歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Unix知識 >> 關於Unix

菜鳥學堂之Iptables基礎絕對的基礎

前言 防火牆在校園內一直被認為陌晦高深,很少有系管師有勇氣進行計劃性的實驗,基本上這份講義也可以當成 測試 報告來閱讀,是筆者秉持我不入地獄、誰入地獄的精神,冒著生命危險,蠻干出來的成果,也藉此拋磚引玉,希望能帶動國內能力高於筆者許多的眾家高
  前言
  防火牆在校園內一直被認為陌晦高深,很少有系管師有勇氣進行計劃性的實驗,基本上這份講義也可以當成測試報告來閱讀,是筆者秉持我不入地獄、誰入地獄的精神,冒著生命危險,蠻干出來的成果,也藉此拋磚引玉,希望能帶動國內能力高於筆者許多的眾家高手,一起來進行有利於校園網絡的公益研究!
  
  一、什麼是防火牆
  防火牆是一套能夠在兩個或兩個以上的網絡之間,明顯區隔出實體線路聯機的軟硬件設備組合。被區隔開來的網絡,可以透過封包轉送技術來相互通訊,透過防火牆的安全管理機制,可以決定哪些數據可以流通,哪些資料無法流通,藉此達到網絡安全保護的目的。
  防火牆產品可以概略歸類為硬件式防火牆和軟件式防火牆,但實際上無論是硬件式或軟件式防火牆,它們都需要使用硬件來作為聯機介接,也需要使用軟件來設定安全政策,嚴格說兩者間的差別並不太大。我們只能從使用的硬件與操作系統來加以區分,硬件式防火牆是使用專有的硬件,而軟件式防火牆則使用一般的計算機硬件,硬件式防火牆使用專有的操作系統,而軟件式防火牆則使用一般的操作系統。
  防火牆依照其運作方式來分類,可以區分為封包過濾式防火牆 (Packet Filter) 、應用層網關式防火牆 (Application-Level Gateway,也有人把它稱為 Proxy 防火牆)、電路層網關式防火牆 (Circuit-Level Gateway)。其中被廣為采用的是封包過濾式防火牆,本文要介紹的 iptables 防火牆就是屬於這一種。
  封包過濾是最早被實作出來的防火牆技術,它是在 TCP/IP 四層架構下的 IP 層中運作。封包過濾器的功能主要是檢查通過的每一個 IP 數據封包,如果其標頭中所含的數據內容符合過濾條件的設定就進行進一步的處理,主要的處理方式包含:放行(aclearcase/" target="_blank" >ccept)、丟棄(drop)或拒絕(reject)。要進行封包過濾,防火牆必須要能分析通過封包的來源 IP 與目的地 IP,還必須能檢查封包類型、來源埠號與目的埠號、封包流向、封包進入防火牆的網卡接口、TCP的聯機狀態等數據。
  防火牆由於種種理由價格一直居高不下,對於貧窮的中小學來講要采購一台防火牆,簡直是不可能的任務,而由於 Linux 的風行,使用 Linux 來充作軟件式防火牆,似乎是不錯的解決之道,本文擬介紹以 Linux 上最新最強大的 iptables 防火牆軟件,建置出適合學校使用的過濾規則,讓缺錢的學校能有一套好用的防火牆來看守校園網絡的大門。
  
  二、Linux 防火牆演變簡史
  Linux 最早出現的防火牆軟件稱為 ipfw,ipfw 能透過 IP 封包標頭的分析,分辨出封包的來源 IP 與目的地 IP、封包類型、來源埠號與目的埠號、封包流向、封包進入防火牆的網卡界面......等,並藉此分析結果來比對規則進行封包過濾,同時也支持 IP 偽裝的功能,利用這個功能可以解決 IP 不足的問題,可惜這支程序缺乏彈性設計,無法自行建立規則組合(ruleset)作更精簡的設定,同時也缺乏網址轉譯功能,無法應付越來越復雜的網絡環境,而逐漸被淘汰。
  取而代之的 ipchains,不但指令語法更容易理解,功能也較 ipfw 優越;ipchains 允許自訂規則組合(ruleset),稱之為 user-define chains,透過這種設計,我們可以將彼此相關的規則組合在一起,在需要的時候跳到該組規則進行過濾,有效將規則的數量大幅縮減,以往 ipfw 僅能進行循序過濾,導致規則又臭又長的毛病,就不藥而愈了。除了這個明顯的好處以外,ipchains 並能結合本身的端口對應功能和 redir 程序的封包轉送機制,模擬出網址轉譯的能力,而滿足 NAT 的完整需求,堪稱為一套成熟的防火牆作品。
  防火牆軟件的出現,確實曾經讓駭客們晚上睡不著覺,因為防火牆的阻隔能夠有效讓內部網絡不設防的單機不致於暴露在外,也能有效降低服務器的能見度,減少被攻擊的機會,駭客過去所用的網絡探測技術因此受到嚴格的挑戰,越來越多的攻擊對象躲藏在防火牆後方,讓駭客難以接近,因此必須針對新的情勢,研究出新的探測技術,藉以規避防火牆的檢查,達到發現目標並進而攻擊入侵的目的,新的技術非常多,本文並不擬進一步討論,請自行參考 CERT 組織的技術文件,網址是 www.cert.org ,想看中文請連到 www.cert.org.tw。
  iptables 作為 ipchains 的新一代繼承人,當然也針對駭客不斷推陳出新的探測技術擬出一些因應之道,那就是對封包的聯機狀態,作出更詳細的分析,例如:是否為新聯機或響應封包、是否為轉向聯機、聯機是否失去響應,聯機時間是否過長......等等,透過這樣的分析能對一些可能被駭客利用的弱點加以阻隔(請詳見後文的說明),另外也開發出真正的封包改寫能力,不需要透過其它程序的協助來仿真網址轉譯,除此之外,iptables 也獲得系統核心的直接支持,不需要像 ipchains 那樣需要自行重新編譯核心。
  iptables 優越的性能使它取代了 ipchains,成為網絡防火牆的主流,而 ipchains 並未被淘汰,目前 ipchains 已經轉型成單機防火牆,在安裝新版 Linux 時,會自動被安裝啟用,以保護單機上未被使用的通訊端口。
  
  三、iptables 防火牆概論
  iptables 防火牆的指令非常類似於 ipchains,使用過 ipchains 的人應該很容易上手,但是 iptables 的機制與 ipchains 有很大的不同,使用 ipchains 的概念來設定規則,將會使防火牆無法正常運作。ipchains 跟 iptables 最大的不同在於對 INPUT、FORWARD 、OUTPUT 三個網絡函式的定義不同,這三個網絡函式是 TCP/IP 驅動程序的一部分,結構如下圖所示,是介於網卡驅動程序和應用程序的中間,Linux 核心預設會啟用 INPUT、OUTPUT 和 LOOPBACK,而 FORWARD 函式則必須自行啟用,可以使用下面指令,或直接修改 /etc/sysconfig/network 組態檔:
  echo "1" > /proc/sys/net/ipv4/ip_forward
  左圖為 ipchains 概念下的運作圖
  從上圖可以知道 ipchains 如何處理封包的流動,分述如下:
  • IP INPUT:所有封包都由 IP INPUT 函式負責處理,所以設定過濾規則時,幾乎都是設定在 INPUT 規則煉上。
  • IP FORWARD:目的 IP 非本機的 IP,這些封包需要進一步作轉送處理,此函式用來處理 IP 偽裝和 Port 轉送。
  • IP OUTPUT:所有流出的封包都由這個函式處理,通常不需設定任何規則。
  iptables 除了上述三支函式以外,還使用兩個新的函式:Prerouting、Postrouting。現在來比較一下 iptables 的運作模式(loopback 接口與上圖相同,所以省略不畫):
  
  從上圖可以知道 iptables 如何處理封包的流動,分述如下:
  • IP INPUT:只有要到達本機的封包才會 由 INPUT 函式處理,所以會讓來自內部網絡的封包無條件放行,來自外部網絡的封包則過濾是否為 響應封包,若是則放行。
  • PREROUTING:需要轉送處理的封包由此函式負責處理,此函式用來做目的地 IP 的轉譯動作(DNAT)。
  • IP FORWARD:所有轉送封包都在這裡處理,這部分的過濾規則最復雜。
  • POSTROUTING:轉送封包送出之前,先透過這個函式進行來源 IP 的轉譯動作(SNAT)。
  • IP OUTPUT:從本機送出去的封包由這個函式處理,通常會放行所有封包。
  iptables 和 ipchains 都可以自行定義規則群組(rule-set),規則群組被稱為規則煉(chains),前面所描述的函式,也都有相對應的規則煉(INPUT、FORWARD、OUTPUT、Prerouting、Postrouting),為了有別於自行定義的規則煉,這些規則煉我們就稱為內建規則煉,其運作流程仿真如下圖:
  
  
  從上面兩張假想圖,學員們不難了解 ipchains 為什麼要叫做 chains,因為它是將所有規則串接成一個序列逐一檢查過濾,就像一條鐵鏈一樣一個環接一個環,在過濾過程中只要符合其中一條規則就會立即進行處理,如果處理動作是跳到某個規則群組,則繼續檢查群組內之規則設定,但如果處理動作是 ACCEPT、REJECT、DROP、REDIRECT 或 MASQUERADE,則會中斷過濾程序,而不再繼續檢查後面的規則設定,在這樣的結構之下,有時候規則順序的對調會產生完全相反的結果,這一點在設定防火牆時不能不謹慎。
  而 iptables 是采用規則堆棧的方式來進行過濾,當一個封包進入網卡,會先檢查 Prerouting,然後檢查目的 IP 判斷是否需要轉送出去,接著就會跳到 INPUT 或 Forward 進行過濾,如果封包需轉送處理則檢查 Postrouting,如果是來自本機封包,則檢查 OUTPUT 以及 Postrouting。過程中如果符合某條規則將會進行處理,處理動作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,還多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等,其中某些處理動作不會中斷過濾程序,某些處理動作則會中斷同一規則煉的過濾,並依照前述流程繼續進行下一個規則煉的過濾(注意:這一點與 ipchains 不同),一直到堆棧中的規則檢查完畢為止。透過這種機制所帶來的好處是,我們可以進行復雜、多重的封包過濾,簡單的說,iptables 可以進行縱橫交錯式的過濾(tables)而非煉狀過濾(chains)。
  雖然 iptables 為了擴充防火牆功能,而必須采用比較復雜的過濾流程,但在實際應用時,同一規則煉下的規則設定還是有先後順序的關系,因此在設定規則時還是必須注意其中的邏輯。
  
  四、訂定校園網絡安全政策
  在實際設定防火牆之前,我們必須根據校園網絡的安全需求,先擬定一份安全政策,擬定安全政策前必須搜集以下資料:
  1. 找出需要過濾保護的服務器
  2. 條列出被保護的服務器將提供何種網絡服務
  3. 一般工作站,需要何種等級的保護
  4. 了解網絡架構與服務器擺放位置
  根據這些數據,我們可以決定安全政策,以石牌國小為例:
  1. 校內使用 NAT 虛擬網絡,IP 數量需要兩組 C,所有 IP 均需作 IP 偽裝
  2. 校園內安全需求不高,服務器與工作站擺在同一網段,不需采用 DMZ 設計
  3. 由於服務器功能經常擴充,所有服務器均采用一對一對應,不使用 port 轉送功能
  4. 所有工作站均能自由使用網絡資源,不限制只能看網頁
  5. 服務器提供之服務包含:dns、web、mail、ftp、wam、webmin、ssh、rdp、pcaw,不提供 proxy 及其它網絡服務
  6. 為增進校園網絡之安全性,采用正面表列方式進行封包過濾(定義想放行之封包,其余封包一律阻擋)
  還有一些網絡安全須注意的事項,則是每所學校都應防范的,沒有等差之別,例如:聯機被綁架、阻斷式攻擊、連接端口掃描......等。
  
  五、iptables 指令
  語法:
  iptables [-t table] command [match] [-j target/jump]
  -t 參數用來指定規則表,內建的規則表有三個,分別是:nat、mangle 和 filter,當未指定規則表時,則一律視為是 filter。各個規則表的功能如下:
  nat 此規則表擁有 Prerouting 和 postrouting 兩個規則煉,主要功能為進行一對一、一對多、多對多等網址轉譯工作(SNAT、DNAT),由於轉譯工作的特性,需進行目的地網址轉譯的封包,就不需要進行來源網址轉譯,反之亦然,因此為了提升改寫封包的效率,在防火牆運作時,每個封包只會經過這個規則表一次。如果我們把封包過濾的規則定義在這個數據表裡,將會造成無法對同一封包進行多次比對,因此這個規則表除了作網址轉譯外,請不要做其它用途。
  mangle 此規則表擁有 Prerouting、FORWARD 和 postrouting 三個規則煉。
  除了進行網址轉譯工作會改寫封包外,在某些特殊應用可能也必須去改寫封包(TTL、TOS)或者是設定 MARK(將封包作記號,以便進行後續的過濾),這時就必須將這些工作定義在 mangle 規則表中,由於使用率不高,我們不打算在這裡討論 mangle 的用法。
  filter 這個規則表是預設規則表,擁有 INPUT、FORWARD 和 OUTPUT 三個規則煉,這個規則表顧名思義是用來進行封包過濾的處理動作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我們會將基本規則都建立在此規則表中。
  常用命令列表:
  命令 -A, --append
  范例 iptables -A INPUT ...
  說明 新增規則到某個規則煉中,該規則將會成為規則煉中的最後一條規則。
  命令 -D, --delete
  范例 iptables -D INPUT --dport 80 -j DROP
  iptables -D INPUT 1
  說明 從某個規則煉中刪除一條規則,可以輸入完整規則,或直接指定規則編號加以刪除。
  命令 -R, --replace
  范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
  說明 取代現行規則,規則被取代後並不會改變順序。
  命令 -I, --insert
  范例 iptables -I INPUT 1 --dport 80 -j ACCEPT
  說明 插入一條規則,原本該位置上的規則將會往後移動一個順位。
  命令 -L, --list
  范例 iptables -L INPUT
  說明 列出某規則煉中的所有規則。
  命令 -F, --flush
  范例 iptables -F INPUT
  說明 刪除某規則煉中的所有規則。
  命令 -Z, --zero
  范例 iptables -Z INPUT
  說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具。
  命令 -N, --new-chain
  范例 iptables -N allowed
  說明 定義新的規則煉。
  命令 -X, --delete-chain
  范例 iptables -X allowed
  說明 刪除某個規則煉。
  命令 -P, --policy
  范例 iptables -P INPUT DROP
  說明 定義過濾政策。 也就是未符合過濾條件之封包,預設的處理方式。
  命令 -E, --rename-chain
  范例 iptables -E allowed disallowed
  說明 修改某自訂規則煉的名稱。
  常用封包比對參數:
  參數 -p, --protocol
  范例 iptables -A INPUT -p tcp
  說明 比對通訊協議類型是否相符,可以使用 ! 運算子進行反向比對,例如:-p ! tcp ,意思是指除 tcp 以外的其它類型,包含 udp、icmp ...等。如果要比對所有類型,則可以使用 all 關鍵詞,例如:-p all。
  參數 -s, --src, --source
  范例 iptables -A INPUT -s 192.168.1.1
  說明 用來比對封包的來源 IP,可以比對單機或網絡,比對網絡時請用數字來表示屏蔽,例如:-s 192.168.0.0/24,比對 IP 時也可以使用 ! 運算子進行反向比對,例如:-s ! 192.168.0.0/24。
  參數 -d, --dst, --destination
  范例 iptables -A INPUT -d 192.168.1.1
  說明 用來比對封包的目的地 IP,設定方式同上。
  參數 -i, --in-interface
  范例 iptables -A INPUT -i eth0
  說明 用來比對封包是從哪片網卡進入,可以使用通配字符 + 來做大范圍比對,例如:-i eth+ 表示所有的 ethernet 網卡,也可以使用 ! 運算子進行反向比對,例如:-i ! eth0。
  參數 -o, --out-interface
  范例 iptables -A FORWARD -o eth0
  說明 用來比對封包要從哪片網卡送出,設定方式同上。
  參數 --sport, --source-port
  范例 iptables -A INPUT -p tcp --sport 22
  說明 用來比對封包的來源埠號,可以比對單一埠,或是一個范圍,例如:--sport 22:80,表示從 22 到 80 埠之間都算是符合條件,如果要比對不連續的多個埠,則必須使用 --multiport 參數,詳見後文。比對埠號時,可以使用 ! 運算子進行反向比對。
  參數 --dport, --destination-port
  范例 iptables -A INPUT -p tcp --dport 22
  說明 用來比對封包的目的地埠號,設定方式同上。
  參數 --tcp-flags
  范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
  說明 比對 TCP 封包的狀態旗號,參數分為兩個部分,第一個部分列舉出想比對的旗號,第二部分則列舉前述旗號中哪些有被設定,未被列舉的旗號必須是空的。TCP 狀態旗號包括:SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急)、PSH(強迫推送) 等均可使用於參數中,除此之外還可以使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時,可以使用 ! 運算子進行反向比對。
  參數 --syn
  范例 iptables -p tcp --syn
  說明 用來比對是否為要求聯機之 TCP 封包,與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 ! 運算子,可用來比對非要求聯機封包。
  參數 -m multiport --source-port
  范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
  說明 用來比對不連續的多個來源埠號,一次最多可以比對 15 個埠,可以使用 ! 運算子進行反向比對。
  參數 -m multiport --destination-port
  范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
  說明 用來比對不連續的多個目的地埠號,設定方式同上。
  參數 -m multiport --port
  范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
  說明 這個參數比較特殊,用來比對來源埠號和目的埠號相同的封包,設定方式同上。注意:在本范例中,如果來源端口號為 80 但目的地埠號為 110,這種封包並不算符合條件。
  參數 --icmp-type
  范例 iptables -A INPUT -p icmp --icmp-type 8
  說明 用來比對 ICMP 的類型編號,可以使用代碼或數字編號來進行比對。請打 iptables -p icmp --help 來查看有哪些代碼可以用。
  參數 -m limit --limit
  范例 iptables -A INPUT -m limit --limit 3/hour
  說明 用來比對某段時間內封包的平均流量,上面的例子是用來比對:每小時平均流量是否超過一次 3 個封包。 除了每小時平均一次外,也可以每秒鐘、每分鐘或每天平均一次,默認值為每小時平均一次,參數如後: /second、 /minute、/day。 除了進行封包數量的比對外,設定這個參數也會在條件達成時,暫停封包的比對動作,以避免因駭客使用洪水攻擊法,導致服務被阻斷。
  參數 --limit-burst
  范例 iptables -A INPUT -m limit --limit-burst 5
  說明 用來比對瞬間大量封包的數量,上面的例子是用來比對一次同時湧入的封包是否超過 5 個(這是默認值),超過此上限的封包將被直接丟棄。使用效果同上。
  參數 -m mac --mac-source
  范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
  說明 用來比對封包來源網絡接口的硬件地址,這個參數不能用在 OUTPUT 和 Postrouting 規則煉上,這是因為封包要送出到網卡後,才能由網卡驅動程序透過 ARP 通訊協議查出目的地的 MAC 地址,所以 iptables 在進行封包比對時,並不知道封包會送到哪個網絡接口去。
  參數 --mark
  范例 iptables -t mangle -A INPUT -m mark --mark 1
  說明 用來比對封包是否被表示某個號碼,當封包被比對成功時,我們可以透過 MARK 處理動作,將該封包標示一個號碼,號碼最大不可以超過 4294967296。
  參數 -m owner --uid-owner
  范例 iptables -A OUTPUT -m owner --uid-owner 500
  說明 用來比對來自本機的封包,是否為某特定使用者所產生的,這樣可以避免服務器使用 root 或其它身分將敏感數據傳送出去,可以降低系統被駭的損失。可惜這個功能無法比對出來自其它主機的封包。
  參數 -m owner --gid-owner
  范例 iptables -A OUTPUT -m owner --gid-owner 0
  說明 用來比對來自本機的封包,是否為某特定使用者群組所產生的,使用時機同上。
  參數 -m owner --pid-owner
  范例 iptables -A OUTPUT -m owner --pid-owner 78
  說明 用來比對來自本機的封包,是否為某特定行程所產生的,使用時機同上。
  參數 -m owner --sid-owner
  范例 iptables -A OUTPUT -m owner --sid-owner 100
  說明 用來比對來自本機的封包,是否為某特定聯機(Session ID)的響應封包,使用時機同上。
  參數 -m state --state
  范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
  說明 用來比對聯機狀態,聯機狀態共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。
  INVALID 表示該封包的聯機編號(Session ID)無法辨識或編號不正確。
  ESTABLISHED 表示該封包屬於某個已經建立的聯機。
  NEW 表示該封包想要起始一個聯機(重設聯機或將聯機重導向)。
  RELATED 表示該封包是屬於某個已經建立的聯機,所建立的新聯機。例如:FTP-DATA 聯機必定是源自某個 FTP 聯機。
  常用的處理動作:
  -j 參數用來指定要進行的處理動作,常用的處理動作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分別說明如下:
  ACCEPT 將封包放行,進行完此處理動作後,將不再比對其它規則,直接跳往下一個規則煉(nat:postrouting)。
  REJECT 攔阻該封包,並傳送封包通知對方,可以傳送的封包有幾個選擇:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(這個封包會要求對方關閉聯機),進行完此處理動作後,將不再比對其它規則,直接 中斷過濾程序。 范例如下:
  iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
  DROP 丟棄封包不予處理,進行完此處理動作後,將不再比對其它規則,直接中斷過濾程序。
  REDIRECT 將封包重新導向到另一個端口(PNAT),進行完此處理動作後,將 會繼續比對其它規則。 這個功能可以用來實作通透式 porxy 或用來保護 web 服務器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
  MASQUERADE 改寫封包來源 IP 為防火牆 NIC IP,可以指定 port 對應的范圍,進行完此處理動作後,直接跳往下一個規則煉(mangle:postrouting)。這個功能與 SNAT 略有不同,當進行 IP 偽裝時,不需指定要偽裝成哪個 IP,IP 會從網卡直接讀取,當使用撥接連線時,IP 通常是由 ISP 公司的 DHCP 服務器指派的,這個時候 MASQUERADE 特別有用。范例如下:
  iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
  LOG 將封包相關訊息紀錄在 /var/log 中,詳細位置請查閱 /etc/syslog.conf 組態檔,進行完此處理動作後,將會繼續比對其它規則。例如:
  iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
  SNAT 改寫封包來源 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應的范圍,進行完此處理動作後,將直接跳往下一個規則煉(mangle:postrouting)。范例如下:
  iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
  DNAT 改寫封包目的地 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應的范圍,進行完此處理動作後,將會直接跳往下一個規則煉(filter:input 或 filter:forward)。范例如下:
  iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
  MIRROR 鏡射封包,也就是將來源 IP 與目的地 IP 對調後,將封包送回,進行完此處理動作後,將會中斷過濾程序。
  QUEUE 中斷過濾程序,將封包放入隊列,交給其它程序處理。透過自行開發的處理程序,可以進行其它應用,例如:計算聯機費用.......等。
  RETURN 結束在目前規則煉中的過濾程序,返回主規則煉繼續過濾,如果把自訂規則煉看成是一個子程序,那麼這個動作,就相當於提早結束子程序並返回到主程序中。
  MARK 將封包標上某個代號,以便提供作為後續過濾的條件判斷依據,進行完此處理動作後,將會繼續比對其它規則。范例如下:
  iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
  
  六、應用實例
  #!/bin/sh
  #
  # 石牌國小防火牆設定指令稿
  # 2002/8/27
  # 設定者:李忠憲(修改自 iptables tutorial 1.1.11 by Oskar Andreasson )
  # 原文件是依 DMZ 需求設計,已根據校園 NAT 網絡之需求修改,其余改動部份包括:
  # 新增通訊協議定義區塊
  # 新增執行時,自動清除已設定之規則
  # 支援 FTP
  # 修改所有規則,改采 multiport 方式以簡化規則
  # 原文件僅支持 IP 偽裝(多對一對應),已擴充為支持一對一對應及多對多對應
  # 原文件僅支援 DNS 及 WEB,新增 ftp、mail、wam、PCAnywhere、ssh......等多種服務器
  # 修改若干規則設定上的小錯誤
  #
  # Copyright (C) 2001 Oskar Andreasson <bluefluxATkoffeinDOTnet>
  #
  # This program is free software; you can redistribute it and/or modify
  # it under the terms of the GNU General Public License as published by
  # the Free Software Foundation; version 2 of the License.
  #
  # This program is distributed in the hope that it will be useful,
  # but WITHOUT ANY WARRANTY; without even the implied warranty of
  # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
  # GNU General Public License for more details.
  #
  # You should have received a copy of the GNU General Public License
  # along with this program or from the site that you downloaded it
  # from; if not, write to the Free Software Foundation, Inc., 59 Temple
  # Place, Suite 330, Boston, MA 02111-1307 USA
  #
  ###########################################################################
  #
  # 1. Configuration options.
  #
  # 1.0 Protocols Configuration.
  # 定義會用到的通訊協議
  HTTP="80"
  HTTPS="443"
  FTP="21"
  FTP_DATA="20"
  SMTP="25"
  POP3="110"
  IMAP="143"
  SSH="22"
  TELNET="23"
  PCAW_TCP="5631"
  PCAW_UDP="5632"
  WEBMIN="10000"
  WAM="12000"
  DNS="53"
  
  #
  # 1.1 Internet Configuration.
  #
  # 定義 NIC IP 及 WAN 接口
  INET_IP="163.21.xxx.253"
  HTTP1_IP="163.21.xxx.2"
  HTTP2_IP="163.21.xxx.4"
  HTTP3_IP="163.21.xxx.9"
  HTTP4_IP="163.21.xxx.6"
  HTTP5_IP="163.21.xxx.7"
  HTTP6_IP="163.21.xxx.10"
  FTP1_IP="163.21.xxx.2"
  FTP2_IP="163.21.xxx.6"
  FTP3_IP="163.21.xxx.7"
  MAIL1_IP="163.21.xxx.6"
  MAIL2_IP="163.21.xxx.7"
  PCAW1_IP="163.21.xxx.2"
  PCAW2_IP="163.21.xxx.4"
  WAM1_IP="163.21.xxx.6"
  WAM2_IP="163.21.xxx.7"
  DNS_IP="163.21.xxx.2"
  IP_POOL="163.21.xxx.240-163.21.xxx.250"
  INET_IFACE="eth1"
  
  #
  # 1.2 Local Area Network configuration.
  #
  # 定義 NAT IP 及 LAN 接口
  LAN_IP="192.168.1.253"
  LAN_HTTP1_IP="192.168.1.2"
  LAN_HTTP2_IP="192.168.1.4"
  LAN_HTTP3_IP="192.168.1.9"
  LAN_HTTP4_IP="192.168.1.6"
  LAN_HTTP5_IP="192.168.1.7"
  LAN_HTTP6_IP="192.168.1.53"
  LAN_FTP1_IP="192.168.1.2"
  LAN_FTP2_IP="192.168.1.6"
  LAN_FTP3_IP="192.168.1.7"
  LAN_MAIL1_IP="192.168.1.6"
  LAN_MAIL2_IP="192.168.1.7"
  LAN_PCAW1_IP="192.168.1.2"
  LAN_PCAW2_IP="192.168.1.4"
  LAN_WAM1_IP="192.168.1.6"
  LAN_WAM2_IP="192.168.1.7"
  LAN_DNS_IP="192.168.1.2"
  LAN_IP_RANGE="192.168.0.0/16"
  LAN_BROADCAST_ADDRESS="192.168.1.255"
  LAN_IFACE="eth0"
  
  #
  # 1.4 Localhost Configuration.
  #
  # 定義 Loopback IP 及接口
  LO_IFACE="lo"
  LO_IP="127.0.0.1"
  
  #
  # 1.5 IPTables Configuration.
  #
  # 設定 iptables 指令路徑
  IPTABLES="/sbin/iptables"
  
  #
  # 1.6 Other Configuration.
  #
  ###########################################################################
  #
  # 2. Module loading.
  #
  #
  # Needed to initially load modules
  # 整理核心支持模塊之清單
  /sbin/depmod -a
  
  #
  # 2.1 Required modules
  # 加載會用到的模塊
  /sbin/modprobe ip_tables
  /sbin/modprobe ip_conntrack
  /sbin/modprobe iptable_filter
  /sbin/modprobe iptable_mangle
  /sbin/modprobe iptable_nat
  /sbin/modprobe ipt_LOG
  /sbin/modprobe ipt_limit
  /sbin/modprobe ipt_state
  /sbin/modprobe ip_conntrack_ftp
  /sbin/modprobe ip_nat_ftp
  
  #
  # 2.2 Non-Required modules
  # 其余未使用之模塊
  #/sbin/modprobe ipt_owner
  #/sbin/modprobe ipt_REJECT
  #/sbin/modprobe ipt_MASQUERADE
  #/sbin/modprobe ip_conntrack_irc
  #/sbin/modprobe ip_nat_irc
  ###########################################################################
  #
  # 3. /proc set up.
  #
  #
  # 3.1 Required proc configuration
  # 啟動 Forward 接口
  echo "1" > /proc/sys/net/ipv4/ip_forward
  
  #
  # 3.2 Non-Required proc configuration
  # 其余未使用之接口
  #echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
  #echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
  #echo "1" > /proc/sys/net/ipv4/ip_dynaddr
  ###########################################################################
  #
  # 4. rules set up.
  #
  ######
  # 4.1 Filter table
  #
  # 4.1.0 Reset the default policies in the nat table.
  # 清除所有已設定之規則,回復到不設防狀態
  $IPTABLES -P INPUT ACCEPT
  $IPTABLES -P FORWARD ACCEPT
  $IPTABLES -P OUTPUT ACCEPT
  $IPTABLES -t nat -P PREROUTING ACCEPT
  $IPTABLES -t nat -P POSTROUTING ACCEPT
  $IPTABLES -t nat -P OUTPUT ACCEPT
  $IPTABLES -t mangle -P PREROUTING ACCEPT
  $IPTABLES -t mangle -P OUTPUT ACCEPT
  $IPTABLES -F
  $IPTABLES -t nat -F
  $IPTABLES -t mangle -F
  $IPTABLES -X
  $IPTABLES -t nat -X
  $IPTABLES -t mangle -X
  
  #
  # 4.1.1 Set policies
  # 定義安全政策為正面表列
  $IPTABLES -P INPUT DROP
  $IPTABLES -P OUTPUT DROP
  $IPTABLES -P FORWARD DROP
  
  #
  # 4.1.2 Create userspecified chains
  #
  #
  # 新增使用者自訂規則煉 bad_tcp_packets、 allowed 和 icmp_packets
  $IPTABLES -N bad_tcp_packets
  $IPTABLES -N allowed
  $IPTABLES -N icmp_packets
  
  #
  # 4.1.3 Create content in userspecified chains
  #
  #
  # bad_tcp_packets chain
  # bad_tcp_packets 規則煉的功能是:將要求重導向的聯機記錄起來,然後將封包丟棄(防止聯機被綁架,但會檔掉需要三方交談的服務,例如:M$ Media Server)
  $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-level INFO --log-prefix "New not syn:"
  $IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP
  
  # allowed chain
  # allowed 規則煉的功能是:允許要求聯機封包或響應封包進入,將其余封包丟棄
  $IPTABLES -A allowed -p TCP --syn -j ACCEPT
  $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  $IPTABLES -A allowed -p TCP -j DROP
  
  #
  # ICMP rules
  # icmp_packets 規則煉的功能是:允許 ping 封包進入,將其余封包丟棄
  $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
  $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
  
  #
  # 4.1.4 INPUT chain(過濾要到達防火牆的封包)
  #
  #
  # 進入防火牆主機的 TCP 封包必須先進行 bad_tcp_packets 過濾
  $IPTABLES -A INPUT -p tcp -j bad_tcp_packets
  
  # 從 WAN 進入防火牆主機的 ICMP 封包必須先進行 icmp_packets 過濾,這是為了避免駭客傳送不完整的 IP 封包,系統會響應 ICMP 封包通知對方,導致主機位置被偵測出來
  $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
  
  # 從 LAN 進入防火牆主機的全部 unicast 和 broadcast 封包,通通放行;額外檢查目的地 IP 可以將 multicast 封包濾除
  $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_IP -j ACCEPT
  $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT
  
  # 從 Loopback 接口進入防火牆主機的所有封包,檢查是否來自本機,若是則放行;此規則去檢查來源 IP ,似乎有些畫蛇添足,因為只有來自本機的封包才有機會進入 Loopback 接口
  $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
  $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
  $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
  
  # 從 LAN 進入防火牆主機的 DHCP 封包,予以放行,只有當防火牆擔任 DHCP 時才使用
  #$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
  
  # 從 WAN 進入防火牆主機的所有封包,檢查是否為響應封包,若是則予以放行
  $IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
  
  # 限制過濾規則的比對頻率為每分鐘平均流量三個封包(超過上限的封包將暫停比對),並將瞬間流量設定為一次最多處理三個封包(超過上限的封包將丟棄不予處理),這類封包通常是駭客用來進行阻斷式攻擊 
  $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix "IPT INPUT packet died: "
  
  #
  # 4.1.5 FORWARD chain(過濾要通過防火牆的封包)
  #
  #
  # 通過防火牆的 TCP 封包必須先進行 bad_tcp_packets 過濾
  $IPTABLES -A FORWARD -p TCP -j bad_tcp_packets
  
  # 從 LAN 要到 WAN 的封包通通放行
  $IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -j ACCEPT
  
  # 從 WAN 要到 LAN 的封包僅放行回應封包
  $IPTABLES -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
  
  # 允許來自 WAN 的 Ping 封包,遞送到校內所有的服務器
  $IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP1_IP -j icmp_packets
  $IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP2_IP -j icmp_packets
  $IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP3_IP -j icmp_packets
  $IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP4_IP -j icmp_packets
  $IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP5_IP -j icmp_packets
  $IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP6_IP -j icmp_packets
  
  # 允許來自 WAN 的 HTTP、HTTPS 封包,遞送到校內所有的 WEB 服務器
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP1_IP -m multiport --dport $HTTP,$HTTPS -j allowed
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP2_IP -m multiport --dport $HTTP,$HTTPS -j allowed
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP3_IP -m multiport --dport $HTTP,$HTTPS -j allowed
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP4_IP -m multiport --dport $HTTP,$HTTPS -j allowed
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP5_IP -m multiport --dport $HTTP,$HTTPS -j allowed
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP6_IP -m multiport --dport $HTTP,$HTTPS -j allowed
  
  # 允許來自 WAN 的 FTP 封包,遞送到校內所有的 FTP 服務器
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP1_IP -m multiport --dport $FTP,$FTP_DATA -j allowed
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP2_IP -m multiport --dport $FTP,$FTP_DATA -j allowed
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP3_IP -m multiport --dport $FTP,$FTP_DATA -j allowed
  
  # 允許來自 WAN 的 SMTP、POP3、IMAP 封包,遞送到校內所有的 MAIL 服務器
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_MAIL1_IP -m multiport --dport $SMTP,$POP3,$IMAP -j allowed
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_MAIL2_IP -m multiport --dport $SMTP,$POP3,$IMAP -j allowed
  
  # 允許來自 WAN 的 SSH、TELNET、WEBMIN、WAM 封包,遞送到校內所有的 LINUX 服務器
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_WAM1_IP -m multiport --dport $SSH,$TELNET,$WEBMIN,$WAM -j allowed
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_WAM2_IP -m multiport --dport $SSH,$TELNET,$WEBMIN,$WAM -j allowed
  
  # 允許來自 WAN 的 PCanywhere 封包,遞送到校內所有的 PCanywhere 服務器
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW1_IP --dport $PCAW_TCP -j allowed
  $IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW1_IP --dport $PCAW_UDP -j ACCEPT
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW2_IP --dport $PCAW_TCP -j allowed
  $IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW2_IP --dport $PCAW_UDP -j ACCEPT
  
  # 允許來自 WAN 的 DNS 封包,遞送到校內的 DNS 服務器
  $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_DNS_IP --dport $DNS -j allowed
  $IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_DNS_IP --dport $DNS -j ACCEPT
  
  # 限制過濾規則的比對頻率為每分鐘平均流量三個封包(超過上限的封包將暫停比對),並將瞬間流量設定為一次最多處理三個封包(超過上限的封包將丟棄不予處理),這類封包通常是駭客用來進行阻斷式攻擊 
  $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
  
  #
  # 4.1.6 OUTPUT chain(過濾從防火牆送出的封包)
  #
  #
  # 從防火牆送出的 TCP 封包必須先進行 bad_tcp_packets 過濾
  $IPTABLES -A OUTPUT -p TCP -j bad_tcp_packets
  
  # 從防火牆網卡送出的所有封包,通通放行
  $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
  $IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
  $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
  
  # 限制過濾規則的比對頻率為每分鐘平均流量三個封包(超過上限的封包將暫停比對),並將瞬間流量設定為一次最多處理三個封包(超過上限的封包將丟棄不予處理),這類封包通常是駭客用來進行阻斷式攻擊 
  $IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
  
  ######
  # 4.2 nat table
  #
  #
  # 4.2.1 Set policies
  #
  #
  # 4.2.2 Create user specified chains
  #
  #
  # 4.2.3 Create content in user specified chains
  #
  #
  # 4.2.4 PREROUTING chain(定義目的地地址轉譯)
  #
  # 從 WAN 要到校內服務器的封包,在封包過濾前先轉譯目的地 IP 為 NAT IP
  $IPTABLES -t nat -A PREROUTING -d $HTTP1_IP -j DNAT --to-destination $LAN_HTTP1_IP
  $IPTABLES -t nat -A PREROUTING -d $HTTP2_IP -j DNAT --to-destination $LAN_HTTP2_IP
  $IPTABLES -t nat -A PREROUTING -d $HTTP3_IP -j DNAT --to-destination $LAN_HTTP3_IP
  $IPTABLES -t nat -A PREROUTING -d $HTTP4_IP -j DNAT --to-destination $LAN_HTTP4_IP
  $IPTABLES -t nat -A PREROUTING -d $HTTP5_IP -j DNAT --to-destination $LAN_HTTP5_IP
  $IPTABLES -t nat -A PREROUTING -d $HTTP6_IP -j DNAT --to-destination $LAN_HTTP6_IP
  
  #
  # 4.2.5 POSTROUTING chain(定義來源地址轉譯)
  #
  # 從校內服務器要到 WAN 的封包,在送出之前先轉譯來源 IP 為 NIC IP,配合上面區塊的設定,就可以做到一對一對應
  $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP1_IP -j SNAT --to-source $HTTP1_IP
  $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP2_IP -j SNAT --to-source $HTTP2_IP
  $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP3_IP -j SNAT --to-source $HTTP3_IP
  $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP4_IP -j SNAT --to-source $HTTP4_IP
  $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP5_IP -j SNAT --to-source $HTTP5_IP
  $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP6_IP -j SNAT --to-source $HTTP6_IP
  # 從校內一般單機要到 WAN 的封包,在送出之前先轉譯來源 IP 為預設的 NIC IP,這就是多對一對應,若指定成 IP 范圍,就變成多對多對應,例如本范例即是如此
  $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $IP_POOL
  
  #
  # 4.2.6 OUTPUT chain
  #
  ######
  # 4.3 mangle table
  #
  #
  # 4.3.1 Set policies
  #
  #
  # 4.3.2 Create user specified chains
  #
  #
  # 4.3.3 Create content in user specified chains
  #
  #
  # 4.3.4 PREROUTING chain
  #
  #
  # 4.3.5 INPUT chain
  #
  #
  # 4.3.6 FORWARD chain
  #
  #
  # 4.3.7 OUTPUT chain
  #
  #
  # 4.3.8 POSTROUTING chain
  #
  
  七、Log 分析
  分析 iptables 防火牆 Log 的免費軟件相當多,底下僅介紹 iptables_logger_v0.3,這個軟件提供一個 perl 程序,可以讀取系統 LOG,並將數據寫入 MySql 數據庫,然後還提供 php 程序,可以從數據庫讀取數據,整理成網頁提供浏覽,因此要安裝此分析軟件,必須先安裝 perl、php、mysql 和 apache,有關這些套件的安裝在這裡不再介紹,請自行參考相關文件,或參加 Linux 進階班課程。你可以從這裡取得 iptables_logger_v0.3 程序,其安裝程序如下:
  安裝數據表:
  這個套件解壓縮後,可以看到有一個數據夾叫做 sql,數據夾內有一個 sql 的指令稿叫做 db.sql,這個指令稿是用來建立擺放聯機紀錄所需的數據表,請利用以下指令來安裝,如果您還不熟悉 mysql 的指令,請自行閱讀 man mysql 文件。
  root@firewall sql# mysql -u root -p(以 root 身分登入 MySql 主控台)
  mysql> create database iptables;(建立一個數據庫叫做 iptables,數據庫也可以自行命名,但是要記得修改相關程序)
  mysql> grant create,select,insert on iptables.* to iptables_admin@localhost identified by 'xx';(將 iptables 數據庫新建、讀取和寫入權限授權給 iptables_admin 這個賬號,並限制只能從本機聯機,密碼為 xx,請自行修改上述指令中之賬號與密碼)
  mysql> grant create,select on iptables.* to iptables_user@localhost identified by 'xx';(將 iptables 數據庫讀取權限授權給 iptables_user 這個賬號,並限制只能從本機聯機,密碼為 xx,請自行修改上述指令中之賬號與密碼)
  root@firewall sql# cat db.sql | mysql -u iptables_admin -p iptables(以 iptables_admin 身分來執行 db.sql,如果你改了數據庫的名字,請記得修改 db.sql)
  修改 iptables 指令稿:
  由於這支 Log 分析程序是以讀取系統 LOG 加以分析後才匯入到數據庫的方法,來處理聯機紀錄,並非使用 ULOG 直接由 iptables 將紀錄寫入 mysql 數據庫,感覺上效能比較差,但在 ULOG 機制尚未被實體化之前,這也不失為一個好的解決方案
  原則上只要在 iptables 指令稿中有產生 LOG 的動作,這些信息就會被分析匯入到數據表(由 feed_db.pl 負責這個工作),特別要注意的是 LOG 產生時會加入一個標頭(prefix),程序是透過標頭來分析這筆 LOG 的意義,請將 LOG 標頭取名為 IPTABLES DROP 或 IPTABLES ACCEPT,以方便事後的統計。范例如下:
  首先建立一個新的規則煉 LOG_DROP,這個規則煉用來將要丟棄的封包先 LOG 到系統日志文件,然後再丟棄。
  iptables -N LOG_DROP
  iptables -A LOG_DROP -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES DROP] : '
  iptables -A LOG_DROP -j DROP
  接著修改所有規則,只要是需進行 DROP 動作,都改為跳到 LOG_DROP 規則煉,例如:
  $IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP
  改為
  $IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j LOG_DROP
  至於需要進行 ACCEPT 處理的規則也如法炮制,先建立 LOG_ACCEPT 規則煉:
  iptables -N LOG_ACCEPT
  iptables -A LOG_ACCEPT -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES ACCEPT] : '
  iptables -A LOG_ACCEPT -j ACCEPT
  接著修改所有規則,例如:
  $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  改為
  $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j LOG_ACCEPT
  安裝顯示分析結果的 PHP 程序:
  在解壓縮的數據夾中,找到一個叫做 web 的子數據夾,裡面就是要給人從網頁浏覽分析結果的 PHP 程序,如果你的 Apache 已經設定好支持 php 和 php_mysql,那麼只要將此數據夾復制到 Apache 的根文件目錄就行了。方法如下:
  cp -R web /var/www/iptables
  拷貝完成後請修改 config.php ,目的是為了讓 PHP 程序執行時,能以正確的賬號密碼連上 MySql ,以便從數據庫讀取數據,請找到底下三行:
  $db_host="localhost";(一般不需修改,除非數據庫在另一台主機上)
  $db_user="iptables_user";(修改為僅具有讀取權限的賬號,如果之前安裝數據庫有自設帳號的話)
  $db_password="xxxx";(請將密碼修改為自設的密碼)
  安裝 feed_db.pl:
  前面已經介紹過這支程序的作用,請務必修改這支程序中有關數據庫聯機的 SQL 指令,將指令中的賬號密碼,改成你當初所設定的賬號密碼,建議最好不要用 root 身分聯機,以免影響防火牆的安全性。這支程序是放在解壓縮後數據夾內的 scripts 子數據夾,請修改下面這三行:
  my $dsn = 'DBI:mysql:iptables:localhost';(請將 iptables 改成你自訂的數據庫名稱)
  my $db_user_name = 'iptables_admin';(請將 iptables_admin 改成你自訂的管理賬號)
  my $db_password = 'xxxx';(請將 xxxx 改成管理賬號的密碼)
  程序修改好後,請將它拷貝到 /usr/local/bin 數據夾,接著將程序執行起來,注意:這支程序會跑一個無窮盡循環,持續分析系統 LOG,因此必須在背景執行,同時只能有一支程序執行,以避免造成 IO 過大的負載,執行方式如下:
  tail --follow=name --retry /var/log/syslog | /usr/local/bin/feed_db.pl &
  如果這些動作都作了,但程序並未執行成功,有可能是因為 perl_DBI:DBD 套件沒安裝,請自行用 rpm 補裝該套件。
  查看分析結果:
  完成以上所有安裝步驟後,就可以坐下來享受一下成果,請打開浏覽器輸入底下網址
  http://192.xx.1.254/iptables
  安裝 LOG 分析後的安全防范:
  防火牆上安裝越多套件,系統安全性也就越低,改進的方法有兩個:
  1. 將 apache 和 mysql 架設在內部網絡的一台機器上,防火牆上僅安裝 mysql client,這樣可以避免 apache 和 mysql 的漏洞被駭客利用
  2. 在防火牆上設定規則,僅允許來自內部的網絡,進行 HTTP 和 MySql 聯機,這個方法比較簡單,本文所介紹的 iptables 范例也是采用此法,缺點是無法在校外查看 LOG 分析結果

Copyright © Linux教程網 All Rights Reserved