如果您不知道什么是ip地址、网络地址、网络掩码、路由或者dns,那么,请先阅读相关的网络基础书籍。
1.什么是包过滤(packet filter)?
包过滤技术就是利用一些软件来查看收到包的头部,然后决定整个包的命运。要么drop这个包(例如丢弃这个包,就像没有收到一样);要么accept这个包;或者更复杂的动作。在linux下,包过滤被编译到内核中。
2.为什么要用包过滤
控制:
能够允许某些类型的包通过,或者不允许某些类型的包通过。例如,包的头部含有目的地址的信息,因此,您可以设置过滤规则禁止网络内部的包到达某些外部的网络地址。举个实例,当你用netscape浏览dilbert文档时,在它的页面上会出现来自doubleclick.net的烦人广告,让包过滤禁止任何去或者来自doubleclick.net的包就可以解决问题了。
安全:
如何在混乱的internet和您的有序的网络之间通信?设置了防火墙来把守您的大门是十分必要的。例如,您可以允许任何包出去,但是对著名的“ping of death”(来自外部的攻击者)感到焦虑。又例如,您不允许外部telnet到内部的机器(尽管每个用户都有密码)。等等,都可以通过设置规则解决。
警觉:
有时候一台配置不好的内部机器向外面喷涌发包。包过滤能够及时向网络管理员报告此类异常,这样,管理员就能够做出相应的行动,以防不测。
3.linux包过滤的发展史
l ipfw 1994, coming from bsd, 内核2.0,工具ipfwadm
l ipchains 1998, based on the ipfw, 内核 2.2,工具ipchains
l netfilter 1999, based on the ipchains, 内核2.3.15~2.4, 工具iptables
(包过滤源代码直接嵌入在内核中,工具iptables作为一个模块,可以嵌入,也可以不)
4.iptables
新一代的工具,比ipchains和ipfwadm更加强大,对ipv6的支持更好。
5.iptables快速指南
大多数人只有一个单独的ppp连接到internet,但是不想任何人访问他们的内部网络或者放火墙,可以如下设置:
## insert connection-tracking modules (not needed if built into kernel).
# insmod ip_conntrack
# insmod ip_conntrack_ftp
## create chain which blocks new connections, except if coming from inside.
# iptables -n block
# iptables -a block -m state –state established,related -j accept
# iptables -a block -m state –state new -i ! ppp0 -j accept
# iptables -a block -j drop
## jump to that chain from input and forward chains.
# iptables -a input -j block
# iptables -a forward -j block
6.包如何通过netfilter
内核在过滤表中维持了3个规则列表,这些列表叫做firewall chains。这3个chains分别叫做input, output 和forward。如下图:
incoming /——— outgoing
———–>[routing ]—>|forward|————->
[decision] \_____/ ^
| |
v ____
___ /
/ |output|
|input| \____/
\___/ ^
| |
—–> local process ———–
当包经过相应的chain时,这个chain将决定这个包的命运。如果chain认为drop,就丢弃这个包;如果认为accept就继续在图中旅行。每一个chain是众多规则的检查表。规则的格式为:“如果包头部看起来象某个东西,然后对这个包做某个动作”。如果一条规则与包头部不匹配,继续检查chain中的下一条规则。一旦找到匹配的,执行相应的动作。否则,一条匹配的都没有,就检查chain的安全策略。通常是drop。过程如下:
l 当一个包到达(如以太网接口),内核首先检查包的目的地址,这叫做“路由”
l 如果包的目的地址是本机,包将继续在上图中旅行,到达input chain,如果通过了这个chain,那么任何需要这个包的进程都可以收到
l 目的地不是本机,如果内核不允许包转发,或者不知道如何转发,drop这个包;如果内核允许转发,并且包需要经过另一块网络接口(在您的机器上至少有两个网络接口),那么包将在图中旅行到forward chain,如果通过这个chain,包就可以送出了
l 本机程序发出的包必须经过output chain,如果能够通过这个chain,那么这个包就可以送到相应的网络接口并发出
7.使用iptables
iptables有一个非常详细的帮助文件(man iptables),跟ipchains有很多类似之处。
下面列出管理chain的一些参数:
create a new chain (-n). 产生一个新的chain
delete an empty chain (-x). 删除一个空的chain
change the policy for a built-in chain. (-p). 修改安全策略
list the rules in a chain (-l). 列出chain的规则
flush the rules out of a chain (-f). 清空所有规则
zero the packet and byte counters on all rules in a chain (-z). 所有规则包和字节数清零
管理一个chain内部的规则:
append a new rule to a chain (-a). 加入一个新的规则
insert a new rule at some position in a chain (-i). 在一个chain的某个位置加入新的规则
replace a rule at some position in a chain (-r). 在一个chain的某个位置替换规则
delete a rule at some position in a chain (-d). 在一个chain的某个位置删除规则
delete the first rule that matches in a chain (-d). 删除与chain匹配的第一条规则
8.计算机启动
iptables可以作为一个模块(iptable_filter.o),当你运行iptables时候自动装载,或者永久的编译到内核中。
在任何iptables命令执行之前,三个chain的缺省安全策略是“accept”。可以修改forward chain的策略,把iptable_filter模块的选项中的forward=0。
9.单条规则的操作
用前面介绍的 –a(append) –d(delete) –i(insert) –r(replace)。
每一条规则首先描述包需要满足的条件,然后描述相应的动作(目标)。例如,如果你想drop掉所有的来自地址127.0.0.1的icmp包。因此,规则的条件为:协议icmp、源地址127.0.0.1;规则的目标为drop。
127.0.0.1是一个loopback接口,即使你没有真正的网络接口都可以用。你可以用ping命令来产生这样的包,用于测试。例如:
# ping -c 1 127.0.0.1
ping 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms
— 127.0.0.1 ping statistics —
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
现在加上规则:
# iptables -a input -s 127.0.0.1 -p icmp -j drop
再试试:
# ping -c 1 127.0.0.1
ping 127.0.0.1 (127.0.0.1): 56 data bytes
— 127.0.0.1 ping statistics —
1 packets transmitted, 0 packets received, 100% packet loss
您可以看到这样的包已经被过滤掉了。
-a选项选择chain,我们设为input chain;-s 源地址,我们设为127.0.0.1;-p协议,我们设为icmp;-j 表示jump,我们设为jump到drop。
我们也可以删除规则。有两种方法:
第一种方法是既然我们知道他是input chain中的第一条规则,可以用下面的命令:
# iptables -d input 1
删除规则1;
第二种方法是匹配-a选项,用-d选项代替。这适用于规则非常多,不容易记住编号的情况,例如要删除上面的规则:
# iptables -d input -s 127.0.0.1 -p icmp -j drop
10. 过滤规则的描述
l 描述源和目的ip地址
源地址(-s 或者—source或者—src)目的地址(-d或者—destination或者–dst)。一般是用名字如“localhost”或者www.linuxaid.com.cn;或者用ip地址如127.0.0.1。
有时候需要描述一组地址,例如199.95.207.0/24或者199.95.207.0/255.255.255.0用来描述从199.95.207.0到199.95.207.255的所有地址。/后面是网络掩码或网络位数。/0表示任何地址。例如:
# iptables -a input -s 0/0 -j drop
表示drop掉所有收到的包。
l 反符号!
用符号!可以表示相反的意思。例如:
-s ! localhost 表示任何不是来自localhost的包。
-p ! tcp 表示任何不是tcp的协议。
l 描述协议
-p 协议名(如tcp)
l 描述接口
-i选项表示in-interface;-o选项表示out-interface。分别表示包将要到达或者离开的屋里设备。你可以用命令ifconfig来查看网络接口。
input chain不需要输出接口,所以他的-o 选项的内容将会被忽略。同理,output chain不需要-i 选项的内容。
仅仅只有forward chain同时需要输出和输入选项,即-i 和 –o 都有用。
描述一个并不存在的网络接口是可以得,这特别适用于拨号上网的情况。符号+表示匹配,例如:-i ppp+表示所有的ppp接口。
!符号也可以用在接口中
l 描述分片
当一个包在传输过程中由于大于所经过的网络的最大传输单元(包的长度太大),将会分片,分成很多小的分片发出。在另一端再进行重组。关于分段的问题的是第一个分片可以很好的检查(ip + tcp/udp/icmp),但是后续的分片只有ip,没有上一层的信息。这对于过滤规则是不可能的。
因而,让我们看看过滤规则怎么处理分片。第一个分片跟普通的包处理没有任何区别,但是第二个以及以后的分片将由于缺少信息而不会与规则匹配。例如:
规则-p tcp –sport www将不会匹配任何分片(除了第一个分片)。同样规则-p tcp –sport ! www也不会匹配任何分片(除了第一个)。
但是可以使用-f 选项来描述规则,以适用于第二个和以后的分片。通常是让第二个和以后的分片通过,因为过滤规则适用于第一个分片,如果第一个分片没有通过,他的分片最终将不会重组。但是要小心大量的分片会崩掉你的网络或机器。
例如,下面的规则将会drop所有到192.168.1.1的分片:
# iptables -a output -f -d 192.168.1.1 -j drop
l iptables的可扩展性
iptables是可以扩展的,这就是说意味着内核和iptables工具都可以扩展以提供新的特性。
内核扩展位于内核的模块子目录,例如/lib/modules/2.3.15/net。需要你手工加入这些模块。
iptables程序扩展位于目录/usr/local/lib/iptables/。
为了获得扩展的帮助,用选项(-p、-m、-j)来装载他并且后跟-h,例如:
# iptables -p tcp –help
l tcp扩展
如果-p tcp被描述,tcp扩展将会自动装载。下面的选项将生效(对分片无效)
–tcp-flags
一系列的标志,分为两个串,第一个串表示哪些标志是要检查的;第二个串表示哪些标志是1(其他则为0)。
例如:
# iptables -a input –protocol tcp –tcp-flags all syn,ack -j deny
表示all(syn,ack,fin,rst,urg,psh)的标志都要被检查,但是只有设置了syn和ack的才匹配。
–syn
等同于–tcp-flags syn,rst,ack syn (100)
–source-port 或者 –sport
描述源端口,要么用数字,用么用/etc/services文件中的名字。可以用m:n来表示一组端口。
–destination-port 或者 –dport
描述目的端口
–tcp-option
检查一个包是否有相应的tcp选项,如果没有的话,包将被drop掉。
l tcp标记的一个解释
有时候只允许一个单向的tcp连接。例如,你只需要访问外部的www的服务器,而不允许外部访问你内部的www服务器。朴素的方法是阻塞所有从你的服务器发出的包,但是tcp连接需要一个双向的交流。解决的方法是只需要阻塞请求连接的包。这些包叫做syn包。通过阻塞这些包,我们可以达到上面的目的。
标志—syn将被使用。他仅仅适用于tcp协议。例如:
-p tcp -s 192.168.1.1 –syn
这条规则描述所有从192.168.1.1发起的连接。
l udp扩展
如果-u udp 被描述,所有扩展自动装载。他提供与tcp类似的选项–source-port, –sport, –destination-port, –dport。
l icmp扩展
如果选项-p icmp被描述,所有的扩展自动装载。他只提供一个选项:
–icmp-type
看名字就知道是指类型,具体的名字参看-p icmp –help提供的帮助信息。
l 其他匹配扩展
这些选项可以用-m来启动。
mac
这个模块可以用-m mac或者–match mac来启动。用于匹配输入包的mac地址,因此之用于prerouting and input chains。他只提供一个选项:–mac-source
例如:–mac-source 00:60:08:91:cc:b7
limit
可以用-m limit或者–match limit来启动。用于限制机器,如压缩log信息等等。
owner
只用于output chain中,并且有些包没有owner(如icmp包),因而没有匹配。
–uid-owner userid 包的产生进程的有效用户id等于userid
–uid-owner groupid包的产生进程的有效组id等于groupid
–pid-owner processid 包的产生进程的进程的id等于processid
–sid-owner sessionid 包的产生进程的session id 等于sessionid
unclean
提供随机的安全检查
l 状态匹配
最有用的匹配规则是由状态扩展来提供的。因此推荐用模块ip_conntrack。描述-m state允许一个附加的—state选项。是一个逗号分开的状态列表,这些状态有:
new
包建立了一个新的连接
established
包属于一个已经存在地连接
related
一个包与某个连接有关,但是不属于这个连接。
invalid
包无法定义,通常这些包会被drop
11. 目标描述
现在我们已经知道了怎么检查包,下一步就是决定对匹配的包做什么动作。这一步叫做规则的目标。
两种基本的目标是drop和accept。我们已经很清楚了。
但是还有的目标:扩展、用户定义的chains。
用户定义的chains
iptables从ipchains继承的一个重要的特性就是用户可以自定义新的chains(除了3个内建的input, forward和output)。
当一个包在用户定义的chain中进行规则匹配时,将遍历chain中的所有规则。直到找到匹配。
下面考虑两个2个chain:input(内建)、test(用户定义)。
`input `test
—————————- —————————-
| rule1: -p icmp -j drop | | rule1: -s 192.168.1.1 |
|————————–| |————————–|
| rule2: -p tcp -j test | | rule2: -d 192.168.1.1 |
|————————–| —————————-
| rule3: -p udp -j drop |
—————————-
假设一个包来自192.168.1.1,其目的地址是1.2.3.4。他首先进入input chain,规则1不匹配。规则2匹配并且其目标是test,因此下一个检查的规则是test的第一个规则。规则1匹配,但是没有描述目标,因此规则2被检查。规则2不匹配,到达chain的末尾。于是返回input chain,这里我们已经检查过规则2,于是检查规则3,不匹配。因此包的检查路径是:
v __________________________
`input | / `test v
————————|–/ ———————–|—-
| rule1 | /| | rule1 | |
|———————–|/-| |———————-|—|
| rule2 / | | rule2 | |
|————————–| ———————–v—-
| rule3 /–+___________________________/
————————|—
v
用户定义的chains也可以把目标设为用户定义的chains。但是不要形成环。
iptables的扩展:新的目标
新的目标包括一个内核模块和一个可选的扩展选项(新的命令选项)。在netfilter的发行版本中有下面的几个扩展:
log
这个模块使得内核可以记录匹配的包的日志。
reject
这个模块基本等同于drop,但是有一点不同。发送方将送出一个icmp报文:“port unreachable”。注意以下情况不发送:
l 被过滤的包本身是一个icmp差错控制或未知报文;
l 第二块及以后的分片
l 最近已经送出了许多icmp差错控制报文到那个目标
特殊的内建目标
有两个特殊的内建目标:return 和queue
return相当于到达chain的末尾。对于一个内建的chain来说,执行相应的策略。对于自定义的,返回前一条chain。
quene是一个特殊的目标。他将包放到用户空间等待处理。需要两个额外的部件:
l 队列处理器(处理包在内核和用户空间的流通)
l 用户空间的应用程序(接受包、操作包)
标准的队列处理器模块ip_queue。
下面是一个例子:
# modprobe iptable_filter
# modprobe ip_queue
# iptables -a output -p icmp -j queue
有了这条规则,本地产生的外出icmp包将流到ip_queue模块,然后他再将包送到用户空间的应用程序。如果没有用户空间的应用程序等待这个包,drop。
怎么写用户空间的应用程序呢?用libipq api。他是和iptables一起发布的。程序例子在cvs中的testsuide工具里。
ip_queue的状态可以通过下面的命令查看:
/proc/net/ip_queue
队列的最大长度可以用下面的命令来控制:
/proc/sys/net/ipv4/ip_queue_maxlen
缺省值是1024。
12. 对整个chain的操作
l 创建一个新的chain
假设我们要创建一个名字为test的chain:
# iptables -n test
是不是很简单?现在你就可以按照我上面所说的加规则了。
l 删除一个chain
同样的简单。用 –x 或者 –delete-chain选项。
# iptables -x test
注意,删除chain之前,chain必须为空,即没有规则。三个内建chain不能被删除。如果不加名字就删除所有可以删除的chain。
l 清空chain中的所有规则
用-f选项
# iptables -f forward
如果没有chain的名字,将清空所有的chain的所有规则。
l 列出一个chain中的所有规则
用 –l 或者 –list选项
refcnt列是指用户定义的chain的规则数。只有refcnt = 0,chain才可以删除。
另外附加选项 –n 可以避免域名解析,只有ip地址。
-v 选项显示更多细节。
-x 选项显示具体数字,不用k、m、g等表示1000、1000000、1000000000。
l 记数复位
用 –z 选项。
例如:
# iptables -l forward
# iptables -z forward
在上面的两条命令之间,可能会有一些包通过。因此可以将他们合在一起,复位记数。
l 设置策略
当一个包没有找到合适的规则匹配,这时候策略将会决定包的命运。仅仅只有3个内建的chain才有策略。因为当一个包到达用户定义的chain的末尾,会返回前一个chain。
策略可以为accept或者drop,例如:
# iptables -p forward drop
13. 使用ipchains和ipfwadm
这是对于老用户熟悉了以前的,又不想学习iptables的。有两个模块ipchains.o 和ipfwadm.o。
只要插入相应的模块就可以了。
14. 混合nat和包过滤技术
在应用包过滤技术不用考虑nat的存在,二者结合很好。
关于nat,将在下一篇中描述。
15. 包过滤技术的设计建议
在计算机安全领域,一种说法是阻塞所有的东西,然后当需要时才打开一些小洞小坑。就像古罗马的竞技场。ipchains的作者强烈推荐这种方法。
不运行你不需要的服务!!
如果运行防火墙,开始时阻塞所有的包,然后再慢慢地让需要的包通过。
建议将包过滤与tcp-wrappers、代理技术、路由检验结合起来。
强烈建议跟踪连接:需要装载模块ip_conntrack.o。例如,下列命令:
# iptables -n no-conns-from-ppp0
# iptables -a no-conns-from-ppp0 -m state –state established,related -j accept
# iptables -a no-conns-from-ppp0 -m state –state new -i ! ppp0 -j accept
# iptables -a no-conns-from-ppp0 -i ppp0 -m limit -j log –log-prefix “bad packet from ppp0:”
# iptables -a no-conns-from-ppp0 -i ! ppp0 -m limit -j log –log-prefix “bad packet not from ppp0:”
# iptables -a no-conns-from-ppp0 -j drop
# iptables -a input -j no-conns-from-ppp0
# iptables -a forward -j no-conns-from-ppp0
细细体会之。