摘要:扁平化局域网极易遭受 ARP 欺骗与黑客横向攻击。本文记录了在标准工业级海事网关 上基于 Linux netns 构建网络物理与逻辑隔离防线的实操复盘。
导语:在实操一个远洋船载网络的安全重构项目时,我们面临一个极其严峻的威胁模型:怎么防止船上办公网络被黑客攻击?现场环境非常糟糕,核心的办公系统(192.168.10.x)与数百个船员自带设备(BYOD,192.168.20.x)混杂在同一个未经隔离的二层交换机下。这种典型的扁平化网络是黑客 喜 爱的温床。一旦某台船员设备被植入木马,黑客就能轻易利用 ARP 欺骗(ARP Spoofing)或直接嗅探,导致办公网络全盘沦陷。为了实现高级别的安全防御,我们抛弃了市面上仅靠 ACL 软防的黑盒路由器,直接在一台高集成度的标准工业级计算节点(即业界主流的海事网关 边缘架构)上,深入 Linux 内核,利用 Network Namespaces (netns) 与物理端口绑定,构建了从二层到三层的高度物理隔离防线。今天把核心的"命名空间切分"与"零信任路由"代码做个实战复盘。
基于 Netns 的网络栈剥离与物理网口绑定
要让办公网与不可信的娱乐网实现真正的"物理隔离感",传统的 VLAN 划分依然存在交换机芯片漏洞被逃逸的风险。我们选择在网关内核中创建完全独立的网络命名空间(Network Namespace),并将其与网关的独立物理以太网口直接绑定。
我们在网关的 Linux Root Shell 中执行以下内核级切分指令:
Bash
#!/bin/bash
# 1. 创建名为 office_ns 的独立办公网络命名空间
ip netns add office_ns
# 2. 将网关的物理网口 eth1(连接办公区的主交换机)剥离并分配给 office_ns
# 注意:这使得宿主机默认空间完全"看不见"eth1,实现了的物理防线
ip link set eth1 netns office_ns
# 3. 在独立空间内为办公网口分配安全 IP 并拉起链路
ip netns exec office_ns ip addr add 192.168.10.1/24 dev eth1
ip netns exec office_ns ip link set eth1 up
ip netns exec office_ns ip link set lo up
# 4. 同样,为船员娱乐网(物理网口 eth2)创建独立的 namespace
ip netns add crew_ns
ip link set eth2 netns crew_ns
ip netns exec crew_ns ip addr add 192.168.20.1/24 dev eth2
ip netns exec crew_ns ip link set eth2 up通过这一步,黑客即使在 eth2 发起海量的泛洪攻击或 ARP 毒化,也绝无可能影响到在另一个平行内核空间中运行的 eth1 办公网。
利用 Veth Pair 与 Nftables 建立受控的出口通道
虽然内外网被彻底剥离,但办公网依然需要安全的路径访问外网(卫星出口 eth0 在默认空间)。为此,我们需要打通一条受严苛监控的虚拟隧道(Veth Pair),并在出海口架设 Nftables 零信任防火墙。
Bash
# 1. 创建 veth pair 虚拟网线
ip link add veth_office type veth peer name veth_host
# 2. 将 veth_office 放入办公空间,并配 IP
ip link set veth_office netns office_ns
ip netns exec office_ns ip addr add 10.0.0.2/30 dev veth_office
ip netns exec office_ns ip link set veth_office up
# 3. 在宿主机(网关)空间配置对应端
ip addr add 10.0.0.1/30 dev veth_host
ip link set veth_host up
# 4. 为办公空间配置默认出海路由
ip netns exec office_ns ip route add default via 10.0.0.1
# 5. Nftables 零信任阻断防御
nft flush ruleset
nft add table inet edge_isolation
nft add chain inet edge_isolation forward_chain { type filter hook forward priority 0 \; policy drop \; }
# 状态机:仅允许办公网(veth_host)主动发起的连接出海并回包
nft add rule inet edge_isolation forward_chain iifname "veth_host" oifname "eth0" accept
nft add rule inet edge_isolation forward_chain ct state established,related accept
# 高度红线:将任何试图从外部扫描或从娱乐网跨界路由的流量直接丢弃并记入系统审计日志
nft add rule inet edge_isolation forward_chain log prefix "[ALERT-NETNS-BREACH] " counter drop通过这套内核级组合拳,网关完成了真正的物理隔离与单向安全出海。
常见问题解答 (FAQ):
问题1、为何使用 Network Namespaces 进行隔离而不是传统的 VLAN?
答:VLAN 仅在二层进行数据帧的 Tag 标记,系统的三层路由表依旧是共享的。而 netns 提供了完全独立的协议栈、路由表和防火墙规则,隔离级别近乎等同于两台物理独立的硬件路由器,抗渗透能力极高。
问题2、如果在办公网 namespace 内需要运行 DHCP 服务分配 IP 怎么办?
答:可以使用 ip netns exec office_ns dnsmasq --interface=eth1 ... 的方式,将 DHCP/DNS 进程直接启动在受保护的隔离空间内,互不干扰。
问题3、如何系统性地学习这套底层协议隔离与防御拓扑设计?
答:建议深入研究 Linux Kernel Namespace 机制与 Netfilter 架构。
总结:在复杂的工控边缘网络防御改造中,熟练掌握底层 Namespace 切分逻辑与隔离机制,配置合适的高性能海事网关 安全脚本,是网络架构师低成本抵御黑客横向攻击、保卫核心资产的核心能力。