linux透明防火墙网桥模式.docx

linux透明防火墙网桥模式.docx

《linux透明防火墙网桥模式.docx》由会员分享，可在线阅读，更多相关《linux透明防火墙网桥模式.docx（15页珍藏版）》请在冰点文库上搜索。

linux透明防火墙网桥模式

 一、网络结构

 在现有网络中增加防火墙，主要作用为控制内部上网等等。

要求可以灵活控制，包括时间段不同控制，流量限制等。

 现有网络拓扑图：

 由于安装防火墙时要求不需要修改内网服务器和PC机配置，所以采用透明防火墙（网桥模式）。

 修改后拓扑图：

 防火墙需要三块网卡，其中两块网卡做网桥，一块网卡配置ip做为管理用网卡。

内部网络要访问不同网段，数据包需要路由转换，这时就要通过防火墙才能到达路由。

防火墙采用linux系统，使用iptables和ebtables进行过滤数据包。

经过测试交换机划分vlan在路由器终结数据包，这样的数据包可以在iptables和ebtables中进行分析处理。

网桥在网络的第二层，iptables和ebtables在linux2.6内核中可以分析到第二层的数据包。

二、防火墙工具分析

 1）iptables说明

Iptables对数据包的处理流程：

数据包进入系统，经过IP校验后经过PREROUTING链中的Mangle和Nat的处理；再经过路由查找，决定该数据包需要转发还是发给本机；如果该数据包是发给本机的，则经过INPUT链的Mangle和Filter处理后再传递给上层协议；如果需要转发，则发给FORWARD链的Mangle和Filter进行处理；本机网络层以上各层产生的数据包通过OUTPUT链的Mangle、Nat、Filter处理后，再进行路由选择；所有需要发送到网络中的数据包，都必须经过POSTROUTING链的Mangle和Nat进行处理。

 2）ebtalbles说明

Ebtables对数据帧的处理过程：

数据帧进入数据链路层，首先经过BROURING链的Broute处理，决定是直接路由该数据帧还是让它进入到PREROUTING链，如果数据帧的目的地址和源地址在同一个网段，网桥会屏蔽它；如果数据帧是多播帧或广播帧，则要在同一网段中除了接收端口以外的其他端口发送这个数据帧。

接下来，数据帧到达PREROUTING链后可以改变目的MAC地址（DNAT）；当数据帧通过PREROUTING链后，Ebtables将会根据该数据帧的目的MAC地址决定是否转发该帧，如果这个帧的目的MAC是本机的，就会进入到INPUT链，在这个链中，可以过滤进入本机的数据帧，通过INPUT链后，就到达网络层，数据帧变成数据包；如果数据帧的目的MAC不是本机的，它进入FORWARD链，FORWARD链将过滤数据帧；然后这个数据帧就会到达POSTROUTING链，在这里可以改变数据帧的源MAC地址（SNAT）。

由本机产生的帧，首先判断是否需要Bridging，如果不需要则进行直接路由；如果需要就会进入到OUTPUT链中，以对数据帧改变目的MAC地址（DNAT）和过滤，接下来这个帧到达POSTROUTING链，这个链可以改变数据帧的源MAC地址（SNAT）；最后，这个帧就到达了NIC。

 3）桥接方式的处理流程

当数据帧进入Linux网桥后，先通过Ebtables的BROUTING链和PREROUTING链；接下来，经过Iptables的PREROUTING链，这时还是在数据链路层，而不是在Iptables通常起作用的网络层，这就是br_nf帮助数据帧在数据链路层可以经过Iptables链的作用；然后，经过Ebtables的FORWARD链和Iptables的FORWARD链；最后，先后经过Ebtables和Iptables的POSTROUTING链。

 4）总结

从前面的叙述，可以看到无论桥接还是路由方式，数据帧都会经过Iptables的FORWARD链，这样就可以利用Iptables/Ebtables设计一个网桥防火墙。

Linux2.6中的Ebtables/Iptables是一个非常强大的防火墙系统，可以同时在数据链路层和网络层对数据帧或数据包进行过滤、地址转换、数据包传输特性的改变。

利用Ebtables/Iptables可以构建一个网桥路由器，尤其重要的是它还可以连接不同协议的网络，实现过滤等功能。

因此，利用Ebtables/Iptables可以构建一种简单宜用、功能强大、经济高效的网桥防火墙。

由于iptables功能比ebtables更强大，应用也较为广泛，所以一般都使用iptables来做防火墙。

三、系统安装

 centoslinux5.0是使用linux2.6内核的操作系统。

 1）系统安装

1．输入linuxtext选择text安装模式。

2．安装时语言环境选English。

3．键盘类型选us。

4．鼠标选择No-mouse。

5．安装类型选Custom。

6．分区设置：

  /boot ext3  100M   启动分区

  /  ext3  10G    系统分区

  Swap swap 1G    虚拟内存

  /var  ext3  剩余空间  日志分区

7．使用GRUBBootloader。

8．不增加参数在BootLoaderConfiguration。

9．不为BootLoader设置密码。

10．设置BootLoader启动Linux。

11．将BootLoader安装在硬盘的MBR。

12．网络设置，默认安装后进行配置。

13．主机名称视情况而定，预定为UC-WEB-数字。

14．防火墙的安全级别设为Nofirewall。

15．语言支持选English（USA）和Chinese（P.R.ofChina）。

16．默认语言为English（USA）。

17．时区选Asia/Shanghai。

18．RootPassword为：

redhat

19．AuthenticationConfiguration启用UseShadowPasswords和EnableMD5Passwords。

20．PackageGroup选择：

     @Editors

21．不必创建BootDiskette。

22．配置显示选项，指定启动时进入文本模式。

OS安装完毕。

2）系统配置

1．禁用多于服务

rm/etc/rc.d/rc3.d/*-rf

chkconfigcrondon

chkconfignetworkon

chkconfigrsyncon

chkconfigsshdon

chkconfigsyslogon

chkconfigxinetdon

chkconfigiptableson

2．定时同步时间

crontab-e

加入

1003***/usr/sbin/ntpdate-utick.ucla.eduntp.nasa.govtimekeeper.isi.eduusno.pa-

3．关闭ipv6

echo"aliasnet-pf-10off">>/etc/modprobe.conf.dist

4．修改默认启动内核

vi/boot/grub/gurb.conf

   修改默认启动内核为2.6内核，不要使用加有xen（虚拟技术）的内核。

四、防火墙的实现

1）配置网卡

1.网桥配置

brctladdbr0

建立网桥

touch/etc/sysconfig/network-scripts/ifcfg-br0

建立网桥配置文件ifcfg-br0

vi/etc/sysconfig/network-scripts/ifcfg-br0

DEVICE=br0

TYPE=Bridge

BOOTPROTO=static

IPADDR=0.0.0.0

ONBOOT=yes

2.添加网卡到网桥

把eth1和eth2两网卡添加到网桥中。

eth0一般为主板集成网卡性能不好，所以用作管理网卡

初始化网卡

ifconfig eth10.0.0.0up

ifconfig eth10.0.0.0up

添加网卡到网桥

brctladdif br0eth0eth1

查看网桥信息

brctlshow

修改eth1网卡配置文件

vi/etc/sysconfig/network-scripts/ifcfg-eth1

          DEVICE=eth1

          TYPE=Ethernet

          BOOTPROTO=static

IPADDR=0.0.0.0

          ONBOOT=yes

          BRIDGE=br0

修改eth2网卡配置文件

vi/etc/sysconfig/network-scripts/ifcfg-eth2

          DEVICE=eth2

          TYPE=Ethernet

          BOOTPROTO=static

IPADDR=0.0.0.0

          ONBOOT=yes

          BRIDGE=br0

3.配置管理网卡

修改eth0网卡配置文件

vi/etc/sysconfig/network-scripts/ifcfg-eth0

          DEVICE=eth0

          TYPE=Ethernet

          BOOTPROTO=static

IPADDR=10.0.254.252

NETMASK=255.255.252.0

GATEWAY=10.0.254.254

          ONBOOT=yes

          BRIDGE=br0

2）防火墙配置

实施防火墙策略的一般过程是先禁止所有的转发数据帧或数据包通过，然后再根据需要设定数据帧或数据包的过滤规则。

1.禁止所有

iptables-FINPUT

iptables-FFORWARD

iptables-FOUTPUT

清除iptables中全部规则

iptables-PINPUTACCEPT

iptables-PFORWARDDROP

iptables-POUTPUTACCEPT

修改默认策略

2.允许访问规则

iptables-AFORWARD-picmp-mlimit–limit4/s-jACCEPT

允许icmp

Iptables-AFORWARD-d10.0.254.0/255.255.255.0–jACCEPT

允许任何地址访问254网段

Iptables-AFORWARD-s10.0.2.36–jACCEPT

允许10.0.2.36访问任何地址

3．定时修改

将访问列表写在一个shell脚本中，在crontab–e中定时执行脚本。

附Ebtables使用规则如下：

ebtables[-ttable]-[ADI]chainrule-specification[match-extensions][watcher-extensions]

-ttable:

一般为FORWARD链。

－ADI：

A添加到现有链的末尾；D删除规则链（必须指明规则链号）；I插入新的规则链（必须指明规则链号）。

-P:

规则表的默认规则的设置。

可以DROP,ACCEPT,RETURN。

-F:

对所有的规则表的规则链清空。

-L:

指明规则表。

可加参数，–Lc,–Ln

-p:

指明使用的协议类型，ipv4,arp等可选（使用时必选）详情见/etc/ethertypes

–ip-proto:

IP包的类型，1为ICMP包，6为TCP包，17为UDP包，在/etc/protocols下有详细说明

–ip-src:

IP包的源地址

–ip-dst:

IP包的目的地址

–ip-sport:

IP包的源端口

–ip-dport:

IP包的目的端口

-i:

指明从那片网卡进入

-o:

指明从那片网卡出去

简单配置规则如下：

#!

/bin/bash

echo"Theebtablesstart!

"

ebtables-PFORWARDACCEPT 

ebtables-PINPUTACCEPT

ebtables-POUTPUTACCEPT

ebtables-F 

ebtables-AFORWARD-pipv4-ieth0/eth1–ip-proto（6/17）–ip-dst（目的IP） –ip-dport（目的端口）-jDROP

ebtables-AFPRWARD-pipv4-ieth0/eth1–ip-proto（7/17）–ip-src（源IP）–ip-sport（源端口）-j

DROP

附iptables基本命令使用举例

一、链的基本操作

1、清除所有的规则。

1）清除预设表filter中所有规则链中的规则。

#iptables-F

2）清除预设表filter中使用者自定链中的规则。

#iptables-X

#iptables-Z

2、设置链的默认策略。

一般有两种方法。

1）首先允许所有的包，然后再禁止有危险的包通过放火墙。

#iptables-PINPUTACCEPT

#iptables-POUTPUTACCEPT

#iptables-PFORWARDACCEPT

2）首先禁止所有的包，然后根据需要的服务允许特定的包通过防火墙。

#iptables-PINPUTDROP

#iptables-POUTPUTDROP

#iptables-PFORWARDDROP

3、列出表/链中的所有规则。

默认只列出filter表。

#iptables-L

4、向链中添加规则。

下面的语句用于开放网络接口：

#iptables-AINPUT-ilo-jACCEPT

#iptables-AOUTPUT-olo-jACCEPT

#iptables-AINPUT-ieth0-jACEPT

#iptables-AOUTPUT-oeth1-jACCEPT

#iptables-AFORWARD-ieth1-jACCEPT

#iptables-AFORWARD-0eth1-jACCEPT

注意:

由于本地进程不会经过FORWARD链，因此回环接口lo只在INPUT和OUTPUT两个链上作用。

5、使用者自定义链。

#iptables-Ncustom

#iptables-Acustom-s0/0-d0/0-picmp-jDROP

#iptables-AINPUT-s0/0-d0/0-jDROP

二、设置基本的规则匹配

1、指定协议匹配。

1）匹配指定协议。

#iptables-AINPUT-ptcp

2）匹配指定协议之外的所有协议。

#iptables-AINPUT-p!

tcp

2、指定地址匹配。

1）指定匹配的主机。

#iptables-AINPUT-s192.168.0.18

2）指定匹配的网络。

#iptables-AINPUT-s192.168.2.0/24

3）匹配指定主机之外的地址。

#iptables-AFORWARD-s!

192.168.0.19

4）匹配指定网络之外的网络。

#iptables-AFORWARD-s!

192.168.3.0/24

3、指定网络接口匹配。

1）指定单一的网络接口匹配。

#iptables-AINPUT-ieth0

#iptables-AFORWARD-oeth0

2）指定同类型的网络接口匹配。

#iptables-AFORWARD-oppp+

4、指定端口匹配。

1）指定单一端口匹配。

#iptables-AINPUT-ptcp–sportwww

#iptables-AINPUT-pudp–dport53

2）匹配指定端口之外的端口。

#iptables-AINPUT-ptcp–dport!

22

3）匹配端口范围。

#iptables-AINPUT-ptcp–sport22:

80

4）匹配ICMP端口和ICMP类型。

#iptables-AINOUT-picmp–icimp-type8

5）指定ip碎片。

每个网络接口都有一个MTU（最大传输单元），这个参数定义了可以通过的数据包的最大尺寸。

如果一个数据包大于这个参数值时，系统会将其划分成更小的数据包（称为ip碎片）来传输，而接受方则对这些ip碎片再进行重组以还原整个包。

这样会导致一个问题：

当系统将大数据包划分成ip碎片传输时，第一个碎片含有完整的包头信息（IP+TCP、UDP和ICMP），但是后续的碎片只有包头的部分信息（如源地址、目的地址）。

因此，检查后面的ip碎片的头部（象有TCP、UDP和ICMP一样）是不可能的。

假如有这样的一条规则：

#iptables-AFORWARD-ptcp-s192.168.1.0/24-d192.168.2.100–dport80-jACCEPT

并且这时的FORWARD的policy为DROP时，系统只会让第一个ip碎片通过，而余下的碎片因为包头信息不完整而无法通过。

可以通过—fragment/-f选项来指定第二个及以后的ip碎片解决上述问题。

#iptables-AFORWARD-f-s192.168.1.0/24-d192.168.2.100-jACCEPT

注意现在有许多进行ip碎片攻击的实例，如DoS攻击，因此允许ip碎片通过是有安全隐患的，对于这一点可以采用iptables的匹配扩展来进行限制。

三、设置扩展的规则匹配（举例已忽略目标动作）

1、多端口匹配。

1）匹配多个源端口。

#iptables-AINPUT-ptcp-mmultiport–sport22,53,80,110

2）匹配多个目的端口。

#iptables-AINPUT-ptcp-mmultiport–dpoort22,53,80

3）匹配多端口（无论是源端口还是目的端口）

#iptables-AINPUT-ptcp-mmultiport–port22,53,80,110

2、指定TCP匹配扩展

使用–tcp-flags选项可以根据tcp包的标志位进行过滤。

#iptables-AINPUT-ptcp–tcp-flagsSYN,FIN,ACKSYN

#iptables-AFROWARD-ptcp–tcp-flagsALLSYN,ACK

上实例中第一个表示SYN、ACK、FIN的标志都检查，但是只有SYN匹配。

第二个表示ALL（SYN，ACK，FIN，RST，URG，PSH）的标志都检查，但是只有设置了SYN和ACK的匹配。

#iptables-AFORWARD-ptcp–syn

选项—syn相当于”–tcp-flagsSYN,RST,ACKSYN”的简写。

3、limit速率匹配扩展。

1）指定单位时间内允许通过的数据包个数，单位时间可以是/second、/minute、/hour、/day或使用第一个子母。

#iptables-AINPUT-mlimit–limit300/hour

2）指定触发事件的阀值。

#iptables-AINPUT-mlimit–limit-burst10

用来比对一次同时涌入的封包是否超过10个，超过此上限的包将直接丢弃。

3）同时指定速率限制和触发阀值。

#iptables-AINPUT-picmp-mlimit–-limit3/m–limit-burst3

表示每分钟允许的最大包数量为限制速率（本例为3）加上当前的触发阀值burst数。

任何情况下，都可保证3个数据包通过，触发阀值burst相当于允许额外的包数量。

4）基于状态的匹配扩展（连接跟踪）

每个网络连接包括以下信息：

源地址、目标地址、源端口、目的端口，称为套接字对（socketpairs）；协议类型、连接状态（TCP协议）和超时时间等。

防火墙把这些信息称为状态（stateful）。

状态包过滤防火墙能在内存中维护一个跟踪状态的表，比简单包过滤防火墙具有更大的安全性，命令格式如下：

iptables-mstate–-state[!

]state[,state,state,state]

其中，state表是一个逗号分割的列表，用来指定连接状态，4种：

>NEW:

该包想要开始一个新的连接（重新连接或连接重定向）

>RELATED:

该包是属于某个已经建立的连接所建立的新连接。

举例：

FTP的数据传输连接和控制连接之间就是RELATED关系。

>ESTABLISHED：

该包属于某个已经建立的连接。

>INVALID:

该包不匹配于任何连接，通常这些包被DROP。

例如：

（1）在INPUT链添加一条规则，匹配已经建立的连接或由已经建立的连接所建立的新连接。

即匹配所有的TCP回应包。

#iptables-AINPUT-mstate–stateRELATED,ESTABLISHED

（2）在INPUT链链添加一条规则，匹配所有从非eth0接口来的连接请求包。

#iptables-AINPUT-mstate-–stateNEW-i!

eth0

又如，对于ftp连接可以使用下面的连接跟踪：

（1）被动（Passive）ftp连接模式。

#iptables-AINPUT-ptcp–sport1024:

–dport1024:

-mstate–-stateESTABLISHED-jACCEPT

#iptables-AOUTPUT-ptcp–sport1024:

–dport1024:

-m

state-–stateESTABLISHED,RELATED-jACCEPT

（2）主动（Active）ftp连接模式

#iptables-AINNPUT-ptcp–sport20-mstate–-stateESTABLISHED,RELATED-jACCEPT

#iptables-AOUTPUT-ptcp–OUTPUT-ptcp–dport20-mstate–stateESTABLISHED-jACCEPT

5）TOS匹配扩展。

四、设置目标扩展

目标扩展由内核模块组成，而且iptables的一个可选扩展提供了新的命令行选项。