壹、什么是防火墻
防火墻是一套能夠在兩個或兩個以上的網(wǎng)絡(luò)之間,明顯區(qū)隔出實體線路聯(lián)機(jī)的軟硬件設(shè)備組合。被區(qū)隔開來的網(wǎng)絡(luò),可以透過封包轉(zhuǎn)送技術(shù)來相互通訊,透過防火墻的安全管理機(jī)制,可以決定哪些數(shù)據(jù)可以流通,哪些資料無法流通,藉此達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。
防火墻產(chǎn)品可以概略歸類為硬件式防火墻和軟件式防火墻,但實際上無論是硬件式或軟件式防火墻,它們都需要使用硬件來作為聯(lián)機(jī)介接,也需要使用軟件來設(shè)定安全政策,嚴(yán)格說兩者間的差別并不太大。我們只能從使用的硬件與操作系統(tǒng)來加以區(qū)分,硬件式防火墻是使用專有的硬件,而軟件式防火墻則使用一般的計算機(jī)硬件,硬件式防火墻使用專有的操作系統(tǒng),而軟件式防火墻則使用一般的操作系統(tǒng)。
防火墻依照其運作方式來分類,可以區(qū)分為封包過濾式防火墻 (Packet Filter) 、應(yīng)用層網(wǎng)關(guān)式防火墻 (Application-Level Gateway,也有人把它稱為 Proxy 防火墻)、電路層網(wǎng)關(guān)式防火墻 (Circuit-Level Gateway)。其中被廣為采用的是封包過濾式防火墻,本文要介紹的 iptables 防火墻就是屬于這一種。
封包過濾是最早被實作出來的防火墻技術(shù),它是在 TCP/IP 四層架構(gòu)下的 IP 層中運作。封包過濾器的功能主要是檢查通過的每一個 IP 數(shù)據(jù)封包,如果其標(biāo)頭中所含的數(shù)據(jù)內(nèi)容符合過濾條件的設(shè)定就進(jìn)行進(jìn)一步的處理,主要的處理方式包含:放行(accept)、丟棄(drop)或拒絕(reject)。要進(jìn)行封包過濾,防火墻必須要能分析通過封包的來源 IP 與目的地 IP,還必須能檢查封包類型、來源埠號與目的埠號、封包流向、封包進(jìn)入防火墻的網(wǎng)卡接口、TCP的聯(lián)機(jī)狀態(tài)等數(shù)據(jù)。
防火墻由于種種理由價格一直居高不下,對于貧窮的中小學(xué)來講要采購一臺防火墻,簡直是不可能的任務(wù),而由于 Linux 的風(fēng)行,使用 Linux 來充作軟件式防火墻,似乎是不錯的解決之道,本文擬介紹以 Linux 上最新最強(qiáng)大的 iptables 防火墻軟件,建置出適合學(xué)校使用的過濾規(guī)則,讓缺錢的學(xué)校能有一套好用的防火墻來看守校園網(wǎng)絡(luò)的大門。
貳、Linux 防火墻演變簡史
Linux 最早出現(xiàn)的防火墻軟件稱為 ipfw,ipfw 能透過 IP 封包標(biāo)頭的分析,分辨出封包的來源 IP 與目的地 IP、封包類型、來源埠號與目的埠號、封包流向、封包進(jìn)入防火墻的網(wǎng)卡界面......等,并藉此分析結(jié)果來比對規(guī)則進(jìn)行封包過濾,同時也支持 IP 偽裝的功能,利用這個功能可以解決 IP 不足的問題,可惜這支程序缺乏彈性設(shè)計,無法自行建立規(guī)則組合(ruleset)作更精簡的設(shè)定,同時也缺乏網(wǎng)址轉(zhuǎn)譯功能,無法應(yīng)付越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境,而逐漸被淘汰。
取而代之的 ipchains,不但指令語法更容易理解,功能也較 ipfw 優(yōu)越;ipchains 允許自訂規(guī)則組合(ruleset),稱之為 user-define chains,透過這種設(shè)計,我們可以將彼此相關(guān)的規(guī)則組合在一起,在需要的時候跳到該組規(guī)則進(jìn)行過濾,有效將規(guī)則的數(shù)量大幅縮減,以往 ipfw 僅能進(jìn)行循序過濾,導(dǎo)致規(guī)則又臭又長的毛病,就不藥而愈了。除了這個明顯的好處以外,ipchains 并能結(jié)合本身的端口對應(yīng)功能和 redir 程序的封包轉(zhuǎn)送機(jī)制,模擬出網(wǎng)址轉(zhuǎn)譯的能力,而滿足 NAT 的完整需求,堪稱為一套成熟的防火墻作品。
防火墻軟件的出現(xiàn),確實曾經(jīng)讓駭客們晚上睡不著覺,因為防火墻的阻隔能夠有效讓內(nèi)部網(wǎng)絡(luò)不設(shè)防的單機(jī)不致于暴露在外,也能有效降低服務(wù)器的能見度,減少被攻擊的機(jī)會,駭客過去所用的網(wǎng)絡(luò)探測技術(shù)因此受到嚴(yán)格的挑戰(zhàn),越來越多的攻擊對象躲藏在防火墻后方,讓駭客難以接近,因此必須針對新的情勢,研究出新的探測技術(shù),藉以規(guī)避防火墻的檢查,達(dá)到發(fā)現(xiàn)目標(biāo)并進(jìn)而攻擊入侵的目的,新的技術(shù)非常多,本文并不擬進(jìn)一步討論,請自行參考 CERT 組織的技術(shù)文件,網(wǎng)址是 www.cert.org ,想看中文請連到 www.cert.org.tw。
iptables 作為 ipchains 的新一代繼承人,當(dāng)然也針對駭客不斷推陳出新的探測技術(shù)擬出一些因應(yīng)之道,那就是對封包的聯(lián)機(jī)狀態(tài),作出更詳細(xì)的分析,例如:是否為新聯(lián)機(jī)或響應(yīng)封包、是否為轉(zhuǎn)向聯(lián)機(jī)、聯(lián)機(jī)是否失去響應(yīng),聯(lián)機(jī)時間是否過長......等等,透過這樣的分析能對一些可能被駭客利用的弱點加以阻隔(請詳見后文的說明),另外也開發(fā)出真正的封包改寫能力,不需要透過其它程序的協(xié)助來仿真網(wǎng)址轉(zhuǎn)譯,除此之外,iptables 也獲得系統(tǒng)核心的直接支持,不需要像 ipchains 那樣需要自行重新編譯核心。
iptables 優(yōu)越的性能使它取代了 ipchains,成為網(wǎng)絡(luò)防火墻的主流,而 ipchains 并未被淘汰,目前 ipchains 已經(jīng)轉(zhuǎn)型成單機(jī)防火墻,在安裝新版 Linux 時,會自動被安裝啟用,以保護(hù)單機(jī)上未被使用的通訊端口。
參、iptables 防火墻概論
iptables 防火墻的指令非常類似于 ipchains,使用過 ipchains 的人應(yīng)該很容易上手,但是 iptables 的機(jī)制與 ipchains 有很大的不同,使用 ipchains 的概念來設(shè)定規(guī)則,將會使防火墻無法正常運作。ipchains 跟 iptables 最大的不同在于對 INPUT、FORWARD 、OUTPUT 三個網(wǎng)絡(luò)函式的定義不同,這三個網(wǎng)絡(luò)函式是 TCP/IP 驅(qū)動程序的一部分,結(jié)構(gòu)如下圖所示,是介于網(wǎng)卡驅(qū)動程序和應(yīng)用程序的中間,Linux 核心預(yù)設(shè)會啟用 INPUT、OUTPUT 和 LOOPBACK,而 FORWARD 函式則必須自行啟用,可以使用下面指令,或直接修改 /etc/sysconfig/network 組態(tài)檔:
echo "1" > /proc/sys/net/ipv4/ip_forward
左圖為 ipchains 概念下的運作圖
從上圖可以知道 ipchains 如何處理封包的流動,分述如下:
• IP INPUT:所有封包都由 IP INPUT 函式負(fù)責(zé)處理,所以設(shè)定過濾規(guī)則時,幾乎都是設(shè)定在 INPUT 規(guī)則煉上。
• IP FORWARD:目的 IP 非本機(jī)的 IP,這些封包需要進(jìn)一步作轉(zhuǎn)送處理,此函式用來處理 IP 偽裝和 Port 轉(zhuǎn)送。
• IP OUTPUT:所有流出的封包都由這個函式處理,通常不需設(shè)定任何規(guī)則。
iptables 除了上述三支函式以外,還使用兩個新的函式:Prerouting、Postrouting。現(xiàn)在來比較一下 iptables 的運作模式(loopback 接口與上圖相同,所以省略不畫):
從上圖可以知道 iptables 如何處理封包的流動,分述如下:
• IP INPUT:只有要到達(dá)本機(jī)的封包才會 由 INPUT 函式處理,所以會讓來自內(nèi)部網(wǎng)絡(luò)的封包無條件放行,來自外部網(wǎng)絡(luò)的封包則過濾是否為 響應(yīng)封包,若是則放行。
• PREROUTING:需要轉(zhuǎn)送處理的封包由此函式負(fù)責(zé)處理,此函式用來做目的地 IP 的轉(zhuǎn)譯動作(DNAT)。
• IP FORWARD:所有轉(zhuǎn)送封包都在這里處理,這部分的過濾規(guī)則最復(fù)雜。
• POSTROUTING:轉(zhuǎn)送封包送出之前,先透過這個函式進(jìn)行來源 IP 的轉(zhuǎn)譯動作(SNAT)。
• IP OUTPUT:從本機(jī)送出去的封包由這個函式處理,通常會放行所有封包。
iptables 和 ipchains 都可以自行定義規(guī)則群組(rule-set),規(guī)則群組被稱為規(guī)則煉(chains),前面所描述的函式,也都有相對應(yīng)的規(guī)則煉(INPUT、 FORWARD、OUTPUT、Prerouting、Postrouting),為了有別于自行定義的規(guī)則煉,這些規(guī)則煉我們就稱為內(nèi)建規(guī)則煉,其運作流程仿真如下圖:
從上面兩張假想圖,學(xué)員們不難了解 ipchains 為什么要叫做 chains,因為它是將所有規(guī)則串接成一個序列逐一檢查過濾,就像一條鐵鏈一樣一個環(huán)接一個環(huán),在過濾過程中只要符合其中一條規(guī)則就會立即進(jìn)行處理,如果處理動作是跳到某個規(guī)則群組,則繼續(xù)檢查群組內(nèi)之規(guī)則設(shè)定,但如果處理動作是 ACCEPT、REJECT、DROP、REDIRECT 或 MASQUERADE,則會中斷過濾程序,而不再繼續(xù)檢查后面的規(guī)則設(shè)定,在這樣的結(jié)構(gòu)之下,有時候規(guī)則順序的對調(diào)會產(chǎn)生完全相反的結(jié)果,這一點在設(shè)定防火墻時不能不謹(jǐn)慎。
而 iptables 是采用規(guī)則堆棧的方式來進(jìn)行過濾,當(dāng)一個封包進(jìn)入網(wǎng)卡,會先檢查 Prerouting,然后檢查目的 IP 判斷是否需要轉(zhuǎn)送出去,接著就會跳到 INPUT 或 Forward 進(jìn)行過濾,如果封包需轉(zhuǎn)送處理則檢查 Postrouting,如果是來自本機(jī)封包,則檢查 OUTPUT 以及 Postrouting。過程中如果符合某條規(guī)則將會進(jìn)行處理,處理動作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,還多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等,其中某些處理動作不會中斷過濾程序,某些處理動作則會中斷同一規(guī)則煉的過濾,并依照前述流程繼續(xù)進(jìn)行下一個規(guī)則煉的過濾(注意:這一點與 ipchains 不同),一直到堆棧中的規(guī)則檢查完畢為止。透過這種機(jī)制所帶來的好處是,我們可以進(jìn)行復(fù)雜、多重的封包過濾,簡單的說,iptables 可以進(jìn)行縱橫交錯式的過濾(tables)而非煉狀過濾(chains)。
雖然 iptables 為了擴(kuò)充防火墻功能,而必須采用比較復(fù)雜的過濾流程,但在實際應(yīng)用時,同一規(guī)則煉下的規(guī)則設(shè)定還是有先后順序的關(guān)系,因此在設(shè)定規(guī)則時還是必須注意其中的邏輯。
肆、訂定校園網(wǎng)絡(luò)安全政策
在實際設(shè)定防火墻之前,我們必須根據(jù)校園網(wǎng)絡(luò)的安全需求,先擬定一份安全政策,擬定安全政策前必須搜集以下資料:
1. 找出需要過濾保護(hù)的服務(wù)器
2. 條列出被保護(hù)的服務(wù)器將提供何種網(wǎng)絡(luò)服務(wù)
3. 一般工作站,需要何種等級的保護(hù)
4. 了解網(wǎng)絡(luò)架構(gòu)與服務(wù)器擺放位置
根據(jù)這些數(shù)據(jù),我們可以決定安全政策,以石牌國小為例:
1. 校內(nèi)使用 NAT 虛擬網(wǎng)絡(luò),IP 數(shù)量需要兩組 C,所有 IP 均需作 IP 偽裝
2. 校園內(nèi)安全需求不高,服務(wù)器與工作站擺在同一網(wǎng)段,不需采用 DMZ 設(shè)計
3. 由于服務(wù)器功能經(jīng)常擴(kuò)充,所有服務(wù)器均采用一對一對應(yīng),不使用 port 轉(zhuǎn)送功能
4. 所有工作站均能自由使用網(wǎng)絡(luò)資源,不限制只能看網(wǎng)頁
5. 服務(wù)器提供之服務(wù)包含:dns、web、mail、ftp、wam、webmin、ssh、rdp、pcaw,不提供 proxy 及其它網(wǎng)絡(luò)服務(wù)
6. 為增進(jìn)校園網(wǎng)絡(luò)之安全性,采用正面表列方式進(jìn)行封包過濾(定義想放行之封包,其余封包一律阻擋)
還有一些網(wǎng)絡(luò)安全須注意的事項,則是每所學(xué)校都應(yīng)防范的,沒有等差之別,例如:聯(lián)機(jī)被綁架、阻斷式攻擊、連接端口掃描......等。
伍、iptables 指令
語法:
iptables [-t table] command [match] [-j target/jump]
-t 參數(shù)用來指定規(guī)則表,內(nèi)建的規(guī)則表有三個,分別是:nat、mangle 和 filter,當(dāng)未指定規(guī)則表時,則一律視為是 filter。各個規(guī)則表的功能如下:
nat 此規(guī)則表擁有 Prerouting 和 postrouting 兩個規(guī)則煉,主要功能為進(jìn)行一對一、一對多、多對多等網(wǎng)址轉(zhuǎn)譯工作(SNAT、DNAT),由于轉(zhuǎn)譯工作的特性,需進(jìn)行目的地網(wǎng)址轉(zhuǎn)譯的封包,就不需要進(jìn)行來源網(wǎng)址轉(zhuǎn)譯,反之亦然,因此為了提升改寫封包的效率,在防火墻運作時,每個封包只會經(jīng)過這個規(guī)則表一次。如果我們把封包過濾的規(guī)則定義在這個數(shù)據(jù)表里,將會造成無法對同一封包進(jìn)行多次比對,因此這個規(guī)則表除了作網(wǎng)址轉(zhuǎn)譯外,請不要做其它用途。
mangle 此規(guī)則表擁有 Prerouting、FORWARD 和 postrouting 三個規(guī)則煉。
除了進(jìn)行網(wǎng)址轉(zhuǎn)譯工作會改寫封包外,在某些特殊應(yīng)用可能也必須去改寫封包(TTL、TOS)或者是設(shè)定 MARK(將封包作記號,以便進(jìn)行后續(xù)的過濾),這時就必須將這些工作定義在 mangle 規(guī)則表中,由于使用率不高,我們不打算在這里討論 mangle 的用法。
filter 這個規(guī)則表是預(yù)設(shè)規(guī)則表,擁有 INPUT、FORWARD 和 OUTPUT 三個規(guī)則煉,這個規(guī)則表顧名思義是用來進(jìn)行封包過濾的處理動作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我們會將基本規(guī)則都建立在此規(guī)則表中。
常用命令列表:
命令 -A, --append
范例 iptables -A INPUT ...
說明 新增規(guī)則到某個規(guī)則煉中,該規(guī)則將會成為規(guī)則煉中的最后一條規(guī)則。
命令 -D, --delete
范例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
說明 從某個規(guī)則煉中刪除一條規(guī)則,可以輸入完整規(guī)則,或直接指定規(guī)則編號加以刪除。
命令 -R, --replace
范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
說明 取代現(xiàn)行規(guī)則,規(guī)則被取代后并不會改變順序。
命令 -I, --insert
范例 iptables -I INPUT 1 --dport 80 -j ACCEPT
說明 插入一條規(guī)則,原本該位置上的規(guī)則將會往后移動一個順位。
命令 -L, --list
范例 iptables -L INPUT
說明 列出某規(guī)則煉中的所有規(guī)則。
命令 -F, --flush
范例 iptables -F INPUT
說明 刪除某規(guī)則煉中的所有規(guī)則。
命令 -Z, --zero
范例 iptables -Z INPUT
說明 將封包計數(shù)器歸零。封包計數(shù)器是用來計算同一封包出現(xiàn)次數(shù),是過濾阻斷式攻擊不可或缺的工具。
命令 -N, --new-chain
范例 iptables -N allowed
說明 定義新的規(guī)則煉。
命令 -X, --delete-chain
范例 iptables -X allowed
說明 刪除某個規(guī)則煉。
命令 -P, --policy
范例 iptables -P INPUT DROP
說明 定義過濾政策。 也就是未符合過濾條件之封包,預(yù)設(shè)的處理方式。
命令 -E, --rename-chain
范例 iptables -E allowed disallowed
說明 修改某自訂規(guī)則煉的名稱。
常用封包比對參數(shù):
參數(shù) -p, --protocol
范例 iptables -A INPUT -p tcp
說明 比對通訊協(xié)議類型是否相符,可以使用 ! 運算子進(jìn)行反向比對,例如:-p ! tcp ,意思是指除 tcp 以外的其它類型,包含 udp、icmp ...等。如果要比對所有類型,則可以使用 all 關(guān)鍵詞,例如:-p all。
參數(shù) -s, --src, --source
范例 iptables -A INPUT -s 192.168.1.1
說明 用來比對封包的來源 IP,可以比對單機(jī)或網(wǎng)絡(luò),比對網(wǎng)絡(luò)時請用數(shù)字來表示屏蔽,例如:-s 192.168.0.0/24,比對 IP 時也可以使用 ! 運算子進(jìn)行反向比對,例如:-s ! 192.168.0.0/24。
參數(shù) -d, --dst, --destination
范例 iptables -A INPUT -d 192.168.1.1
說明 用來比對封包的目的地 IP,設(shè)定方式同上。
參數(shù) -i, --in-interface
范例 iptables -A INPUT -i eth0
說明 用來比對封包是從哪片網(wǎng)卡進(jìn)入,可以使用通配字符 + 來做大范圍比對,例如:-i eth+ 表示所有的 ethernet 網(wǎng)卡,也可以使用 ! 運算子進(jìn)行反向比對,例如:-i ! eth0。
參數(shù) -o, --out-interface
范例 iptables -A FORWARD -o eth0
說明 用來比對封包要從哪片網(wǎng)卡送出,設(shè)定方式同上。
參數(shù) --sport, --source-port
范例 iptables -A INPUT -p tcp --sport 22
說明 用來比對封包的來源埠號,可以比對單一埠,或是一個范圍,例如:--sport 22:80,表示從 22 到 80 埠之間都算是符合條件,如果要比對不連續(xù)的多個埠,則必須使用 --multiport 參數(shù),詳見后文。比對埠號時,可以使用 ! 運算子進(jìn)行反向比對。
參數(shù) --dport, --destination-port
范例 iptables -A INPUT -p tcp --dport 22
說明 用來比對封包的目的地埠號,設(shè)定方式同上。
參數(shù) --tcp-flags
范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
說明 比對 TCP 封包的狀態(tài)旗號,參數(shù)分為兩個部分,第一個部分列舉出想比對的旗號,第二部分則列舉前述旗號中哪些有被設(shè)定,未被列舉的旗號必須是空的。TCP 狀態(tài)旗號包括:SYN(同步)、ACK(應(yīng)答)、FIN(結(jié)束)、RST(重設(shè))、URG(緊急)、PSH(強(qiáng)迫推送)等均可使用于參數(shù)中,除此之外還可以使用關(guān)鍵詞 ALL 和 NONE 進(jìn)行比對。比對旗號時,可以使用 ! 運算子進(jìn)行反向比對。
參數(shù) --syn
范例 iptables -p tcp --syn
說明 用來比對是否為要求聯(lián)機(jī)之 TCP 封包,與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 ! 運算子,可用來比對非要求聯(lián)機(jī)封包。
參數(shù) -m multiport --source-port
范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
說明 用來比對不連續(xù)的多個來源埠號,一次最多可以比對 15 個埠,可以使用 ! 運算子進(jìn)行反向比對。
參數(shù) -m multiport --destination-port
范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
說明 用來比對不連續(xù)的多個目的地埠號,設(shè)定方式同上。
參數(shù) -m multiport --port
范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
說明 這個參數(shù)比較特殊,用來比對來源埠號和目的埠號相同的封包,設(shè)定方式同上。注意:在本范例中,如果來源端口號為 80 但目的地埠號為 110,這種封包并不算符合條件。
參數(shù) --icmp-type
范例 iptables -A INPUT -p icmp --icmp-type 8
說明 用來比對 ICMP 的類型編號,可以使用代碼或數(shù)字編號來進(jìn)行比對。請打 iptables -p icmp --help 來查看有哪些代碼可以用。
參數(shù) -m limit --limit
范例 iptables -A INPUT -m limit --limit 3/hour
說明 用來比對某段時間內(nèi)封包的平均流量,上面的例子是用來比對:每小時平均流量是否超過一次 3 個封包。除了每小時平均一次外,也可以每秒鐘、每分鐘或每天平均一次,默認(rèn)值為每小時平均一次,參數(shù)如后: /second、 /minute、/day。除了進(jìn)行封包數(shù)量的比對外,設(shè)定這個參數(shù)也會在條件達(dá)成時,暫停封包的比對動作,以避免因駭客使用洪水攻擊法,導(dǎo)致服務(wù)被阻斷。
參數(shù) --limit-burst
范例 iptables -A INPUT -m limit --limit-burst 5
說明 用來比對瞬間大量封包的數(shù)量,上面的例子是用來比對一次同時涌入的封包是否超過 5 個(這是默認(rèn)值),超過此上限的封包將被直接丟棄。使用效果同上。
參數(shù) -m mac --mac-source
范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
說明 用來比對封包來源網(wǎng)絡(luò)接口的硬件地址,這個參數(shù)不能用在 OUTPUT 和 Postrouting 規(guī)則煉上,這是因為封包要送出到網(wǎng)卡后,才能由網(wǎng)卡驅(qū)動程序透過 ARP 通訊協(xié)議查出目的地的 MAC 地址,所以 iptables 在進(jìn)行封包比對時,并不知道封包會送到哪個網(wǎng)絡(luò)接口去。
參數(shù) --mark
范例 iptables -t mangle -A INPUT -m mark --mark 1
說明 用來比對封包是否被表示某個號碼,當(dāng)封包被比對成功時,我們可以透過 MARK 處理動作,將該封包標(biāo)示一個號碼,號碼最大不可以超過 4294967296。
參數(shù) -m owner --uid-owner
范例 iptables -A OUTPUT -m owner --uid-owner 500
說明 用來比對來自本機(jī)的封包,是否為某特定使用者所產(chǎn)生的,這樣可以避免服務(wù)器使用 root 或其它身分將敏感數(shù)據(jù)傳送出去,可以降低系統(tǒng)被駭?shù)膿p失。可惜這個功能無法比對出來自其它主機(jī)的封包。
參數(shù) -m owner --gid-owner
范例 iptables -A OUTPUT -m owner --gid-owner 0
說明 用來比對來自本機(jī)的封包,是否為某特定使用者群組所產(chǎn)生的,使用時機(jī)同上。
參數(shù) -m owner --pid-owner
范例 iptables -A OUTPUT -m owner --pid-owner 78
說明 用來比對來自本機(jī)的封包,是否為某特定行程所產(chǎn)生的,使用時機(jī)同上。
參數(shù) -m owner --sid-owner
范例 iptables -A OUTPUT -m owner --sid-owner 100
說明 用來比對來自本機(jī)的封包,是否為某特定聯(lián)機(jī)(Session ID)的響應(yīng)封包,使用時機(jī)同上。
參數(shù) -m state --state
范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
說明 用來比對聯(lián)機(jī)狀態(tài),聯(lián)機(jī)狀態(tài)共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示該封包的聯(lián)機(jī)編號(Session ID)無法辨識或編號不正確。
ESTABLISHED 表示該封包屬于某個已經(jīng)建立的聯(lián)機(jī)。
NEW 表示該封包想要起始一個聯(lián)機(jī)(重設(shè)聯(lián)機(jī)或?qū)⒙?lián)機(jī)重導(dǎo)向)。
RELATED 表示該封包是屬于某個已經(jīng)建立的聯(lián)機(jī),所建立的新聯(lián)機(jī)。例如:FTP-DATA 聯(lián)機(jī)必定是源自某個 FTP 聯(lián)機(jī)。
常用的處理動作:
-j 參數(shù)用來指定要進(jìn)行的處理動作,常用的處理動作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分別說明如下:
ACCEPT 將封包放行,進(jìn)行完此處理動作后,將不再比對其它規(guī)則,直接跳往下一個規(guī)則煉(nat:postrouting)。
REJECT 攔阻該封包,并傳送封包通知對方,可以傳送的封包有幾個選擇:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(這個封包會要求對方關(guān)閉聯(lián)機(jī)),進(jìn)行完此處理動作后,將不再比對其它規(guī)則,直接 中斷過濾程序。范例如下:
iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丟棄封包不予處理,進(jìn)行完此處理動作后,將不再比對其它規(guī)則,直接中斷過濾程序。
REDIRECT 將封包重新導(dǎo)向到另一個端口(PNAT),進(jìn)行完此處理動作后,將 會繼續(xù)比對其它規(guī)則。 這個功能可以用來實作通透式 porxy 或用來保護(hù) web 服務(wù)器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
MASQUERADE 改寫封包來源 IP 為防火墻 NIC IP,可以指定 port 對應(yīng)的范圍,進(jìn)行完此處理動作后,直接跳往下一個規(guī)則煉(mangle:postrouting)。這個功能與 SNAT 略有不同,當(dāng)進(jìn)行 IP 偽裝時,不需指定要偽裝成哪個 IP,IP 會從網(wǎng)卡直接讀取,當(dāng)使用撥接連線時,IP 通常是由 ISP 公司的 DHCP 服務(wù)器指派的,這個時候 MASQUERADE 特別有用。范例如下:
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 將封包相關(guān)訊息紀(jì)錄在 /var/log 中,詳細(xì)位置請查閱 /etc/syslog.conf 組態(tài)檔,進(jìn)行完此處理動作后,將會繼續(xù)比對其它規(guī)則。例如:
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改寫封包來源 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應(yīng)的范圍,進(jìn)行完此處理動作后,將直接跳往下一個規(guī)則煉(mangle:postrouting)。范例如下:
iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改寫封包目的地 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應(yīng)的范圍,進(jìn)行完此處理動作后,將會直接跳往下一個規(guī)則煉(filter:input 或 filter:forward)。范例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
MIRROR 鏡射封包,也就是將來源 IP 與目的地 IP 對調(diào)后,將封包送回,進(jìn)行完此處理動作后,將會中斷過濾程序。
QUEUE 中斷過濾程序,將封包放入隊列,交給其它程序處理。透過自行開發(fā)的處理程序,可以進(jìn)行其它應(yīng)用,例如:計算聯(lián)機(jī)費用.......等。
RETURN 結(jié)束在目前規(guī)則煉中的過濾程序,返回主規(guī)則煉繼續(xù)過濾,如果把自訂規(guī)則煉看成是一個子程序,那么這個動作,就相當(dāng)于提早結(jié)束子程序并返回到主程序中。
MARK 將封包標(biāo)上某個代號,以便提供作為后續(xù)過濾的條件判斷依據(jù),進(jìn)行完此處理動作后,將會繼續(xù)比對其它規(guī)則。范例如下:
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
| 共3頁: 1 [2] [3] 下一頁 | ||
|
