进程间通信，无需开启 encrypt=True 和设置白名单，只有远程通信时需要此操作。

文件 app.py

功能：运行 Flask 实例和 CyberDB 客户端。

import cyberdb
from flask import Flask, g

# 连接 CyberDB 并生成客户端实例。
client = cyberdb.connect(
    host='127.0.0.1', 
    port=9980, 
    password='hWjYvVdqRC',
    # 服务端若加密，客户端必须加密，反之亦然。
    encrypt=True,
    # 每个连接若超过900秒无操作，将舍弃该连接。
    # 连接由连接池智能管理，无需关注细节。
    time_out=900
)

# 创建 Flask 实例，此部分请参考 
# Flask 文档 https://flask.palletsprojects.com/
app = Flask(__name__)

@app.before_request
def before_request():
    # 每次请求执行前生成 proxy 对象。
    g.proxy = client.get_proxy()
    # 从连接池获取连接。
    g.proxy.connect()

@app.get("/")
def hello_world():
    # 从数据库获取 centre 表。
    centre = g.proxy.get_cyberdict('centre')
    
    return {
        'code': 1,
        'content': centre['content']
    }

@app.teardown_request
def teardown_request(error):
    # 每次请求执行后归还连接至连接池。
    g.proxy.close()

if __name__ == '__main__':
    app.run(host='127.0.0.1', port=8000)

该模块会在每次请求执行前（before_request()）使用 client.get_proxy() 获取 proxy 对象，每个获取的 proxy 对象可以绑定一个 TCP 连接，此处使用 proxy.connect() 从连接池获取连接。视图函数 hello_world() 中，由 proxy 获取的对象 centre，与 proxy 共用同一个连接，proxy 的连接释放后，centre 也会失去连接。在每次请求后（teardown_request()）使用 proxy.close() 方法释放 proxy 绑定的连接，归还至连接池。

cyberdb.connect 的 time_out 参数表示连接池中每个连接的超时时间，此处每个连接超过 900 秒无操作将被舍弃。若不设置该参数，连接池的每个连接会维持到失效为止。

使用 Gunicorn 运行 Flask 实例

Gunicorn 是一个用于 UNIX 的 Python WSGI HTTP 服务器，通常在生产环境使用，可以利用多核 CPU 。

Gevent 是一个基于协程的 Python 网络库。Gevent 会更改 CyberDB 客户端的底层套接字通信，使之支持协程。

在项目根目录运行

gunicorn -w 4 -b 127.0.0.1:8000 -k gevent app:app

使用 4 进程、Gevent 启动 Flask 实例。

浏览器访问 127.0.0.1:8000 ，得到如下响应：

{"code":1,"content":"Hello CyberDB!"}

参考信息

CyberDB 源码: https://github.com/Cyberbolt/CyberDB

总结

通过此例，你可以把 CyberDB 部署到更复杂的 Web 环境中，充分享受内存的低延迟特性。CyberDB 的核心是以 Pythonic 的方式编程，你可以在任何 Python 代码中将 CyberDB 作为内存数据库。

作者简介：

Cyberbolt：一个自由的 Python 开发者。

via: https://www.cyberlight.xyz/static/cyberdb-chn/tutorial/flask/

作者：Cyberbolt 编辑：wxy

本文由贡献者投稿至 Linux 中国公开投稿计划，采用 CC-BY-SA 协议 发布，Linux中国 荣誉推出