用微型机改装成具有包过滤式防火墙功能路由的实践
关键词:linux iptables 路由
摘要:在校园网建设中学校没有资金添置必要的网络设备,本文介绍了作者通过用普通的计算机加状相应的软件来实现具有包过滤式防火墙功能路由。在现阶段来实现网络数据转发和防护的功能。
我校的校园网在建设初期是以微机室建设的形式进行的,当时由于考虑微机室的功能只是满足教学基本需要,把仅有的资金主要投放到计算机的设备添置上。在网络建设方面仅采购了必不可少的交换机设备。随着学校多个微机室的投入使用和校园网网络的不断发展,校园网已经和internet接通,这就需要学校添置相应的网络设备。防火墙和路由器就是学校网络建设的必要设备了。
价格低廉的sohu级路由在计算机数量众多的校园网络中根本无法工作,仅仅100多台计算机同时开机就会使其崩溃。由于历史的原因,高性能的硬件防火墙和路由器价格比较昂贵。能负荷200台计算机同时上网的硬件防火墙和路由器总造价接近5万元,若配置齐全,在性能上适当预留一定余量,总造价接近10万元。在学校资金匮乏的背景下根本没有能力添置这样的设备,而学校的旧计算机数量较多。在这种情况下开始利用微型计算机上利用相应软件实现路由、防火墙功能的尝试。
最初,使用windows 2000的路由和远程访问来实现基本的地址转发功能。由于windwos 2000比较耗费资源,用其搭建的软路由对计算机的要求比较高,而且其性能较差。另外由于windows 自身的原因容易受到攻击和入侵,安全性也无法保证。
后来,看到相关资料介绍linux2.4.x内核中的防火墙工具--iptables的原理与配置。利用该软件可以实现包过滤式防火墙。从而为校园网络提供防护。
1、Iptables的原理:
iptables被分为两部分,一部分被称为核心空间,另一部分称为用户空间,在核心空间,iptables从底层实现了数据包过滤的各种功能, 比如NAT、状态检测以及高级的数据包的匹配策略等,在用户空间,iptables为用户提供了控制核心空间工作状态的命令集。无论如何,一个数据包都会 经过下图所示的路径,并在其中的任何一条路径中被处理。
首先,当一个包进来的时候,也就是从以太网卡进入防火墙,内核首先根据路由表决 定包的目标。如果目标主机就是本机,则如下图直接进入INPUT链,再由本地正在等待该包的进程接收,否则,如果从以太网卡进来的包目标不是本机,再看是 否内核允许转发包(可用echo 1 > /proc/sys/net/ipv4/ip_forward 打开转发功能如果不允许转发,则包被DROP掉,如果允许转发,则送出本机,这当中决不经过INPUT或者OUTPUT链,因为路由后的目标不是本机,只 被转发规则应用,最后,该linux防火墙主机本身能够产生包,这种包只经过OUTPUT链被送出防火墙。
_____
Incoming / \ Outgoing
-->[Routing ]--->|FORWARD|------->
[Decision] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----
数据包的流程如图所示。有数据包进入系统时,系统首先根据路由表决定将数据包发给哪一条链,则可能有三种情况:
如果数据包的目的地址是本机,则系统将数据包送往INPUT链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检查,系统就会将这个包丢掉;
如果数据包的目的地址不是本机,也就是说,这个包将被转发,则系统将数据包送往FORWARD链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检查,系统就会将这个包丢掉;
如果数据包是由本地系统进程产生的,则系统将其送往OUTPUT链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检查,系统就会将这个包丢掉。
2、语法:
1. 对链的操作
建立一个新链 (-N)。
删除一个空链 (-X)。
改变一个内建链的原则 (-P)。
列出一个链中的规则 (-L)。
清除一个链中的所有规则 (-F)。
归零(zero) 一个链中所有规则的封包字节(byte) 记数器 (-Z)。
2. 对规则的操作
加入(append) 一个新规则到一个链 (-A)的最后。
在链内某个位置插入(insert) 一个新规则(-I),通常是插在最前面。
在链内某个位置替换(replace) 一条规则 (-R)。
在链内某个位置删除(delete) 一条规则 (-D)。
删除(delete) 链内第一条规则 (-D)。
3. 指定源地址和目的地址
通过--source/--src/-s来指定源地址(这里的/表示或者的意思,下同),通过--destination/--dst/-s来指定目的地址。可以使用以下四中方法来指定ip地址:
a. 使用完整的域名,如“www.linuxaid.com.cn”;
b. 使用ip地址,如“192.168.1.1”;
c. 用x.x.x.x/x.x.x.x指定一个网络地址,如“192.168.1.0/255.255.255.0”;
d. 用x.x.x.x/x指定一个网络地址,如“192.168.1.0/24”这里的24表明了子网掩码的有效位数,这是 UNIX环境中通常使用的表示方法。
缺省的子网掩码数是32,也就是说指定192.168.1.1等效于192.168.1.1/32。
4. 指定协议
可以通过--protocol/-p选项来指定协议,比如-p tcp。
5. 指定网络接口
可以使用--in-interface/-i或--out-interface/-o来指定网络接口。需要注意的是,对于INPUT链来说,只可能有-i,也即只会有进入的包;通理,对于OUTPUT链来说,只可能有-o,也即只会有出去的包。只有FORWARD链既可以有-i的网络接口,也可以有-o的网络接口。我们也可以指定一个当前并不存在的网络接口,比如ppp0,这时只有拨号成功后该规则才有效。
6. 指定ip碎片
在TCP/IP通讯过程中,每一个网络接口都有一个最大传输单元(MTU),这个参数定义了可以通过的数据包的最大尺寸。如果一个数据包大于这个参数值时,系统会将其划分成更小的数个数据包(称之为ip碎片)来传输,而接收方则对这些ip碎片再进行重组以还原整个包。
但是再进行包过滤的时候,ip碎片会导致这样一个问题:当系统将大数据包划分成ip碎片传送时,第一个碎片含有完整的包头信息,但是后续的碎片只有包头的部分信息,比如源地址,目的地址。因此假如我们有这样一条规则:
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 --dport 80 -j ACCEPT
并且这时的FORWARD的策略(policy)为DROP时,系统只会让第一个ip碎片通过,而丢掉其余的ip碎片,因为第一个碎片含有完整的包头信息,可以满足该规则的条件,而余下的碎片因为包头信息不完整而无法满足规则定义的条件,因而无法通过。
我们可以通过--fragment/-f选项来指定第二个及其以后的ip碎片,比如以上面的例子为例,我们可以再加上这样一条规则来解决这个问题:
iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT
但是需要注意的是,现在已经有好多进行ip碎片攻击的实例(比如向Win98 NT4/SP5,6 Win2K发送大量的ip碎片进行DoS攻击),因此允许ip碎片通过是有安全隐患的,对于这一点我们可以采用iptables的匹配扩展来进行限制,但是这又会影响服务质量,我们将在下面讨论这个问题。
7. 指定非
可以在某些选项前加上!来表示非指定值,比如“-s -! 192.168.1.1/32”表示除了192.168.1.1以外的ip地址,“-p -! tcp”表示除了tcp以外的协议。
8. TCP匹配扩展
通过使用--tcp-flags选项可以根据tcp包的标志位进行过滤,该选项后接两个参数:第一个参数为要检查的标志位,可以是SYN,ACK,FIN,RST,URG,PSH的组合,可以用ALL指定所有标志位;第二个参数是标志位值为1的标志。比如你要过滤掉所有SYN标志位为1的tcp包,可以使用以下规则:
iptables -A FORWARD -p tcp --tcp-flags ALL SYN -j DROP
选项--syn是以上的一种特殊情况,相当于“--tcp-flags SYN,RST,ACK SYN”的简写。
9. mac匹配扩展
可以使用-m选项来扩展匹配内容。使用--match mac/-m mac匹配扩展可以用来检查ip数据包的源mac地址。只要在--mac-source后面跟上mac地址就可以了。比如:
iptables -A FORWARD -m mac --mac-source 00:00:BA:A5:7D:12 -j DROP
需要注意的是一个ip包在经过路由器转发后,其源mac地址已经变成了路由器的mac地址。
10. limit匹配扩展
limit扩展是一个非常有用的匹配扩展。使用-m nat 来指定,其后可以有两个选项:
--limit avg: 指定单位时间内允许通过的数据包的个数。单位时间可以是/second、/minute、/hour、/day或使用第一个字母,比如5/second和5/s是一样的,都是表示每秒可以通过5个数据包,缺省值是3/hour。
--limit-burst number:指定触发事件的阀值,缺省值是5。
看起来好像有点复杂,就让我们来看一个例子:
假设又如下的规则:
iptables -A INPUT -p icmp -m limit --limit 6/m --limit-burst 5 -j ACCEPT
iptables -P INPUT DROP
然后从另一部主机上ping这部主机,就会发生如下的现象:
首先我们可以看到前四个包的回应都很正常,然后从第五个包开始,我们每10秒可以收到一个正常的回应。这是因为我们设定了单位时间(在这里是每分钟)内允许通过的数据包的个数是每分钟6个,也即每10秒钟一个;其次我们又设定了事件触发阀值为5,所以我们的前四个包都是正常的,只是从第五个包开始,限制规则开始生效,故只能每10秒收到一个正常回应。
假设我们停止ping,30秒后又开始ping,这时的现象是:
前两个包是正常的,从第三个包开始丢包,这是因为在这里我的允许一个包通过的周期是10秒,如果在一个周期内系统没有收到符合条件的包,系统的触发值就会恢复1,所以假如我们30秒内没有符合条件的包通过,系统的触发值就会恢复到3,假如5个周期内都没有符合条件的包通过,系统都触发值就会完全恢复。
3、实际配置:
硬件系统配置:CPU c700 RAM 128M HD 30G CDROM
软件:red hat 8.0
安装时选择服务器方式默认安装,未安装图形界面从而尽量减轻系统负担。
配置网卡参数:
/etc/sysconfig/ network-scripts/netcfg-eth0
DEVICE=eth0
BOOTPROTO=static
BROADCAST=61.134.34.143
IPADDR=61.134.34.142
NETMASK=255.255.255.248
NETWORK=61.134.34.136
ONBOOT=yes
/etc/sysconfig/ network-scripts/ifcfg-eth1
DEVICE=eth1
BOOTPROTO=static
BROADCAST=192.168.1.255
IPADDR=192.168.0.6
NETMASK=255.255.255.0
NETWORK=192.168.0.0
ONBOOT=yes
配置 dns
/etc/resolv.conf
nameserver 61.134.1.4
nameserver 218.30.19.40
配置iptables 脚本
/etc/rc.d/rc.local
touch /var/lock/subsys/local
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables --flush INPUT
/sbin/iptables --flush FORWARD
/sbin/iptables --flush POSTROUTING --table nat
/sbin/iptables --policy FORWARD DROP
/sbin/iptables --table nat --append POSTROUTING --out-interface eth0 --source 192.168.0.0/24 --
jump MASQUERADE
/sbin/iptables --append FORWARD --in-interface eth0 --match state --state ESTABLISHED,RELATED -
-jump ACCEPT
/sbin/iptables --append FORWARD --source 192.168.0.0/24 --jump ACCEPT
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
/sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
/sbin/iptables -N ping
/sbin/iptables -A ping -p icmp --icmp-type echo-request -m limit --limit 1/second -j RETURN
/sbin/iptables -A ping -p icmp -j REJECT
/sbin/iptables -I INPUT -p icmp --icmp-type echo-request -m state --state NEW -j ping
/sbin/iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP
通过上述配置,即可投入使用。在使用中效果良好。
