摘要
用ipchains构建防火墙的具体方法(2002-09-16 13:35:32)
在一些大学里面,都开始了学生宿舍网的架设,在宿舍机器不多的时候,IP似乎是一种很丰富的资源,随便都可以申请到一个,但是随着机器的迅速增长,IP开始出现短缺现象,这就需要架设一个防火墙做IP伪装(IP Masquerade),这样只需要一个真正的IP地址能够正常地访问Internet,局域网内其它机器不需要真正的IP地址,虽然不能象网关机器那样直接地访问Internet,但是可以由网关机器代劳其它机器的Internet访问请求,假装是它自己的。把这台网关机器作为局域网的网关,当它收到来自局域网内其它机器的请求数据包时,进行伪装,然后再转发出去;相应地,当伪装后发出去的数据包得到响应返回时,先对该响应数据包进行还原,再转交给回局域网内真正发出请求的那台机器。
开始之前,先要确定Linux内核支持IP伪装这种功能,在编译内核时,必须选中下列选项:
Network firewalls
IP: firewalling
IP: masquerading
IP: ipportfw masq support
IP: ipautofw masquerade support
IP: ip fwmark masq-forwarding support
IP: ICMP masquerading
然后要命令内核启动IP转发功能:
echo 1 > /proc/sys/net/ipv4/ip_forward
往/proc/sys/net/ipv4/ip_forward里写入"1"就行了。有些功能如ftp, irc等的伪装,需要相应的模块支持,执行以下命令装入它们:
depmod -a
modprobe ip_masq_ftp
modprobe ip_masq_irc
modprobe ip_masq_raudio
现在开始ipchains的设置,假设网关机器的IP是210.34.9.58,内部网络机器的IP是192.98.12.0。
对ipchains过滤器进行设置,就是设置各种链及规则。用以下命令:
ipchains -L
得到类似下面的信息:
Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):
这说明三条链input,output,forward的策略都是接受,同时也没有什么特别的对于特定的链指定的规则。
如果先前有对这三条链定义过什么规则,可以用ipchains –F刷新三条链到最原始状态。第一步就需要把用命令:
ipchains -P forward DENY
把forward链的缺省策略设置成DENY,这样可以防止对一些非法用户的转发。然后执行类似下面的命令:
ipchains -A forward -s 192.98.12.0/24 -j MASQ
来增加1条规则,这条规则对来自192.98.12.0局域网内的数据包进行伪装处理(-j MASQ),24的就是3个8,也就是说明网络掩码为255.255.255.0。
现在执行一下ipchains –L看当前链的策略和规则,可以看见如下信息:
Chain input (policy ACCEPT):
Chain forward (policy DENY):
target prot opt sourcedestination ports
MASQ all ------ 192.98.12.0/24anywhere n/a
Chain output (policy ACCEPT):
最后,要在网关机器上面的路由表信息里面加入到Internet和到内部网络的路由信息:(假设eth0连接Internet,eth1连接内部网络,210.34.9.251是210.34.9.0/24网段的网关)
route add default gw 210.34.9.251 eth0
route add –net 192.98.12.0 netmask 255.255.255.0 eth1
经过这样的配置后,只要内部网络的机器的网关都指定为这台网关机器210.34.9.58,就能象一台具有真正IP的机器一样访问Internet了。
可以做一个脚本文件rc.ipchains,内容如下:
depmod -a
modprobe ip_masq_ftp
modprobe ip_masq_irc
modprobe ip_masq_raudio
ipchains –F
ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -P forward DENY
ipchains -A forward -s 192.98.12.0/24 -j MASQ
然后chmod +x rc.ipchains并在启动脚本rc.local最后加入一行:
/etc/rc.d/rc.ipchains就能实现开机就启动放火墙了。
Ipchains的系统资源占用极低,我们甚至有一次系统运行了一个错误的程序占用了大量的系统资源,发现IP转发还十分正常,个人觉得用一台486的机器都能当网关,而同等硬件条件下的windows机器是别想动了。
还有一个问题就是,ipchains的原理是把使用网关机器的一个断口来转发内部网络机器的一个请求,这样当所有的段口都用完后,还会不会转发?