Laravel + eBPF/XDP + Redis + MySQL + Nginx 实现防火墙和端口隐藏方案

最新推荐文章于 2025-05-15 21:08:14 发布
最新推荐文章于 2025-05-15 21:08:14 发布
阅读量227 收藏 2
点赞数 8
文章标签: laravel redis mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjj_web/article/details/147965529
版权

Laravel + eBPF/XDP + Redis + MySQL + Nginx 实现防火墙和端口隐藏方案

架构概述

这个方案结合了多种技术来实现高级防火墙和端口隐藏功能:

  1. Laravel - 作为管理界面和控制中心
  2. eBPF/XDP - 提供高性能网络数据包过滤和处理
  3. Redis - 用于存储实时规则和会话状态
  4. MySQL - 存储持久化配置和日志
  5. Nginx - 作为Web服务器和反向代理

实现步骤

1. eBPF/XDP 层实现

// xdp_firewall.c - 基本的XDP防火墙实现
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/tcp.h>

SEC("xdp")
int xdp_firewall(struct xdp_md *ctx) {
    void *data_end = (void *)(long)ctx->data_end;
    void *data = (void *)(long)ctx->data;
    
    struct ethhdr *eth = data;
    if (eth + 1 > data_end) return XDP_PASS;
    
    if (eth->h_proto != htons(ETH_P_IP)) return XDP_PASS;
    
    struct iphdr *ip = data + sizeof(*eth);
    if (ip + 1 > data_end) return XDP_PASS;
    
    // 检查是否为TCP
    if (ip->protocol != IPPROTO_TCP) return XDP_PASS;
    
    struct tcphdr *tcp = (void *)ip + sizeof(*ip);
    if (tcp + 1 > data_end) return XDP_PASS;
    
    // 从Redis检查规则(伪代码)
    // if (redis_check_block(ip->saddr, tcp->dest)) {
    //     return XDP_DROP;
    // }
    
    // 端口隐藏逻辑 - 丢弃对隐藏端口的探测包
    // if (tcp->dest == htons(HIDDEN_PORT) && tcp->syn && !tcp->ack) {
    //     return XDP_DROP;
    // }
    
    return XDP_PASS;
}

2. Laravel 管理界面

// FirewallRuleController.php
namespace App\Http\Controllers;

use Illuminate\Http\Request;
use App\Models\FirewallRule;
use Illuminate\Support\Facades\Redis;

class FirewallRuleController extends Controller
{
    public function addRule(Request $request)
    {
        $validated = $request->validate([
            'source_ip' => 'required|ip',
            'destination_port' => 'required|integer',
            'action' => 'required|in:allow,block'
        ]);
        
        // 保存到MySQL
        $rule = FirewallRule::create($validated);
        
        // 同步到Redis供XDP程序快速访问
        Redis::hset('firewall_rules', 
            "{$validated['source_ip']}:{$validated['destination_port']}", 
            $validated['action']
        );
        
        return response()->json(['message' => 'Rule added successfully']);
    }
    
    public function togglePortVisibility(Request $request)
    {
        $port = $request->input('port');
        $hidden = $request->input('hidden');
        
        // 更新端口隐藏状态
        Redis::hset('hidden_ports', $port, $hidden ? '1' : '0');
        
        return response()->json(['message' => 'Port visibility updated']);
    }
}

3. Redis 数据结构设计

# 防火墙规则哈希表
HSET firewall_rules "192.168.1.100:22" "block"
HSET firewall_rules "10.0.0.0/8:3389" "allow"

# 隐藏端口集合
HSET hidden_ports 8080 1  # 端口8080被隐藏
HSET hidden_ports 22 0    # 端口22可见

4. Nginx 配置增强

# 隐藏服务器信息
server_tokens off;

# 非标准端口配置
server {
    listen 8080;
    server_name _;
    
    # 仅允许通过特定路径访问
    location /hidden-api {
        # 验证请求来源
        if ($remote_addr !~* "^(192\.168\.1\.100|10\.0\.0\.1)$") {
            return 444;
        }
        
        proxy_pass http://localhost:8000;
    }
    
    # 其他请求返回404
    location / {
        return 404;
    }
}

高级功能实现

1. 动态端口敲门 (Port Knocking)

// PortKnockingController.php
public function handleKnock(Request $request)
{
    $sequence = $request->input('sequence'); // 例如 "1001,2002,3003"
    $clientIp = $request->ip();
    
    // 验证敲门序列
    if ($this->validateKnockSequence($sequence)) {
        // 临时开放端口(30秒)
        Redis::setex("access:$clientIp", 30, '1');
        return response()->json(['status' => 'access granted']);
    }
    
    return response()->json(['status' => 'access denied'], 403);
}

2. 基于行为的自动阻断

// 分析日志并自动添加规则
public function analyzeAndBlock()
{
    $logEntries = Log::where('created_at', '>', now()->subMinutes(5))
        ->where('status', 403)
        ->groupBy('ip')
        ->havingRaw('COUNT(*) > 10')
        ->get();
    
    foreach ($logEntries as $entry) {
        $this->addBlockRule($entry->ip);
    }
}

部署注意事项

  1. 性能考虑

    • XDP程序应编译为原生代码以获得最佳性能
    • Redis部署在本地减少网络延迟
    • 对高频更新的规则使用内存数据库

  2. 安全性增强

    • 对Laravel管理界面实施双重认证
    • 加密Redis中的敏感数据
    • 定期备份MySQL中的规则配置

  3. 监控和日志

    • 记录所有被阻止的连接尝试
    • 监控XDP程序的丢包率
    • 设置异常行为告警

总结

这个方案通过多层防护实现了高级防火墙和端口隐藏功能:

  • XDP/eBPF提供内核级高性能过滤
  • Laravel提供友好的管理界面
  • Redis确保规则快速生效
  • MySQL持久化配置和日志
  • Nginx增强应用层防护

这种架构特别适合需要高性能网络安全防护的Web应用场景。

测开面经汇总
Ruizxzx的博客
08-01 1088
2023届测试开发工程师面经汇总
渗透测试 ( 3 ) --- Metasploit Framework ( MSF )
墨鱼菜鸡
07-11 4788
白嫖 Metasploit Pro 2022:https://zhuanlan.zhihu.com/p/449836479 白嫖 Metasploit Pro 2022:http://t.zoukankan.com/hxlinux-p-15787814.html 好东西之 metasploit pro:https://www.52pojie.cn/thr...
eBPF可观测之网络流量控制管理traffic control浅尝
kingu_crimson的博客
05-28 1557
首先发表一个"暴论"eBPF在可观测方面的应用,就是各种google。不需要学习内核,只要掌握ebpf开发套路。好比你开发 web 开发网站, 你了解socket 底层内核吗?一样不了解。知道怎么调用就行了。而且 eBPF 的开发也没多少复杂度, 更多的是 在内核态拦截(简化的c语言) 内核数据(不管是网络数据还是tracepoint数据), 最终都是要发给用户态(可以理解为java、golang),然后用户态具体做业务处理。所以c语言也不需要怎么学,学了也没啥用。
Web端即时聊天项目实现(基于WebSocket)
热门推荐
桐小目的秘密基地
02-28 10万+
Web端即时聊天项目实现 项目背景  其实这个项目算是我做过的花时间最长也投入心血最多的一个项目了,当时决定开始做这个的时候我几乎什么都不会,那时我个人的情况是: - JavaEE方面: 会jsp+servlet,也简单使用过Struts,Spring仅仅只是听说过。 - 前端方面: html,css有一些基础,会使用Bootstrap前端工具开发集,js基本不了解。 - 数据库...
后端开发、C++开发面经分类整理
BeforeEasy的博客
02-18 1522
博主秋招参加了字节百度腾讯B站虾皮美团等多个大厂的秋招,均已得到offer。现将参与的多轮面试中被问到的基础类问题进行分类整理,也欢迎大家补充! 我投递的主要是后端开发工程师、C++开发等,感觉遇到的问题大致可以归纳为以下几类:存储 语言 操作系统 网络 分布式 数据结构 其他
java 与大数据学习较好的网站
weixin_30724853的博客
05-07 8495
C# C#中 Thread,Task,Async/Await,IAsyncResult 的那些事儿!https://www.cnblogs.com/doforfuture/p/6293926.htmlAsp.net缓存技术(HttpRuntime.Cache)https://www.cnblogs.com/fengxuehuanlin/p/5358219.htmlCache及(HttpRunti...
DPDK系统学习—DPDK的虚拟交换机框架 OvS
Linuxhus的博客
05-07 759
目录: 多队列网卡 多队列网卡硬件实现 内核对多队列网卡的支持 多队列网卡的结构 DPDK 与多队列网卡 虚拟化 CPU 虚拟化 内存虚拟化 I/O 虚拟化 Virtio 为什么是 virtio? 多队列网卡 多队列网卡硬件实现 有四个硬件队列(Queue0, Queue1, Queue2, Queue3),当收到报文时,通过 hash 包头 的(sip, sport, dip, dport)四元组,将一条流总是收到相同
CentOS开发环境配置
MMF博客园
10-09 353
CentOS开发环境配置:Python环境配置、Mysql环境配置、Nginx环境配置,Redis环境配置。uwsgi环境配置,以及防火墙端口设置
使用阿里云ECS服务器部署Web应用流程介绍
cqf949544506的博客
04-21 1947
一.前言 学习了许久的Java,也参与开发了很多的Java项目,但一直没有系统的接触学习过项目部署,而我对项目部署也很有兴趣,于是便摸索学习了一番,在这里记录一下学习过程,参考博客,遇到的问题解决办法,有需要会随时更新。 服务器使用的阿里云ECS云服务器,下面就开始一步步介绍如何从零开始部署一个Web项目。 二.建站流程 第一步:购买阿里云服务器 1.阿里云提供多种服务器类型的选...
Linux常用性能分析工具汇总
祈晴小义
05-26 1559
《Linux性能优化实战》笔记
o.redisson.client.handler.CommandsQueue : Exception occured. Channel
架构师:通透,才能写出好代码!
05-12 239
在使用Redisson 2.15.2版本时,出现了与Netty通道相关的异常,具体表现为连接Redis服务器时发生错误。通过分析,问题可能源于该版本的jar包存在缺陷。解决方法是升级Redisson到3.16.1版本,替换原有的依赖配置。升级后,问题得到解决,系统恢复正常运行。建议在遇到类似问题时,优先考虑依赖库的版本更新,以修复潜在的bug。
redis
2402_88116813的博客
05-12 372
在idea中对redis添加的字段会经过序列化导致idea无法查询redis中添加的字段,redis中无法查询idea中添加的字段。redis使用前要先声明一下要操作哪种数据存储类型。
WSL 安装 Debian 12 后,Linux 如何安装 redis ?
belldeep的专栏
05-12 406
WSL 安装 Debian 后,Debian 12 Linux 如何安装 redis ?
【Java项目脚手架系列】第七篇:Spring Boot + Redis项目脚手架
工一木子
05-15 190
Spring Boot 的快速开发能力Redis 的高性能缓存支持完整的缓存操作支持连接池管理能力测试框架支持Spring Boot + Redis 脚手架提供了一个完整的缓存应用开发基础,包含了必要的配置示例代码。快速搭建缓存应用实现 Redis 操作进行单元测试使用开发工具。
Redis的发布/订阅模式与Stream模式结合相关业务场景示例demo
llg3189609554的博客
05-12 358
在教师端与三个答题设备同步答题状态数据的场景中,可以采用两种Redis实现方案:发布/订阅模式Stream模式。发布/订阅模式实现简单,实时性好,但消息不持久化,教师端掉线会丢失消息。教师端作为订阅者,通过Jedis订阅频道接收答题设备发布的状态消息。答题设备作为发布者,模拟不同设备的状态变化并发布到指定频道。Stream模式则支持消息持久化回溯,可靠性更高,适合生产环境。教师端作为消费者,通过阻塞读取Stream中的消息,确保消息不丢失。答题设备作为生产者,将状态数据以键值对形式写入Stream。两种
#Redis黑马点评#(五)Redisson原理详解
小安同学的博客
05-11 1072
使用的是Redis当中的Hash数据结构,存储一个计数器,当一个锁进入开始执行的时候,就将计数器加1,如果该锁执行结束就将计数器减1(为0时删除),这样避免了可重入锁之间锁的误删问题。Redisson是一个在Redis的基础上实现的Java驻Java内存数据网格。它不仅提供了一系列的分布式的Java常用对象,还提供了许多分布式服务,其中就包含了各种分布式锁的实现。可重入锁作用对象指的是。
聊聊redisson的lockWatchdogTimeout
go4it
05-15 656
本文主要研究一下redisson的lockWatchdogTimeout。
Redis 应用实践:从基础到高级的全方位指南
weixin_42593797的博客
05-12 724
Redis 作为高性能内存数据库,已广泛应用于缓存、会话管理、消息队列等场景。然而,要充分发挥其价值,需深入理解其数据结构特性与最佳实践。本文将结合典型应用场景,通过 Java 代码示例详细讲解 Redis 的实战技巧,帮助开发者构建高效、稳定的分布式系统。Redis 凭借丰富的数据结构原子操作能力,为分布式系统提供了多样化的解决方案。本文通过缓存设计、分布式锁、会话管理、限流、消息队列 ID 生成等典型场景,详细展示了 Redis 的应用实践方法。
redis解决常见的秒杀问题
最新发布
elderingezez的博客
05-15 908
Redis在解决秒杀问题中,通过全局唯一ID生成器确保订单ID的唯一性、高可用性安全性。全局唯一ID由时间戳序列号组成,利用Redis的自增命令实现高效生成。秒杀下单功能中,通过查询优惠券、判断库存、扣减库存、创建订单等步骤实现,但存在超卖问题。超卖问题可通过悲观锁或乐观锁(如版本号法或CAS法)解决,确保数据操作的原子性一致性。Redis的高性能分布式特性使其成为解决秒杀问题的理想选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值