IDC资讯中心
第 4 章 封包过滤防火墙ipchains的操作规则
§ 4.1 ipchains规则
首先列出 ipchains 的规则表出来:
ipchains -l
分为三大部分:
input chains:输入时的过滤规则例如:
ipchains -a input -p tcp -s 192.168.1.3 -d
192.192.69.36 www -j deny
禁止 192.168.1.3 的来源位址去存取目的地 192.192.69.36 的网页
forward chain :执行 ip 伪装的规则例如:
ipchains -a forward -s 192.168.1.0/24 -d 0.0.0.0/24 -j masq
启动 192.168.1.0~255 的 ip 伪装
output chain:输出时的过滤规则(与 input 相反)例如:
ipchains -a output -p tcp -s 192.192.69.36 www -d 192.168.1.3 -j deny
功用与 input 相同,只不过来源地址、目的地位址要对换
每个所设的规则必须要去符合情况,以及要做些什么(目标)。
举例来说,你可能要去拒绝从 ip 位址 192.168.1.3 的 icmp 的封包,所以在这里我们的条件必须是协定 icmp 及来源位址必须是 192.168.1.3,目的地为 192.192.69.39 这台主机(若不设则为全部),目标是’deny’。
指令写法为:
ipchains -a input -p icmp -s 192.168.1.3 -d 192.192.73.35 -j reject
§ 4.2 命令的用法
增加新的规则 -a:
我们增加(-a)’input’的规则,要指明封包的来源位址(‘-s 192.168.1.3’)及协定
(‘-p icmp’),及应该结果为拒绝(‘-j deny’)。
范例:
ipchains -a input -s 192.168.1.3 -p icmp -j deny
说明:拒绝来自192.168.1.3的icmp封包。
删除规则 -d:
我们删除 ipchains 规则有两种方法,首先我们知道在’input’的规则中只有一个(刚刚上面所增加的),也是第一个,所以我们可以使用数字来删除.。
范例:
ipchains -d input 1
说明:删除input规则中的第一条。
第二种方法是跟增加新的规则差不多,只不过是增加(-a)换成了删除(-d),这种方法在你如果设定了很多的规则的时候很好用,你可以不必去数它到底是第几个,只要照打一遍就行了,当然必须要一模一样才行。
范例:
ipchains -d input -s 192.168.1.3 -p icmp -j deny
§ 4.3 指定协定种类
使用 -p来指定协定种类,其中协定分为 tcp (transmission control protocol)、udp (user datagram protocol)、icmp (internet control message protocol)或是全部(all),在这的协定写法没有分大小写,能以数字代替协定。
在 /etc/protocols 中有注明各种协定,其中 tcp 为 6,udp 为 17,icmp 为 1。
tcp(传输控制协定):
位于应用层,如果应用程序(http、ftp)需要可靠性高的资料传输方式,那么就可以采用 tcp,tcp 会去检查资料是否安全到达,否则就重新发送资料。将传输的资料以 tcp 格式成为资料段,交由网络层的 ip 协定去处理,每一段资料含有一个检查值,接收者用它来验证资料是否受损,如果接收的资料没有损坏,会传回确认回去;如果资料有损会便会丢弃。tcp 具有可靠性及连线性。
udp(使用者资料协定):
位于应用层,让应用程序直接使用封包传送服务,如 ip 提供的传送服务,udp 协定并不会去检查封包是否安全到达目的地,因此传送速度快,但却是一个不可靠、非连线性的封包协定。
icmp(网络控制讯息协定):
属于网际层的一部分,利用 ip 封包的传送,发送它的讯息,icmp 发送的讯息执行了如侦测远端机器是否运作(‘ping’)、资料流的控制(当封包到得太快来不及处理时,目的主机传回一个 icmp 的来源抑制讯息给发送者,告诉资料来源暂时停止传送封包)。
icmp 并没有 port,但它还是有它的选项参数可以使用,用来选择 icmp 的类型。
我们可以指定 icmp 的名称或是数字代表(可以执行 ipchains -h icmp 去列出详细的名字)。
§ 4.4 指定udp和tcp的port
指定来源和目的地的ip位址 -s -d :
来源(-s)和目的地(-d)的表示法有3种:
1. 使用完整的主称名称,例如:‘mouse.oit.edu.tw’ 或 ‘localhost’
2. 使用ip位址,例如:‘192.192.73.36’
3. 允许某范围的ip位址,例如:‘192.192.73.0/24’ 或 ‘192.192.73.0/255.255.255.0’ 两者是一样的,都是包含了192.192.73.0 ~ 192.192.73.255的ip位址。
在斜线(‘/’)的数字代表了ip位址,‘/24’是255.255.255.0,‘/32’是 255.255.255.255,其中比较重要的是’0/0’,指全部。
范例:
ipchains -a input -s 0/0 -j deny
说明:
‘0/0’表示指定所有来源的 ip 位址都会被拒绝,你也可以不加’-s’参数,也是指定所有的来源 ip 位址。
§ 4.5 重要的指定目标
除了去指定协定之外,还可以细分去指定它的 port
例如:
指所有来源位址的 port 80,其中 80 也可以用名字来表示’www’
-p tcp -s 0.0.0.0/0 80
假如要 tcp 封包可以到达 192.168.0.1 的任何 port,但除了 www 这个 port:
-p tcp -d 192.168.0.1 ! www
其中惊叹号’!’放置的位址也可以这样指定:
-p tcp -d ! 192.168.0.1 www
也可以表示为不是 192.168.0.1 和 www 的 port:
-p tcp -d ! 192.168.0.1 ! www
§ 4.6 log 记录 /var/log/message
若你有加上’-l’选项的话,关于 ipchains 的讯息会被记录在 /var/log/message 档案中,在标准的 linux 系统上,kernel 的输出讯息经由 klogd(kernel logging daemon)所记录。其中的记录为:
jul 18 11:38:28 www kernel: packet log: input reject eth0 proto=1
(1) (2) (3) (4) (5) (6) (7) (8)
192.168.1.3:8 192.168.1.1:0 l=60 s=0x00 i=7476 f=0x0000 t=32
(9) (10) (11) (12) (13) (14) (15)
ipchains记录:
(1) 日期、时间
(2) 主机名称
(3) 使用 kernel 来记录
(4) 指出从 ipchains 产生讯息
(5) 所使用的规则:input
(6) 规则的目标:reject
(7) 封包所经过的网络卡界面:eth0
(8) 协定号码:1(icmp)、6(tcp)、17(udp)
(9) 来源 ip 位址和 port
(10) 目的地 ip 位址和 port
(11) 封包的长度
(12) tos(type of service)
(13) ip 的 id
(14) 资料段偏?
