摘要:
网络的安全性是一个不可忽视的问题,Linux从早期版本的ipfwadm到2.2的ipch
ains和2.4的netfilter,提供了配置简单而强大的防火墙工具。本文以一个小企业网
络网络为例子,讲述了RedHat7.1下使用ipchains的几个实用配置,其中包括内外网
的IP隐藏(Masquerading)和口转发(Port forwarding);另外给出有效和安全的
rule配置规范。
一、基本知识和假设
1.选择防火墙策略
防火墙一般只有两个策略:
A.除了明确允许,否则拒绝
B.除了明确拒绝,否则允许
第一种更能保证网络的安全性,这也是我们实验采用的策略。
2.网络结构设计
我们的实验网络由一个防火墙和两个局域网组成,防火墙放在内部网和Internet
(专线上网)的中间。 FireWall所在的机器配置两个TpLink8139a/10m网卡,
只有外部网卡上使用合法IP202.116.0.1,其他均为 保留IP。第一个内部网(LAN1)
192.168.1.*局域网连接到网关192.168.1.1,第二个内部网(LAN2)192.168.2.*
局域网连接到网关192.168.2.1。企业的要求是内部网的机器能访问Internet,
并且对外提供www服务。
网络结构图如下:
INTERNET
|
-----------------[202.116.0.1]--------------------------
| | |
|
FireWall |
| | |
---------[192.168.1.1]-----------[192.168.2.1]-----------
|
|
+-------------+
+-------------+
[92.168.1.2] [192.168.1.3] [192.168.2.2] [192.168.2.3](www)
系统要求:
系统版本:RadHat7.1
Ipchains版本:1.3.10(已内置)
二、前期准备
1.安装网卡
实验网络需要3个网卡,按照如下顺序配置:
A.添加配置外部网卡eth0:
#netconfig
IPADDR=202.116.0.1
NETMASK=255.255.255.0
DefalutGW=202.116.0.254
B.添加配置LAN1网卡eth1:
编辑 /etc/sysconfig/network-scripts/ifcfg-eth1
IPADDR=192.168.0.1
NETMASK=255.255.255.0
ONBOOT=yes
C.添加配置LAN2网卡eth2:类似B.
提示:如果没有找到ifcfg-eth1/2文件,可以copyifcfg-eht0进行修改.
不要直接使用ifconfig,否则重启后的重新配置.
2. 配置路由
由于上面的配置只有一个默认网关,还没有完成全部必要的路由,所以还要
手工配置。
编辑 /etc/rc.d/rc.local
在最后一个"fi"前添加如下命令,使得每次启动系统都能自动配置路由:
echo "Setting routes......"
/sbin/route add -net 127.0.0.0
/sbin/route add -net 202.116.0.1 netmask 255.255.255.0 eth0
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 eth1
/sbin/route add -net 192.168.2.0 netmask 255.255.255.0 eth2
/sbin/route add -host 202.116.0.1 eth0
/sbin/route add -host 192.168.1.1 eth1
/sbin/route add -host 192.168.2.1 eth2
/sbin/route add default gw 202.116.0.254
提示:为了能保存配置,不使直接用route.
配置eth1,eth2致关重要,否则本地数据报不可能别转发.
3.加入Ipchains
虽然7.1内置了ipchains,为了保证能正确启动,最好完成下面步骤:
A.添加模组
#linuxconf
选择[Control]->[Control files and systems]->[Configure Linuxconf modules],
点选[firewall]模组。
#reboot (重新开机)
B.启用转发功能
#linuxconf
选择[Networking]->[clinet tasks]->[Routing and gateways]->[Set Defaults],
点选 [X] Enable routing
C.启用规则链
选择[Config]->[Networking]->[Firewalling]->[Firewalling],
启用选择下面三项
Inputing rules (*) are active
Outputing rules (*) are active
Forwarding ules (*) are active
D.启动ipchains
# setup
进入 System,services 选项里,选取ipchains,
确保系统会自动启动防火墙.
提示:B可以用下面方法代替
#/etc/sysconfig/network中添加FORWARD_IPV4=yes
或者:
#echo '1' >/proc/sys/net/ipv4/ip_forward
三、初始化和规则规范
1.虽然可以通过shell执行ipchains配置规则,但为了不小心通过命令行添加和
删除规则,造成防火墙不全安全,也为了能保存已有规则,建议把所有规则
放在一个可执行的shell脚本中,通过修改脚本管理规则,并且通过执行shell
脚本添加规则。
#touch /etc/rc.d/rc.myfirewall
#chmod u+x /etc/rc.d/rc.myfirewall
通过vi管理规则
#./rc.myfirewall导入规则
脚本的格式:
/sbin/ipchains 规则
2.定义全局变量
EXTERNAL_INTERFACE="202.116.0.1"
LAN1_INTERFACE="192.116.1.1"
LAN2_INTERFACE="192.116.2.1"
LOOPBACK_INTERFACE="lo"
3.由于我们采用了"除了明确允许,否则拒绝"的策略,我们的防火墙的初始化部分
如下:
#Set the policy
/sbin/ipchains -P input DENY
/sbin/ipchains -P output DENY
/sbin/ipchains -P forward DENY
#Flush the chains
/sbin/ipchains -F input
/sbin/ipchains -F output
/sbin/ipchains -F forward
#other Firewall rules
4.为了安全可以启动必要的日记记录;
并通过添加用户自定义链优化规则。
四、实验设计和测试
下面按照上面的要求,设计了实验的案例。请注意,实验过程基本上是顺序进
行,因为后一个案例可能依赖于前一个的完成。
1.本地环路访问
原理:由于我们的默认为拒绝所有包,环路接口的数据包也被拒绝,为了能使用
系统日记、X Windows和其他本地UNIX域及基于socket的服务,
必须允许这些数据报通过。
规则:
ipchains -A input -i $LOOKBACK_INTERFACE -j ACCEPT
ipchains -A output -i $LOOKBACK_INTERFACE -j ACCEPT
测试:
ping 202.116.0.1 [ok]
ping 127.0.0.1 [ok]
2.允许内部机器访问Internet
原理:由于内部网使用的不是合法IP,所以无法直接访问Internet,数据包会
被eth0被丢弃。我们使用用到Ip隐藏或Ip欺骗技术,实现单个IP的共享,
即NAT(Net Address Transporting)。其原理是:LAN的数据
报从内部网关上的输出队列转到外部网卡的输入队列前,数据报的源地址
被替换为外部网卡IP即202.116.0.1,再传到Internet上。
规则:
#只允许Internet对外部卡的访问:
ipchains -A output -i eth0 -s EXTERNAL_INTERFACE all -d 0/0 all -j ACCEPT
ipchains -A input -i eth0 -s 0/0 all -d EXTERNAL_INTERFACE all -j ACCEPT
#外部卡上的IP隐藏:
ipchains -A forward -i eth0 -s $LAN1_INTERFACE/24 -j MASQ
ipchains -A forward -i eth0 -s $LAN2_INTERFACE/24 -j MASQ
#允许LAN1访问所有外部IP:
ipchians -A output -i eth1 -s 0/0 all -d 0/0 all -j ACCEPT
ipchians -A input -i eth1 -s 0/0 all -d 0/0 all -j ACCEPT
#允许LAN2访问所有外部IP:
ipchians -A output -i eth2 -s 0/0 all -d 0/0 all -j ACCEPT
ipchians -A input -i eth2 -s 0/0 all -d 0/0 all -j ACCEPT
测试:
【192.168.1.2】:ping InternetIP [ok]
【192.168.2.2】:ping InternetIP [ok]
3.内部多个LAN的相互访问
原理:要求LAN1,LAN2能不需要Ip隐藏地互相访问,只要网关支持转发就可
以。
规则:
#允许从内部网1到内部网2访问:
ipchains -A output -i eth1 -s $LAN1_INTERFACE/24 -d $LAN2_INTERFACE/24 -j ACCEPT
ipchains -A input -i eth1 -s $LAN2_INTERFACE/24 -d $LAN1_INTERFACE/24 -j ACCEPT
ipchains -A forward -i eth1 -s $LAN1_INTERFACE/24 -d $LAN2_INTERFACE/24 -j ACCEPT
#允许从内部网2到内部网1访问:
ipchains -A output -i eth2 -s $LAN1_INTERFACE/24 -d $LAN2_INTERFACE/24 -j ACCEPT
ipchains -A input -i eth2 -s $LAN2_INTERFACE/24 -d $LAN1_INTERFACE/24 -j ACCEPT
ipchains -A forward -i eth2 -s $LAN1_INTERFACE/24 -d $LAN2_INTERFACE/24 -j ACCEPT
测试:
【192.168.1.2上】:ping 192.168.2.3 [ok]
【192.168.2.2上】:ping 192.168.1.3 [ok]
4.允许Internet对内部服务www的访问
原理:外部机器无法访问到内部服务,可以使用代理;另种方法就是利用端
口转发了。端口转发是在IP层内核一级重写数据包,所以应用级代理
更加稳定可靠,速度更快。而且可以在防火墙外部地址上使用IP别名
处理更多的端口转发请求(如若有多台WWW服务器).
在访问过程中分为(见下图),外部机器对内部机器的服务请求及外部机
器对请求的相应, 所以同时用到前面的Masquareding和
Port Forwarding。
LAN 数据报 |---MASQ---| Internet数据报
(www相应)[srcIP:192.168.0.1]-->| Firewall |--> [srcIP:202.116.0.1]
(www请求)[dIP:192.168.0.1:80]<-|-Port FW--|<-[srcIP:202.116.0.1:80]
Linux7.1已经有一个端口转发模块ip_masq_portfw,但是配置和管
理却是通过第三方程序ipmasqadm,可以在下面FTP上找到 ipmasqadm
RPM包。
ftp://ftp.redhat.com/pub/contrib/libc6/i386/
ipmasqadm-0.4.6.i386.rpm
规则:
由于有了前面“允许内部机器访问Internet”的配置,我们所要做的就是启
动外部接口的端口转发规则:
/usr/sbin/ipmasqadm
portfw
-a
-P
tcp
/
- L EXTENAL_INTERFACE
80 -R
192.168.1.2
80
五、后记
ipchains配置比较简单,安全性也比较强,但是随着netfilter的出现,尤其是
由于netfilter 允许建立状态防火墙,能够过滤TCP标志任意组合报文,还能够过滤
MAC地址,所以比ipchains具有的优势。所以会有越来越多的管理员转而使用
Netfilter.
