透明防火墻網(wǎng)橋模式

1、 一、網(wǎng)絡(luò)結(jié)構(gòu) 在現(xiàn)有網(wǎng)絡(luò)中增加防火墻，主要作用為控制內(nèi)部上網(wǎng)等等。要求可以靈活控制，包括時(shí)間段不同控制，流量限制等。 現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D：  由于安裝防火墻時(shí)要求不需要修改內(nèi)網(wǎng)服務(wù)器和PC機(jī)配置，所以采用透明防火墻（網(wǎng)橋模式）。 修改后拓?fù)鋱D： 防火墻需要三塊網(wǎng)卡，其中兩塊網(wǎng)卡做網(wǎng)橋，一塊網(wǎng)卡配置ip做為管理用網(wǎng)卡。內(nèi)部網(wǎng)絡(luò)要訪問不同網(wǎng)段，數(shù)據(jù)包需要路由轉(zhuǎn)換，這時(shí)就要通過防火墻才能到達(dá)路由。防火墻采用linux系統(tǒng)，使用iptables和ebtables進(jìn)行過濾數(shù)據(jù)包。經(jīng)過測(cè)試交換機(jī)劃分vlan在路由器終結(jié)數(shù)據(jù)包，這樣的數(shù)據(jù)包

2、可以在iptables和ebtables中進(jìn)行分析處理。網(wǎng)橋在網(wǎng)絡(luò)的第二層，iptables和ebtables在linux 2.6內(nèi)核中可以分析到第二層的數(shù)據(jù)包。二、防火墻工具分析 1）iptables說明Iptables對(duì)數(shù)據(jù)包的處理流程：數(shù)據(jù)包進(jìn)入系統(tǒng)，經(jīng)過IP校驗(yàn)后經(jīng)過PREROUTING鏈中的Mangle和Nat的處理；再經(jīng)過路由查找，決定該數(shù)據(jù)包需要轉(zhuǎn)發(fā)還是發(fā)給本機(jī)；如果該數(shù)據(jù)包是發(fā)給本機(jī)的，則經(jīng)過INPUT鏈的Mangle和Filter處理后再傳遞給上層協(xié)議；如果需要轉(zhuǎn)發(fā)，則發(fā)給FORWARD鏈的Mangle和Filter進(jìn)行處理；本機(jī)網(wǎng)絡(luò)層以上各層產(chǎn)生的數(shù)據(jù)包通過OUT

3、PUT鏈的Mangle、Nat、Filter處理后，再進(jìn)行路由選擇；所有需要發(fā)送到網(wǎng)絡(luò)中的數(shù)據(jù)包，都必須經(jīng)過POSTROUTING鏈的Mangle和Nat進(jìn)行處理。 2）ebtalbles說明Ebtables對(duì)數(shù)據(jù)幀的處理過程：數(shù)據(jù)幀進(jìn)入數(shù)據(jù)鏈路層，首先經(jīng)過BROURING鏈的Broute處理，決定是直接路由該數(shù)據(jù)幀還是讓它進(jìn)入到PREROUTING鏈，如果數(shù)據(jù)幀的目的地址和源地址在同一個(gè)網(wǎng)段，網(wǎng)橋會(huì)屏蔽它；如果數(shù)據(jù)幀是多播幀或廣播幀，則要在同一網(wǎng)段中除了接收端口以外的其他端口發(fā)送這個(gè)數(shù)據(jù)幀。接下來，數(shù)據(jù)幀到達(dá)PREROUTING鏈后可以改變目的MAC地址（DNAT）；當(dāng)數(shù)據(jù)幀通過P

4、REROUTING鏈后，Ebtables將會(huì)根據(jù)該數(shù)據(jù)幀的目的MAC地址決定是否轉(zhuǎn)發(fā)該幀，如果這個(gè)幀的目的MAC是本機(jī)的，就會(huì)進(jìn)入到INPUT鏈，在這個(gè)鏈中，可以過濾進(jìn)入本機(jī)的數(shù)據(jù)幀，通過INPUT鏈后，就到達(dá)網(wǎng)絡(luò)層，數(shù)據(jù)幀變成數(shù)據(jù)包；如果數(shù)據(jù)幀的目的MAC不是本機(jī)的，它進(jìn)入FORWARD鏈，F(xiàn)ORWARD鏈將過濾數(shù)據(jù)幀；然后這個(gè)數(shù)據(jù)幀就會(huì)到達(dá)POSTROUTING鏈，在這里可以改變數(shù)據(jù)幀的源MAC地址（SNAT）。由本機(jī)產(chǎn)生的幀，首先判斷是否需要Bridging，如果不需要?jiǎng)t進(jìn)行直接路由；如果需要就會(huì)進(jìn)入到OUTPUT鏈中，以對(duì)數(shù)據(jù)幀改變目的MAC地址（DNAT）和過濾，接下來這個(gè)幀到達(dá)PO

5、STROUTING鏈，這個(gè)鏈可以改變數(shù)據(jù)幀的源MAC地址（SNAT）；最后，這個(gè)幀就到達(dá)了NIC。 3）橋接方式的處理流程當(dāng)數(shù)據(jù)幀進(jìn)入Linux網(wǎng)橋后，先通過Ebtables的BROUTING鏈和PREROUTING鏈；接下來，經(jīng)過Iptables的PREROUTING鏈，這時(shí)還是在數(shù)據(jù)鏈路層，而不是在Iptables通常起作用的網(wǎng)絡(luò)層，這就是br_nf幫助數(shù)據(jù)幀在數(shù)據(jù)鏈路層可以經(jīng)過Iptables鏈的作用；然后，經(jīng)過Ebtables的FORWARD鏈和Iptables的FORWARD鏈；最后，先后經(jīng)過Ebtables和Iptables的POSTROUTING鏈。 4）總結(jié)

6、從前面的敘述，可以看到無論橋接還是路由方式，數(shù)據(jù)幀都會(huì)經(jīng)過Iptables的FORWARD鏈，這樣就可以利用Iptables/Ebtables設(shè)計(jì)一個(gè)網(wǎng)橋防火墻。Linux2.6中的Ebtables/ Iptables是一個(gè)非常強(qiáng)大的防火墻系統(tǒng)，可以同時(shí)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層對(duì)數(shù)據(jù)幀或數(shù)據(jù)包進(jìn)行過濾、地址轉(zhuǎn)換、數(shù)據(jù)包傳輸特性的改變。利用Ebtables/ Iptables可以構(gòu)建一個(gè)網(wǎng)橋路由器，尤其重要的是它還可以連接不同協(xié)議的網(wǎng)絡(luò)，實(shí)現(xiàn)過濾等功能。因此，利用Ebtables/Iptables可以構(gòu)建一種簡(jiǎn)單宜用、功能強(qiáng)大、經(jīng)濟(jì)高效的網(wǎng)橋防火墻。由于iptables功能比ebtables更強(qiáng)大，

7、應(yīng)用也較為廣泛，所以一般都使用iptables來做防火墻。三、系統(tǒng)安裝 centos linux 5.0是使用linux 2.6內(nèi)核的操作系統(tǒng)。 1）系統(tǒng)安裝1輸入linux text選擇text安裝模式。2安裝時(shí)語言環(huán)境選English。3鍵盤類型選us。4鼠標(biāo)選擇No-mouse。5安裝類型選Custom。6分區(qū)設(shè)置：  /boot ext3  100M   啟動(dòng)分區(qū)  /  ext3  10G   &

8、#160;系統(tǒng)分區(qū)  Swap swap 1G    虛擬內(nèi)存  /var  ext3  剩余空間  日志分區(qū)7使用GRUB Boot loader。8不增加參數(shù)在Boot Loader Configuration。9不為Boot Loader設(shè)置密碼。10設(shè)置Boot Loader啟動(dòng)Linux。11將Boot Loader安裝在硬盤的MBR。12網(wǎng)絡(luò)設(shè)置，默認(rèn)安裝后進(jìn)行配置。13主機(jī)名稱視情況而定，預(yù)定為UC-WEB-數(shù)字。14防火

9、墻的安全級(jí)別設(shè)為No firewall。15語言支持選English (USA) 和Chinese (P.R. of China)。16默認(rèn)語言為English (USA)。17時(shí)區(qū)選Asia/Shanghai。18Root Password為：redhat19Authentication Configuration啟用Use Shadow Passwords和Enable MD5 Passwords。20Package Group選擇：      Editors21不必創(chuàng)建Boot Diskette。22配置顯示選項(xiàng)，指定啟動(dòng)時(shí)進(jìn)入文本模式。

10、OS安裝完畢。2）系統(tǒng)配置1禁用多于服務(wù)rm /etc/rc.d/rc3.d/* -rfchkconfig crond onchkconfig network onchkconfig rsync onchkconfig sshd onchkconfig syslog onchkconfig xinetd onchkconfig iptables on2定時(shí)同步時(shí)間crontab -e加入10 03 * * * /usr/sbin/ntpdate -u usno.pa-3關(guān)閉ipv6echo "

11、alias net-pf-10 off" >> /etc/modprobe.conf.dist4修改默認(rèn)啟動(dòng)內(nèi)核vi /boot/grub/gurb.conf   修改默認(rèn)啟動(dòng)內(nèi)核為2.6內(nèi)核，不要使用加有xen（虛擬技術(shù)）的內(nèi)核。四、防火墻的實(shí)現(xiàn)1）配置網(wǎng)卡1.網(wǎng)橋配置brctl add br0建立網(wǎng)橋touch /etc/sysconfig/network-scripts/ifcfg-br0建立網(wǎng)橋配置文件ifcfg-br0vi /etc/sysconfig/network-scripts/ifcfg-br0DEVICE=br0TYPE=

12、BridgeBOOTPROTO=staticIPADDR=.0ONBOOT=yes2.添加網(wǎng)卡到網(wǎng)橋把eth1和eth2兩網(wǎng)卡添加到網(wǎng)橋中。eth0一般為主板集成網(wǎng)卡性能不好，所以用作管理網(wǎng)卡初始化網(wǎng)卡ifconfig  eth1 upifconfig  eth1 up添加網(wǎng)卡到網(wǎng)橋brctl addif  br0 eth0 eth1查看網(wǎng)橋信息brctl show修改eth1網(wǎng)卡配置文件vi /etc/sysconfig/network-scripts/ifcfg-eth1     

13、;      DEVICE=eth1           TYPE=Ethernet           BOOTPROTO=staticIPADDR=           ONBOOT=yes   

14、60;       BRIDGE=br0修改eth2網(wǎng)卡配置文件vi /etc/sysconfig/network-scripts/ifcfg-eth2           DEVICE=eth2           TYPE=Ethernet        

15、   BOOTPROTO=staticIPADDR=           ONBOOT=yes           BRIDGE=br03.配置管理網(wǎng)卡修改eth0網(wǎng)卡配置文件vi /etc/sysconfig/network-scripts/ifcfg-eth0        

16、60;  DEVICE=eth0           TYPE=Ethernet           BOOTPROTO=staticIPADDR=52NETMASK=GATEWAY=54           ONBOOT=

17、yes           BRIDGE=br02）防火墻配置實(shí)施防火墻策略的一般過程是先禁止所有的轉(zhuǎn)發(fā)數(shù)據(jù)幀或數(shù)據(jù)包通過，然后再根據(jù)需要設(shè)定數(shù)據(jù)幀或數(shù)據(jù)包的過濾規(guī)則。1. 禁止所有iptables -F INPUTiptables -F FORWARDiptables -F OUTPUT清除iptables中全部規(guī)則iptables -P INPUT ACCEPTiptables -P FORWARD DROPiptables -P OUTPUT ACCEPT修改默認(rèn)策略2. 允許訪問規(guī)則ip

18、tables -A FORWARD -p icmp -m limit j ACCEPT允許任何地址訪問254網(wǎng)段Iptables -A FORWARD -s 6 j ACCEPT允許6訪問任何地址3定時(shí)修改將訪問列表寫在一個(gè)shell腳本中，在crontab e中定時(shí)執(zhí)行腳本。附Ebtables使用規(guī)則如下：ebtables -t table -ADI chain rule-specification match-extensions watcher-extensions-t table :一般為FORWARD鏈。ADI：A添加到現(xiàn)有鏈的末尾；D刪除規(guī)則鏈（必須

19、指明規(guī)則鏈號(hào)）；I插入新的規(guī)則鏈（必須指明規(guī)則鏈號(hào)）。-P:規(guī)則表的默認(rèn)規(guī)則的設(shè)置。可以DROP,ACCEPT,RETURN。-F:對(duì)所有的規(guī)則表的規(guī)則鏈清空。-L:指明規(guī)則表。可加參數(shù)，Lc,Ln-p:指明使用的協(xié)議類型，ipv4,arp等可選（使用時(shí)必選）詳情見/etc/ethertypesip-proto:IP包的類型，1為ICMP包，6為TCP包，17為UDP包，在/etc/protocols下有詳細(xì)說明ip-src:IP包的源地址ip-dst:IP包的目的地址ip-sport:IP包的源端口ip-dport:IP包的目的端口-i:指明從那片網(wǎng)卡進(jìn)入-o:指明從那片網(wǎng)卡出去簡(jiǎn)單配置規(guī)則

20、如下：#!/bin/bashecho "The ebtables start !"ebtables -P FORWARD ACCEPT  ebtables -P INPUT ACCEPTebtables -P OUTPUT ACCEPTebtables -F  ebtables -A FORWARD -p ipv4 -i eth0/eth1 ip-proto (6/17) ip-dst(目的IP)  ip-dport(目的端口) -j DROPebtables -A FPRWARD -p ipv4 -i eth0/eth1 ip-proto (

21、7/17) ip-src(源IP) ip-sport(源端口) -jDROP 附iptables 基本命令使用舉例一、鏈的基本操作1、清除所有的規(guī)則。1）清除預(yù)設(shè)表filter中所有規(guī)則鏈中的規(guī)則。# iptables -F2）清除預(yù)設(shè)表filter中使用者自定鏈中的規(guī)則。#iptables -X#iptables -Z2、設(shè)置鏈的默認(rèn)策略。一般有兩種方法。1）首先允許所有的包，然后再禁止有危險(xiǎn)的包通過放火墻。#iptables -P INPUT ACCEPT#iptables -P OUTPUT ACCEPT#iptables -P FORWARD ACCEPT2）首先禁止所有的包

22、，然后根據(jù)需要的服務(wù)允許特定的包通過防火墻。#iptables -P INPUT DROP#iptables -P OUTPUT DROP#iptables -P FORWARD DROP3、列出表/鏈中的所有規(guī)則。默認(rèn)只列出filter表。#iptables -L4、向鏈中添加規(guī)則。下面的語句用于開放網(wǎng)絡(luò)接口：#iptables -A INPUT -i lo -j ACCEPT#iptables -A OUTPUT -o lo -j ACCEPT#iptables -A INPUT -i eth0 -j ACEPT#iptables -A OUTPUT -o eth1 -j ACCEPT#i

23、ptables -A FORWARD -i eth1 -j ACCEPT#iptables -A FORWARD -0 eth1 -j ACCEPT注意:由于本地進(jìn)程不會(huì)經(jīng)過FORWARD鏈，因此回環(huán)接口lo只在INPUT和OUTPUT兩個(gè)鏈上作用。5、使用者自定義鏈。#iptables -N custom#iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROP#iptables -A INPUT -s 0/0 -d 0/0 -j DROP二、設(shè)置基本的規(guī)則匹配1、指定協(xié)議匹配。1）匹配指定協(xié)議。#iptables -A INPUT -p tcp2）匹

24、配指定協(xié)議之外的所有協(xié)議。#iptables -A INPUT -p !tcp2、指定地址匹配。1）指定匹配的主機(jī)。#iptables -A INPUT -s 82）指定匹配的網(wǎng)絡(luò)。#iptables -A INPUT -s /243）匹配指定主機(jī)之外的地址。#iptables -A FORWARD -s !94）匹配指定網(wǎng)絡(luò)之外的網(wǎng)絡(luò)。#iptables -A FORWARD -s ! /243、指定網(wǎng)絡(luò)接口匹配。1）指定單一的網(wǎng)絡(luò)接口匹配。#iptables -A INPUT -i eth0#iptab

25、les -A FORWARD -o eth02）指定同類型的網(wǎng)絡(luò)接口匹配。#iptables -A FORWARD -o ppp+4、指定端口匹配。1）指定單一端口匹配。#iptables -A INPUT -p tcp sport www#iptables -A INPUT -p udp dport 532）匹配指定端口之外的端口。#iptables -A INPUT -p tcp dport !223）匹配端口范圍。#iptables -A INPUT -p tcp sport 22:804）匹配ICMP端口和ICMP類型。#iptables -A INOUT -p icmp icimp-

26、type 85）指定ip碎片。dport 80 -j ACCEPT并且這時(shí)的FORWARD的policy為DROP時(shí)，系統(tǒng)只會(huì)讓第一個(gè)ip碎片通過，而余下的碎片因?yàn)榘^信息不完整而無法通過。可以通過fragment/-f 選項(xiàng)來指定第二個(gè)及以后的ip碎片解決上述問題。#iptables -A FORWARD -f -s /24 -d 00 -j ACCEPT注意現(xiàn)在有許多進(jìn)行ip碎片攻擊的實(shí)例，如DoS攻擊，因此允許ip碎片通過是有安全隱患的，對(duì)于這一點(diǎn)可以采用iptables的匹配擴(kuò)展來進(jìn)行限制。三、設(shè)置擴(kuò)展的規(guī)則匹配（舉例已忽略目標(biāo)動(dòng)作）1、多端

27、口匹配。1）匹配多個(gè)源端口。#iptables -A INPUT -p tcp -m multiport sport 22,53,80,1102）匹配多個(gè)目的端口。#iptables -A INPUT -p tcp -m multiport dpoort 22,53,803）匹配多端口(無論是源端口還是目的端口）#iptables -A INPUT -p tcp -m multiport port 22,53,80,1102、指定TCP匹配擴(kuò)展使用 tcp-flags 選項(xiàng)可以根據(jù)tcp包的標(biāo)志位進(jìn)行過濾。#iptables -A INPUT -p tcp tcp-flags SYN,FIN,

28、ACK SYN#iptables -A FROWARD -p tcp tcp-flags ALL SYN,ACK上實(shí)例中第一個(gè)表示SYN、ACK、FIN的標(biāo)志都檢查，但是只有SYN匹配。第二個(gè)表示ALL（SYN，ACK，F(xiàn)IN，RST，URG，PSH）的標(biāo)志都檢查，但是只有設(shè)置了SYN和ACK的匹配。#iptables -A FORWARD -p tcp syn選項(xiàng)syn相當(dāng)于”tcp-flags SYN,RST,ACK SYN”的簡(jiǎn)寫。3、limit速率匹配擴(kuò)展。1）指定單位時(shí)間內(nèi)允許通過的數(shù)據(jù)包個(gè)數(shù)，單位時(shí)間可以是/second、/minute、/hour、/day或使用第一個(gè)子母。#ip

29、tables -A INPUT -m limit limit 300/hour2 )指定觸發(fā)事件的閥值。#iptables -A INPUT -m limit limit-burst 10用來比對(duì)一次同時(shí)涌入的封包是否超過10個(gè)，超過此上限的包將直接丟棄。3）同時(shí)指定速率限制和觸發(fā)閥值。#iptables -A INPUT -p icmp -m limit -limit 3/m limit-burst 3表示每分鐘允許的最大包數(shù)量為限制速率（本例為3）加上當(dāng)前的觸發(fā)閥值burst數(shù)。任何情況下，都可保證3個(gè)數(shù)據(jù)包通過，觸發(fā)閥值burst相當(dāng)于允許額外的包數(shù)量。4）基于狀態(tài)的匹配擴(kuò)展（連接跟蹤）每個(gè)網(wǎng)絡(luò)連接包括以下信息：源地址、目標(biāo)地址、源端口、目的端口，稱為套接字對(duì)（socket pairs）；協(xié)議類型、連接狀態(tài)（TCP協(xié)議）和超時(shí)時(shí)間等。防火墻把這些信息稱