從第七章的圖 7.1-1 我們可以發現防火牆是整個封包要進入主機前的第一道關卡,但,什麼是防火牆?Linux 的防火牆有哪些機制? 防火牆可以達到與無法達到的功能有哪些?防火牆能不能作為區域防火牆而不是僅針對單一主機而已呢?其實,Linux 的防火牆主要是透過 Netfilter 與 TCP Wrappers 兩個機制來管理的。其中,透過 Netfilter 防火牆機制,我們可以達到讓私有 IP 的主機上網 (IP 分享器功能) ,並且也能夠讓 Internet 連到我內部的私有 IP 所架設的 Linux 伺服器 (DNAT 功能)!真的很不賴喔! 這一章對您來說,也真的有夠重要的啦! |
網路安全除了隨時注意相關軟體的漏洞以及網路上的安全通報之外,你最好能夠依據自己的環境來訂定防火牆機制! 這樣對於你的網路環境,會比較有保障一點喔!那麼什麼是防火牆呢?其實防火牆就是透過訂定一些有順序的規則,並管制進入到我們網域內的主機 (或者可以說是網域) 資料封包的一種機制!更廣義的來說,只要能夠分析與過濾進出我們管理之網域的封包資料, 就可以稱為防火牆。
防火牆又可以分為硬體防火牆與本機的軟體防火牆。硬體防火牆是由廠商設計好的主機硬體, 這部硬體防火牆內的作業系統主要以提供封包資料的過濾機制為主,並將其他不必要的功能拿掉。因為單純作為防火牆功能而已, 因此封包過濾的效率較佳。至於軟體防火牆呢?那就是我們這個章節要來談論的啊! 軟體防火牆本身就是在保護系統網路安全的一套軟體(或稱為機制),例如 Netfilter 與 TCP Wrappers 都可以稱為軟體防火牆。
無論怎麼分,反正防火牆就是用來保護我們網路安全的咚咚就對啦!我們這個章節主要在介紹 Linux 系統本身提供的軟體防火牆的功能,那就是 Netfilter 。至於 TCP Wrappers 雖然在基礎篇的第十八章認識系統服務裡面談過了,我們這裡還會稍微簡單的介紹啦!
由於本章主要的目的在介紹 Netfilter 這種封包過濾式的防火牆機制,因此網路基礎裡面的許多封包與訊框的概念要非常清楚, 包括網域的概念, IP 網域的撰寫方式等,均需有一定的基礎才行。請到第二章加強一下 MAC, IP, ICMP, TCP, UDP 等封包表頭資料的認識,以及 Network/Netmask 的整體網域 (CIDR) 寫法等。
另外,雖然 Netfilter 機制可以透過 iptables 指令的方式來進行規則的排序與修改,不過鳥哥建議你利用 shell script 來撰寫屬於你自己的防火牆機制比較好,因為對於規則的排序與彙整有比較好的觀察性, 可以讓你的防火牆規則比較清晰一點。所以在你開始瞭解底下的資料之前,希望你可以先閱讀過相關的資料了:
仔細分析第七章的圖 7.1-1 可以發現, 封包進入本機時,會通過防火牆、伺服器軟體程序、SELinux與檔案系統等。所以基本上,如果你的系統 (1)已經關閉不需要而且危險的服務; (2)已經將整個系統的所有軟體都保持在最新的狀態; (3)權限設定妥當且定時進行備份工作; (4)已經教育使用者具有良好的網路、系統操作習慣。 那麼你的系統實際上已經頗為安全了!要不要架設防火牆?那就見仁見智囉!
不過,畢竟網路世界是很複雜的,而 Linux 主機也不是一個簡單的東西,說不定哪一天你在進行某個軟體的測試時, 主機突然間就啟動了一個網路服務,如果你沒有管制該服務的使用範圍,那麼該服務就等於對所有 Internet 開放, 那就麻煩了!因為該服務可能可以允許任何人登入你的系統,那不是挺危險?
所以囉,防火牆能作什麼呢?防火牆最大的功能就是幫助你『限制某些服務的存取來源』! 舉例來說: (1)你可以限制檔案傳輸服務 (FTP) 只在子網域內的主機才能夠使用,而不對整個 Internet 開放; (2)你可以限制整部 Linux 主機僅可以接受客戶端的 WWW 要求,其他的服務都關閉; (3)你還可以限制整部主機僅能主動對外連線。反過來說,若有用戶端對我們主機發送主動連線的封包狀態 (TCP 封包的 SYN flag) 就予以抵擋等等。這些就是最主要的防火牆功能了!
所以鳥哥認為,防火牆最重要的任務就是在規劃出:
當然啦,咱們 Linux 的 iptables 防火牆軟體還可以進行更細部深入的 NAT (Network Address Translation) 的設定,並進行更彈性的 IP 封包偽裝功能,不過,對於單一主機的防火牆來說, 最簡單的任務還是上面那三項就是了!所以,你需不需要防火牆呢?理論上,當然需要! 而且你必須要知道『你的系統哪些資料與服務需要保護』,針對需要受保護的服務來設定防火牆的規則吧! 底下我們先來談一談,那在 Linux 上頭常見的防火牆類型有哪些?
基本上,依據防火牆管理的範圍,我們可以將防火牆區分為網域型與單一主機型的控管。在單一主機型的控管方面, 主要的防火牆有封包過濾型的 Netfilter 與依據服務軟體程式作為分析的 TCP Wrappers 兩種。若以區域型的防火牆而言, 由於此類防火牆都是當作路由器角色,因此防火牆類型主要則有封包過濾的 Netfilter 與利用代理伺服器 (proxy server) 進行存取代理的方式了。
由前面的說明當中,你應該可以瞭解到一件事,那就是防火牆除了可以『保護防火牆機制本身所在的那部主機』之外,還可以『保護防火牆後面的主機』。也就是說,防火牆除了可以防備本機被入侵之外, 他還可以架設在路由器上面藉以控管進出本地端網域的網路封包。 這種規劃對於內部私有網域的安全也有一定程度的保護作用呢!底下我們稍微談一談目前常見的防火牆與網路佈線的配置吧:
從前面的分析中,我們已經知道過封包濾式防火牆主要在分析 OSI 七層協定當中的 2, 3, 4 層,既然如此的話, Linux 的 Netfilter 機制到底可以做些什麼事情呢?其實可以進行的分析工作主要有:
雖然 Netfilter 防火牆已經可以做到這麼多的事情,不過,還是有很多事情沒有辦法透過 Netfilter 來完成喔! 什麼?設定防火牆之後還不安全啊!那當然啦!誰說設定了防火牆之後你的系統就一定安全? 防火牆雖然可以防止不受歡迎的封包進入我們的網路當中,不過,某些情況下,他並不能保證我們的網路一定就很安全。 舉幾個例子來談一談:
所以啦,還是回到第七章的圖 7.1-1 的說明去看看,分析一下該圖示,你就會知道,在你的 Linux 主機實地上網之前,還是得先:
其他相關的訊息還是請到第七章認識網路安全裡面去看一看怎麼增加自身的安全吧!
在進入主題之前,我們先來玩一個簡單的防火牆機制,那就是 TCP Wrappers 這玩意兒。如同前面說的, TCP wrappers 是透過用戶端想要連結的程式檔名,然後分析用戶端的 IP ,看看是否需要放行。那麼哪些程式支援 TCP wrappers 的功能?這個 TCP wrappers 又該如何設定?我們這裡先簡單的談談吧!(這個小節僅是簡單的介紹過 TCP wrappers ,更多相關功能請參考基礎學習篇的第十八章內容喔!)
說穿了, TCP wrappers 就是透過 /etc/hosts.allow, /etc/hosts.deny 這兩個寶貝蛋來管理的一個類似防火牆的機制, 但並非所有的軟體都可以透過這兩個檔案來控管,只有底下的軟體才能夠透過這兩個檔案來管理防火牆規則,分別是:
經由 xinetd 管理的服務還好理解,就是設定檔在 /etc/xinetd.d/ 裡面的服務就是 xinetd 所管理的啊! 那麼什麼是有支援 libwrap.so 模組呢?就讓我們來進行底下的例題,你就比較容易明白囉:
例題:
請查出你的系統有沒有安裝 xinetd ,若沒有請安裝。安裝完畢後,請查詢 xinetd 管理的服務有哪些?
答:
|
例題:
請問, syslogd, sshd, xinetd, httpd (若該服務不存在,請自行安裝軟體),這四個程式有沒有支援 tcp wrappers 的抵擋功能?
答:
由於支援 tcp wrappers 的服務必定包含 libwrap 這一個動態函式庫,因此可以使用 ldd 來觀察該服務即可。
簡單的使用方式為:
|
那如何透過這兩個檔案來抵擋有問題的 IP 來源呢?這兩個檔案的語法都一樣,很簡單的:
<service(program_name)> : <IP, domain, hostname>
<服務 (亦即程式名稱)> : <IP 或領域 或主機名稱>
# 上頭的 > < 是不存在於設定檔中的喔!
|
我們知道防火牆的規則都是有順序的,那這兩個檔案與規則的順序優先是怎樣呢?基本上是這樣的:
我們拿 kshell 這個 xinetd 管理的服務來進行說明好了,請參考底下的例題吧:
例題:
先開放本機的 127.0.0.1 可以進行任何本機的服務,然後,讓區網 (192.168.1.0/24) 可以使用 kshell ,
同時 10.0.0.100 也能夠使用 kshell ,但其他來源則不允許使用 kshell 喔。
答:
我們得要先知道 kshell 的服務啟動的檔名為何,因為 tcp wrappers 是透過啟動服務的檔名來管理的。
當我們觀察 kshell 的設定檔時,可以發現:
|
上面的例題有幾個重點,首先, tcp wrappers 理論上不支援 192.168.1.0/24 這種透過 bit 數值來定義的網域, 只支援 netmask 的位址顯示方式。另外,如果有多個網域或者是單一來源,可以透過空格來累加。 如果想要寫成多行呢?也可以啊!多寫幾行『 kshd: IP 』的方式也可以,不必要將所有資料集中在一行啦!因為 tcp wrappers 也是一條一條規則比對嘛!
基本上,你只要理解這些資料即可!因為絕大部分的時刻,我們都會建議使用底下介紹的 Netfilter 的機制來抵擋封包。 那讓我們準備開始來玩玩 iptables 封包過濾防火牆吧!
上面談了這麼多,主要還是希望你能瞭解到防火牆是什麼這個議題!而且也希望你知道防火牆並非萬能的。 好了,那麼底下我們終於可以來瞧一瞧,那目前我們的 2.6 版這個 Linux 核心到底使用什麼核心功能來進行防火牆設定?
Linux 的防火牆為什麼功能這麼好?這是因為他本身就是由 Linux 核心所提供,由於直接經過核心來處理,因此效能非常好! 不過,不同核心版本所使用的防火牆軟體是不一樣的!因為核心支援的防火牆是逐漸演進而來的嘛!
因為不同的核心使用的防火牆機制不同,且支援的軟體指令與語法也不相同,所以在 Linux 上頭設定屬於你自己的防火牆規則時,要注意啊,先用 uname -r 追蹤一下你的核心版本再說!如果你是安裝 2004 年以後推出的 distributions ,那就不需要擔心了,因為這些 distributions 幾乎都使用 kernel 2.6 版的核心啊! ^_^
前面的幾個小節裡面我們一直談到:『防火牆規則』,咦!啥是規則啊?因為 iptables 是利用封包過濾的機制, 所以他會分析封包的表頭資料。根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄。 意思就是說:『根據封包的分析資料 "比對" 你預先定義的規則內容, 若封包資料與規則內容相同則進行動作,否則就繼續下一條規則的比對!』 重點在那個『比對與分析順序』上。
舉個簡單的例子,假設我預先定義 10 條防火牆規則好了,那麼當 Internet 來了一個封包想要進入我的主機, 那麼防火牆是如何分析這個封包的呢?我們以底下的圖示來說明好了:
當一個網路封包要進入到主機之前,會先經由 NetFilter 進行檢查,那就是 iptables 的規則了。 檢查通過則接受 (ACCEPT) 進入本機取得資源,如果檢查不通過,則可能予以丟棄 (DROP) ! 上圖中主要的目的在告知你:『規則是有順序的』!例如當網路封包進入 Rule 1 的比對時, 如果比對結果符合 Rule 1 ,此時這個網路封包就會進行 Action 1 的動作,而不會理會後續的 Rule 2, Rule 3.... 等規則的分析了。
而如果這個封包並不符合 Rule 1 的比對,那就會進入 Rule 2 的比對了!如此一個一個規則去進行比對就是了。 那如果所有的規則都不符合怎辦?此時就會透過預設動作 (封包政策, Policy) 來決定這個封包的去向。 所以啦,當你的規則順序排列錯誤時,就會產生很嚴重的錯誤了。 怎麼說呢?讓我們看看底下這個例子:
假設你的 Linux 主機提供了 WWW 的服務,那麼自然就要針對 port 80 來啟用通過的封包規則,但是你發現 IP 來源為 192.168.100.100 老是惡意的嘗試入侵你的系統,所以你想要將該 IP 拒絕往來,最後,所有的非 WWW 的封包都給他丟棄,就這三個規則來說,你要如何設定防火牆檢驗順序呢?
這樣的排列順序就能符合你的需求,不過,萬一你的順序排錯了,變成:
此時,那個 192.168.100.100 『可以使用你的 WWW 服務』喔!只要他對你的主機送出 WWW 要求封包,就可以使用你的 WWW 功能了,因為你的規則順序定義第一條就會讓他通過,而不去考慮第二條規則!這樣可以理解規則順序的意義了嗎! 現在再來想一想,如果 Rule 1 變成了『將所有的封包丟棄』,Rule 2 才設定『WWW 服務封包通過』,請問,我的 client 可以使用我的 WWW 服務嗎?呵呵!答案是『否∼』想通了嗎? ^_^
事實上,那個圖 9.3-1 所列出的規則僅是 iptables 眾多表格當中的一個鏈 (chain) 而已。 什麼是鏈呢?這得由 iptables 的名稱說起。為什麼稱為 ip"tables" 呢? 因為這個防火牆軟體裡面有多個表格 (table) ,每個表格都定義出自己的預設政策與規則, 且每個表格的用途都不相同。我們可以使用底下這張圖來稍微瞭解一下:
剛剛圖 9.3-1 的規則內容僅只是圖 9.3-2 內的某個 chain 而已! 而預設的情況下,咱們 Linux 的 iptables 至少就有三個表格,包括管理本機進出的 filter 、管理後端主機 (防火牆內部的其他電腦) 的 nat 、管理特殊旗標使用的 mangle (較少使用) 。更有甚者,我們還可以自訂額外的鏈呢! 真是很神奇吧!每個表格與其中鏈的用途分別是這樣的:
所以說,如果你的 Linux 是作為 www 服務,那麼要開放用戶端對你的 www 要求有回應,就得要處理 filter 的 INPUT 鏈; 而如果你的 Linux 是作為區域網路的路由器,那麼就得要分析 nat 的各個鏈以及 filter 的 FORWARD 鏈才行。也就是說, 其實各個表格的鏈結之間是有關係的!簡單的關係可以由下圖這麼看:
上面的圖示很複雜喔!不過基本上你依舊可以看出來,我們的 iptables 可以控制三種封包的流向:
由於 mangle 這個表格很少被使用,如果將圖 9.3-3 的 mangle 拿掉的話,那就容易看的多了:
透過圖 9.3-4 你就可以更輕鬆的瞭解到,事實上與本機最有關的其實是 filter 這個表格內的 INPUT 與 OUTPUT 這兩條鏈,如果你的 iptables 只是用來保護 Linux 主機本身的話,那 nat 的規則根本就不需要理他,直接設定為開放即可。
不過,如果你的防火牆事實上是用來管制 LAN 內的其他主機的話,那麼你就必須要再針對 filter 的 FORWARD 這條鏈,還有 nat 的 PREROUTING, POSTROUTING 以及 OUTPUT 進行額外的規則訂定才行。 nat 表格的使用需要很清晰的路由概念才能夠設定的好,建議新手先不要碰!最多就是先玩一玩最陽春的 nat 功能『IP 分享器的功能』就好了! ^_^!這部份我們在本章的最後一小節會介紹的啦!
理論上,當你安裝好 Linux 之後,系統應該會主動的幫你啟動一個陽春的防火牆規則才是, 不過這個陽春防火牆可能不是我們想要的模式,因此我們需要額外進行一些修訂的行為。不過,在開始進行底下的練習之前, 鳥哥這裡有個很重要的事情要告知一下。因為 iptables 的指令會將網路封包進行過濾及抵擋的動作,所以, 請不要在遠端主機上進行防火牆的練習,因為你很有可能一不小心將自己關在家門外! 盡量在本機前面登入 tty1-tty6 終端機進行練習,否則常常會發生悲劇啊!鳥哥以前剛剛在玩 iptables 時,就常常因為不小心規則設定錯誤,導致常常要請遠端的朋友幫忙重新開機...
剛剛提到咱們的 iptables 至少有三個預設的 table (filter, nat, mangle),較常用的是本機的 filter 表格, 這也是預設表格啦。另一個則是後端主機的 nat 表格,至於 mangle 較少使用,所以這個章節我們並不會討論 mangle。 由於不同的 table 他們的鏈不一樣,導致使用的指令語法或多或少都有點差異。 在這個小節當中,我們主要將針對 filter 這個預設表格的三條鏈來做介紹。底下就來玩一玩吧!
防火牆的設定主要使用的就是 iptables 這個指令而已。而防火牆是系統管理員的主要任務之一, 且對於系統的影響相當的大,因此『只能讓 root 使用 iptables 』,不論是設定還是觀察防火牆規則喔!如果你在安裝的時候選擇沒有防火牆的話,那麼 iptables 在一開始的時候應該是沒有規則的,不過, 可能因為你在安裝的時候就有選擇系統自動幫你建立防火牆機制,那系統就會有預設的防火牆規則了! 無論如何,我們先來看看目前本機的防火牆規則是如何吧!
[root@www ~]# iptables [-t tables] [-L] [-nv] 選項與參數: -t :後面接 table ,例如 nat 或 filter ,若省略此項目,則使用預設的 filter -L :列出目前的 table 的規則 -n :不進行 IP 與 HOSTNAME 的反查,顯示訊息的速度會快很多! -v :列出更多的資訊,包括通過該規則的封包總位元數、相關的網路介面等 範例:列出 filter table 三條鏈的規則 [root@www ~]# iptables -L -n Chain INPUT (policy ACCEPT) <==針對 INPUT 鏈,且預設政策為可接受 target prot opt source destination <==說明欄 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 <==規則跳到 RH 鏈去檢查 Chain FORWARD (policy ACCEPT) <==針對 FORWARD 鏈,且預設政策為可接受 target prot opt source destination RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) <==針對 OUTPUT 鏈,且預設政策為可接受 target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) <==自訂鏈的規則順序 target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 <==第 1 條規則 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 <==第 2 條規則 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 <==第 3 條規則 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 <==底下類推共 9 條規則 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 範例:列出 nat table 三條鏈的規則 [root@www ~]# iptables -t nat -L -n Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination |
在上表中,每一個 Chain 就是前面提到的每個鏈囉∼ Chain 那一行裡面括號的 policy 就是預設的政策, 那底下的 target, prot 代表什麼呢?
在輸出結果中,第一個範例因為沒有加上 -t 的選項,所以預設就是 filter 這個表格內的 INPUT, OUTPUT, FORWARD 三條鏈的規則囉。由於預設規則中,INPUT 與 FORWARD 的規則一致,因此 CentOS 將兩條鏈的規則寫在一塊,變成一個自訂鏈 RH-Firewall-1-INPUT 的鏈!你得要注意的是,最後一條規則的政策是 REJECT (拒絕) 喔! 所以,雖然 INPUT 與 FORWARD 的政策是放行 (ACCEPT),不過其實不合前面 8 條規則的封包全部都會被第 9 條規則拒絕。
不過這個指令的觀察只是作個格式化的查閱,要詳細解釋每個規則會比較不容易解析。舉例來說, 我們將上述的九條規則依據輸出結果來說明一下,結果會變成:
最有趣的應該是第一條規則了,怎麼會所有的封包資訊都予以接受?如果都接受的話,那麼後續的規則根本就不會有用嘛! 其實那條規則是僅針對每部主機都有的內部迴圈測試網路 (lo) 介面啦!如果沒有列出介面,那麼我們就很容易搞錯囉∼ 所以,近來鳥哥都建議使用 iptables-save 這個指令來觀察防火牆規則啦!因為 iptables-save 會列出完整的防火牆規則,只是並沒有規格化輸出而已。
[root@www ~]# iptables-save [-t table] 選項與參數: -t :可以僅針對某些表格來輸出,例如僅針對 nat 或 filter 等等 [root@www ~]# iptables-save # Generated by iptables-save v1.3.5 on Wed Jan 26 18:25:15 2011 *filter <==星號開頭的指的是表格,這裡為 filter :INPUT ACCEPT [0:0] <==冒號開頭的指的是鏈,三條內建一條自訂 :FORWARD ACCEPT [0:0] <==三條內建鏈的政策都是 ACCEPT 囉! :OUTPUT ACCEPT [4:496] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT <==針對 INPUT 的規則 -A FORWARD -j RH-Firewall-1-INPUT <==針對 FORWARD 的規則 -A RH-Firewall-1-INPUT -i lo -j ACCEPT <==針對自訂鏈 RH 的規則 -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p esp -j ACCEPT -A RH-Firewall-1-INPUT -p ah -j ACCEPT -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Wed Jan 26 18:25:15 2011 |
由上面的輸出來看,有底線的那條規則當中, -i lo 指的就是由 lo 介面卡進來的封包! 這樣看就清楚多了!因為有寫到介面的關係啊!不像之前的 iptables -L -n 嘛!這樣瞭解乎! 不過,既然這個規則不是我們想要的,那該如何修改規則呢?鳥哥建議,先刪除規則再慢慢建立各個需要的規則! 那如何清除規則?這樣做就對了:
[root@www ~]# iptables [-t tables] [-FXZ] 選項與參數: -F :清除所有的已訂定的規則; -X :殺掉所有使用者 "自訂" 的 chain (應該說的是 tables )囉; -Z :將所有的 chain 的計數與流量統計都歸零 範例:清除本機防火牆 (filter) 的所有規則 [root@www ~]# iptables -F [root@www ~]# iptables -X [root@www ~]# iptables -Z |
由於這三個指令會將本機防火牆的所有規則都清除,但卻不會改變預設政策 (policy) , 所以如果你不是在本機下達這三行指令時,很可能你會被自己擋在家門外 (若 INPUT 設定為 DROP 時)!要小心啊!
一般來說,我們在重新定義防火牆的時候,都會先將規則給他清除掉。還記得我們前面談到的, 防火牆的『規則順序』是有特殊意義的,所以囉, 當然先清除掉規則,然後一條一條來設定會比較容易一點啦。底下就來談談定義預設政策吧!
清除規則之後,再接下來就是要設定規則的政策啦!還記得政策指的是什麼嗎?『 當你的封包不在你設定的規則之內時,則該封包的通過與否,是以 Policy 的設定為準』,在本機方面的預設政策中,假設你對於內部的使用者有信心的話, 那麼 filter 內的 INPUT 鏈方面可以定義的比較嚴格一點,而 FORWARD 與 OUTPUT 則可以訂定的鬆一些!通常鳥哥都是將 INPUT 的 policy 定義為 DROP 啦,其他兩個則定義為 ACCEPT。 至於 nat table 則暫時先不理會他。
[root@www ~]# iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP] 選項與參數: -P :定義政策( Policy )。注意,這個 P 為大寫啊! ACCEPT :該封包可接受 DROP :該封包直接丟棄,不會讓 client 端知道為何被丟棄。 範例:將本機的 INPUT 設定為 DROP ,其他設定為 ACCEPT [root@www ~]# iptables -P INPUT DROP [root@www ~]# iptables -P OUTPUT ACCEPT [root@www ~]# iptables -P FORWARD ACCEPT [root@www ~]# iptables-save # Generated by iptables-save v1.3.5 on Wed Jan 26 23:41:43 2011 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [24:2120] COMMIT # Completed on Wed Jan 26 23:41:43 2011 # 由於 INPUT 設定為 DROP 而又尚未有任何規則,所以上面的輸出結果顯示: # 所有的封包都無法進入你的主機!是不通的防火牆設定!(網路連線是雙向的) |
看到輸出的結果了吧?INPUT 被修改了設定喔!其他的 nat table 三條鏈的預設政策設定也是一樣的方式,例如:『 iptables -t nat -P PREROUTING ACCEPT 』就設定了 nat table 的 PREROUTING 鏈為可接受的意思!預設政策設定完畢後,來談一談關於各規則的封包基礎比對設定吧。
開始來進行防火牆規則的封包比對設定吧!既然是網際網路,那麼我們就由最基礎的 IP, 網域及埠口,亦即是 OSI 的第三層談起,再來談談裝置 (網路卡) 的限制等等。這一小節與下一小節的語法你一定要記住,因為這是最基礎的比對語法喔!
[root@www ~]# iptables [-AI 鏈名] [-io 網路介面] [-p 協定] \ > [-s 來源IP/網域] [-d 目標IP/網域] -j [ACCEPT|DROP|REJECT|LOG] 選項與參數: -AI 鏈名:針對某的鏈進行規則的 "插入" 或 "累加" -A :新增加一條規則,該規則增加在原本規則的最後面。例如原本已經有四條規則, 使用 -A 就可以加上第五條規則! -I :插入一條規則。如果沒有指定此規則的順序,預設是插入變成第一條規則。 例如原本有四條規則,使用 -I 則該規則變成第一條,而原本四條變成 2~5 號 鏈 :有 INPUT, OUTPUT, FORWARD 等,此鏈名稱又與 -io 有關,請看底下。 -io 網路介面:設定封包進出的介面規範 -i :封包所進入的那個網路介面,例如 eth0, lo 等介面。需與 INPUT 鏈配合; -o :封包所傳出的那個網路介面,需與 OUTPUT 鏈配合; -p 協定:設定此規則適用於哪種封包格式 主要的封包格式有: tcp, udp, icmp 及 all 。 -s 來源 IP/網域:設定此規則之封包的來源項目,可指定單純的 IP 或包括網域,例如: IP :192.168.0.100 網域:192.168.0.0/24, 192.168.0.0/255.255.255.0 均可。 若規範為『不許』時,則加上 ! 即可,例如: -s ! 192.168.100.0/24 表示不許 192.168.100.0/24 之封包來源; -d 目標 IP/網域:同 -s ,只不過這裡指的是目標的 IP 或網域。 -j :後面接動作,主要的動作有接受(ACCEPT)、丟棄(DROP)、拒絕(REJECT)及記錄(LOG) |
iptables 的基本參數就如同上面所示的,僅只談到 IP 、網域與裝置等等的資訊, 至於 TCP, UDP 封包特有的埠口 (port number) 與狀態 (如 SYN 旗標) 則在下小節才會談到。 好,先讓我們來看看最基礎的幾個規則,例如開放 lo 這個本機的介面以及某個 IP 來源吧!
範例:設定 lo 成為受信任的裝置,亦即進出 lo 的封包都予以接受 [root@www ~]# iptables -A INPUT -i lo -j ACCEPT |
仔細看上面並沒有列出 -s, -d 等等的規則,這表示:不論封包來自何處或去到哪裡,只要是來自 lo 這個介面,就予以接受!這個觀念挺重要的,就是『沒有指定的項目,則表示該項目完全接受』的意思! 例如這個案例當中,關於 -s, -d...等等的參數沒有規定時,就代表不論什麼值都會被接受囉。
這就是所謂的信任裝置啦!假如你的主機有兩張乙太網路卡,其中一張是對內部的網域,假設該網卡的代號為 eth1 好了, 如果內部網域是可信任的,那麼該網卡的進出封包就通通會被接受,那你就能夠用:『iptables -A INPUT -i eth1 -j ACCEPT』 來將該裝置設定為信任裝置。不過,下達這個指令前要特別注意,因為這樣等於該網卡沒有任何防備了喔!
範例:只要是來自內網的 (192.168.1.0/24) 的封包通通接受 [root@www ~]# iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT # 由於是內網就接受,因此也可以稱之為『信任網域』囉。 範例:只要是來自 192.168.0.1 就接受,但 192.168.1.20 這個惡意來源就丟棄 [root@www ~]# iptables -A INPUT -i eth0 -s 192.168.0.1 -j ACCEPT [root@www ~]# iptables -A INPUT -i eth0 -s 192.168.1.20 -j DROP # 針對單一 IP 來源,可視為信任主機或者是不信任的惡意來源喔! [root@www ~]# iptables-save # Generated by iptables-save v1.3.5 on Fri Jan 28 14:25:09 2011 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [17:1576] -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.1.0/255.255.255.0 -i eth0 -j ACCEPT -A INPUT -s 192.168.0.1 -i eth0 -j ACCEPT -A INPUT -s 192.168.1.20 -i eth0 -j DROP COMMIT # Completed on Fri Jan 28 14:25:09 2011 |
這就是最單純簡單的防火牆規則的設定與觀察方式。不過,在上面的案例中,其實你也發現到有兩條規則可能有問題∼ 那就是上面的特殊字體圈起來的規則順序。明明已經放行了 192.168.1.0/24 了,所以那個 192.168.1.20 的規則就不可能會被用到! 這就是有問題的防火牆設定啊!瞭解乎?那該怎辦?就重打啊!@_@!那如果你想要記錄某個規則的紀錄怎麼辦?可以這樣做:
[root@www ~]# iptables -A INPUT -s 192.168.2.200 -j LOG [root@www ~]# iptables -L -n target prot opt source destination LOG all -- 192.168.2.200 0.0.0.0/0 LOG flags 0 level 4 |
看到輸出結果的最左邊,會出現的是 LOG 喔!只要有封包來自 192.168.2.200 這個 IP 時, 那麼該封包的相關資訊就會被寫入到核心訊息,亦即是 /var/log/messages 這個檔案當中。 然後該封包會繼續進行後續的規則比對。所以說, LOG 這個動作僅在進行記錄而已,並不會影響到這個封包的其他規則比對的。 好了,接下來我們分別來看看 TCP,UDP 以及 ICMP 封包的其他規則比對吧!
我們在第二章網路基礎談過各種不同的封包格式, 在談到 TCP 與 UDP 時,比較特殊的就是那個埠口 (port),在 TCP 方面則另外有所謂的連線封包狀態, 包括最常見的 SYN 主動連線的封包格式。那麼如何針對這兩種封包格式進行防火牆規則的設定呢?你可以這樣看:
[root@www ~]# iptables [-AI 鏈] [-io 網路介面] [-p tcp,udp] \ > [-s 來源IP/網域] [--sport 埠口範圍] \ > [-d 目標IP/網域] [--dport 埠口範圍] -j [ACCEPT|DROP|REJECT] 選項與參數: --sport 埠口範圍:限制來源的埠口號碼,埠口號碼可以是連續的,例如 1024:65535 --dport 埠口範圍:限制目標的埠口號碼。 |
事實上就是多了那個 --sport 及 --dport 這兩個玩意兒,重點在那個 port 上面啦! 不過你得要特別注意,因為僅有 tcp 與 udp 封包具有埠口,因此你想要使用 --dport, --sport 時,得要加上 -p tcp 或 -p udp 的參數才會成功喔!底下讓我們來進行幾個小測試:
範例:想要連線進入本機 port 21 的封包都抵擋掉: [root@www ~]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP 範例:想連到我這部主機的網芳 (upd port 137,138 tcp port 139,445) 就放行 [root@www ~]# iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT [root@www ~]# iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT [root@www ~]# iptables -A INPUT -i eth0 -p tcp --dport 445 -j ACCEPT |
瞧!你可以利用 UDP 與 TCP 協定所擁有的埠口號碼來進行某些服務的開放或關閉喔!你還可以綜合處理呢!例如:只要來自 192.168.1.0/24 的 1024:65535 埠口的封包,且想要連線到本機的 ssh port 就予以抵擋,可以這樣做:
[root@www ~]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 \ > --sport 1024:65534 --dport ssh -j DROP |
如果忘記加上 -p tcp 就使用了 --dport 時,會發生啥問題呢?
[root@www ~]# iptables -A INPUT -i eth0 --dport 21 -j DROP
iptables v1.3.5: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.
|
你應該會覺得很奇怪,怎麼『 --dport 』會是未知的參數 (arg) 呢?這是因為你沒有加上 -p tcp 或 -p udp 的緣故啊!很重要喔!
除了埠口之外,在 TCP 還有特殊的旗標啊!最常見的就是那個主動連線的 SYN 旗標了。 我們在 iptables 裡面還支援『 --syn 』的處理方式,我們以底下的例子來說明好了:
範例:將來自任何地方來源 port 1:1023 的主動連線到本機端的 1:1023 連線丟棄 [root@www ~]# iptables -A INPUT -i eth0 -p tcp --sport 1:1023 \ > --dport 1:1023 --syn -j DROP |
一般來說,client 端啟用的 port 都是大於 1024 以上的埠口,而 server 端則是啟用小於 1023 以下的埠口在監聽的。所以我們可以讓來自遠端的小於 1023 以下的埠口資料的主動連線都給他丟棄! 但不適用在 FTP 的主動連線中!這部份我們未來在 FTP 章節當中再來談吧!
在 kernel 2.2 以前使用 ipchains 管理防火牆時,通常會讓系統管理員相當頭痛!因為 ipchains 沒有所謂的封包狀態模組,因此我們必須要針對封包的進、出方向進行管控。舉例來說,如果你想要連線到遠端主機的 port 22 時,你必須要針對兩條規則來設定:
這會很麻煩!因為如果你要連線到 10 部主機的 port 22 時,假設 OUTPUT 為預設開啟 (ACCEPT), 你依舊需要填寫十行規則,讓那十部遠端主機的 port 22 可以連線到你的本地端主機上。 那如果開啟全部的 port 22 呢?又擔心某些惡意主機會主動以 port 22 連線到你的機器上! 同樣的道理,如果你要讓本地端主機可以連到外部的 port 80 (WWW 服務),那就更不得了∼ 這就是網路連線是雙向的一個很重要的概念!
好在我們的 iptables 免除了這個困擾!他可以透過一個狀態模組來分析 『這個想要進入的封包是否為剛剛我發出去的回應?』 如果是剛剛我發出去的回應,那麼就可以予以接受放行!哇!真棒!這樣就不用管遠端主機是否連線進來的問題了! 那如何達到呢?看看底下的語法:
[root@www ~]# iptables -A INPUT [-m state] [--state 狀態] 選項與參數: -m :一些 iptables 的外掛模組,主要常見的有: state :狀態模組 mac :網路卡硬體位址 (hardware address) --state :一些封包的狀態,主要有: INVALID :無效的封包,例如資料破損的封包狀態 ESTABLISHED:已經連線成功的連線狀態; NEW :想要新建立連線的封包狀態; RELATED :這個最常用!表示這個封包是與我們主機發送出去的封包有關 範例:只要已建立或相關封包就予以通過,只要是不合法封包就丟棄 [root@www ~]# iptables -A INPUT -m state \ > --state RELATED,ESTABLISHED -j ACCEPT [root@www ~]# iptables -A INPUT -m state --state INVALID -j DROP |
如此一來,我們的 iptables 就會主動分析出該封包是否為回應狀態,若是的話,就直接予以接受。呵呵! 這樣一來你就不需要針對回應的封包來撰寫個別的防火牆規則了!這真是太棒了!底下我們繼續談一下 iptables 的另一個外掛, 那就是針對網卡來進行放行與防禦:
範例:針對區域網路內的 aa:bb:cc:dd:ee:ff 主機開放其連線 [root@www ~]# iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff \ > -j ACCEPT 選項與參數: --mac-source :就是來源主機的 MAC 啦! |
如果你的區網當中有某些網路高手,老是可以透過修改 IP 去嘗試透過路由器往外跑,那你該怎麼辦? 難道將整個區網拒絕?並不需要的,你可以透過之前談到的 ARP 相關概念,去捉到那部主機的 MAC ,然後透過上頭的這個機制, 將該主機整個 DROP 掉即可。不管他改了什麼 IP ,除非他知道你是用網卡的 MAC 來管理,否則他就是出不去啦!瞭解乎?
其實 MAC 也是可以偽裝的,可以透過某些軟體來修改網卡的 MAC。不過,這裡我們是假設 MAC 是無法修改的情況來說明的。 此外,MAC 是不能跨路由的,因此上述的案例中才特別說明是在區網內,而不是指 Internet 外部的來源唷!在第二章 ICMP 協定當中我們知道 ICMP 的類型相當的多,而且很多 ICMP 封包的類型都是為了要用來進行網路檢測用的!所以最好不要將所有的 ICMP 封包都丟棄!如果不是做為路由器的主機時,通常我們會把 ICMP type 8 (echo request) 拿掉而已,讓遠端主機不知道我們是否存在,也不會接受 ping 的回應就是了。ICMP 封包格式的處理是這樣的:
[root@www ~]# iptables -A INPUT [-p icmp] [--icmp-type 類型] -j ACCEPT 選項與參數: --icmp-type :後面必須要接 ICMP 的封包類型,也可以使用代號, 例如 8 代表 echo request 的意思。 範例:讓 0,3,4,11,12,14,16,18 的 ICMP type 可以進入本機: [root@www ~]# vi somefile #!/bin/bash icmp_type="0 3 4 11 12 14 16 18" for typeicmp in $icmp_type do iptables -A INPUT -i eth0 -p icmp --icmp-type $typeicmp -j ACCEPT done [root@www ~]# sh somefile |
這樣就能夠開放部分的 ICMP 封包格式進入本機進行網路檢測的工作了!不過,如果你的主機是作為區網的路由器, 那麼建議 icmp 封包還是要通通放行才好!這是因為用戶端檢測網路時,常常會使用 ping 來測試到路由器的線路是否暢通之故呦! 所以不要將路由器的 icmp 關掉,會有狀況啦!
經過上述的本機 iptables 語法分析後,接下來我們來想想,如果站在用戶端且不提供網路服務的 Linux 本機角色時, 你應該要如何設計你的防火牆呢?老實說,你只要分析過 CentOS 預設的防火牆規則就會知道了,理論上, 應該要有的規則如下:
這就是最最陽春的防火牆,你可以透過第二步驟抵擋所有遠端的來源封包,而透過第四步驟讓你要求的遠端主機回應封包可以進入, 加上讓本機的 lo 這個內部迴圈裝置可以放行,嘿嘿!一部 client 專用的防火牆規則就 OK 了!你可以在某個 script 上面這樣做即可:
[root@www ~]# vim firewall.sh #!/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin; export PATH # 1. 清除規則 iptables -F iptables -X iptables -Z # 2. 設定政策 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT # 3~5. 制訂各項規則 iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT #iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT # 6. 寫入防火牆規則設定檔 /etc/init.d/iptables save [root@www ~]# sh firewall.sh 正在儲存防火牆規則到 /etc/sysconfig/iptables: [ 確定 ] |
其實防火牆也是一個服務,你可以透過『chkconfig --list iptables』去察看就知道了。 因此,你這次修改的各種設定想要在下次開機還保存,那就得要進行『 /etc/init.d/iptables save 』這個指令加參數。 因此,鳥哥現在都是將儲存的動作寫入這個 firewall.sh 腳本中,比較單純些囉!現在,你的 Linux 主機已經有相當的保護了, 只是如果想要作為伺服器,或者是作為路由器,那就得要自行加上某些自訂的規則囉。
老實說,如果你對 Linux 夠熟悉的話,直接去修改 /etc/sysconfig/iptables 然後將 iptables 這個服務 restart, 那你的防火牆規則就是會在開機後持續存在囉!不過,鳥哥個人還是喜歡寫 scripts 就是了。制訂好規則後當然就是要測試囉!那麼如何測試呢?
一步一步作下來,看看問題出在哪裡,然後多多的去改進、改良!基本上,網路上目前很多的資料可以提供你不錯的參考了! 這一篇的設定寫的是很簡單,大部分都還在介紹階段而已!希望對大家有幫助! 鳥哥在參考資料(註2)當中列出幾個有用的防火牆網頁,希望大家有空真的要多多的去看看!會很有幫助的!
除了 iptables 這個防火牆軟體之外,其實咱們 Linux kernel 2.6 提供很多核心預設的攻擊抵擋機制喔! 由於是核心的網路功能,所以相關的設定資料都是放置在 /proc/sys/net/ipv4/ 這個目錄當中。 至於該目錄下各個檔案的詳細資料,可以參考核心的說明文件:
上面的這個說明資料可以由 http://www.kernel.org 這個網站下載任何一個核心原始碼後,解壓縮就能夠看到。 鳥哥這裡也放一份備份:
有興趣的話應該要自行去查一查比較好的喔!我們底下就拿幾個簡單的檔案來作說明吧!
[root@www ~]# echo "1" > /proc/sys/net/ipv4/tcp_syncookies
|
[root@www ~]# echo "1" > \ > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts |
[root@www ~]# vim /etc/sysctl.conf # Adding by VBird 2011/01/28 net.ipv4.tcp_syncookies = 1 net.ipv4.icmp_echo_ignore_broadcasts = 1 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.eth0.rp_filter = 1 net.ipv4.conf.lo.rp_filter = 1 ....(以下省略).... [root@www ~]# sysctl -p |
介紹了這麼多的防火牆語法與相關的注意事項後,終於要來架設防火牆了。鳥哥還是比較偏好使用腳本來撰寫防火牆, 然後透過最終的 /etc/init.d/iptables save 來將結果儲存到 /etc/sysconfig/iptables 去! 而且此一特色還可以用在呼叫其他的 scripts ,可以讓防火牆規則具有較為靈活的使用方式。 好了,那就來談談如何設定咱們的防火牆規則吧!
鳥哥底下介紹的這個防火牆,其實可以用來作為路由器上的防火牆,也可以用來作為本機的防火牆。 假設硬體連線如同下圖所示, Linux 主機本身也是內部 LAN 的路由器!亦即是一個簡單的 IP 分享器的功能啦!假設鳥哥網路介面有底下這些:
由於希望將信任網域 (LAN) 與不信任網域 (Internet) 整個分開的完整一點, 所以希望你可以在 Linux 上面安裝兩塊以上的實體網卡,將兩塊網卡接在不同的網域,這樣可以避免很多問題。 至於最重要的防火牆政策是:『關閉所有的連線,僅開放特定的服務』模式。 而且假設內部使用者已經受過良好的訓練,因此在 filter table 的三條鏈個預設政策是:
鳥哥底下預計提供的防火牆流程是這樣的:
原則上,內部 LAN 主機與主機本身的開放度很高,因為 Output 與 Forward 是完全開放不理的!對於小家庭的主機是可以接受的,因為我們內部的電腦數量不多,而且人員都是熟悉的, 所以不需要特別加以控管!但是:『在大企業的內部,這樣的規劃是很不合格的, 因為你不能保證內部所有的人都可以按照你的規定來使用 Network !』也就是說『家賊難防』呀! 因此,那樣的環境連 Output 與 Forward 都需要特別加以管理才行!
事實上,我們在設定防火牆的時候,不太可能會一個一個指令的輸入,通常是利用 shell scripts 來幫我們達成這樣的功能吶!底下是利用上面的流程圖所規劃出來的防火牆腳本,你可以參考看看, 但是你需要將環境修改成適合你自己的環境才行喔!此外,為了未來修改維護的方便,鳥哥將整個 script 拆成三部分,分別是:
鳥哥個人習慣是將這個腳本放置到 /usr/local/virus/iptables 目錄下,你也可以自行放置到自己習慣的位置去。 那底下就來瞧瞧這支腳本是怎麼寫的吧!
特別留意上面程式碼的特殊字體部分,基本上,你只要修改一下最上方的介面部分, 應該就能夠運作這個防火牆了。不過因為每個人的環境都不相同, 因此你在設定完成後,依舊需要測試一下才行喔!不然,出了問題不要怪我啊!.... 再來看一下關於 iptables.allow 的內容是如何?假如我要讓一個 140.116.44.0/24 這個網域的所有主機來源可以進入我的主機的話,那麼這個檔案的內容可以寫成這樣:
[root@www iptables]# vim iptables.allow #!/bin/bash # 底下則填寫你允許進入本機的其他網域或主機啊! iptables -A INPUT -i $EXTIF -s 140.116.44.0/24 -j ACCEPT # 底下則是關於抵擋的檔案設定法! [root@www iptables]# vim iptables.deny #!/bin/bash # 底下填寫的是『你要抵擋的那個咚咚!』 iptables -A INPUT -i $EXTIF -s 140.116.44.254 -j DROP [root@www iptables]# chmod 700 iptables.* |
將這三個檔案的權限設定為 700 且只屬於 root 的權限後,就能夠直接執行 iptables.rule 囉! 不過要注意的是,在上面的案例當中,鳥哥預設將所有的服務的通道都是關閉的! 所以你必須要到本機防火牆的第 5 步驟處將一些註解符號 (#) 解開才行。 同樣的,如果有其他更多的 port 想要開啟時,一樣需要增加額外的規則才行喔!
不過,還是如同前面我們所說的,這個 firewall 僅能提供基本的安全防護,其他的相關問題還需要再測試測試呢! 此外,如果你希望一開機就自動執行這個 script 的話,請將這個檔案的完整檔名寫入 /etc/rc.d/rc.local 當中,有點像底下這樣:
[root@www ~]# vim /etc/rc.d/rc.local ....(其他省略).... # 1. Firewall /usr/local/virus/iptables/iptables.rule |
事實上,這個腳本的最底下已經加入寫入防火牆預設規則檔的功能,所以你只要執行一次,就擁有最正確的規則了! 上述的 rc.local 僅是預防萬一而已。 ^_^!上述三個檔案請你不要在 Windows 系統上面編輯後才傳送到 Linux 上運作,因為 Windows 系統的斷行字元問題,將可能導致該檔案無法執行。建議你直接到底下去下載,傳送到 Linux 後可以利用 dos2unix 指令去轉換斷行字元!就不會有問題!
這就是一個最簡單、陽春的防火牆。同時,這個防火牆還可以具有最陽春的 IP 分享器的功能呢! 也就是在 iptables.rule 這個檔案當中的第二部分了。 這部分我們在下一節會再繼續介紹的。
呼呼!終於來到這個地方了!我們準備要架設一個路由器的延伸伺服器,就稱之為 NAT 伺服器。 NAT 是什麼呢?簡單的說,你可以稱他為內部 LAN 主機的『 IP 分享器』啦!
NAT 的全名是 Network Address Translation,字面上的意思是『網路位址的轉換』。由字面上的意思我們來想一想, TCP/IP 的網路封包不是有 IP 位址嗎?那 IP 位址不是有來源與目的嗎?我們的 iptables 指令就能夠修改 IP 封包的表頭資料, 嘿嘿!連目標或來源的 IP 位址都可以修改呢!甚至連 TCP 封包表頭的 port number 也能修改!真是有趣!
NAT 伺服器的功能可以達到類似圖 9.1-2所介紹的類似 IP 分享的功能之外, 還可以達到類似圖 9.1-4所介紹的 DMZ (非軍事區) 的功能!這完全取決於我們的 NAT 是修改: (1)來源 IP 還是 (2)目標 IP !底下我們就來聊一聊吧! ^_^
在談到 NAT 的實際運作之前,讓我們再來看一下比較簡單的封包透過 iptables 而傳送到後端主機的表格與鏈流程(請往前參考圖 9.3-4)。 當網路佈線如圖 9.1-2的架構,若內部 LAN 有任何一部主機想要傳送封包出去時, 那麼這個封包要如何透過 Linux 主機而傳送出去?他是這樣的:
NAT 伺服器的重點就在於上面流程的第 1,4 步驟,也就是 NAT table 的兩條重要的鏈:PREROUTING 與 POSTROUTING。 那這兩條鏈有什麼重要的功能呢?重點在於修改 IP 嘛!但是這兩條鏈修改的 IP 是不一樣的! POSTROUTING 在修改來源 IP ,PREROUTING 則在修改目標 IP 。 由於修改的 IP 不一樣,所以就稱為來源 NAT (Source NAT, SNAT) 及目標 NAT (Destination NAT, DNAT)。我們先來談一談 IP 分享器功能的 SNAT 吧!
在 Linux 的 NAT 伺服器服務當中,最常見的就是類似圖 9.1-2的 IP 分享器功能了。 而由剛剛的介紹你也該知道,這個 IP 分享器的功能其實就是 SNAT 啦!作用就只是在 iptables 內的 NAT 表格當中,那個路由後的 POSTROUTING 鏈進行 IP 的偽裝就是了。另外, 你也必須要瞭解,你的 NAT 伺服器必須要有一個 public IP 介面,以及一個內部 LAN 連接的 private IP 介面才行。底下的範例中,鳥哥的假設是這樣的:
記住!當你利用前面幾章談到的資料來設定你的網路參數後,務必要進行路由的檢測, 因為在 NAT 伺服器的設定方面,最容易出錯的地方就是路由了!尤其是在撥接產生 ppp0 這個對外介面的環境下, 這個問題最嚴重。反正你要記得:『如果你的 public IP 取得的方式是撥接或 cable modem 時,你的設定檔 /etc/sysconfig/network, ifcfg-eth0, ifcfg-eth1 等檔案,千萬不要設定 GATEWAY 啦!』否則就會出現兩個 default gateway ,反而會造成問題。
如果你剛剛已經下載了 iptables.rule ,那麼該檔案內已經含有 NAT 的腳本了! 你可以看到該檔案的第二部份關於 NAT 伺服器的部分,應該有看到底下這幾行:
iptables -A INPUT -i $INIF -j ACCEPT # 這一行為非必要的,主要的目的是讓內網 LAN 能夠完全的使用 NAT 伺服器資源。 # 其中 $INIF 在本例中為 eth0 介面 echo "1" > /proc/sys/net/ipv4/ip_forward # 上頭這一行則是在讓你的 Linux 具有 router 的能力 iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE # 這一行最關鍵!就是加入 nat table 封包偽裝!本例中 $innet 是 192.168.1.0/24 # 而 $EXTIF 則是對外介面,本例中為 eth1 |
重點在那個『 MASQUERADE 』!這個設定值就是『 IP 偽裝成為封包出去 (-o) 的那塊裝置上的 IP 』!以上面的例子來說,就是 $EXTIF ,也就是 eth1 啦! 所以封包來源只要來自 $innet (也就是內部 LAN 的其他主機) ,只要該封包可透過 eth1 傳送出去, 那就會自動的修改 IP 的來源表頭成為 eth1 的 public IP 啦!就這麼簡單! 你只要將 iptables.rule 下載後,並設定好你的內、外網路介面, 執行 iptables.rule 後,你的 Linux 就擁有主機防火牆以及 NAT 伺服器的功能了!
例題:
如同上面所述的案例,那麼你的 LAN 內的其他 PC 應該要如何設定相關的網路參數?
答:
答案其實很簡單啊,將 NAT 伺服器作為 PC 的 GATEWAY 即可!只要記得底下的參數值:
|
事實上,除了 IP 偽裝 (MASQUERADE) 之外,我們還可以直接指定修改 IP 封包表頭的來源 IP 呢! 舉例來說,如下面這個例子:
例題:
假設對外的 IP 固定為 192.168.200.250 ,若不想使用偽裝,該如何處理?
答:iptables -t nat -A POSTROUTING -o eth1 -j SNAT \ --to-source 192.168.200.250 |
例題:
假設你的 NAT 伺服器對外 IP 有好幾個,那你想要輪流使用不同的 IP 時,又該如何設定?舉例來說,你的 IP 範圍為
192.168.200.210~192.168.200.220
答:iptables -t nat -A POSTROUTING -o eth1 -j SNAT \ --to-source 192.168.200.210-192.168.200.220 |
這樣也可以修改網路封包的來源 IP 資料喔!不過,除非你使用的是固定 IP ,且有多個 IP 可以對外連線,否則一般使用 IP 偽裝即可,不需要使用到這個 SNAT 啦!當然,你也可能有自己的獨特的環境啦! ^_^
如果你剛剛在 iptables.rule 內的第二部分有仔細看的話, 那有沒有覺得很奇怪,為何我們需要載入一些有用的模組?舉例來說, ip_nat_ftp 及 ip_nat_irc ? 這是因為很多通訊協定使用的封包傳輸比較特殊,尤其是 FTP 檔案傳輸使用到兩個 port 來處理資料! 這個部分我們會在 FTP 章節再來詳談,在這裡你要先知道,我們的 iptables 提供很多好用的模組, 這些模組可以輔助封包的過濾用途,讓我們可以節省很多 iptables 的規則擬定,好棒的吶! ^_^
既然可以做 SNAT 的 IP 分享功能,我們當然可以使用 iptables 做出 DMZ 啦! 但是再次重申,不同的伺服器封包傳輸的方式可能有點差異,因此,建議新手不要玩這個咚咚! 否則很容易導致某些服務無法順利對 Internet 提供的問題。
先來談一談,如果我想要處理 DNAT 的功能時, iptables 要如何下達指令? 另外,你必須要知道的是, DNAT 用到的是 nat table 的 Prerouting 鏈喔!不要搞錯了。
例題:
假設內網有部主機 IP 為 192.168.1.210 ,該主機是可對 Internet 開放的 WWW 伺服器。你該如何透過 NAT
機制,將 WWW 封包傳到該主機上?
答:
假設 public IP 所在的介面為 eth1 ,那麼你的規則就是:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \ -j DNAT --to-destination 192.168.1.210:80 |
那個『 -j DNAT --to-destination IP[:port] 』就是精髓啦!代表從 eth1 這個介面傳入的,且想要使用 port 80 的服務時, 將該封包重新傳導到 192.168.1.210:80 的 IP 及 port 上面!可以同時修改 IP 與 port 呢!真方便。 其他還有一些較進階的 iptables 使用方式,如下所示:
-j REDIRECT --to-ports <port number> # 這個也挺常見的,基本上,就是進行本機上面 port 的轉換就是了! # 不過,特別留意的是,這個動作僅能夠在 nat table 的 PREROUTING 以及 # OUTPUT 鏈上面實行而已喔! 範例:將要求與 80 連線的封包轉遞到 8080 這個 port [root@www ~]# iptables -t nat -A PREROUTING -p tcp --dport 80 \ > -j REDIRECT --to-ports 8080 # 這玩意最容易在你使用了非正規的 port 來進行某些 well known 的協定, # 例如使用 8080 這個 port 來啟動 WWW ,但是別人都以 port 80 來連線, # 所以,你就可以使用上面的方式來將對方對你主機的連線傳遞到 8080 囉! |
至於更多的用途,那就有待你自己的發掘囉! ^_^