|
Linux 內(nèi)核中有一個功能強大的聯(lián)網(wǎng)子系統(tǒng) netfilter。netfilter 子系統(tǒng)提供了有狀態(tài)的或無狀態(tài)的分組過濾,,還提供了 NAT 和 IP 偽裝服務(wù),。netfilter 還具備為高級選路和連接狀態(tài)管理而變形(mangle)IP 頭信息的能力。netfilter 是通過 IPTables 工具來控制的,。 IPTables 總覽 netfilter 的強大功能和靈活性是通過 IPTables 界面來實現(xiàn)的,。這個命令行工具和它的前身 IPChains 的語法很相似;不過,,IPTables 使用 netfilter 子系統(tǒng)來增進網(wǎng)絡(luò)連接,、檢驗、和處理方面的能力,;IPChains 使用錯綜復(fù)雜的規(guī)則集合來過濾源地和目的地路線以及兩者的連接端口,。IPTables 只在一個命令行界面中就包括了更先進的記錄方式;選路前和選路后的行動,;網(wǎng)絡(luò)地址轉(zhuǎn)換,;以及端口轉(zhuǎn)發(fā)。 7.2. 使用 IPTables 使用 IPTables 的第一步是啟動 IPTables 服務(wù)。這可以使用以下命令進行: service iptables start 警告 你應(yīng)該使用以下命令關(guān)閉 IP6Tables 服務(wù)才能使用 IPTables 服務(wù): service ip6tables stop chkconfig ip6tables off 要使 IPTables 在系統(tǒng)引導(dǎo)時默認(rèn)啟動,,你必須使用 chkconfig 來改變服務(wù)的運行級別狀態(tài),。 chkconfig --level 345 iptables on IPTables 的語法被分成幾個層次。主要層次為“鏈”(chain),。“鏈”指定處理分組的狀態(tài),。其用法為: iptables -A chain -j target -A 在現(xiàn)存的規(guī)則集合內(nèi)后補一條規(guī)則,。chain 是規(guī)則所在“鏈”的名稱。IPTables 中有三個內(nèi)建的鏈(即影響每一個在網(wǎng)絡(luò)中經(jīng)過的分組的鏈):INPUT,、OUTPUT,、和 FORWARD。這些鏈?zhǔn)怯谰眯缘?,不能被刪除,。 重要 在創(chuàng)建 IPTables 規(guī)則集合時,記住規(guī)則的順序是至關(guān)重要的,。例如:如果某個鏈指定了來自本地子網(wǎng) 192.168.100.0/24 的任何分組都應(yīng)放棄,,然后一個允許來自 192.168.100.13(在前面要放棄分組的子網(wǎng)范圍內(nèi))的分組的鏈被補在這個規(guī)則后面(-A),那么這個后補的規(guī)則就會被忽略,。你必須首先設(shè)置允許 192.168.100.13 的規(guī)則,,然后再設(shè)置放棄規(guī)則。 要在現(xiàn)存規(guī)則鏈的任意處插入一條規(guī)則,,使用 -I,,隨后是你想插入規(guī)則的鏈的名稱,然后是你想放置規(guī)則的位置號碼(1,2,3,...,n),。例如: iptables -I INPUT 1 -i lo -p all -j ACCEPT 這條規(guī)則被插入為 INPUT 鏈的第一條規(guī)則,,它允許本地環(huán)回設(shè)備上的交通。 7.2.1. 基本防火墻策略 在一開始就建立的某些基本策略為建構(gòu)更詳細的用戶定義的規(guī)則奠定了基礎(chǔ),。IPTables 使用策略(policy, -P)來創(chuàng)建默認(rèn)規(guī)則,。對安全敏感的管理員通常想采取放棄所有分組、只逐一允許指定分組的策略,。以下規(guī)則阻塞網(wǎng)絡(luò)上所有的出入分組,。 iptables -P INPUT DROP iptables -P OUTPUT DROP 此外,還推薦你拒絕所有轉(zhuǎn)發(fā)分組(forwarded packets) — 要從防火墻被選路發(fā)送到它的目標(biāo)節(jié)點的網(wǎng)絡(luò)交通 — 以便限制內(nèi)部客戶對互聯(lián)網(wǎng)的無心暴露,。要達到這個目的,,使用以下規(guī)則: iptables -P FORWARD DROP 注記 在處理添加的規(guī)則時,REJECT(拒絕)目標(biāo)和 DROP(放棄)目標(biāo)這兩種行動有所不同,。REJECT 會拒絕目標(biāo)分組的進入,,并給企圖連接服務(wù)的用戶返回一個 connection refused 的錯誤消息。DROP 會放棄分組,而對 telnet 用戶不發(fā)出任何警告,;不過,,為了避免導(dǎo)致用戶由于迷惑不解而不停試圖連接的情況的發(fā)生,推薦你使用 REJECT 目標(biāo),。 設(shè)置了策略鏈后,,為你的特定網(wǎng)絡(luò)和安全需要創(chuàng)建新規(guī)則。以下各節(jié)概述了一些你在建構(gòu) IPTables 防火墻時可能要實現(xiàn)的規(guī)則,。 7.2.2. 保存和恢復(fù) IPTables 規(guī)則 防火墻規(guī)則只在計算機處于開啟狀態(tài)時才有效,。如果系統(tǒng)被重新引導(dǎo),這些規(guī)則就會自動被清除并重設(shè),。要保存規(guī)則以便今后載入,,請使用以下命令: /sbin/service iptables save 保存在 /etc/sysconfig/iptables 文件中的規(guī)則會在服務(wù)啟動或重新啟動時(包括機器被重新引導(dǎo)時)被應(yīng)用。 常用 iptables 過濾 把遠程攻擊者拒之“LAN”外是網(wǎng)絡(luò)保安的一個重要方面,。LAN 的完好性應(yīng)該通過使用嚴(yán)格的防火墻規(guī)則來抵御蓄意不良的遠程用戶而被保護,。但是,如果默認(rèn)策略被設(shè)置為阻塞所有進入,、輸出,、和轉(zhuǎn)發(fā)的分組,防火墻/網(wǎng)關(guān)和內(nèi)部 LAN 用戶之間的通信就無法進行,。要允許用戶執(zhí)行和網(wǎng)絡(luò)相關(guān)的功能以及使用聯(lián)網(wǎng)應(yīng)用程序,,管理員必須打開某些端口進行通信。 例如:要允許到防火墻上的端口80的通信,,添加以下規(guī)則: iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT 這會允許用戶瀏覽通過端口80通信的網(wǎng)站,。要允許到安全網(wǎng)站(如 https://www./)的訪問,你還必須打開端口443,。 iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT 有時候,,你可能會需要從 LAN 之外遠程地進入 LAN。SSH 和 CIPE 之類的安全服務(wù)可以用于到 LAN 服務(wù)的加密遠程連接,。對于擁有基于 PPP 資源(如調(diào)制解調(diào)器池或批量 ISP 賬號)的管理員來說,,撥號進入可以被用來安全地避開防火墻,因為調(diào)制解調(diào)器連接是直接連接,,通常位于防火墻/網(wǎng)關(guān)之后,。 然而,對于有寬帶連接的遠程用戶來說,,你就需要制定些特殊規(guī)定,。你可以配置 IPTables 接受來自遠程 SSH 和 CIPE 客戶的連接。例如,,要允許遠程 SSH 訪問,,你可以使用以下規(guī)則: iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p udp --sport 22 -j ACCEPT 來自外部的 CIPE 連接請求可以使用以下命令來接受(把 x 替換成你的設(shè)備號碼): iptables -A INPUT -p udp -i cipcbx -j ACCEPT 7.4. FORWARD 和 NAT 規(guī)則 多數(shù)機構(gòu)從它們的 ISP 處得到數(shù)量有限的可公開選路的 IP 地址。鑒于這種限額,管理員必須創(chuàng)建性地積極尋求分享互聯(lián)網(wǎng)服務(wù)的方法,,而又不必把稀有的 IP 地址分配給 LAN 上的每一臺機器,。使用專用 IP 地址是允許 LAN 上的所有機器正確使用內(nèi)部和外部網(wǎng)絡(luò)服務(wù)的常用方法。邊緣路由器(如防火墻)可以接收來自互聯(lián)網(wǎng)的進入交通,,并把這些分組選路發(fā)送它們意圖發(fā)送的 LAN 節(jié)點上,;同時,防火墻/網(wǎng)關(guān)還可以把來自 LAN 節(jié)點的輸出請求選路發(fā)送到遠程互聯(lián)網(wǎng)服務(wù)中,。這種轉(zhuǎn)發(fā)網(wǎng)絡(luò)交通行為有時會很危險,,特別是隨著能夠假冒內(nèi)部 IP 地址、使遠程攻擊者的機器成為你的 LAN 上的一個節(jié)點的現(xiàn)代攻擊工具的出現(xiàn),。為防止此類事件的發(fā)生,iptables 提供了選路發(fā)送和轉(zhuǎn)發(fā)策略,,你可以實施它們來防止對網(wǎng)絡(luò)資源的變相利用,。 FORWARD 策略允許管理員控制分組可以被選路發(fā)送到 LAN 內(nèi)的哪些地方。例如:要允許整個 LAN 的轉(zhuǎn)發(fā)(假定防火墻/網(wǎng)關(guān)在 eth1 上有一個內(nèi)部 IP 地址),,你可以設(shè)置以下規(guī)則: iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -o eth1 -j ACCEPT 注記 按照默認(rèn)設(shè)置,,紅帽企業(yè) Linux 內(nèi)核中的 IPv4 策略禁用了對 IP 轉(zhuǎn)發(fā)的支持,這會防止運行紅帽企業(yè) Linux 的機器成為專用邊緣路由器,。要啟用 IP 轉(zhuǎn)發(fā),,請運行以下命令: sysctl -w net.ipv4.ip_forward=1 如果該命令是通過 shell 提示運行的,那么其設(shè)置在重新引導(dǎo)后就不會被保存,。你可以通過編輯 /etc/sysctl.conf 文件來永久性地設(shè)置轉(zhuǎn)發(fā),。尋找并編輯以下行,把 0 改成 1: net.ipv4.ip_forward = 0 執(zhí)行以下命令來啟用 sysctl.conf 文件中的改變: sysctl -p /etc/sysctl.conf 這會允許 LAN 節(jié)點彼此通信,;不過,,它們沒有被允許和外界(如互聯(lián)網(wǎng))通信。要允許帶有專用 IP 地址的 LAN 節(jié)點和外部的公共網(wǎng)絡(luò)通信,,配置防火墻的 IP 偽裝(IP masquerading),,這會把來自 LAN 節(jié)點的請求都偽裝成防火墻的外部設(shè)備(在這個例子中是 eth0)的 IP 地址。 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 7.5. DMZ 和 iptables 你還可以設(shè)置一些把交通選路發(fā)送到某些機器(如專用 HTTP 或 FTP 服務(wù)器)的規(guī)則,,這些機器最好是位于?;饏^(qū)域(de-militarized zone,DMZ)的和內(nèi)部網(wǎng)絡(luò)分開的機器,。要設(shè)置一條把所有進入的 HTTP 請求都選路發(fā)送到 IP 地址為 10.0.4.2,、端口為80(LAN 192.168.1.0/24 范圍之外)的專用 HTTP 服務(wù)器的規(guī)則,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)會調(diào)用 PREROUTING 表來把這些分組轉(zhuǎn)發(fā)到恰當(dāng)?shù)哪康牡兀?/p> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \ --to-destination 10.0.4.2:80 使用這項命令,,所有來自 LAN 以外的到端口80的 HTTP 連接都會被選路發(fā)送到和內(nèi)部網(wǎng)絡(luò)分離的另一個網(wǎng)絡(luò)上的 HTTP 服務(wù)器上,。這種網(wǎng)絡(luò)分段會比允許到內(nèi)部網(wǎng)絡(luò)中的機器上的 HTTP 連接更安全。如果 HTTP 服務(wù)器被配置接受安全連接,那么端口443也必須被轉(zhuǎn)發(fā),。 病毒和假冒 IP 地址 你可以更精心設(shè)計一些規(guī)則來控制到 LAN 內(nèi)指定子網(wǎng)的訪問,,甚至到指定機器的訪問。你還可以限制某些類似特洛伊木馬,、蠕蟲,、以及其它客戶/服務(wù)器病毒的可疑服務(wù)聯(lián)系它們的服務(wù)器。例如:有些特洛伊木馬會掃描端口31337到31340(即黑客語言中的 elite 端口)上的服務(wù),。既然合法服務(wù)都不使用這些非標(biāo)準(zhǔn)端口來通信,,阻塞這些端口能夠有效地減少你的網(wǎng)絡(luò)上可能被感染的機器和它們的遠程主服務(wù)器進行獨立通信的機會。 iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP 你還可以阻塞試圖假冒你所在 LAN 的專用 IP 地址混入的連接,。例如:如果你的 LAN 使用 192.168.1.0/24 范圍,,面向互聯(lián)網(wǎng)的網(wǎng)絡(luò)設(shè)備(如 eth0)上就可以設(shè)置一條規(guī)則來放棄到那個設(shè)備的使用你所在 LAN 的 IP 范圍的分組。因為默認(rèn)策略是拒絕轉(zhuǎn)發(fā)分組,,所有到面向外界的設(shè)備(eth0)的假冒 IP 地址都會被自動拒絕,。 iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP IP6Tables 下一代互聯(lián)網(wǎng)協(xié)議 IPv6 的出現(xiàn)突破了 IPv4(或 IP)的32位地址限制。IPv6 支持128位地址,,因此識別 IPv6 的載體網(wǎng)絡(luò)就能夠制定比 IPv4 更多的可選路地址,。 紅帽企業(yè) Linux 支持使用 Netfilter 6 子系統(tǒng)和 IP6Tables 命令的 IPv6 防火墻規(guī)則。使用 IP6Tables 的第一步是啟動 IP6Tables 服務(wù),。它可以使用以下命令進行: service ip6tables start 警告 你必須關(guān)閉 IPTables 服務(wù)才能專門使用 IP6Tables 服務(wù): service iptables stop chkconfig iptables off 要使 IP6Tables 在系統(tǒng)引導(dǎo)時默認(rèn)啟動,,使用 chkconfig 來改變服務(wù)的運行級別狀態(tài)。 chkconfig --level 345 ip6tables on 其語法在各方面都和 IPTables 相同,,只不過 IPTables 支持128位的地址,。例如:在識別 IPv6 的網(wǎng)絡(luò)服務(wù)器器上的 SSH 連接可以使用以下規(guī)則來啟用: ip6tables -A INPUT -i eth0 -p tcp -s 3ffe:ffff:100::1/128 --dport 22 -j ACCEPT 關(guān)于 IPv6 聯(lián)網(wǎng)的詳情,請參閱 IPv6 的信息頁:http://www./,。 iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT CIPE 使用它自己的傳輸數(shù)據(jù)報(UDP)分組的虛擬設(shè)備,,因此這條規(guī)則允許 cipcb 接口上的進入連接,而不是規(guī)定源地端口或目標(biāo)端口(雖然它們可以被用來代替設(shè)備選項),。關(guān)于使用 CIPE 的信息,,請參閱第6章 。 你可能還想為其它服務(wù)定義規(guī)則,。關(guān)于 IPTables 及其各類選項的完整信息,,請參閱《紅帽企業(yè) Linux 參考指南》。 這些規(guī)則允許到防火墻上的常規(guī)及安全服務(wù)的訪問,;然而,,它們并不允許防火墻之后的機器使用這些服務(wù)。要允許 LAN 使用這些服務(wù),,你可以使用帶有 IPTables 過濾規(guī)則的 NAT,。 |
|
|
