使用iptable實現動態防火牆

[psac]

防火牆是一個非常重要的網路安全工具，但是如果在需要對防火牆規則進行快速、複雜的動態修改時你該如何實現呢？如果你使用本文介紹的Daniel Robbins 的動態防火牆指令碼，這將是一件非常容易的工作。你可以利用這些指令碼來增強你網路的安全性和對網路攻擊的既時回應性，並關於該指令碼進行自己的創造性設計。
理解動態防火牆的指令碼能夠帶來的益處的最好方法就是看它們在實際中的套用。假設我是``一個某個ISP的系統管理員，我最近架設了一個關於Linux的防火牆來保護我的客戶和內部系統，防止外部惡意用戶的攻擊。為了實現該系統我使用了新版Linux2.4內核的iptables工具來實現，防火牆允許客戶和內部伺服器向Internet建立連接，也允許從Internet向內部系統的公共服務如web伺服器、ftp伺服器等建立新的連接。由於這裡我使用了預設拒絕任何服務，只開放允許的服務的原則，因此從Internet到非公共服務如squid的代理服務、samba服務的連接是被拒絕的。目前我已經有了一個功能完備的、滿足安全需求的防火牆系統，其能對ISP的所有用戶提供很好的保護。
``剛剛開始的一個星期防火牆工作情況良好，但是隨後一些糟糕的事情發生了。Bob-一個攻擊者對我的網路進行了攻擊，它採用了使用垃圾資料報淹沒我的ISP網路的方法來對我的客戶進行Dos攻擊。不幸的是Bob已經對我的防火牆進行了仔細的研究，知道雖然我對內部服務進行了保護但是25連接埠和80連接埠都是開放的以收發Emai和開放www服務。Bob決定對我的Email和WWW伺服器進行Dos的攻擊。
``Bob開始攻擊的1-2分鐘以後我發現我的線路出現嚴重的擁塞情況。通過tcpdump察看我發現這是Bob進行的一次攻擊。並且我得到了它的攻擊源位址。現在我就需要阻止這些IP位址對我的公共伺服器的連接。下面我就討論一種簡單方便的解決方案。

阻止攻擊

``我馬上採取行動，載入我的防火牆啟動指令碼並使用vi對 iptables 規則進行編輯，來阻塞這些Bob發出的惡意攻擊資料的源位址的資料報。大約一分鐘以後我找到了在防火牆啟動指令碼中增加新的DROP規則的位置，我馬上增加了新的規則並重新啟動了防火牆。很快防火牆發揮了作用，Bob的攻擊得到了遏制。現在看起來我成功的擊潰了Bob的攻擊，可是不久網路值班電話又響了起來，原來是客戶發現網路不可用而打過來的投訴電話。可是更加糟糕的是幾分鐘以後我注意到我的Internet連接線路又開始出現嚴重阻塞。我仔細察看原來是Bob使用了新的IP位址進行攻擊行動。我只好不得不再次修改防火牆啟動指令碼來阻止它的攻擊。我就這樣一直在Bob的屁股後面疲於奔命。
``問題出在哪裡呢？雖然我建立了功能完備的、滿足安全需求的防火牆系統並且快速的發現了網路出現問題的原因，但是我卻不能在第一時間內對我的防火牆規則進行調整來回應Bob的攻擊。當網路被攻擊時，被動慌亂地快速對攻擊做出防範反應，對防火牆規則配置指令碼進行修改不但是壓力巨大，而且效率低下。

ipdrop
``如果能新增一個特殊的"ipdrop"指令碼，其被設計為能方便地插入一個規則來阻塞指定的IP，那麼將上面的工作將非常容易。通過該指令碼阻塞某個IP將是非常容易的工作，只需要幾秒鐘就可以實現。而且通過該指令碼還可以防止手工加入規則時容易出現的錯誤。因此阻塞Bob的攻擊將變為確定其攻擊源位址。然後通過如下指令：

# ipdrop 129.24.8.1 on
IP 129.24.8.1 drop on.
``ipdrop指令碼將立即阻塞129.24.8.1。通過使用該指令碼能顯著地提高你的防衛能力。下面就是ipdrop指令碼的實現：
The ipdrop bash script

#!/bin/bash
source /usr/local/share/dynfw.sh
args 2 $# "${0} IPADDR {on/off}" "Drops packets to/from IPADDR. Good for obnoxious networks/hosts/DoS"
if [ "$2" == "on" ]
then
#rules will be appended or inserted as normal
APPEND="-A"
INSERT="-I"
rec_check ipdrop $1 "$1 already blocked" on
record ipdrop $1
elif [ "$2" == "off" ]
then
#rules will be deleted instead
APPEND="-D"
INSERT="-D"
rec_check ipdrop $1 "$1 not currently blocked" off
unrecord ipdrop $1
else
echo "Error: "off" or "on" expected as second argument"
exit 1
fi
#block outside IP address thats causing problems
#attackers incoming TCP connections will take a minute or so to time out,
#reducing DoS effectiveness.
iptables $INSERT INPUT -s $1 -j DROP
iptables $INSERT OUTPUT -d $1 -j DROP
iptables $INSERT FORWARD -d $1 -j DROP
iptables $INSERT FORWARD -s $1 -j DROP
echo "IP ${1} drop ${2}."

ipdrop:解釋
``從上面的指令碼來源碼中最後四行內容可以看到實際的指令是在防火牆表中插入適當的規則。可以看到$INSERT變數的值取決於在指令行參數中是使用"on"還是"off"模式。當iptables行被執行時特定的規則將被適當的插入或刪除。
``現在我們看看這些規則本身的功能，它們能和任何類型的防火牆一起發揮作用，甚至在沒有佈署防火牆的系統上。需要的條件僅僅是支持iptables的Linux2.4版本的內核。我們阻塞來自惡意IP的攻擊資料報(第一條iptables語句)，阻塞發向惡意攻擊IP的資料報(第二條iptables語句)，並且對該IP關閉任意方向的資料轉發(最後兩條iptables工具)。一旦這些規則發揮作用系統將丟棄滿足這些條件的任何資料報。
``另外一個需要注意的是：指令碼中使用了"rec_check", "unrecord", "record",和"args"。這些都是定義在"dynfw.sh"中的特殊的bash函數。"record"函數實現將被阻塞的IP記錄在文件/root/.dynfw-ipdrop文件中，而"unrecord"則是將其從文件/root/.dynfw-ipdrop中去除。"rec_check"函數是在發現試突重新阻塞某個已經阻塞的IP位址或取消某個沒有被阻塞的IP位址時輸出錯誤信息並停止指令碼執行。"args"函數實現確保指令行參數的正確性，並實現列印指令碼說明 指令。文件dynfw-1.0.tar.gz包含所有的這些工具，直接情況請見文章最後的資源部分。

tcplimit

``如果你需要對某個特殊的關於TCP的網路服務的使用進行限制(例如在端系統上產生嚴重負載時)，則tcplimit指令碼則可以說明 你達到這個目的，該指令碼使用TCP連接埠、一個率值和"on"或"off"作為參數：

# tcplimit 873 5 minute on
Port 873 new connection limit (5/minute, burst=5) on.

``tcplimit使用iptables的"state"模組(應確保在內核中開啟該選項或載入模組)來實現在某段時間內只允許特定數目的連接請求通過。在本例中防火牆將限制每分鐘只允許5個新連線到我的rsync伺服器(port 873)。當然你可以根據需要選項時間服務機構為秒鐘/分鐘/小時。
``tcplimit提供了一個限制對非關鍵服務的使用的非常好的方法－這樣大量到非關鍵服務的資料不會破壞伺服器。在上面的例子中使用tcplimit來設定使用rsync的限制，以防止tsync資料佔用了Internet連接的所有帶寬。其中連接服務限制信息記錄在文件/root/.dynfw-tcplimit中。若想關閉該限制只需要鍵入如下指令：

# tcplimit 873 5 minute off
Port 873 new connection limit off.

``tcplimit通過在"filter"表中新增一個新的規則鏈來實現。這個新的規則鏈將拒絕所有超過指定限制的資料報，同時將一個規則插入到INPUT規則鏈中，其將所有的到目標連接埠(在本例中是873連接埠)的新連接資料報轉發IP到這個新的規則鏈。新規則鏈只會影響新的超過限制的連接而不會影響已經建立的連接。
``當tcplimit定義的規則被關閉，INPUT規則和新規則鏈則會被刪除。像ipdrop一樣其tcplimit可以和任何類型的防火牆一起工作。

host-tcplimit

``host-tcplimit和tcplimit非常類似，但是它是限制來自一個特定的IP的到伺服器上某個特定連接埠的TCP連接數量。host-tcplimit在防止某個特定的人濫用你的網路資源時非常有用處。例如你維護有一個CVS伺服器，有一天突然發現一個特殊的新開發者出現了，他好像建立了一個指令碼每十分鐘更新它的資源。佔用了大量的網路資源。然後你就給他傳送郵件說明他的行為的錯誤之處。但是你收到他如下的回信：

Hi guys!
Im really excited to be part of your development project. I just set up a
script to update my local copy of the code every ten minutes. Im about to
leave on a two-week cruise, but when I get back, my sources will be totally
up-to-date and Ill be ready to help out! Im heading out the door now...see
you in two weeks!

Sincerely,
Mr. Newbie
``對於這種情況，使用host-tcplimit可以非常容易的解決問題：

# host-tcplimit 1.1.1.1 2401 1 day on

``現在Newbie先生(IP位址為1.1.1.1)被限制為每天只能進行一次CVS連接從而節省了網路帶寬。

user-outblock
``最後一個，也是這幾個防火牆指令碼中最有趣的是user-outblock。這個指令碼提供了一種實現允許某個用戶通過SSH或telnet登入到系統上但是不允許它通過指令行指令建立向外連接去的一個很理想的方法。下面是一個套用user-outblock的一個示例場合。假設一個特殊的家庭在我們的ISP擁有一個帳號。媽媽和爸爸使用圖形化的email客戶端程序閱讀自己的郵件，偶爾會衝浪Internet，但是他們的兒子卻是一個熱衷的hacker分子，他常常使用它的shell訪問權限來對其他的機器做一些淘氣的事情。
``有一天你發現他和若干係統建立ssh連接，發現目標位址是屬於巴基斯坦軍事網站。你希望說明 這個小孩子走向正道，因此你採取了以下的行動：
``首先，你檢查自己的系統並確保去掉了所有和網路相關的程序的suid位，例如ssh：

# chmod u-s /usr/bin/ssh
``現在他企圖使用的任何和網路相關的工作都會擁有自己的UID。你現在可以使用user-outblock來阻塞所有該UID發出的的向外TCP連接(假設其UID為2049)：

# user-outblock 2049 on
UID 2049 block on.

``現在他只能登入到系統中閱讀自己的郵件，但是他不能使用你的伺服器建立SSH連接。

資源
``* 由於發現動態這些防火牆指令碼非常有用，因此將它們打包(dynfw-1.0.tar.gz)以供下載安裝。
``要進行安裝只需要解壓縮包，執行其中的install.sh文件。該指令碼將安裝一個共享bash指令碼為/usr/local/share/dynfw.sh，並且安裝動態防火牆指令碼到/usr/local/sbin目錄下。若希望安裝在其他指令碼中，則只需要在執行install.sh以前執行：
# export PREFIX=/usr
``還可以在dynamic firewall scripts section to the Gentoo Linux Web site下載dynfw的最新版本。

``* tcpdump是一個非常重要的探測底層的IP報交換的工具，使用它可以驗證防火牆工作是否正常。
TcpDump網路分析


Linux作為網路伺服器，特別是作為路由器和網關時，資料的採集和分析是必不可少的。所以，今天我們就來看看Linux中強大的網路資料採集分析工具——TcpDump。

　　顧名思義，TcpDump可以將網路中傳送的資料包的「頭」完全截獲下來提供分析。它支持針對網路層、傳輸協定、主機、網路或連接埠的過濾，並提供and、or、not等邏輯語句來說明 你去掉無用的信息。

　　和Linux終端狀態下的其他軟體一樣，TcpDump也是依靠參數來工作，本文將結合實例來說明。

資料過濾

　　不帶任何參數的TcpDump將搜尋系統中所有的網路接頭，並顯示它截獲的所有資料，這些資料對我們不一定全都需要，而且資料太多不利於分析。所以，我們應當先想好需要哪些資料，TcpDump提供以下參數供我們選項資料：

　　-b 在資料-鏈路層上選項傳輸協定，包括ip、arp、rarp、ipx都是這一層的。

　　例如：tcpdump -b arp 將只顯示網路中的arp即位址轉換傳輸協定信息。

　　-i 選項過濾的網路接頭，如果是作為路由器至少有兩個網路接頭，通過這個選項，就可以只過濾指定的接頭上通過的資料。例如：

　　tcpdump -i eth0 只顯示通過eth0接頭上的所有報頭。

　　src、dst、port、host、net、ether、gateway這幾個選項又分別包含src、dst 、port、host、net、ehost等附加選項。他們用來分辨資料包的來源和去向，src host 192.168.0.1指定源主機IP位址是192.168.0.1，dst net 192.168.0.0/24指定目標是網路192.168.0.0。以此類推，host是與其指定主機相關無論它是源還是目的，net是與其指定網路相關的，ether後面跟的不是IP位址而是物理位址，而gateway則用於網關主機。可能有點複雜，看下面例子就知道了：


　　tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24



　　過濾的是源主機為192.168.0.1與目的網路為192.168.0.0的報頭。


　　tcpdump ether src 00:50:04:BA:9B and dst……



　　過濾源主機物理位址為XXX的報頭（為什麼ether src後面沒有host或者net？物理位址當然不可能有網路嘍）。


　　Tcpdump src host 192.168.0.1 and dst port not telnet



　　過濾源主機192.168.0.1和目的連接埠不是telnet的報頭。

　　ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾資料報的類型。例如：


　　tcpdump ip src……



　　只過濾資料-鏈路層上的IP報頭。


　　tcpdump udp and src host 192.168.0.1



　　只過濾源主機192.168.0.1的所有udp報頭。

資料顯示/輸入輸出

　　TcpDump提供了足夠的參數來讓我們選項如何處理得到的資料，如下所顯示：

　　-l 可以將資料重轉發IP。

　　如tcpdump -l ＞tcpcap.txt將得到的資料存入tcpcap.txt文件中。

　　-n 不進行IP位址到主機名的轉換。

　　如果不使用這一項，當系統中存在某一主機的主機名時，TcpDump會把IP位址轉換為主機名顯示，就像這樣：eth0 ＜ ntc9.1165＞ router.domain.net.telnet，使用-n後變成了：eth0 ＜ 192.168.0.9.1165 ＞ 192.168.0.1.telnet。

　　-nn 不進行連接埠名稱的轉換。

　　上面這條信息使用-nn後就變成了：eth0 ＜ ntc9.1165 ＞ router.domain.net.23。

　　-N 不列印出預設的域名。

　　還是這條信息-N 後就是：eth0 ＜ ntc9.1165 ＞ router.telnet。

　　-O 不進行匹配程式碼的最佳化。

　　-t 不列印UNIX時間戳，也就是不顯示時間。

　　-tt 列印原始的、未格式化過的時間。

　　-v 詳細的輸出，也就比普通的多了個TTL和服務類型。

　　好了，說了這麼多，是不是覺得TcpDump這個工具很好？它還有好多功能限於篇幅不能一一介紹，多讀一讀「說明 」都會有很大的收穫，這也算是進入Linux世界的一條捷徑吧。
iptables配置工具比較


作者：Anton Chuvakin

簡介

在過去幾年中，Linux作為防火牆平台的套用顯著增長。從早期1.2版內核的ipfwadm開始，Linux的防火牆程式碼也走過了很長一段路程了。在2.4版的Linux內核中，使用了netfilter體系。在最新的2.4版中，Linux大大加強了安全性，例如：更好的加密支持和netfilter體系的使用。netfilter具有完全的向後相容性。

本文將對iptables的配置做一個綜述並且重點介紹一些iptables的配置工具。本文的討論將著眼於Linux內核的IP防火牆以及其各種界面的配置工具，比如：GUI或者指令碼(shell、Perl或者特定的配置語言)。使用這些工具能夠簡化iptables的配置減少配置的錯誤。關於iptables的知識請參考Rusty Russell寫的Linux iptables HOWTO。

使用指令行配置iptables的困難

使用iptables的指令行接頭來配置iptables防火牆對一個人來說是一個挑戰，用戶很難指定所有IP報文的行為。用戶需要對TCP/IP和套用層傳輸協定有較深的瞭解。像其前輩ipchains一樣，iptables把IP過濾規則歸並到鏈中，IP報文遍歷規則連結受處理，還可以送到另外的連結受處理，或者最後由預設原則(ACCEPT、DROP、REJECT)處理。有些網路應用程式比其它一些程序更容易穿過防火牆，因此需要理解網路連接的建立和中斷連線。

我們看一下POP3傳輸協定，這是最簡單的傳輸協定之一。允許所有向內目標連接埠是110的報文通過通過無法解決所有的管理問題，因為這樣只能使客戶端向發出申請，而伺服器卻無法回應。另外，如果使用網路位址轉換(NAT)和其它方式的報文轉發，也存在許多問題。因為防火牆的配置將影響到整個企業的安全，所以應該特別小心。下面將大概地討論iptables的配置，要獲得更多細節請參考Linux iptables HOWTO

iptables的指令行選項

在進入這時的討論之前，我們看一下iptables指令行選項的一個總結。

規則鏈維護選項

1.建立新的規則鏈(-N)
2.刪除一個空的規則鏈(-X)
3.改變一個內裝規則鏈的原則(-P)
4.列出一條規則鏈中的規則(-L)
5.擦寫一條規則鏈中的規則(-F)

規則維護

1.在一條規則鏈中加入一條新的規則(-A)
2.刪除一條規則鏈中某個位置的規則(-D)

iptables的優點

在討論各種iptables配置工具之前，讓我們看一下iptables的優點，尤其是netfilter比ipchains具有的優勢。

iptables允許建立狀態(stateful)防火牆，就是在記憶體中儲存穿過防火牆的每條連接。這種模式對於有效地配置FTP和DNS以及其它網路服務是必要的。

iptables能夠過濾TCP標誌任意組合報文，還能夠過濾MAC位址。

系統日誌比ipchains更容易配置，擴展性也更好。

對於網路位址轉換(Network Address Translation)和透明代理的支持，netfilter更為強大和易於使用。

iptable能夠阻止某些DOS攻擊，例如SYS洪泛攻擊。

iptables配置工具

現在，我們看一下Linux iptables的一些配置工具。我主要關注每個工具的特徵、彈性和易用性。我們將討論以下的工具：

MonMotha's Firewall 2.3.5 作者：MonMotha
Firewallscript (iptables 4.4c-3 devel) 作者：Patrik Hildingsson
Ferm-0.0.18 作者：Auke Kok
AGT-0.83 作者：Andy Gilligan
Knetfilter-1.2.4 作者：Luigi Genoni
gShield-2.0.2 作者：R. Gregory

MonMotha的Firewall 2.3.5
MonMotha寫的Firewall 2.3.5是一個大約30K的shell指令碼。目前，主要適用於關於主機的保護，因為一些關於網路的選項正在開發中。這個指令碼的界面(例如：給iptables傳遞配置選項的方法)有點混亂。不過，它不需要配置文件而且安裝容易，直接複製到任何地方都可以。預設情況下，它根本不做什麼，實際上根本就不執行，也缺少我的文件。這個指令碼對於撥號用戶可能有點用處。

Firewallscript
Firewallscript(IFS 4.4d)也是一個bash指令碼，大約有85K。這個指令碼可以用於關於主機和網路的防護。首次執行時，它會直接產生一個配置文件。不過，在預設情況下，這個文件不起什麼作用，只有測試作用。這個指令碼可以配置NAT和位址偽裝。這個指令碼非常複雜，但是缺少我的文件，因此最好能夠仔細閱讀它的程式碼，使用iptables -L指令哪個鏈已經生效，什麼被允許/拒絕。這個指令碼的IP報文追蹤功能還可以為你提供娛樂。此外，它還會自動探測、載入iptables需要的內核模組。這個指令碼和上一個指令碼還具有取消(undo)功能，能夠恢復iptables原來的配置文件。

Ferm
Ferm是一個Perl指令碼，使用一種類C語言寫成的配置文件。這種語言非常容易閱讀和理解。這個指令碼有很好的我的文件和豐富的示例作為參考。

這是一個例子：

-----------------------------------------------------------------------------
# simple workstation example for ferm
chain input {
if ppp0 # put your outside interface here
{
proto tcp goto fw_tcp;
proto udp goto fw_udp;
proto icmp goto fw_icmp;
}
}
chain fw_tcp proto tcp {
dport ssh ACCEPT;
syn DENY log;
dport domain ACCEPT;
dport 0:1023 DENY log;
}
chain fw_udp proto udp {
DENY log;
}
chain fw_icmp proto icmp {
icmptype (
destination-unreachable time-exceeded
) ACCEPT;
DENY log;
}

-----------------------------------------------------------------------------

這個配置文件將使ferm產生iptables如下規則：允許向外的ssh和DNS報文通過；阻塞所有的UDP報文；只允許兩種類型的ICMP消息通過：目的不可達和超時，並絕拒絕和日誌其它類型的ICMP消息。

AGT

AGT是一個使用C語言編寫的程序。從它的程式碼來看，目前還處於開發階段。不支持automake，需要手工編輯Makefile文件，我的文件也不是很豐富，但是其配置文件非常簡單。下面就是一個配置文件：

NEW | FROM-INT
NEW | RESET

|| FROM-INT | icmp | ACCEPT |||||
|| FROM-INT | tcp | ACCEPT ||||| pop3
|| FROM-INT | tcp | ACCEPT ||||| imap

|| RESET | tcp | REJECT --reject-with tcp-reset |||||


這樣的文件格式，加上缺乏必要的我的文件，對使用者來說是一個很大的挑戰。而且最好多花些時間學學iptables。

knetfilter
knetfilter是一個非常棒的圖形化iptables配置工具，它是關於KDE的(有KDE1和KDE2兩個版本)。knetfilter非常易於上手，你可以很容易地使用它來配置關於主機保護的規則和規則列表；儲存和恢復測這些規則和規則列表；測試規則和規則列表(在同一個面板上執行tcpdump網路嗅探器)，這一切只要點幾下滑鼠就可以了。它也支持NAT和網路位址偽裝的配置。但是，對於撥號工作站，knetfilter工作的不太好，因為它需要本機IP，而且只探測eth0網路接頭，不進行PPP探測。這個工程的我的文件也很少，不過因為是關於圖形界面，所以即使不用手冊也可以很好地使用。

gShield
gShield是一個bash shell指令碼，可能是當前最成熟的一個工具。它的我的文件非常豐富，配置文件也比較合理直觀，還能夠設定NAT。它不但能夠處靜態IP位址，還能夠處理動態IP位址(例如：PPP)。

gShield還有圖形界面，目前仍然處於早期開發階段，可以從http://members.home.com/vhodges/gshieldconf.html下載。不過，它似乎只相容gShield的早期版本(1.x)。

下面是一個示例配置文件：

FW_ROOT="/etc/firewall"
IPTABLES=`which iptables`
LOCALIF="eth0"
DNS="24.31.195.65"
LTIME="20/m"
ALLOW_DHCP_LEASES="YES"
...

gShield使用的預設配置非常安全，特別適合不願意擺弄配置文件的用戶，不過軟體的編者建議用戶最好能夠通讀整個配置文件。據README文件講，gShield實現了"類tcpwrapper風格的服務訪問控制功能"，使用這個功能用戶可以很容易地阻塞/允許某項服務，而不必考慮報文方向之類的問題，只要關心什麼客戶連線到伺服器就可以了。

結論

雖然本文介紹了一些防火牆配置工具，但是實際上目前還沒有理想的配置工具。最好的配置工具還是iptables指令，這裡介紹的這些工具，只適用於對於使用iptables指令行感覺困難的用戶。

[burgh]

太受用的文章,感謝psac大如此詳盡的說明,收下了,謝謝!!