壹、什么是防火墻
防火墻是一套能夠在兩個或兩個以上的網絡之間,明顯區隔出實體線路聯機的軟硬件設備組合。被區隔開來的網絡,可以透過封包轉送技術來相互通訊,透過防火墻的安全管理機制,可以決定哪些數據可以流通,哪些資料無法流通,藉此達到網絡安全保護的目的。
防火墻產品可以概略歸類為硬件式防火墻和軟件式防火墻,但實際上無論是硬件式或軟件式防火墻,它們都需要使用硬件來作為聯機介接,也需要使用軟件來設定安全政策,嚴格說兩者間的差別并不太大。我們只能從使用的硬件與操作系統來加以區分,硬件式防火墻是使用專有的硬件,而軟件式防火墻則使用一般的計算機硬件,硬件式防火墻使用專有的操作系統,而軟件式防火墻則使用一般的操作系統。
防火墻依照其運作方式來分類,可以區分為封包過濾式防火墻 (Packet Filter) 、應用層網關式防火墻 (Application-Level Gateway,也有人把它稱為 Proxy 防火墻)、電路層網關式防火墻 (Circuit-Level Gateway)。其中被廣為采用的是封包過濾式防火墻,本文要介紹的 iptables 防火墻就是屬于這一種。
封包過濾是最早被實作出來的防火墻技術,它是在 TCP/IP 四層架構下的 IP 層中運作。封包過濾器的功能主要是檢查通過的每一個 IP 數據封包,如果其標頭中所含的數據內容符合過濾條件的設定就進行進一步的處理,主要的處理方式包含:放行(accept)、丟棄(drop)或拒絕(reject)。要進行封包過濾,防火墻必須要能分析通過封包的來源 IP 與目的地 IP,還必須能檢查封包類型、來源埠號與目的埠號、封包流向、封包進入防火墻的網卡接口、TCP的聯機狀態等數據。
防火墻由于種種理由價格一直居高不下,對于貧窮的中小學來講要采購一臺防火墻,簡直是不可能的任務,而由于 Linux 的風行,使用 Linux 來充作軟件式防火墻,似乎是不錯的解決之道,本文擬介紹以 Linux 上最新最強大的 iptables 防火墻軟件,建置出適合學校使用的過濾規則,讓缺錢的學校能有一套好用的防火墻來看守校園網絡的大門。
貳、Linux 防火墻演變簡史
Linux 最早出現的防火墻軟件稱為 ipfw,ipfw 能透過 IP 封包標頭的分析,分辨出封包的來源 IP 與目的地 IP、封包類型、來源埠號與目的埠號、封包流向、封包進入防火墻的網卡界面......等,并藉此分析結果來比對規則進行封包過濾,同時也支持 IP 偽裝的功能,利用這個功能可以解決 IP 不足的問題,可惜這支程序缺乏彈性設計,無法自行建立規則組合(ruleset)作更精簡的設定,同時也缺乏網址轉譯功能,無法應付越來越復雜的網絡環境,而逐漸被淘汰。
取而代之的 ipchains,不但指令語法更容易理解,功能也較 ipfw 優越;ipchains 允許自訂規則組合(ruleset),稱之為 user-define chains,透過這種設計,我們可以將彼此相關的規則組合在一起,在需要的時候跳到該組規則進行過濾,有效將規則的數量大幅縮減,以往 ipfw 僅能進行循序過濾,導致規則又臭又長的毛病,就不藥而愈了。除了這個明顯的好處以外,ipchains 并能結合本身的端口對應功能和 redir 程序的封包轉送機制,模擬出網址轉譯的能力,而滿足 NAT 的完整需求,堪稱為一套成熟的防火墻作品。
防火墻軟件的出現,確實曾經讓駭客們晚上睡不著覺,因為防火墻的阻隔能夠有效讓內部網絡不設防的單機不致于暴露在外,也能有效降低服務器的能見度,減少被攻擊的機會,駭客過去所用的網絡探測技術因此受到嚴格的挑戰,越來越多的攻擊對象躲藏在防火墻后方,讓駭客難以接近,因此必須針對新的情勢,研究出新的探測技術,藉以規避防火墻的檢查,達到發現目標并進而攻擊入侵的目的,新的技術非常多,本文并不擬進一步討論,請自行參考 CERT 組織的技術文件,網址是 ,想看中文請連到
iptables 作為 ipchains 的新一代繼承人,當然也針對駭客不斷推陳出新的探測技術擬出一些因應之道,那就是對封包的聯機狀態,作出更詳細的分析,例如:是否為新聯機或響應封包、是否為轉向聯機、聯機是否失去響應,聯機時間是否過長......等等,透過這樣的分析能對一些可能被駭客利用的弱點加以阻隔(請詳見后文的說明),另外也開發出真正的封包改寫能力,不需要透過其它程序的協助來仿真網址轉譯,除此之外,iptables 也獲得系統核心的直接支持,不需要像 ipchains 那樣需要自行重新編譯核心。
iptables 優越的性能使它取代了 ipchains,成為網絡防火墻的主流,而 ipchains 并未被淘汰,目前 ipchains 已經轉型成單機防火墻,在安裝新版 Linux 時,會自動被安裝啟用,以保護單機上未被使用的通訊端口。
參、iptables 防火墻概論
iptables 防火墻的指令非常類似于 ipchains,使用過 ipchains 的人應該很容易上手,但是 iptables 的機制與 ipchains 有很大的不同,使用 ipchains 的概念來設定規則,將會使防火墻無法正常運作。ipchains 跟 iptables 最大的不同在于對 INPUT、FORWARD 、OUTPUT 三個網絡函式的定義不同,這三個網絡函式是 TCP/IP 驅動程序的一部分,結構如下圖所示,是介于網卡驅動程序和應用程序的中間,Linux 核心預設會啟用 INPUT、OUTPUT 和 LOOPBACK,而 FORWARD 函式則必須自行啟用,可以使用下面指令,或直接修改 /etc/sysconfig/network 組態檔:
echo "1" > /proc/sys/net/ipv4/ip_forward
左圖為 ipchains 概念下的運作圖
從上圖可以知道 ipchains 如何處理封包的流動,分述如下:
• IP INPUT:所有封包都由 IP INPUT 函式負責處理,所以設定過濾規則時,幾乎都是設定在 INPUT 規則煉上。
• IP FORWARD:目的 IP 非本機的 IP,這些封包需要進一步作轉送處理,此函式用來處理 IP 偽裝和 Port 轉送。
• IP OUTPUT:所有流出的封包都由這個函式處理,通常不需設定任何規則。
iptables 除了上述三支函式以外,還使用兩個新的函式:Prerouting、Postrouting。現在來比較一下 iptables 的運作模式(loopback 接口與上圖相同,所以省略不畫):
從上圖可以知道 iptables 如何處理封包的流動,分述如下:
• IP INPUT:只有要到達本機的封包才會 由 INPUT 函式處理,所以會讓來自內部網絡的封包無條件放行,來自外部網絡的封包則過濾是否為 響應封包,若是則放行。
• PREROUTING:需要轉送處理的封包由此函式負責處理,此函式用來做目的地 IP 的轉譯動作(DNAT)。
• IP FORWARD:所有轉送封包都在這里處理,這部分的過濾規則最復雜。
• POSTROUTING:轉送封包送出之前,先透過這個函式進行來源 IP 的轉譯動作(SNAT)。
• IP OUTPUT:從本機送出去的封包由這個函式處理,通常會放行所有封包。
iptables 和 ipchains 都可以自行定義規則群組(rule-set),規則群組被稱為規則煉(chains),前面所描述的函式,也都有相對應的規則煉(INPUT、 FORWARD、OUTPUT、Prerouting、Postrouting),為了有別于自行定義的規則煉,這些規則煉我們就稱為內建規則煉,其運作流程仿真如下圖:
從上面兩張假想圖,學員們不難了解 ipchains 為什么要叫做 chains,因為它是將所有規則串接成一個序列逐一檢查過濾,就像一條鐵鏈一樣一個環接一個環,在過濾過程中只要符合其中一條規則就會立即進行處理,如果處理動作是跳到某個規則群組,則繼續檢查群組內之規則設定,但如果處理動作是 ACCEPT、REJECT、DROP、REDIRECT 或 MASQUERADE,則會中斷過濾程序,而不再繼續檢查后面的規則設定,在這樣的結構之下,有時候規則順序的對調會產生完全相反的結果,這一點在設定防火墻時不能不謹慎。
而 iptables 是采用規則堆棧的方式來進行過濾,當一個封包進入網卡,會先檢查 Prerouting,然后檢查目的 IP 判斷是否需要轉送出去,接著就會跳到 INPUT 或 Forward 進行過濾,如果封包需轉送處理則檢查 Postrouting,如果是來自本機封包,則檢查 OUTPUT 以及 Postrouting。過程中如果符合某條規則將會進行處理,處理動作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,還多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等,其中某些處理動作不會中斷過濾程序,某些處理動作則會中斷同一規則煉的過濾,并依照前述流程繼續進行下一個規則煉的過濾(注意:這一點與 ipchains 不同),一直到堆棧中的規則檢查完畢為止。透過這種機制所帶來的好處是,我們可以進行復雜、多重的封包過濾,簡單的說,iptables 可以進行縱橫交錯式的過濾(tables)而非煉狀過濾(chains)。
雖然 iptables 為了擴充防火墻功能,而必須采用比較復雜的過濾流程,但在實際應用時,同一規則煉下的規則設定還是有先后順序的關系,因此在設定規則時還是必須注意其中的邏輯。
肆、訂定校園網絡安全政策
在實際設定防火墻之前,我們必須根據校園網絡的安全需求,先擬定一份安全政策,擬定安全政策前必須搜集以下資料:
1. 找出需要過濾保護的服務器
2. 條列出被保護的服務器將提供何種網絡服務
3. 一般工作站,需要何種等級的保護
4. 了解網絡架構與服務器擺放位置
根據這些數據,我們可以決定安全政策,以石牌國小為例:
1. 校內使用 NAT 虛擬網絡,IP 數量需要兩組 C,所有 IP 均需作 IP 偽裝
2. 校園內安全需求不高,服務器與工作站擺在同一網段,不需采用 DMZ 設計
3. 由于服務器功能經常擴充,所有服務器均采用一對一對應,不使用 port 轉送功能
4. 所有工作站均能自由使用網絡資源,不限制只能看網頁
5. 服務器提供之服務包含:dns、web、mail、ftp、wam、webmin、ssh、rdp、pcaw,不提供 proxy 及其它網絡服務
6. 為增進校園網絡之安全性,采用正面表列方式進行封包過濾(定義想放行之封包,其余封包一律阻擋)
還有一些網絡安全須注意的事項,則是每所學校都應防范的,沒有等差之別,例如:聯機被綁架、阻斷式攻擊、連接端口掃描......等。
伍、iptables 指令
語法:
iptables [-t table] command [match] [-j target/jump]
-t 參數用來指定規則表,內建的規則表有三個,分別是:nat、mangle 和 filter,當未指定規則表時,則一律視為是 filter。各個規則表的功能如下:
nat 此規則表擁有 Prerouting 和 postrouting 兩個規則煉,主要功能為進行一對一、一對多、多對多等網址轉譯工作(SNAT、DNAT),由于轉譯工作的特性,需進行目的地網址轉譯的封包,就不需要進行來源網址轉譯,反之亦然,因此為了提升改寫封包的效率,在防火墻運作時,每個封包只會經過這個規則表一次。如果我們把封包過濾的規則定義在這個數據表里,將會造成無法對同一封包進行多次比對,因此這個規則表除了作網址轉譯外,請不要做其它用途。
mangle 此規則表擁有 Prerouting、FORWARD 和 postrouting 三個規則煉。
除了進行網址轉譯工作會改寫封包外,在某些特殊應用可能也必須去改寫封包(TTL、TOS)或者是設定 MARK(將封包作記號,以便進行后續的過濾),這時就必須將這些工作定義在 mangle 規則表中,由于使用率不高,我們不打算在這里討論 mangle 的用法。
filter 這個規則表是預設規則表,擁有 INPUT、FORWARD 和 OUTPUT 三個規則煉,這個規則表顧名思義是用來進行封包過濾的處理動作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我們會將基本規則都建立在此規則表中。
常用命令列表:
命令 -A, --append
范例 iptables -A INPUT ...
說明 新增規則到某個規則煉中,該規則將會成為規則煉中的最后一條規則。
命令 -D, --delete
范例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
說明 從某個規則煉中刪除一條規則,可以輸入完整規則,或直接指定規則編號加以刪除。
命令 -R, --replace
范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
說明 取代現行規則,規則被取代后并不會改變順序。
命令 -I, --insert
范例 iptables -I INPUT 1 --dport 80 -j ACCEPT
說明 插入一條規則,原本該位置上的規則將會往后移動一個順位。
命令 -L, --list
范例 iptables -L INPUT
說明 列出某規則煉中的所有規則。
命令 -F, --flush
范例 iptables -F INPUT
說明 刪除某規則煉中的所有規則。
命令 -Z, --zero
范例 iptables -Z INPUT
說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具。
命令 -N, --new-chain
范例 iptables -N allowed
說明 定義新的規則煉。
命令 -X, --delete-chain
范例 iptables -X allowed
說明 刪除某個規則煉。
命令 -P, --policy
范例 iptables -P INPUT DROP
說明 定義過濾政策。 也就是未符合過濾條件之封包,預設的處理方式。
命令 -E, --rename-chain
范例 iptables -E allowed disallowed
說明 修改某自訂規則煉的名稱。
常用封包比對參數:
參數 -p, --protocol
范例 iptables -A INPUT -p tcp
說明 比對通訊協議類型是否相符,可以使用 ! 運算子進行反向比對,例如:-p ! tcp ,意思是指除 tcp 以外的其它類型,包含 udp、icmp ...等。如果要比對所有類型,則可以使用 all 關鍵詞,例如:-p all。
參數 -s, --src, --source
范例 iptables -A INPUT -s 192.168.1.1
說明 用來比對封包的來源 IP,可以比對單機或網絡,比對網絡時請用數字來表示屏蔽,例如:-s 192.168.0.0/24,比對 IP 時也可以使用 ! 運算子進行反向比對,例如:-s ! 192.168.0.0/24。
參數 -d, --dst, --destination
范例 iptables -A INPUT -d 192.168.1.1
說明 用來比對封包的目的地 IP,設定方式同上。
參數 -i, --in-interface
范例 iptables -A INPUT -i eth0
說明 用來比對封包是從哪片網卡進入,可以使用通配字符 + 來做大范圍比對,例如:-i eth+ 表示所有的 ethernet 網卡,也可以使用 ! 運算子進行反向比對,例如:-i ! eth0。
參數 -o, --out-interface
范例 iptables -A FORWARD -o eth0
說明 用來比對封包要從哪片網卡送出,設定方式同上。
參數 --sport, --source-port
范例 iptables -A INPUT -p tcp --sport 22
說明 用來比對封包的來源埠號,可以比對單一埠,或是一個范圍,例如:--sport 22:80,表示從 22 到 80 埠之間都算是符合條件,如果要比對不連續的多個埠,則必須使用 --multiport 參數,詳見后文。比對埠號時,可以使用 ! 運算子進行反向比對。
參數 --dport, --destination-port
范例 iptables -A INPUT -p tcp --dport 22
說明 用來比對封包的目的地埠號,設定方式同上。
參數 --tcp-flags
范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
說明 比對 TCP 封包的狀態旗號,參數分為兩個部分,第一個部分列舉出想比對的旗號,第二部分則列舉前述旗號中哪些有被設定,未被列舉的旗號必須是空的。TCP 狀態旗號包括:SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急)、PSH(強迫推送)等均可使用于參數中,除此之外還可以使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時,可以使用 ! 運算子進行反向比對。
參數 --syn
范例 iptables -p tcp --syn
說明 用來比對是否為要求聯機之 TCP 封包,與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 ! 運算子,可用來比對非要求聯機封包。
參數 -m multiport --source-port
范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
說明 用來比對不連續的多個來源埠號,一次最多可以比對 15 個埠,可以使用 ! 運算子進行反向比對。
參數 -m multiport --destination-port
范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
說明 用來比對不連續的多個目的地埠號,設定方式同上。
參數 -m multiport --port
范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
說明 這個參數比較特殊,用來比對來源埠號和目的埠號相同的封包,設定方式同上。注意:在本范例中,如果來源端口號為 80 但目的地埠號為 110,這種封包并不算符合條件。
參數 --icmp-type
范例 iptables -A INPUT -p icmp --icmp-type 8
說明 用來比對 ICMP 的類型編號,可以使用代碼或數字編號來進行比對。請打 iptables -p icmp --help 來查看有哪些代碼可以用。
參數 -m limit --limit
范例 iptables -A INPUT -m limit --limit 3/hour
說明 用來比對某段時間內封包的平均流量,上面的例子是用來比對:每小時平均流量是否超過一次 3 個封包。除了每小時平均一次外,也可以每秒鐘、每分鐘或每天平均一次,默認值為每小時平均一次,參數如后: /second、 /minute、/day。除了進行封包數量的比對外,設定這個參數也會在條件達成時,暫停封包的比對動作,以避免因駭客使用洪水攻擊法,導致服務被阻斷。
參數 --limit-burst
范例 iptables -A INPUT -m limit --limit-burst 5
說明 用來比對瞬間大量封包的數量,上面的例子是用來比對一次同時涌入的封包是否超過 5 個(這是默認值),超過此上限的封包將被直接丟棄。使用效果同上。
參數 -m mac --mac-source
范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
說明 用來比對封包來源網絡接口的硬件地址,這個參數不能用在 OUTPUT 和 Postrouting 規則煉上,這是因為封包要送出到網卡后,才能由網卡驅動程序透過 ARP 通訊協議查出目的地的 MAC 地址,所以 iptables 在進行封包比對時,并不知道封包會送到哪個網絡接口去。
參數 --mark
范例 iptables -t mangle -A INPUT -m mark --mark 1
說明 用來比對封包是否被表示某個號碼,當封包被比對成功時,我們可以透過 MARK 處理動作,將該封包標示一個號碼,號碼最大不可以超過 4294967296。
參數 -m owner --uid-owner
范例 iptables -A OUTPUT -m owner --uid-owner 500
說明 用來比對來自本機的封包,是否為某特定使用者所產生的,這樣可以避免服務器使用 root 或其它身分將敏感數據傳送出去,可以降低系統被駭的損失。可惜這個功能無法比對出來自其它主機的封包。
參數 -m owner --gid-owner
范例 iptables -A OUTPUT -m owner --gid-owner 0
說明 用來比對來自本機的封包,是否為某特定使用者群組所產生的,使用時機同上。
參數 -m owner --pid-owner
范例 iptables -A OUTPUT -m owner --pid-owner 78
說明 用來比對來自本機的封包,是否為某特定行程所產生的,使用時機同上。
參數 -m owner --sid-owner
范例 iptables -A OUTPUT -m owner --sid-owner 100
說明 用來比對來自本機的封包,是否為某特定聯機(Session ID)的響應封包,使用時機同上。
參數 -m state --state
范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
說明 用來比對聯機狀態,聯機狀態共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示該封包的聯機編號(Session ID)無法辨識或編號不正確。
ESTABLISHED 表示該封包屬于某個已經建立的聯機。
NEW 表示該封包想要起始一個聯機(重設聯機或將聯機重導向)。
RELATED 表示該封包是屬于某個已經建立的聯機,所建立的新聯機。例如:FTP-DATA 聯機必定是源自某個 FTP 聯機。
常用的處理動作:
-j 參數用來指定要進行的處理動作,常用的處理動作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分別說明如下:
ACCEPT 將封包放行,進行完此處理動作后,將不再比對其它規則,直接跳往下一個規則煉(nat:postrouting)。
REJECT 攔阻該封包,并傳送封包通知對方,可以傳送的封包有幾個選擇:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(這個封包會要求對方關閉聯機),進行完此處理動作后,將不再比對其它規則,直接 中斷過濾程序。 范例如下:
iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丟棄封包不予處理,進行完此處理動作后,將不再比對其它規則,直接中斷過濾程序。
REDIRECT 將封包重新導向到另一個端口(PNAT),進行完此處理動作后,將 會繼續比對其它規則。 這個功能可以用來實作通透式 porxy 或用來保護 web 服務器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
MASQUERADE 改寫封包來源 IP 為防火墻 NIC IP,可以指定 port 對應的范圍,進行完此處理動作后,直接跳往下一個規則煉(mangle:postrouting)。這個功能與 SNAT 略有不同,當進行 IP 偽裝時,不需指定要偽裝成哪個 IP,IP 會從網卡直接讀取,當使用撥接連線時,IP 通常是由 ISP 公司的 DHCP 服務器指派的,這個時候 MASQUERADE 特別有用。范例如下:
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 將封包相關訊息紀錄在 /var/log 中,詳細位置請查閱 /etc/syslog.conf 組態檔,進行完此處理動作后,將會繼續比對其它規則。例如:
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改寫封包來源 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應的范圍,進行完此處理動作后,將直接跳往下一個規則煉(mangle:postrouting)。范例如下:
iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改寫封包目的地 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應的范圍,進行完此處理動作后,將會直接跳往下一個規則煉(filter:input 或 filter:forward)。范例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
MIRROR 鏡射封包,也就是將來源 IP 與目的地 IP 對調后,將封包送回,進行完此處理動作后,將會中斷過濾程序。
QUEUE 中斷過濾程序,將封包放入隊列,交給其它程序處理。透過自行開發的處理程序,可以進行其它應用,例如:計算聯機費用.......等。
RETURN 結束在目前規則煉中的過濾程序,返回主規則煉繼續過濾,如果把自訂規則煉看成是一個子程序,那么這個動作,就相當于提早結束子程序并返回到主程序中。
MARK 將封包標上某個代號,以便提供作為后續過濾的條件判斷依據,進行完此處理動作后,將會繼續比對其它規則。范例如下:
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
