用iptales實現包過慮型防火牆

　　摘要：本文介紹Linux2.4.x內核中的防火牆工具--iptables的原理與配置，同時還給出了實際運用的例子，在文章的最後歸納了iptables與ipchains的區別。 一、 概述 從1.1內核開始，linux就已經具有包過慮功能了，在2.0的內核中我們采用ipfwadm來操作內核包過慮規則。之後在2.2內核中，采用了大家並不陌生的ipchains來控制內核包過慮規則。現在最新linux內核版本是2.4.1，在2.4內核中我們不再使用ipchains，而是采用一個全新的內核包過慮管理工具--iptables。 這個全新的內核包過慮工具將使用戶更易於理解其工作原理，更容易被使用，當然也將具有更為強大的功能。 我們說過iptables只是一個管理內核包過慮的工具，iptables 可以加入、插入或刪除核心包過濾表格(鏈)中的規則。實際上真正來執行這些過慮規則的是netfilter(Linux 核心中一個通用架構)及其相關模塊(如iptables模塊和nat模塊),下面我們一起來看看netfilter的工作原理。 二、 原理 netfilter是Linux 核心中一個通用架構，它提供了一系列的"表"(tables)，每個表由若干"鏈"(chains)組成，而每條鏈中可以有一條或數條規則(rule)組成。我們可以這樣來理解，netfilter是表的容器，表是鏈的容器，而鏈又是規則的容器(如圖一所示)。 系統缺省的表為"filter"，該表中包含了INPUT、FORWARD和OUTPUT 3個鏈。每一條鏈中可以有一條或數條規則，每一條規則都是這樣定義的“如果數據包頭符合這樣的條件，就這樣處理這個數據包”。當一個數據包到達一個鏈時，系統就會從第一條規則開始檢查，看是否符合該規則所定義的條件: 如果滿足,系統將根據該條規則所定義的方法處理該數據包；如果不滿足則繼續檢查下一條規則。最後，如果該數據包不符合該鏈中任一條規則的話，系統就會根據該鏈預先定義的策略(policy)來處理該數據包。 數據包在filter表中的流程如圖二所示。有數據包進入系統時，系統首先根據路由表決定將數據包發給哪一條鏈，則可能有三種情況： 1. 如果數據包的目的地址是本機，則系統將數據包送往INPUT鏈，如果通過規則檢查，則該包被發給相應的本地進程處理；如果沒通過規則檢查，系統就會將這個包丟掉； 2. 如果數據包的目的地址不是本機，也就是說，這個包將被轉發，則系統將數據包送往FORWARD鏈，如果通過規則檢查，則該包被發給相應的本地進程處理；如果沒通過規則檢查，系統就會將這個包丟掉； 3. 如果數據包是由本地系統進程產生的，則系統將其送往OUTPUT鏈，如果通過規則檢查，則該包被發給相應的本地進程處理；如果沒通過規則檢查，系統就會將這個包丟掉。 從以上我們可以看出，netfilter比起以前的ipfwadm和ipchains思路上清晰了好多，也好理解了好多，這對於原先對ipfwadm和ipchains總是感到一頭霧水的用戶來說無疑是一個福音。 三、 准備工作 1. 系統需求 netfilter要求內核版本不低於2.3.5，在編譯新內核時，要求選擇和netfilter相關的項目。這些項目通常都是位於“Networking options”子項下。以2.4.0內核為例，我們應該選中的項目有： [*] Kernel/User netlink socket [ ] Routing messages <*> Netlink device emulation [*] Network packet filtering (replaces ipchains) ....... 然後，在“IP: Netfilter Configuration ---->”選中： Connection tracking (required for masq/NAT) FTP protocol support IP tables support (required for filtering/masq/NAT) limit match support MAC address match support Netfilter MARK match support Multiple port match support TOS match support Connection state match support Packet filtering REJECT target support Full NAT MASQUERADE target support REDIRECT target support Packet mangling TOS target support MARK target support LOG target support ipchains (2.2-style) support ipfwadm (2.0-style) support 其中最後兩個項目可以不選，但是如果你比較懷念ipchains或者ipfwadm，你也可以將其選中，以便在2.4內核中使用ipchians或ipfwadm。但是需要注意的是，iptables是和ipchians/ipfwadm相對立的，在使用iptables的同時就不能同時使用ipchains/ipfwadm。編譯成功後，這些模塊文件都位於以下目錄中


/lib/modules/2.4.0/kernel/net/ipv4/netfilter 編譯2.4.0的新內核時還應該注意要在“Processor type and features”中選擇和你的CPU相對應的正確的CPU選項，否則新內核可能無法正常工作。 2. 載入模塊 要使用iptables，還必須載入相關模塊。可以使用以下命令載入相關模塊： #modprobe iptable_tables modprobe命令會自動載入指定模塊及其相關模塊。iptables_filter模塊會在運行時自動載入。 三、 語法 1. 對鏈的操作 建立一個新鏈 (-N)。 刪除一個空鏈 (-X)。 改變一個內建鏈的原則 (-P)。 列出一個鏈中的規則 (-L)。 清除一個鏈中的所有規則 (-F)。 歸零(zero) 一個鏈中所有規則的封包字節(byte) 記數器 (-Z)。 2. 對規則的操作 加入(append) 一個新規則到一個鏈 (-A)的最後。 在鏈內某個位置插入(insert) 一個新規則(-I)，通常是插在最前面。 在鏈內某個位置替換(replace) 一條規則 (-R)。 在鏈內某個位置刪除(delete) 一條規則 (-D)。 刪除(delete) 鏈內第一條規則 (-D)。 3. 指定源地址和目的地址 通過--source/--src/-s來指定源地址(這裡的/表示或者的意思，下同)，通過--destination/--dst/-s來指定目的地址。可以使用以下四中方法來指定ip地址： a. 使用完整的域名，如“www.linuxaid.com.cn”； b. 使用ip地址，如“192.168.1.1”； c. 用x.x.x.x/x.x.x.x指定一個網絡地址，如“192.168.1.0/255.255.255.0”; d. 用x.x.x.x/x指定一個網絡地址，如“192.168.1.0/24”這裡的24表明了子網掩碼的有效位數，這是 UNIX環境中通常使用的表示方法。 缺省的子網掩碼數是32，也就是說指定192.168.1.1等效於192.168.1.1/32。 4. 指定協議 可以通過--protocol/-p選項來指定協議，比如-p tcp。 5. 指定網絡接口將 可以使用--in-interface/-i或--out-interface/-o來指定網絡接口。需要注意的是，對於INPUT鏈來說，只可能有-i，也即只會有進入的包；通理，對於OUTPUT鏈來說，只可能有-o，也即只會有出去的包。只有FORWARD鏈既可以有-i的網絡接口，也可以有-o的網絡接口。我們也可以指定一個當前並不存在的網絡接口，比如ppp0，這時只有撥號成功後該規則才有效。 6. 指定ip碎片 在TCP/IP通訊過程中，每一個網絡接口都有一個最大傳輸單元(MTU)，這個參數定義了可以通過的數據包的最大尺寸。如果一個數據包大於這個參數值時，系統會將其劃分成更小的數個數據包(稱之為ip碎片)來傳輸，而接收方則對這些ip碎片再進行重組以還原整個包。 但是再進行包過濾的時候，ip碎片會導致這樣一個問題：當系統將大數據包劃分成ip碎片傳送時，第一個碎片含有完整的包頭信息，但是後續的碎片只有包頭的部分信息，比如源地址，目的地址。因此假如我們有這樣一條規則： iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 --dport 80 -j ACCEPT 並且這時的FORWARD的策略(policy)為DROP時，系統只會讓第一個ip碎片通過，而丟掉其余的ip碎片，因為第一個碎片含有完整的包頭信息，可以滿足該規則的條件，而余下的碎片因為包頭信息不完整而無法滿足規則定義的條件，因而無法通過。 我們可以通過--fragment/-f選項來指定第二個及其以後的ip碎片，比如以上面的例子為例，我們可以再加上這樣一條規則來解決這個問題： iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT 但是需要注意的是，現在已經有好多進行ip碎片攻擊的實例(比如向Win98 NT4/SP5,6 Win2K發送大量的ip碎片進行DoS攻擊)，因此允許ip碎片通過是有安全隱患的，對於這一點我們可以采用iptables的匹配擴展來進行限制，但是這又會影響服務質量，我們將在下面討論這個問題。 7. 指定非 可以在某些選項前加上!來表示非指定值，比如“-s -! 192.168.1.1/32”表示除了192.168.1.1以外的ip地址，“-p -! tcp”表示除了tcp以外的協議。 8. TCP匹配擴展 通過使用--tcp-flags選項可以根據tcp包的標志位進行過濾，該選項後接兩個參數：第一個參數為要檢查的標志位，可以是SYN，ACK，FIN，RST，URG，PSH的組合，可以用ALL指定所有標志位；第二個參數是標志位值為1的標志。比如你要過濾掉所有SYN標志位為1的tcp包，可以使用以下規則： iptables -A FORWARD -p tcp --tcp-flags ALL SYN -j DROP

選項--syn是以上的一種特殊情況，相當於“--tcp-flags SYN,RST,ACK SYN”的簡寫。 9. mac匹配擴展 可以使用-m選項來擴展匹配內容。使用--match mac/-m mac匹配擴展可以用來檢查ip數據包的源mac地址。只要在-

iptables -A FORWARD -p tcp --tcp-flags ALL SYN -j DROP 選項--syn是以上的一種特殊情況，相當於“--tcp-flags SYN,RST,ACK SYN”的簡寫。 9. mac匹配擴展 可以使用-m選項來擴展匹配內容。使用--match mac/-m mac匹配擴展可以用來檢查ip數據包的源mac地址。只要在-