Iptables 指南 1119中文版四.docx

1、Iptables 指南 1119中文版四Iptables 指南 1.1.19(中文版)(四)非常不错的iptables帮助指南,值得学习和收藏 转from http:/iptables-Chapter 7. 防火墙配置实例 rc.firewall在本章里，我们将要建立一个防火墙，并且详细地说明了如何去阅读、理解它。在这个例子中，我们使用的是最基本的配置，对其工作方式和我们在里面做了些什么都有深入的解释。这个例子应该能在某些方面给你提供基本的思路，比如，如何解决不同的问题（当然是网络方面的），再如，在真正把脚本应用于工作之前应该考虑些什么，等等。对本例中的变量值做些修改就可能在实际的网络中使用，

2、但不建议你这样做，因为你的网络配置和我在例子中使用的情况可能不一样哦。但只要你有了这个基本的防火墙规则集，很可能只需要少量的调整就可以把它用于实际了。 可能有效率更高的方法来建立规则集，但这个脚本就是为易读而写的，所以每个人都能理解它，即使没有多少BASH脚本编程的知识。7.1. 关于rc.firewall好，既然你能从头看到这儿，就说明你已经做好一切准备来检查这个脚本了。例子rc.firewall.txt（代码在附录示例脚本的代码里）很大，但没有多少注释。我建议你先大致看看它的内容，留个印象，再来仔细地阅读本章（要有耐心哦）。7.2. rc.firewall详解7.2.1. 参数配置本小节要

3、对照着rc.firewall脚本代码来看。rc.firewall.txt的第一小节是配置选项，包含的都是一些至关重要的信息，它们是随着你的网络的不同而改变的。比如，每个网络的IP地址都不一样，所有要把它放在这儿。$INET_IP的值应该是在Internet上能使用的才可以，如果你有$INET_IP的话。如果没有，你就要看看 rc.DHCP.firewall.txt这种配置方法了，里面有很多有趣的东西。变量 $INET_IFACE应该指向连接Internet的真实设备，比如eth0、eth1、ppp0、tr0等等。这个脚本里没有包含任何DHCP或PPPoE的选项，所以这两节是空白的。其他空白的部

4、分，也是这样的原因。之所以保留这些空白，是为了更容易区分这些结构相同而内容不同的脚本。如果你需要这些部分，可以从其他脚本拷贝过来，或者你自己写了:)Local Area Network小节包含的是LAN必须的信息，如连接到LAN的网卡的IP、LAN所用的地址段等。Localhost configuration小节里的信息在99%的情况下都不要改变，因为我们总是使用127.0.0.1作为地址，也总是把接口命名为lo。紧随其后的是IPTables Configuration，里面只有一个变量，即$IPTABLES。它指定的是iptables程序的准确位置，如果是自己编译安装的话，一般都是/usr/

5、local/sbin/iptables。但更多的发行版都把程序放在另外的地方，如 /usr/sbin/iptables，等等。7.2.2. 外部模块的装载首先，我们要使用命令/sbin/depmod -a使module dependencies files保持最新，然后，再装载脚本需要的模块。我们应该始终避免装入不需要的模块，如果可能，还要尽力避免装入无所事事的模块，除非你确实需要它们。这样做主要是为了安全，因为每增加一个模块都要花费额外的努力以增加新的规则（这样就容易出漏洞哦）。比如，如果你想支持LOG、REJECT和MASQUERADE target，不要把相应的功能静态地编译进内核，我们

6、使用以下模块来完成：/sbin/insmod ipt_LOG/sbin/insmod ipt_REJECT/sbin/insmod ipt_MASQUERADE 注意，本文使用的脚本都是用类似命令装入模块，这可能会引起装载失败（有错误信息显示）。原因是多方面的，但如果较基本的模块也失败的话，那最大的可能是哪个模块或相应的功能已被静态地编译进内核了。进一步的信息可以看看附录常见问题与解答中的模块装载问题。接下来的一行是装载ipt_owner模块，它的作用是“只允许特定的用户创建特定的连接”。在这个例子中，我没有使用到它，但你可能会用到。比如，你可能只允许root建立FTP 和HTTP连接访问，而

7、其他用户都不可以。你也可以只允许你自己使用的用户名和root才能访问 Internet，这样别人会很烦的，但你的安全性在某些方面会有所提高哦，比如，把你当作发起攻击的跳板的情况。关于ipt_owner的更多信息，可以看看章节规则是如何练成的里的Owner match 。在这儿我们也可以为状态匹配安装扩展模块。状态匹配和连接跟踪的所有扩展模块的名字都是这样的： ip_conntrack_*和ip_nat_* 。连接跟踪的helper是一些特殊的模块，正是它们告诉了内核怎样恰当地跟踪特殊的连接。没有这些helper，内核在处理特殊连接的时候，就不知道该查看些什么东西。NAT helper就是连接跟

8、踪helper的扩展，它会告诉内核在包里找什么、如何转换它们，这样连接才能真正工作起来。比如， FTP是一个复杂的协议，它利用包的有效数据部分来发送连接信息。如果一台需要被NAT的机子（译者注：也就是说，机子在一个内网里）连接Internet上的FTP服务器，它就会把自己的内网IP地址放在包的数据区内发送出去，以使FTP服务器能连接到那个地址。但私有地址不能在LAN外使用，所以FTP服务器不知道用它做什么，连接就会断掉了。FTP NAT helper能完成这些连接中所有的地址转换工作，因此FTP服务器就知道该往哪儿连了。同样的事情也发生在DCC的文件传输（这里指的是发送）和聊天上，为了建立连接

9、，IP地址和端口都需要利用IRC协议的数据区发送，而且还要做一些转换工作。没有这些helper的话，FTP和IRC只有一部分工作是正常的，但另一部分根本就无法工作。例如，你可以通过DCC接收文件，但就是不能发送。这个问题的原因在于DCC是如何建立连接的。当DCC想发送文件时，会告诉接收者你要发送文件，并让它知道要连接到什么地方。如果没有helper，这个DCC连接最终会断开，因为接收者收到的是内网的地址。这样，当它按那个地址连接时，其实就连到和它在同一内网的机子了。那为什么可以接收呢？因为发送者给你的是可在 Internet上使用的IP地址（大部分情况下，IRC服务器都有真实的IP地址）。 如

10、果你在通过防火墙使用mIRC DCC时遇到了问题，但和其他IRC客户沟通很正常，看看附录常见问题与解答里的 关于mIRC DCC的问题 吧。在这个例子中，我们在这儿装载支持FTP和IRC协议的模块。有关连接跟踪和nat的详细信息，请查看附录 常见问题与解答。在patch-o-matic中，还有H.323 conntrack helper等其他象NAT helper的模块。但为了使用它们，你需要使用patch-o-matic提供的补丁，还需要编译内核。详细的操作信息可以查看章节准备阶段 。 注意，为了能对FTP和IRC协议做网络地址转换，需要装载ip_nat_ftp和ip_nat_irc。在装载

11、NAT模块之前，你还要载入ip_conntrack_ftp和ip_conntrack_irc模块。NAT模块和conntrack模块以相同的方式被使用，但NAT模块使我们能对这两个协议做NAT。 7.2.3. proc的设置我们可以使用下面的语句打开IP转发功能（IP forwarding）：echo 1 /proc/sys/net/ipv4/ip_forward 注意，何时何地打开这个功能才算合适是值得好好考虑的一个问题。在本文所用的脚本中，我都是在创建IP过滤器（在本文里就是指iptables的过滤规则）之前打开它的。这可能引起这样一种情况，就是在一小段时间内（时间的长短随脚本的复杂程度和

12、机子的性能高低而变化，可能只有一毫秒，也可能会长达一分钟），防火墙可以转发任何包（译者注：因为这时防火墙的过滤规则还没有被装入）。这种情况又会导致安全方面的问题，不怀好意的人可能会趁此通过防火墙破坏我们的网络。也就是说，我们应该在创建所有防火墙的规则之后再打开IP转发功能，我这样做只是为了保正所有脚本的兼容性。（译者注：我们在实际应用中一定要注意这一点，尽量不要先开IP转发功能）万一你使用的是SLIP、PPP或DHCP，也就是说你是动态获取IP的，那还要用下面的命令打开ip_dynaddr：echo 1 /proc/sys/net/ipv4/ip_dynaddr 如果你还要打开其他的proc选

13、项，也是用类似的方法，但有关那些选项的具体介绍以不是本文的内容，你可以看看其他相关的文章。在附录其他资源和链接里就有一些介绍了内核proc系统的短小精干的文章。如果你在本文中找不到想要的资料，就可以到附录其他资源和链接去看看，你会有所收获的。在本文所用的脚本中还包含了一个名为Non-Required proc configuration（非必需的proc设置）的小节。当有什么工作不象你所想象的那么正常时，可以来这儿看看，它能提供给你最基本的一些信息，但在你真正弄明白它们的含义之前不要进行改动。 7.2.4. 规则位置的优化本节简要地描述了针对脚本rc.firewall.txt，我将如何选择、使

14、用内建的链链和自定义的链。我选择过的一些路径从这个或那个角度看可能是错误的，我会指出这些情况和问题发生在何时何地。这里还对章节 表和链 做了简要的回顾，希望能给你一点儿提醒，以使你能想起在实际应用中包是如何表和链的。 为了尽可能地少占用CPU，我们已经替换了所有不同的自定义链，与此同时，我把主要的精力放在了安全性和易读性上。我不让TCP包去经历ICMP、UDP和TCP规则的洗礼，而是简单地匹配所有的TCP包，然后让它去一个自定义链中旅行。这种方法并不比让它经历所有的规则开销大。下图可以解释在Netfilter中，外来的包是如何被处理的（相对于章节表和链的深入讨论，这个图形太粗糙了）。我希望通过

15、上面的解释和下面的图形能让大家明白写这个脚本的目的，详细的注释在后面几节。利用这个图形，我们可以弄清楚脚本的目的。整个脚本基于这样一种假设，我们有一个局域网，一个防火墙及一个Internet连接，且有一个静态IP地址（相对的是动态地址，它们使用的连接是DHCP、PPP、 SLIP，等等），还想把防火墙作为Internet上的一台服务器来运行某些服务。我们完全信任局域网，因此不能阻塞任何从局域网发出的数据传输。还有一个要优先考虑的事，我们只允许那些被明确说明为可以接受的数据通过。为了做到这一点，我们就要把缺省策略设为DROP。这样，那些没有被明确标识为允许进入的数据就都被阻塞了。在上面的假设里，

16、我们想让局域网能够访问Internet。因为局域网是被完全信任的，所以我们应该允许所有来自局域网的数据通过。但Internet是不被信任的，所以我们想阻塞从Internet向我们的局域网发起的连接。根据上面的所有假设，我们来考虑考虑需要做什么、不需要做什么以及我们想做什么。首先，我们解决的是局域网要能连接到Internet的问题。那我们就要对所有数据包做NAT操作，因为局域网内的机子都没有真实的IP地址。NAT是在PREROUTING链中完成的，这也是脚本最后创建的那个规则所在的链。这意味着我们必须要在FORWARD链中做过滤工作，否则我们就是允许所有外部的机子都能完全访问局域网了。因为我们完

17、全信任局域网，所以允许所有由内向外的数据通过。由于我们假设Internet上的机子都不可以访问局域网内的机子，所以要阻塞所有由外向内的连接，但已经建立的或相关的连接除外，因为它们只是用来回应内网对外网的访问，而不是建立对内网的新连接。由于资金有限，我们的防火墙只提供了有限的几个服务：HTTP、 FTP、SSH和IDENTD。因此，我们要在INPUT链里允许这些协议通过，还要在 OUTPUT链里允许返回的数据通过。我们除了完全信任局域网，也信任loopback和它的IP地址，因此我们要有相应的规则来允许所有来自局域网和loopback的数据通过。但是我们不会允许一些特殊的包或包头通过，也不会接受

18、Internet上某一段IP的访问。比如，网段 10.0.0.0/8是为局域网而保留的，一般来说，我们不允许来自它们的包进入，因为这样的包90%都是用来进行欺骗的。不过，在实现这条标准之前，还要注意一个问题，就是有一些ISP在他们的网络里使用的恰恰就是这些地址。 在附录常见问题与解答里有这个问题的进一步说明。因为我们在防火墙上运行FTP服务，而且想让包经历最少的规则，所以要把处理established和related状态的规则放到INPUT链的顶部。基于同样的原因，我们把这些规则分到子链中。这样，包就可以尽量少地穿越规则，从而节省时间，也可以降低网络的冗余。在这个脚本里，我们依据不同的协议（如

19、TCP、 UDP或ICMP）把包分到子链中。用来匹配 TCP包的链叫做tcp_packets，它可以匹配所有我们允许通过的TCP端口和子协议（如FTP、HTTP等）。我们还要建立一个名为allowed的子链，以便在真正接受“那些使用有效端口来访问防火墙的TCP包”之前，对它们进行附加的检查。至于ICMP包，自有称作 icmp_packets的链来处理。在决定如何建立这个链时，我考虑到如果我们同意接受ICMP包的类型和代码，就没有必要对它们做附加的检查，所以直接接受它们就行了。最后，UDP包由谁处理呢？当然就是 udp_packets了。如果包是那种允许被接收的类型，就直接放行了。因为我们的网络

20、很小，所以防火墙也要作为工作站来用。这就要求我们要允许一些特殊的协议能和它通信，比如speak freely和ICQ。现在，我们来考虑考虑OUTPUT链。因为很信任防火墙，所以我们允许几乎所有离开它的包通过，而没有阻塞任何用户和协议。但我们也不想让人利用这台机子进行IP欺骗，因此我们只放行那些从防火墙本身的IP发出的包。为了实现这一点，我们很可能在ACCEPT链中加入这样一条规则：如果包是由防火墙的IP发出的，就放行，否则，它们就会被OUTPUT链的缺省策略DROP掉。7.2.5. 缺省策略的设置在开始写其他规则之前，我们先要用下面的语句建立缺省的策略：iptables -P 每一条链的策略都

21、是用来处理那些在相应的链里没被规则匹配的包。也就是说，如果有一个包没有被规则集中的任何规则匹配，那策略就有用武之地了。要谨慎地设置其他表里的链的策略，因为它们不是用来过滤包的，这就可能引起很怪异的行为发生。7.2.6. 自定义链的设置现在，你对我们的防火墙应该已经有了一个很清晰的印象，心动了吧。心动不如行动，让我们把它变为现实吧。这一节我们就要小心仔细地创建所有自定义链和链内的规则。如前所述，我们要建立这几条自定义链：icmp_packets、tcp_packets、udp_packets 和allowed，其中allowed链是由tcp_packets链调用的。所有进入$INET_IFACE

22、的ICMP包都会被重定向到icmp_packets链，TCP包是到 tcp_packets链，那UDP包自然就是udp_packets链了，详细的解释都在 INPUT chain里。创建自定义链的命令还记得吗？很简单哦，只要使用选项-N ，再指定链的名字即可（不要忘了，新建的链都是空的），如下： iptables -N chain在下面的几节里，我们会详尽地介绍上面创建的每一条链，以使你了解它们包含哪些规则、有什么作用。 7.2.6.1. bad_tcp_packets链这条链包含的规则检查进入包（incoming packet）的包头是否不正常或有没有其他问题，并进行相应地处理。但事实上，我

23、们使用它只是为了过滤掉一些特殊的包：没有设置SYN位但又是NEW状态的TCP包，还有那些设置了SYN/ACK但也被认为是NEW状态的TCP包。这条链可以用来检查所有可能的不一致的东西，比如上面的包或者XMAS port-scans等。我们还可以为INVALID状态的包增加一条规则的。如果你想完全了解无SYN位的NEW状态（NEW not SYN），可以去附录常见问题与解答里看看未设置SYN的NEW状态包一节，它介绍了未设置SYN的NEW状态包通过其他规则的情况。在某些情况下可以允许这种包通过，但99%的情况是我们不想让它们通过。因此，我们会先记录这种包，然后再扔掉它们。我们拒绝SYN/ACK包

24、以NEW状态进入的原因也是非常简单的，深入的说明在附录常见问题与解答的NEW状态的SYN/ACK包 里。基本上，我们这样做是出于对其他主机的好意，因为我们为他们预防了序列号预测攻击（sequence number prediction）。7.2.6.2. allowed链如果包是从$INET_IFACE进入的，而且是TCP包，那它就要经过tcp_packets 链的检验。如果这个连接就是冲着被允许通过的端口来的，我们还要对它进行一些检查，以确定是否真的要接受它。这些“最后的审判”都是在allowed链里进行的。首先，我们看看这个包是否是SYN包，如果是，它很可能是新连接的第一个包，我们当然接受

25、了。如果不是，那就看看包是否来自某个ESTABLISHED或RELATED状态的连接，是的话，就接受。ESTABLISHED状态的连接是那种在两个方向上都有流量存在的连接。依据状态机制的观点，这个连接一定处于是ESTABLISHED状态的，因为我们现在能看到这个包，说明以前肯定收到了相应的SYN包。最后一条规则将DROP所有其他的包。当包到达最后这条规则，就几乎意味着所有连接都不会有双向的交流，也就是说，我们不会回应 SYN包。当试图用非SYN包开始新的连接时，包也会走到这条规则。不用SYN包建立新连接没有什么实际的用处，当然，端口扫描要排除在外。就我知道的而言，现在没有什么有用的TCP/ I

26、P程序会使用SYN包以外的包来打开一个TCP连接。因此，我们要把这样的包DROP掉，我有99%的把握说它们是端口扫描用的。7.2.6.3. 处理TCP的链tcp_packets链指定了哪些端口可从Internet访问。但我们还要对进入的包做更多的检查，因此，每个包都会被发送到上面提到的allowed链。-A tcp_packets告诉iptables要在哪条链里增加规则，规则被放在指定链的末尾。-p TCP指定要匹配的是TCP包，-s 0/0说明要匹配的源地址是从网络掩码为0.0.0.0的地址0.0.0.0开始的，换句话说，就是所有的地址。这实际上是默认值，我写出来只是尽可能使你更明白。-dp

27、ort 21指定目的端口，也就是说如果包是发往端口21的，就会被匹配。如果所有的标准都匹配了，包就要被送往allowed链。TCP的21号端口也是允许访问的，也就是FTP的控制端口，它可以控制FTP连接，前面提到过，我还允许所有RELATED状态的连接通过。这样，我们也就可以使用PASSIVE（主动）和ACTIVE（被动）的连接了，当然，要事先装载ip_conntrack_ftp模块。如果我们不想再提供 FTP服务，就卸载ip_conntrack_ftp模块，并把$IPTABLES -A tcp_packets -p TCP -s 0/0 -dport 21 -j allowed 这一行从文件

28、 rc.firewall.txt里删掉。22号端口是SSH使用的。如果你允许外网的如何人都能通过telnet（使用23号端口）访问你的机子，那你还是使用SSH吧，它的安全性要好很多。注意，你操作的是防火墙，把任何访问权分配给除你自己之外的人都不是什么好主意。防火墙总是应该尽量少地暴露自己。80是HTTP端口，也就是说你在防火墙上运行了网页服务。如果你不提供网页服务，就删掉这条规则吧。最后我们还提供了IDENTD服务，端口是113。这个服务对某些协议是必须的，如IRC。注意，如果你NAT一些在内网里的主机的话，软件oidentd也值得一用，它会把 IDENTD请求中继给内网里正确的机子。如果没有

29、匹配上面任何一条规则，包就会被送回tcp_packets链的父链，也就是把它发到 tcp_packets链的那条规则所在的链。如果你想打开更多的端口，只要对tcp_packets链里的任何一行使用“复制、粘贴大法”，再修改一下端口号即可。7.2.6.4. 处理UDP的链如果我们在INPUT链中遇到了UDP包，就把它发送到udp_packets链。在那里，我们只处理UDP包，所以要用-p UDP来指定相应的协议。我们接受来自任何地址的包，故有-s 0/0，这其实就是源地址选项的默认值，但为了更明确，我们还是把它写出来了。此外，我们只接受发往特定端口的包，这些端口是我们想对Internet开放的。

30、注意，我们不需要依据发送端的源端口来决定是否打开某个端口，这个工作是由状态机制完成的。如果我们想运行某个使用 UDP端口的服务（如DNS），只要开放相应的端口，其他的端口不需要打开。那些处于 ESTABLISHED状态、正在进入防火墙的包在到达包含-state ESTABLISHED,RELATED的规则（这是 INPUT链里那些“处理来自Internet的包的规则”中的第一条规则）之后就会被接受了。 我们不接受外来的以53号端口为目的的UDP包，也就是说，我们不想接受外来的DNS查询。其实，规则已经写好了，我只是把它给注释掉了。如果你想把防火墙作为一台允许Internet访问的DNS 服务器

31、，那就把注释符号去掉。就我个人而言，我会打开123号端口，它对应的协议是network time protocol，简称NTP 。我们可以利用这个协议与某台具有精确时间的时间服务器联系，以设置本机的时间。你们中的大部分可能用不到此协议，所以我也把它注释掉了，虽然我已经写出了规则。我打开了2074号端口，它是某些实时的多媒体应用程序使用的。比如speak freely ，你可以用这个程序通过音箱、麦克风或耳麦与其他人进行实时交谈。如果你不需要，就把这条规则注释掉吧。端口4000相应的协议是ICQ协议，由ICQ使用，世界上使用最广泛的聊天程序之一，“地球人都知道”。Linux上至少有2-3种不同的

32、ICQ克隆。我想不必解释为什么要开放这个端口了吧。（译者注：国产的聊天程序，常见的是QQ（端口8000），现在又有了UC（端口3001）等。）如果你正在经历日志满天飞的苦恼，这里有两个额外的规则可以使用，当然，这要看是因为什么引起的了。我们这里的第一条规则会阻塞目的端口是135到139的广播包。大部分Microsoft使用者会用到NetBIOS 或SMB，而它们就使用这些广播包。这条规则可以阻塞所有位于外网的那些Microsoft Network产生的广播包，我们的日志也就可以简洁一些了。第二条规则也是解决日志问题，不过问题的产生者变了，这回是外网的DHCP查询。如果你的外网是由非交换的以太网组成的，在那里客户机可以通过DHCP 得到IP地址，也就是说，如果外网里会有很多DHCP查询广播包，那就启用这条规则吧。注意，我把最后这两条规则也注释掉了，因为有些人可能想看看相关的记录。如果你正经历“合法日志过