实验十五 LINUX iptables 防火墙(理论部分).doc

防火墙原理一iptables简介 从1.1内核开始，linux就已经具有包过滤功能了，在2.0的内核中我们采用ipfwadm来操作内核包过滤规则。之后在2.2内核中，采用了大家并不陌生的ipchains来控制内核包过滤规则。在2.4内核中我们不再使用ipchains，而是采用一个全新的内核包过滤管理工具iptables。这个全新的内核包过滤工具将使用户更易于理解其工作原理，更容易被使用，当然也将具有更为强大的功能。 iptables只是一个内核包过滤的工具，iptables可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过滤规则的是netfilter(Linux内核中一个通用架构)及其相关模块(如iptables模块和nat模块)。 netfilter提供了一系列的“表(tables)”，每个表由若干“链(chains)”组成，而每条链中有一条或数条规则(rule)组成。我们可以这样来理解，netfilter是表的容器，表是链的容器，链又是规则的容器。 netfilter系统缺省的表为“filter”，该表中包含了INPUT、FORWARD和OUTPUT 3个链。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个数据包”。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件：如果满足，系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中任一条规则的话，系统就会根据预先定义的策略(policy)来处理该数据包。图1 网络数据包在filter表中的流程 数据包在filter表中的流程如图1所示。有数据包进入系统时，系统首先根据路由表决定将数据包发给哪一条链，则可能有三种情况： （1）如果数据包的目的地址是本机，则系统将数据包送往INPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。 （2）如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往FORWARD链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。 （3）如果数据包是由本地系统进程产生的，则系统将其送往OUTPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。 当我们在使用iptables NAT功能的时候，我们所使用的表不再是“filter”表，而是“nat”表，所以我们必须使用“-t nat”选项来显式地指明。因为系统缺省的表是“filter”，所以在使用filter功能时，我们没有必要显式的指明“-t filter”。 同“filter”表一样，nat表也有三条缺省的链，这三条链也是规则的容器，它们分别是： （1）PREROUTING:可以在这里定义进行目的NAT的规则，因为路由器进行路由时只检查数据包的目的IP地址，为了使数据包得以正确路由，我们必须在路由之前就进行目的NAT。 （2）POSTROUTING:可以在这里定义进行源NAT的规则，在路由器进行路由之后才进行源NAT。 （3）OUTPUT:定义对本地产生的数据包的目的NAT规则。二NAT工作原理 NAT的基本思想是为每个企业分配一个IP地址(或者是很少几个)来进行Internet传输。在企业内部，每个电脑取得一唯一的IP地址来为内部传输做路由。然而，当封包离开企业，进入ISP之后，就需要进行地址转换了。为了使这个方案可行，IP地址的范围被声明为私有的，企业可以随意在内部使用他们。仅有的规则是，没有包含这些地址的封包出现在Internet上。 说明 IP私有地址范围是：55/8、 55/12、55/16。 如图2所示。在企业内部，每个机器都有一个唯一的172.16.x.y形式的地址。然而，当封包离开企业时，它要经过NAT转盒，NAT盒将内部IP源地址，即图中的0转换成企业的真实地址(这个地址对于Internet来说是可见的)，此例中为50。NAT盒通常和防火墙一起绑定在一个设备上，这里的防火墙通过小心地控制进出企业的封包提供了安全保障。图2 NAT地址转换三iptables常用操作语法 表1列举出了iptables常用的操作语法。表1 iptables常用操作语法功能命令语法说明添加规则-Aiptables -A INPUT -p tcp -j ACCEPT在所选择的规则链末尾添加规则，当源地址或目的地址是以名字而不是IP地址的形式出现时，这些名字将被解析为多个地址，这条规则将和所有可用的地址结合。删除规则-Diptables -D INPUT -p tcp -j ACCEPT从所选链中删除规则。有两种方法指定要删除的规则：一种方法是把规则完整定出，另一种方法是指定规则在所选链中的序号(每条链的规则都各自从1被编号)。自定义链重命名-Eiptables -E customlist userlist对自定义的链重命名，原来的名字在前，新名字在后。清空规则-Fiptables -F INPUT清空所选的链，如果没有指定链，则清空指定表中的所有链。默认情况下清空默认表所有的链。插入规则-Iiptables -I INPUT 1 -p tcp -j ACCEPT在指定链内的某个位置插入规则，如果序号为1或没有序号，规则会被插入到的头部。显示规则-Liptables -L INPUT显示所选链的所有规则，如果没有指定链，则显示指定表中的所有链。默认情况下显示默认表所有的链。精确输出受其它参数影响，如-n和-v等参数。用户自定义链-Niptables -N customlist根据用户指定的名字建立新的链。所用的名字不能和已有的链、target同名。默认策略-Piptables -P INPUT DROP为链设置默认的target(ACCEPT、DROP、REJECT、REDIRECT、)。target称作策略，所有不符合规则的包都被强制使用这个策略。只有内建的链才可以使用策略，但内建的链和用户自定义链都不能被作为策略使用。替换规则-Riptables -R INPUT 1 -p udp -j ACCETP在所选中的链里指定的行上(每条链的规则都各自从1被编号)替换规则。它主要用于试验不同的规则。当源地址或目的地址是以名字而不是IP地址的形式出现时，如果这此名字可以被解析为多个地址，则这条命令会失败。删除用户自定义链-Xiptables -X customlist删除指定的用户自定义链。这条链必须没有被引用，如果被引用，在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将会删除默认表所有非内建的链。计数器归零-Ziptables -Z把指定链（如未指定则认为所有链）的所有计数器归零。四常用通用匹配语法 对于任何协议及协议的扩展，通用匹配都可以直接使用。 （1）匹配指定协议。 匹配-p，-protocol使用iptables -A INPUT -p tcp -j ACCEPT说明匹配指定的协议，指定协议的形式有以下几种：名字不分大小写，但必须是在/etc/protocols中定义的；可以使用协议相应的整数值。例如，ICMP的值是1，TCP是6，UDP是17；缺少设置ALL，相应数值是0，要注意这只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定义的所有协议；可以是协议列表，以英文逗号为分隔符，如：udp，tcp；可以在协议前加英文的感叹号表示取反，注意有空格，如：-protocol !tcp表示非TCP协议，也就是UDP和ICMP。可以看出这个取反的范围只是TCP、UDP和ICMP。 （2）以IP源地址匹配包。 匹配-s，-src，-source使用iptables -A INPUT -s -j ACCEPT说明以IP源地址匹配包。地址的形式如下：单个地址，如，也可写成/55或/32；网络，如/24，或/；在地址前加英文感叹号表示取反，注意空格，如-source !/24表示除此地址外的所有地址；缺省是所有地址。 （3）以IP目的地址匹配包。 匹配-d，-dst，-destination使用iptables -A INPUT -d -j ACCEPT说明以IP目的地址匹配包。地址的形式和-source完全一样。 （4）以包进入本地使用的网络接口匹配包。 匹配-i使用iptables -A INPUT -i eth0 -j ACCEPT说明以包进入本地所使用的网络接口来匹配包。要注意这个匹配操作只能用于INPUT，FORWARD和PREROUTING这三个链，用在其他任何地方会提示错误信息。指定接口有以下方法：指定接口名称，如：eth0、ppp0等；使用通配符，即英文加号，它代表字符数字串。若直接用一个加号，即iptables -A INPUT -i +表示匹配所有的包，而不考虑使用哪个接口。通配符还可以放在某一类接口的后面，如：eth+表示匹配所有从Ethernet接口进入的包；在接口前加英文感叹号表示取反，如：-i ! eth0意思是匹配来自除eth0外的所有包。 （5）以包离开本地所使用的网络接口来匹配包。 匹配-o使用iptables -A OUTPUT -o eth1 -j ACCEPT说明以包离开本地所使用的网络接口来匹配包。要注意这个匹配操作只能用于OUTPUT，FORWARD和POSTROUTING这三个链，用在其他任何地方会提示错误信息。 （6）匹配通信源端口。 匹配-source-port，-sport使用iptables -A INPUT -p tcp -sport 1111说明当通信协议为TCP或UDP时，可以指定匹配的源端口，但必须与匹配协议相结合使用。 （7）匹配通信源端口。 匹配- destination-port，-dport使用iptables -A INPUT -p tcp -dport 80说明当通信协议为TCP或UDP时，可以指定匹配的目的端口，但必须与匹配协议相结合使用。五iptables功能扩展1TCP扩展iptables可以扩展，扩展分为两种：一种是标准的；另一种是用户派生的。如果指定了“-p tcp”，那么TCP扩展将自动加载，通过-tcp-flags扩展，我们指定TCP报文的哪些Flags位被设置，在其后跟随两个参数：第一个参数代表Mask，指定想要测验的标志位；第二个参数指定哪些位被设置。 例：设置iptables防火墙禁止来自外部的任何tcp主动请求，并对此请求行为进行事件记录。 其中ULOG指定对匹配的数据包进行记录，由日志生成工具ULOG生成iptables防火日志，-log-prefix选项为记录前缀。2ICMP扩展 例：设置iptables防火墙允许来自外部的某种类型/代码的ICMP数据包。 其中-icmp-type为扩展命令选项，其后参数可以是三种模式： （1）ICMP类型名称（例如，host-unreachable）。 （2）ICMP类型值(例如3)。 （3）ICMP类型及代码值（8/0）。六状态检测 “状态”的意思是指如果一个数据包是对先前从防火墙发出去的包的回复，则防火墙自动不用检查任何规则就立即允许该数据包进入并返回给请求者，这样就不用设置许多规则定义就可实现应用的功能。 我们可以把请求端与应答端之间建立的网络通信连接称为网络会话，每个网络会话都包括以下信息源IP地址、目标IP地址、源端口、目的端口，称为套接字对；协议类型、连接状态（TCP协议）和超时时间等。防火墙把这些信息称为状态(stateful)。状态包过滤防火墙能在内存中维护一个跟踪状态的表，比简单的包过滤防火墙具有更大的安全性，而iptables就是一种基于状态的防火墙。命令格式如下： 其中，state表是一个由逗号分割的列表，用来指定连接状态，状态分为4种： （1）NEW:该包想要建立一个新的连接（重新连接或连接重定向）。 （2）RELATED:该包是属于某个已经建立的连接所建立的新连接。举例：FTP的数据传输连接和控制连接之间就是RELATED关系。 （3）ESTABLISHED：该包属于某个已经建立的连接。 （4）INVALID:该包不匹配于任何连接，通常这些包被DROP。七NAT操作 前面提到在iptables防火墙中提供了3种策略规则表：Filter、Mangle和NAT，这3种表功能各不相同，而最为常用的就是filter和nat表。 nat表仅用于NAT，也就是网络地址转换。做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于流的包只会经过这个表一次，经一个包被允许做NAT，那么余下的包都会自动地做相同的操作。也就是说，余下的包不会再通过这个表一个一个的被NAT，而是自动完成的。常用操作分为以下几类。 （1）SNAT(source network address translation，源网络地址目标转换)。 SNAT是POSTROUTING链表的作用，在封包就要离开防火墙之前改变其源地址，这在极大程度上可以隐藏本地网络或者DMZ等。比如，多个PC机使用路由器共享上网，每个PC机都配置了内网IP(私有IP)，PC机访问外部网络的时候，路由器将数据包的报头中的源地址替换成路由器的IP，当外部网络的服务器比如网站Web服务器接到访问请求的时候，它的日志记录下来的路由器的IP，而不是PC机的内网IP，这是因为，这个服务器收到的数据包的报头里边的“源地址”已经被替换了。所以叫做SNAT，基于源地址的地址转换。例如更改所有来自/24的数据包的源IP地址为，其iptables实现为： （2）DNAT(destination network address translation，目标网络地址转换)。 DNAT是PREROUTING链表的作用，在封包刚刚到达防火墙时改变其目的地址，以使包能够被路由到某台主机。典型的应用是，有个Web服务器放在企业网络DMZ区，其配置了内网IP地址，企业防火墙的的外网接口配置了企业唯一的公网IP，互联网上的访问者使用公网IP来访问这个网站，当访问的时候，客户端发出一个数据包，这个数据包的报头里边，目标地址写的是防火墙的公网IP，然后再把这个数据包发送到DMZ区的Web服务器上，这样，数据包就穿透了防火墙，并从公网IP变成了一个对DMZ区的访问了。所以叫做DNAT，基于目标的网络地址转换。 例如更改所有来自/24的数据包的目的IP地址为，其iptables实现为： （3）REDIRECT(重定向)。 REDIRECT是DNAT的特殊情况是重定向，也就是所谓的Redirection，这时候就相当于将符合条件的数据包的目的IP地址改为数据包进入系统时的网络接口的IP地址。通常是在与squid配置形成透明代理时使用，假设squid的监听端口是3128，我们可以通过以下语句来将来自/24，目的端口为80的数据包重定向到squid监听： （4）MASQUERADE(地址伪装)。 在iptables中有着和SNAT相近的效果，但也有一些区别。在使用SNAT的时候，出口IP的地址范围可以是一个，也可以是多个，例如把所有/24网段数据包SNAT成50/51/52等几个IP然后发出去，其iptables实现为： SNAT即可以NAT成一个地址，也可以NAT成多个地址。但是，对于SNAT来说不管是几个地址，必须明确指定转换的目标地址IP。假如当前系统用的是ADSL动态拨号方式，那么每次拨号，出口IP都会改变，而且改变的幅度很大，不一定是50到52范围内的地址，这个时候如果使用SNAT的方式来配置iptables就会出现麻烦了，因为每次拨号后出口IP都会变化，而iptables规则内的IP是不会随着自动变化的，每次地址变化后都必须手工修改一次iptables，把规则里边的固定的IP改成新的IP，这样是非常不好用的。 MASQUERADE就是针对这种场景而设计的，它的作用是从防火墙外网接口上自动获取当前IP地址来做NAT，比如下边的命令：八防火墙应用代理1代理服务器概述 在TCP/IP网络中，传统的通信过程是这样的：客户端向服务器请求数据，服务器响应该请求，将数据传送给客户端，如图3所示。图3 直接访问Internet 在引入了代理服务器以后，这一过程变成了这样：客户端向服务器发起请求，该请求被送到代理服务器；代理服务器分析该请求，先查看自己缓存中是否有请求数据，如果有就直接传递给客户端，如果没有就代替客户端向该服务器发出请求。服务器响应以后，代理服务将响应的数据传递给客户端，同时在自己的缓存中保留一份该数据的拷贝。这样，再有客户端请求相同的数据时，代理服务器就可以直接将数据传送给客户端，而不需要再向该服务器发起请求，如图4所示。图4 通过代理服务器访问Internet2代理服务器功能 一般说来，代理服务器具有以下的功能： （1）通过缓存增加访问速度。 随着Internet的迅猛发展，网络带宽变得越来越珍贵。所以为了提高访问速度，好多ISP都提供代理服务器，通过代理服务器的缓存功能来加快网络的访问速度。一般说来，大多数的代理服务器都支持HTTP缓存，但是，有的代理服务器也支持FTP缓存。在选择代理服务器时，对于大多数的组织，只需要HTTP缓存功能就足够了。 通常，缓存有主动缓存被动缓存之分。所谓被动缓存，指的是代理服务器只在客户端请求数据时才将服务器返回的数据进行缓存，如果数据过期了，又有客户端请求相同的数据时，代理服务器又必须重新发起新的数据请求，在将响应数据传送给客户端时又进行新的缓存。所谓主动缓存，就是代理服务器不断地检查缓存中的数据，一旦有数据过期，则代理服务器主动发起新的数据请求来更新数据。这样，当有客户端请求该数据时就会大大缩短响应时间。对于数据中的认证信息，大多数的代理服务器都不会进行缓存的。 （2）提供用私有IP访问Internet的方法。IP地址是不可再生的宝贵资源，假如你只有有限的IP地址，但是需要提供整个组织的Internet访问能力，那么，你可以通过使用代理服务器来实现这一点。 （3）提高网络的安全性。 如果内部用户访问Internet都是通过代理服务器，那么代理服务器就成为进入Internet的唯一通道；反过来说，代理服务器也是Internet访问内部网络的唯一通道，如果你没有做反向代理，则对于Internet上的主机来说，你的整个内部网只有代理服务器是可见的，从而大大增强了网络的安全性。3传统、透明和反向代理服务器 （1）传统代理服务器。 传统代理常被用于缓存静态网页(例如：html文件和图片文件等)到本地网络上的一台主机上(即代理服务器)。不缓存的页面被第二次访问的时候，浏览器将直接从本地代理服务器那里获取请求数据而不再向原Web站点请求数据。这样就节省了宝贵的网络带宽，而且提高了访问速度。但是，要想实现这种方式，必须在每一个内部主机的浏览器上明确指明代理服务器的IP地址和端口号。客户端上网时，每次都把请求给代理服务器处理，代理服务器根据请求确定是否连接到远程Web服务器获取数据。如果在本地缓存区有目标文件，则直接将文件传给用户即可。如果没有的话则先取回文件，并在本地保存一份缓存，然后将文件发给客户端浏览器。 （2）透明代理服务器。 透明代理与传统代理的功能完全相同。但是，代理操作对客户端浏览器是透明的(即不需指明代理服务器的IP和端口)。透明代理服务器阻断网络通信，并且过滤出访问外部的HTTP(80端口)流量。如果客户端的请求在本地有缓存则将缓存的数据直接发给用户，如果在本地没有缓存则向远程Web服务器发出请求，其余操作和传统代理服务器完全相同。对于Linux操作系统来说，透明代理使用iptables实现。因为不需要对浏览器作任何设置，所以，透明代理对于ISP来说特别有用。 （3）反向代理服务器。 反向代理是和前两种代理完全不同的一种代理服务。使用它可以降低原始Web服务器的负载。反向代理服务器承担了对原始Web服务器的静态页面的请求，防止原始服务器过载。如图5所示，它位于本地Web服务器和Internet之间，处理所有对Web服务器的请求。如果互联网用户请求的页面在代理器上有缓存的话，代理服务器直接将缓存内容发送给用户。如果没有缓存则先向Web服务器发出请求，取回数据，本地缓存后再发送给用户。这种方式通过降低了向Web服务器的请求数从而降低了Web服务器的负载。图5 反向代理服务器位于Internet与组织服务器之间4代理服务器squid简介 squid是一个缓存Internet数据的一个开源软件，它会接收用户的下载申请，并自动处理所下载的数据。也就是说，当一个用户要下载一个主页时，他向squid发出一个申请，要求squid替它下载，squid连接申请网站并请求该主页，然后把该主页传给用户同时保留一个备份，当别的用户申请同样的页面时，squid把保存的备份立即传给用户，使用户觉得速度相当快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议，暂不能代理POP、NNTP等协议。但是已经有人开始改进squid，相信不久的将来，squid将能够代理这些协议。 squid不是对任何数据都进行缓存。像信用卡账号、可以远方执行的Script、经常变换的主页等是不适合缓存的。squid可以根据用户的需要进行设置，过滤掉不想要的东西。 squid可用在很多操作系统中，如Digital Unix，FreeBSD，HP-UX，Linux，Solaris，OS/2等，也有不少人在其他操作系统中重新编译过squid。 squid对内存有一定的要求，一般不应小于128M，硬盘最好使用服务器专用SCSI硬盘。 squid是一个高性能的代理缓存服务器，和一般的代理缓存软件不同，squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。 squid将数据元缓存在内存中，同时也缓存DNS查询的结果。此外，它还支持非模块化的DNS查询，对失败的请求进行消极缓存。squid支持SSL，支持访问控制。由于使用了ICP（轻量Internet缓存协议），squid能够实现层叠的代理阵列，从而最大限度地节约带宽。 squid由一个主要的服务程序squid，一个DNS查询程序dnsserver，几个重写请求和执行认证的程序，以及几个管理工具组成。当squid启动以后，它可以派生出预先指定数目的dnsserver进程，而每一个dnsserver进程都可以执行单独的DNS查询，这样就减少了服务器等待DNS查询的时间。5squid常用配置选项 因为缺省的配置文件不能使squid正常启动服务，所以我们必须首先修改该配置文件的有关内容，才能让squid运行起来。 下面是squid.conf文件结构。squid.conf配置文件的可分为13个部分，如表2所示。表2 squid常用配置选项选项说明NETWORK OPTIONS有关的网络选项OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM作用于邻居选择算法的有关选项OPTIONS WHICH AFFECT THE CACHE SIZE定义cache大小的有关选项LOGFILE PATHNAMES AND CACHE DIRECTORIES定义日志文件的路径及cache的目录OPTIONS FOR EXTERNAL SUPPORT PROGRAMS外部支持程序选项OPTIONS FOR TUNING THE CACHE调整cache的选项TIMEOUTS超时ACCESS CONTROLS访问控制ADMINISTRATIVE PARAMETERS管理参数OPTIONS FOR THE CACHE REGISTRATION SERVICEcache注册服务选项HTTPD-ACCELERATOR OPTIONSHTTPD加速选项MISCELLANEOUS杂项DELAY POOL PARAMETERS延时池参数 虽然squid的配置文件很庞大，但是如果你只是为一个中小型网络提供代理服务，并且只准备使用一台服务器，则只需要修改配置文件中的几个选项。6squid常用命令选项 （1）端口号。 http_port指令告诉squid在哪个端口侦听HTTP请求。默认端口是3128：http_port 3128，如果要squid作为加速器运行则应将它设为80。 你能使用附加http_port行来指定squid侦听在多个端口上。例如，来自某个部门的浏览器发送请求3128，然而另一个部门使8080端口。可以将两个端口号列举出来： http_port 3128 http_port 8080 squid也可以使http_port指令侦听在指定的接口地址上。squid作为防火墙运行时，它有两个网络接口：一个内部的和一个外部的。你可能不想接受来自外部的http请求。为了使squid仅仅侦听在内部接口上，简单的将IP地址放在端口号前面： http_port :3128 （2）日志文件路径。 默认的日志目录是squid安装位置下的logs目录，其路径是/usr/local/squid/var/logs。你必须确认日志文件所存放的磁盘位置空间足够。squid想确认你不会丢失任何重要的日志信息，特别是你的系统被滥用或者被攻击时。 squid有三个主要的日志文件：cache.log、access.log和store.log。cache.log文件包含状态性的和调试性的消息。access.log文件包含了对squid发起的每个客户请求的单一行。每行平均约150个字节。假如因为某些理由，你不想squid记录客户端请求日志，你能指定日志文件的路径为/dev/null。store.log文件对大多数cache管理员来说并非很有用。它包含了进入和离开缓存的每个目标的记录。平均记录大小典型的是175-200字节。 如果squid的日志文件增加没有限制。某些操作系统对单个文件强制执行2G的大小限制，即使你有充足的磁盘空间。超过该限制会导致写错误，squid就会退出。 （3）访问控制。 squid默认的配置文件拒绝每一个客户请求。在任何人能使用代理之前，你必须在squid.conf文件里加入附加的访问控制规则。最简单的方法就是定义一个针对客户IP地址的ACL和一个访问规则，告诉squid允许来自这些地址的HTTP请求。squid有许多不同的ACL类型。src类型匹配客户IP地址，squid会针对客户HTTP请求检查http_access规则。 acl MyNetwork src /16 http_access allow MyNetwork 请将这些行放在正确的位置。http_access的顺序非常重要。在第一次编辑squid.conf文件时，请看如下注释：在该注释之后，以