由 LiEn 在 02-24-2004 01:28 发表:
Linux下建设有态防火墙及IP转发....
此文出自 www.ibm.com.cn Developer Works中。(本人以在SlackWare中通过认证,仅供大家学习参考)
内核配置,第 1 部分
安装之后,应该有一个 "iptables" 命令可供使用,还有一个方便的 iptables 帮助页面("man iptables")。好;现在只需要确保已在内核中构建了必需的功能。本教程假设您编译自己的内核。进入 /usr/src/linux,输入 "make menuconfig" 或 "make xconfig";我们将启用一些内核网络功能。
内核配置,第 2 部分
在 "Networking options" 部分中,确保至少启用了以下选项:
<*> Packet socket
[*] Network packet filtering (replaces ipchains)
<*> Unix domain sockets
[*] TCP/IP networking
[*] IP: advanced router
[*] IP: policy routing
[*] IP: use netfilter MARK value as routing key
[*] IP: fast network address translation
[*] IP: use TOS value as routing key
然后,在 "IP: Netfilter Configuration --->" 菜单中,启用每个选项,这样我们就拥有了完整的 netfilter 功能。虽然我们不会使用所有 netfilter 功能,但最好启用它们,这样您可以在以后进行一些实验。
内核配置,第 3 部分
"Networking options" 类别下有一个网络选项不应该启用:明确拥塞通知。让这个选项保留禁用状态:
[ ] IP: TCP Explicit Congestion Notification support
如果启用了这个选项,那么 Linux 机器将不能继续与 8% 的因特网进行网络通信。启用 ECN 时,Linux 机器发送出的一些包将会设置 ECN 位;不过,这个位会使许多网际路由器感到困惑,因此一定要禁用 ECN。
好,现在已根据我们的需要正确配置了内核,编译一个新的内核,安装它,然后重新引导。现在开始使用 netfilter 
防火墙设计基础
在创建防火墙时,"iptables" 命令是我们的朋友。我们使用它与内核中的网络包过滤规则进行交互。我们将使用 "iptables" 命令来新建规则、列出现有规则、刷新规则和设置缺省包处理策略。这就意味着要创建防火墙,需要输入一系列 iptables 命令,这就是我们首先要讨论的内容(此时请别输入此命令!)……
防火墙设计基础,续
iptables -P INPUT DROP
您现在看到的是一个几乎“完美”的防火墙。如果输入此命令,您将会得到难以置信的完美保护,它可以防止任何形式的进入恶意攻击。那是因为此命令告诉内核删除所有进入网络包。虽然这个防火墙非常安全,但它有点傻。但在继续讨论之前,让我们研究一下此命令是如何执行操作的。
设置链策略
"iptables -P" 命令用于为包过滤规则链设置缺省策略。在本示例中,iptables -P 用于为 INPUT 链设置缺省策略,INPUT 是一个内置链,包括了应用于每个进入包的规则。通过将缺省策略设置成 DROP,告诉内核应该删除(即,废弃)到达 INPUT 规则链末端的任意包。而且,由于我们还没有对 INPUT 链添加任何规则,因此所有包都会到达此链的末端,而且所有包都会被删除
设置链策略,续
再次声明,这个命令本身根本没有用。但是,它演示了一个很好的防火墙设计策略。我们从缺省情况下删除所有包开始,然后逐步开放防火墙,这样它将会满足我们的需要。这种做法可以确保防火墙会尽可能安全。
(小)改进
在本示例中,假设我们正在为有两个网络接口 eh0 和 eth1 的机器设计防火墙。eth0 网卡连接到 LAN,而 eth1 网卡连接到 DSL 路由器,这是与因特网的连接。对于这种情况,通过添加以下几行命令就可以改进我们的“终极防火墙”:
iptables -P INPUT DROP
iptables -A INPUT -i ! eth1 -j ACCEPT
这行附加的 "iptables -A" 将一个新的包过滤规则添加到 INPUT 链的末端。添加此规则之后,INPUT 链就包含了一个规则和缺省删除策略。现在,让我们看一下这个半成品防火墙有什么功能。
有关 INPUT 链
当包进入任何一个接口(lo、th0 或 eth1)时,netfilter 代码会将它定向到 INPUT 链,并检查该包是否与第一个规则匹配。如果匹配,则接受包,并且不再执行处理。如果不匹配,则实施 INPUT 链的缺省策略,废弃(删除)该包。
那是概念性的概述。具体情况中,第一个规则会匹配来自 eth0 和 lo 的所有包,并立即允许它们进入。而所有来自 eth1 的包都将被删除。因此,如果我们在机器上启用这个防火墙,它可以与 LAN 交互,但却会彻底断开因特网连接。让我们看一些启用因特网通信流的方法。
传统防火墙,第 1 部分
显然,如果要使防火墙变得实用,需要有选择性地允许某些进入包经由因特网到达机器。有两种方法可以使防火墙开放到实用的程度 -- 一种是使用静态规则,另一种是使用动态规则,即有状态规则。
传统防火墙,第 2 部分
让我们使用下载网页作为示例。如果想要机器能够从因特网下载网页,可以添加一个静态规则,此规则永远允许每个进入 http 包,不管它来自何处:
iptables -A INPUT --sport 80 -j ACCEPT
由于所有标准 Web 通信流都来自源端口 80,实际上此规则允许机器下载网页。虽然可以勉强接受这种传统方法,但是它却有许多问题。
传统防火墙的缺点,第 1 部分
这里有个问题:虽然大多数 Web 通信流来自端口 80,但有些不是这样。因此,虽然此规则在大部分时间中有效,但仍有少量情况并不适用此规则。例如,您可能看到过类似于 "http://www.foo.com:81" 的 URL。这个 URL 示例通过端口 81 连接到网站,而不是缺省端口 80,因此在防火墙后面就看不到这个网站。考虑所有这些特殊情况可以将相当安全的防火墙迅速变成瑞士干酪, 并迅速将许多规则添加到 INPUT 链以处理偶尔遇到的奇特网站。
传统防火墙的缺点,第 2 部分
但是,这个规则的主要问题与安全性相关。的确,只有使用源端口 80 的通信流才能通过我们的防火墙。但是包的源端口并不是我们所能控制的,闯入者可以轻易地改变它。例如,如果闯入者知道我们的防火墙是如何设计的,他只要确保其所有进入连接都来自其机器的 80 端口就可以绕过我们的防火墙。由于这个静态防火墙规则很容易被利用,因此需要一个更安全的动态方法。幸好,iptables 和内核 2.4 提供了启用动态、有状态过滤所需要的一切条件。
与其在基于静态协议特征的防火墙上开一个洞,还不如使用 Linux 新的连接跟踪功能来使防火墙根据包的动态连接状态做出判定。conntrack 通过将每个包与一个独立的双向通信信道或连接相关联来进行判定。
例如,设想一下,当使用 Telnet 或 ssh 连接远程机器时会发生什么情况。如果查看包级的网络通信流,您所看到的许多包从一台机器传递到另一台机器。但是,从更高级别的角度看,这种包交换是您的本地机器与远程机器之间的双向通信信道。传统(过时)的防火墙只看到独立的包,并没有看出它们实际上是一个更大的整体(连接)的一部分。
conntrack 内幕
那正是产生连接跟踪技术的原因。Linux 的 conntrack 功能可以“看到”正在发生的更高级别的连接,从而将 ssh 会话看作是单一的逻辑实体。conntrack 甚至可以将 UDP 和 ICMP 包交换看作是逻辑“连接”,即使 UDP 和 ICMP 实际上是非连接方式;这是非常有用的,因为它可以让我们使用 conntrack 来处理 ICMP 和 UDP 包交换。
如果已经重新启动,并且正在使用支持 netfilter 的新内核,那么通过输入 "cat /proc/net/ip_conntrack" 可以查看您的机器参与的活动网络连接。即使没有配置防火墙,Linux 的 conntrack 功能也可以在幕后工作,跟踪您的机器参与的连接。
NEW 连接状态,第 1 部分
conntrack 不仅能识别连接,它还可以将它看到的包分成四种连接状态。我们将要讨论的第一种状态叫作 NEW。输入 "ssh remote.host.com" 时,初始包或源自于您的机器并要发送到 remote.host.com 的包都处于 NEW 状态。但是,即使只从 remote.host.com 接收到一个应答包,那么就立即不再将其它作为此连接的一部分、发送至 remote.host.com 的包看作是 NEW 包。因此,只有在建立新连接、并且还没有从远程主机接收到通信流时使用的包才被看作是 NEW(当然,这个包是此特定连接的一部分)。
NEW 连接状态,第 2 部分
我们已经描述了外出 NEW 包,但还有可能会有进入 NEW 包(很常见)。进入 NEW 包通常来自远程机器,在启动与您的连接时使用。您的 Web 服务器接收到的初始包(作为 HTTP 请求的一部分)将被看作是进入 NEW 包;但是,只要您应答了一个进入 NEW 包,所接收到的与此特定连接相关的其它包都不再被看作是处于 NEW 状态。
ESTABLISHED 状态
一旦连接看到两个方向上都有通信流,与此附加相关的其它包都被看作处于 ESTABLISHED 状态。NEW 和 ESTABLISHED 之间的区别很重要,我们稍后将做讨论。
RELATED 状态
第三种连接状态类别叫作 RELATED。RELATED 包是那些启动新连接,但有与当前现有连接相关的包。RELATED 状态可以用于调整组成多重连接协议(如 ftp)的连接,以及与现有连接相关的错误包(如与现有连接相关的 ICMP 错误包)。
INVALID 状态
最后是 INVALID 包 -- 那些包不能归入以上三种类别。应当注意某个包是否被看作是 INVALID,因为这种包不会被自动废弃;因此您需要插入适当的规则,并设置链策略,以便可以正确处理这些包。
添加有状态规则
好,我们已经掌握了连接跟踪,现在来看一下能够使这个没有功能的防火墙变得非常有用的一个附加规则:
iptables -P INPUT DROP
iptables -A INPUT -i ! eth1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
规则如何工作
当输入到现有 INPUT 链的末端时,这个单一规则可以让我们建立与远程机器的连接。其工作方式如下。假设我们要 ssh 到 remote.host.com。输入 "ssh remote.host.com" 之后,我们的机器发送出一个包来启动连接。这个特定包处于 NEW 状态,防火墙允许它外出,因为我们只阻拦进入防火墙的包,而不是外出的。
当收到来自 remote.host.com 的应答包时,这个包沿着我们的 INPUT 链流动。它不匹配第一个规则(因为它来自 eth1),因此它继续移动到下一个,也是最后的规则。如果它匹配此规则,则接受它,如果不匹配,则它会落到 INPUT 链的末端,并对它应用缺省策略 (DROP)。那么,这个进入应答包会被接受,还是会落到底呢?
规则如何工作,续
答:被接受。当内核检查这个进入包时,它首先认出这个包是现有连接的一部分。然后,内核需要判定这是 NEW 还是 ESTABLISHED 包。由于这是个进入包,它查看这个连接是否有外出通信流,结果发现有外出通信流(我们发送的初始 NEW 包)。因此,这个进入包被归入 ESTABLISHED 类,就象其它接收到或发送的与此连接关联的包。
进入 NEW 包
现在,考虑一下如果远程机器上的某个人尝试 ssh 到我们的机器,会发生什么情况。我们接收到的初始包属于 NEW 类,它不匹配规则 1,因此它前进到规则 2。由于这个包处于 ESTABLISHED 或 RELATED 状态,它将跌落到 INPUT 链的末端,于是将对它应用缺省策略 DROP。进入 ssh 连接请求将被删除,而且没有我们的应答(或 TCP 复位)。
几乎完美的防火墙
那么,目前我们的防火墙怎么样?如果您不要因特网上的任何人与您连接,但又需要连接到因特网上的站点,那么此防火墙非常适用于膝上型计算机或工作站。您可以使用 Netscape、konqueror、ftp、ping,执行 DNS 查找及更多操作。您启动的任何连接都将返回到防火墙。但是,任何来自因特网的未经请求的连接都将被删除,除非它与您启动的现有连接相关。只要不需要对外提供任何网络服务系统,那么它就是个几乎完美的防火墙。
基本防火墙脚本
以下是一个简单脚本,它可以用于建立/拆毁第一个基本工作站防火墙:
#!/bin/bash
A basic stateful firewall for a workstation or laptop that isn't running any
network services like a web server, SMTP server, ftp server, etc.
if [ "$1" = "start" ]
then
echo "Starting firewall..."
iptables -P INPUT DROP
iptables -A INPUT -i ! eth1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
elif [ "$1" = "stop" ]
then
echo "Stopping firewall..."
iptables -F INPUT
iptables -P INPUT ACCEPT
fi
使用脚本
如果使用这个脚本,可以通过输入 "./firewall stop" 来停止防火墙,通过输入 "./firewall start" 再启动它。如果要停止防火墙,使用 "iptables -F INPUT" 将规则清除处 INPUT 链,然后使用 "iptables -P INPUT ACCEPT" 命令使缺省 INPUT 策略切换回 ACCEPT。现在来看一下可以对现有工作站防火墙进行的一些改进。在我说明了所有改进之后,我将向您显示最后的工作站防火墙脚本。然后,就开始为服务器定制防火墙。
明确关闭 ECN
我以前提到过应当关闭 ECN(明确拥塞通知),以便因特网通信可以正确工作。虽然您可能会按我的建议禁用了 ECN,但在将来您也许会忘了这样做。或者,您可能将防火墙脚本传送给某个人,而那个人启用了 ECN。由于这些原因,最好使用 /proc 接口来明确禁用 ECN,如下所示:
if [ -e /proc/sys/net/ipv4/tcp_ecn ]
then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
转发
如果使用 Linux 机器作为路由器,那么应该启用 IP 转发,它给予内核许可权,以允许包在 eth0 和 eth1 之间传递,反之亦然。在我们的配置示例中,eth0 连接到 LAN,eth1 连接到因特网,在允许 LAN 经由 Linux 机器连接因特网时,启用 IP 转发是必要步骤。要启用 IP 转发,请使用以下这行命令:
echo 1 > /proc/sys/net/ipv4/ip_forward
处理拒绝,第 1 部分
目前,我们已经删除了所有来自因特网的未经请求的通信流。虽然这是一种阻止讨厌的网络活动的有效方法,但是它有一些缺点。这种方法最大的问题是闯入者很容易就可以检测到我们正在使用防火墙,因为我们的机器没有应答标准 TCP 复位和 ICMP 端口不可到达响应 -- 一般机器发送会的响应,用于表示对不存在服务的连接失败。
处理拒绝,第 2 部分
与其让潜在的闯入者知道我们在运行防火墙(对于在提示他们,我们正在运行一些他们不能得到的有价值服务),还不如假装我们根本没有运行服务。通过将以下两个规则添加到 INPUT 链的末端,可以成功地完成此项任务:
iptables -A INPUT -p tcp -i eth1 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i eth1 -j REJECT --reject-with icmp-port-unreachable
第一个规则负责正确传递 TCP 连接,而第二个规则处理 UDP。只要这两个规则就位,闯入者就很难检测到我们运行了防火墙;但愿,这会使闯入者离开我们的机器,转而搜索其它更潜在的目标以供他滥用。
处理拒绝,第 3 部分
除了使防火墙变得更“隐蔽”,这些规则还消除了由于连接到某些 ftp 和 irc 服务器带来的延迟。这个延迟是由于服务器对您的机器执行身份查找(连接到端口 113)而引起的,并最终(大约 15 秒之后)导致超时。现在,防火墙将返回 TCP 复位,身份查找将立即失败,而不是重试 15 秒(而您正在耐心地等待服务器的响应)。
防止欺骗
在许多发行版中,当建成网络接口时,还会将旧的 ipchains 规则添加到系统。这些特殊规则是由发行版的创建程序添加的,用于处理电子欺骗问题,即包的源地址已经过调整,这样它们就包含了无效值(某些脚本骗子做的事)。虽然我们可以创建类似的 iptables 规则来阻拦受到欺骗的包,但还有一种更简单的方法。目前,内核的内置功能可以删除受到欺骗的包;我们要做的只是通过简单的 /proc 接口来启用它。方法如下。
防止欺骗,续
for x in lo eth0 eth1
do
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done
此 shell 脚本将告诉内核删除接口 lo、eth0 和 eth1 上所有受到欺骗的包。可以将这些行添加到防火墙脚本中,也可以将它们添加到创建 lo、eth0 和 eth1 接口的脚本中。
伪装
NAT(网络地址转换)和 IP 伪装虽然与防火墙没有直接关系,但通常与防火墙一起使用。我们将讨论您可能需要使用的两种常用 NAT/伪装配置。第一个规则负责处理那种用拨号链接到使用动态 IP 的因特网 (ppp0) 的情况:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
如果您属于这种情况,那么还应该转换防火墙脚本,将对 "eth1"(我们的示例 DSL 路由器)更改成 "ppp0"。如果 ppp0 还不存在,最好添加引用 "ppp0" 的防火墙规则。只要创建了 ppp0,一切立即就会正常工作。 请确保还启用了 IP 转发。
SNAT
如果使用 DSL 来连接因特网,那么您或许有两种可能配置中的一种。一种可能性是 DSL 路由器或调制解调器有其自己的 IP 号码,并为您执行网络地址转换。如果是这种情况,那么就不需要 Linux 来执行 NAT,因为 DSL 路由器已经这样处理了。
但是,如果想要更多地控制 NAT 功能,也许应该与 ISP 讨论关于 DSL 连接的配置,以便使您的 DSL 连接处于“桥接方式”。在桥接方式中,防火墙将成为 ISP 的网络中的正式部分,DSL 路由器将会在 ISP 和您的 Linux 机器之间透明的来回转发 IP 通信流,而不会让任何人知道它的存在。它不再拥有 IP 号码;事实上,eth1(在我们的示例中)隐藏了 IP。如果有人从因特网上 ping 您的 IP,他们将从您的 Linux 机器上得到应答,而不是路由器。
SNAT,续
使用了这种设置,就应该使用 NAT(源 NAT),而不是伪装。以下就是您应该添加到防火墙的一行代码:
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 1.2.3.4
在这个示例中,应该将 eth1 更改成直接连接到 DSL 路由器的以太网接口,1.2.3.4 应该更改成静态 IP(以太网接口的 IP)。再次声明,请记住要启用 IP 转发。
NAT 问题
幸好,NAT 和伪装与防火墙能够和睦相处。在编写防火墙过滤规则时,应忽略正在使用 NAT 的事实。您的规则应该根据包的“真正”源地址和目的地址接受、删除或拒绝它们。防火墙过滤代码能够看到包的原始源地址,以及最终目的地址。这对我们很有用处,因为它可以让防火墙继续正常工作,即使我们暂时禁用了 NAT 或伪装。
了解表
在以上的 NAT/伪装示例中,我们将规则附加到链,但还做了一些略有不同的事。请注意 "-t" 选项。"-t" 选项可以让我们指定链所属的表。当省略这个选项时,缺省表将缺省为 "filter"。因此,以前所有与非 NAT 相关的命令修改 "filter" 表中的 INPUT 链。"filter" 表包含了所有与接收或拒绝包相关的规则,而 "nat" 表(如您假设的)包含了与网络地址转换相关的规则。还有其它内置 iptables 链,在 iptables 帮助页面以及 Rusty 的 HOWTO(请参阅本教程结尾处的“参考资料”部分,以获取链接)中详细描述了这些链。
增强的脚本
现在已经讨论过一些可能的增强,让我们看一下第二种更灵活的防火墙启动/停止脚本:
#!/bin/bash
An enhanced stateful firewall for a workstation, laptop or router that isn't
running any network services like a web server, SMTP server, ftp server, etc.
#change this to the name of the interface that provides your "uplink"
#(connection to the Internet)
UPLINK="eth1"
#if you're a router (and thus should forward IP packets between interfaces),
#you want ROUTER="yes"; otherwise, ROUTER="no"
ROUTER="yes"
#change this next line to the static IP of your uplink interface for static SNAT, or
#"dynamic" if you have a dynamic IP. If you don't need any NAT, set NAT to "" to
#disable it.
NAT="1.2.3.4"
#change this next line so it lists all your network interfaces, including lo
INTERFACES="lo eth0 eth1"
if [ "$1" = "start" ]
then
echo "Starting firewall..."
iptables -P INPUT DROP
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable
#explicitly disable ECN
if [ -e /proc/sys/net/ipv4/tcp_ecn ]
then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi
#disable spoofing on all interfaces
for x in ${INTERFACES}
do
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done
if [ "$ROUTER" = "yes" ]
then
#we're a router of some kind, enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
if [ "$NAT" = "dynamic" ]
then
#dynamic IP address, use masquerading
echo "Enabling masquerading (dynamic ip)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE
elif [ "$NAT" != "" ]
then
#static IP, use SNAT
echo "Enabling SNAT (static ip)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
fi
fi
elif [ "$1" = "stop" ]
then
echo "Stopping firewall..."
iptables -F INPUT
iptables -P INPUT ACCEPT
#turn off NAT/masquerading, if any
iptables -t nat -F POSTROUTING
fi
查看规则
在开始定制防火墙以便可以在服务器上使用它之前,我需要演示如何列出当前活动的防火墙规则。要查看过滤器表的 INPUT 链中的规则,输入:
iptables -v -L INPUT
-v 选项给出一个冗长的输出,这样我们可以查看每个规则传送的总包数和总的字节数。还可以使用以下命令查看 nat POSTROUTING 表:
iptables -t nat -v -L POSTROUTING
Chain POSTROUTING (policy ACCEPT 399 packets, 48418 bytes)
pkts bytes target prot opt in out source destination
2728 170K SNAT all -- any eth1 anywhere anywhere to:215.218.215.2
准备提供服务
现在,防火墙不允许陌生人连接我们机器上的服务,因为它只接受进入 ESTABLISHED 或 RELATED 包。由于它删除了所有进入 NEW 包,因此所有连接尝试都将被无条件拒绝。但是,只要有选择地允许一些进入通信流通过防火墙,我们就可以让陌生人连接到我们指定的服务。
有状态 HTTP
虽然我们要接受一些进入连接,但我们可能并不想接受所有进入连接。最好从“缺省拒绝”策略开始(就象我们现在使用的策略),逐渐开放对那些希望人们可以连接的服务的访问。例如,如果正在运行 Web 服务器,我们允许 NEW 包进入我们的机器,只要它们去往端口 80 (HTTP)。那就是我们需要做的。一旦允许 NEW 包进入,那我们就允许建立连接。一旦建立了连接,就匹配了允许进入 ESTABLISHED 和 RELATED 包的现有规则,从而 HTTP 连接将变得畅通无阻。
有状态 HTTP 示例
让我们看一下防火墙的“核心”,以及允许进入 HTTP 连接的新规则:
iptables -P INPUT DROP
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#our new rule follows
iptables -A INPUT -p tcp --dport http -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable
这个新规则允许去往我们机器的端口 80 (http) 的 NEW TCP 包进入。请注意这个规则的位置。它出现在 REJECT 规则有重要意义。由于 iptables 将应用第一个匹配的规则,因此将它放到 REJECT 行的后面会使这个规则无法生效。
最后的防火墙脚本
现在来看一下最