当前所在位置:FreeBSD使用大全>>
FreeBSD连载(78):设置和使用ipfw/natd(1)
 
作者:王波
 
设置防火墙功能
  通过设置,FreeBSD系统能够具备更高的安全性,防止外界入侵者进入系统,即使入侵者利用人为的问题进入系统,FreeBSD严密的保护也将使他们无所作为,不能对系统造成严重的破坏。然而,除了用于保护系统本身的能力之外,FreeBSD还能用于保护同一个网络内的其他计算机。此时这个FreeBSD系统就必须作为内部网络的缺省网关,担负将内部网络连接到外部网络的任务。

  FreeBSD系统实现了包过滤能力与网络地址转换能力,如果仅将这些能力用作保护系统本身,显然不是这些功能的设计目的,保护本地系统只是保护本地网络的一部分功能。包过滤能力是针对路由器等网络设备来设计的,而网络地址转换也是重要的防火墙功能,这些设计就使得FreeBSD能被十分方便的设置为防火墙系统。此外,FreeBSD上也能运行其他类型的防火墙软件,如代理型防火墙软件fwtk等,作为代理服务器来保护本地网络内的系统。

  即使FreeBSD系统不是用作防火墙,它所支持防火墙能力也同样能用来保护本地系统的安全。


设置和使用ipfw/natd

  在专用路由器系统开始流行之前,Internet上的路由器大部分是基于Unix的软件路由器,其中多数是BSD Unix。显然这是由于BSD Unix在Internet上占据的重要地位决定的,即便是在专用硬件路由器流行的今天,当由于价格等因素不能考虑硬件路由器时,BSD系统仍然是用作软件路由器的首选系统。

  由于路由器处于网络之间,所有网络间需要交换的数据包都要通过它转发,因此就可以进行一定的限制,即按照预定义的一定规则处理每个数据包,符合要求的允许通过,不符合要求的就进行丢弃。这样路由器就能用作一个简单的防火墙系统,保护内部计算机。BSD系统中最早使用ipfw过滤器来定义不同的过滤规则,随后ipfw也被移植到其他平台上,并根据开发者的理解不同而独立发展。当前不同系统上的ipfw已经大不相同了,并出现了具备相同功能的其他过滤器, FreeBSD下的ipfw也经过了不断发展,具备了更强的过滤能力,尤其是它能和natd守护进程相结合,提供网络地址转换能力,具备更完善的防火墙能力。


使用ipfw设置过滤

  由于包过滤要对每个数据包都进行判断,因此在网络流量较大时需要较高的处理器处理能力,FreeBSD的包过滤能力是在内核中实现的,这样才能具备最高的效率和性能。因此为了在FreeBSD上使用这个防火墙功能,需要在编译内核时打开下面选项重新定制内核。

options IPFIREWALL
options IPFIREWALL_VERBOSE
options “IPFIREWALL_VERBOSE_LIMIT=100”
options IPFIREWALL_DEFAULT_TO_ACCEPT

options IPDIVERT
 
 

  其中第一项设置IPFIREWALL是用于打开基本的包过滤支持的,只有使用它才能在内核中支持包过滤。IPFIREWALL_VERBOSE 和IPFIREWALL_VERBOSE_LIMIT设置记录过滤日志,及日志记录的限制。IPFIREWALL_DEFAULT_TO_ACCEPT是设置IPFIREWALL的缺省行为,在数据包不符合所有的过滤规则的情况下进行转发,显然这是一种宽松的限制,此时系统主要用于屏蔽特定地址和特定服务,而提供其他的缺省网络能力。如果没有定义这个选项,系统就只能允许符合已定义规则的数据包通过,而屏蔽其他任何数据包,这样在没有定义过滤规则的情况下,系统不能和其他计算机相互通信。最后一个选项IPDIVERT是用于定义IPFIREWALL与natd的接口。

  当编译安装了内核之后,还需要设置内核具备数据包的转发能力。需要在rc.conf中设置gateway_enable 的值为YES,这样就能在系统启动时自动打开包转发能力。也可以直接执行下面命令来打开内核包转发能力。

# sysctl -w net.inet.ip.forwarding=1
  net.inet.ip.forwarding: 0 -> 1
 
 


ipfw过滤规则

  IPFIREWALL的过滤规则是由ipfw命令来设置的,例如下面的规则允许所有127.0.0.1的数据传输。

# /sbin/ipfw add 1000 pass all from 127.0.0.1 to 127.0.0.1 

  ipfw命令中,首先指定对这个规则的处理方式,ipfw add为向内核中的过滤规则中添加,此外,ipfw delete用于删除一条规则,ipfw list用于显示当前定义的所有过滤规则,ipfw flush将清除所有的过滤规则,而ipfw file用于从文件file中读取定义的过滤规则。

  此外,ipfw定义的规则都有自己的序号,其序号可以在处理方式之后指定,如ipfw delete 1000 就是删除第1000条过滤规则,内核中可以同时支持65535条过滤规则。有时可以不使用规则的序号,那么ipfw 就处理当前规则,而处理过一次规则之后,就立即将当前规则序号增加100,这样就对于添加过滤规则时十分方便,不必指定序号,ipfw add将每隔100添加一条过滤规则。

  每个过滤规则中,要首先给出这条规则的处理指令,allow指令(或者使用同义词pass, permit,accept)为许可某类数据包通过;deny指令(或同义词drop)为不允许某类数据包通过,将该类数据包丢弃; reject指令与deny指令有所不同,但它不是简单的将数据包丢弃,而是在丢弃原有数据包的同时,回应ICMP host unreachable,通知发送计算机不能通过它与目的计算机进行通信,这样就免得发起连接请求的计算机一直发送连接请求,造成不必要的数据流量。使用count指令能对该类数据包进行简单记数,这个功能主要用于对网络使用进行记帐。log指令用于将连接发送到系统的日志记录中。

  其中count和log指令与其他指令不同,其他指令都是对数据包进行处理的指令,因此每个数据包只要匹配这个指令,就立即将数据包或转发,或丢弃,不再进行其他处理,而count和log只是记录指令,只是将记录下这个数据包,而数据包本身还将继续受到其他过滤规则的处理。

  过滤规则的第二部分是规定数据包的协议类型,指定规则是用于处理哪种数据包的,FreeBSD可以处理TCP,UCP,ICMP 类型的数据,以及在/etc/protocols文件中定义的其他数据包的类型,上例中使用all ,匹配所有类型的数据包。对于TCP或UDP,还可以在后面定义地址时指定应用的端口号(可以使用数字或/etc/services 中定义端口名字),进一步增加过滤能力。

  过滤规则的第三部分是规定过滤规则适用的地址范围,这可以通过指定源和目的计算机的IP地址范围或数据包通过的网络界面来进行指定。

  

用from规定数据包的来源地址,可以是主机地址或网络;

  

用to规定数据包的目的地址,可以是主机地址或网络;

  

用in或out规定数据包是流向本机,还是向外发送的;

  

用via、recv、xmit规定数据包经过、接收、发送的网络介面,rece可以是接收本地发送的数据包,而xmit一定是向外发送,因此应该和out选项合用;

  例如:屏蔽任何来自192.168.1.5的数据的指令为:

# ipfw add deny all from 192.168.1.5
 
 

  而许可来自192.168.1.0网络上的远程登录的指令为:

# ipfw add allow tcp from 192.168.1.0/24 telnet
 
 

  应用过滤规则的顺序是按照过滤规则的序号,从小到大进行匹配,一旦一个数据包匹配一个过滤规则,就立即按照该规则转发或丢弃,不再需要继续考虑以下的规则(count和log规则除外)。因此在前面的例子中,192.168.1.5 就不能使用telnet连接,因为首先碰到的是不允许的规则,如果两个命令次序相反,则它就能够进行telnet连接。

  最后一条过滤规则,第65535条规则,缺省被设为”deny all from any to any”时,为不允许对任何连接,此时在没有定义其他规则之前,不允许所有的网络连接。但是编译内核时使用IPFIREWALL_DEFAULT_TO_ACCEPT 选项,就能将这条规则改为”allow all from any to any”,允许转发不符合其他规则的所有数据。这两种不同的设置属于两种不同的考虑方式,一种适用于安全性要求较高的系统中,缺省情况不允许外界连接,另一种主要限制部分节点的访问,缺省情况允许任意网络连接,普通系统使用这样的设置更多些。


rc.firewall

  当启动了系统的包过滤能力之后,就需要在系统启动时将这些过滤规则自动载入内核,可以将这些添加过滤规则的指令写入启动文件rc.local或者其他启动文件中。但系统的启动文件中本来就具备载入这些过滤规则的相关启动文件 rc.firewall,这个文件中根据防火墙的基本要求,设置了常用的过滤规则,可以减轻防火墙管理员的设置工作。

  为了让系统执行rc.firewall中的设置,需要在rc.conf中设置参数firewall为YES,以及设置firewall_type的值,这个参数值将传递给rc.firewall,使rc.firewall执行不同的设置。一般情况下可以将firewall_type设置为open,对网络访问不进行限制,而client主要用于计算机不对外提供网络服务,保护本计算机只用于访问外部系统而拒绝所有的访问请求,设置为simple则定义了简单的防火墙规则,可以使用这台计算机保护防火墙内部的计算机,这三个选项比较常用。下面为缺省rc.firewall 中的有关过滤规则的设置。

############
# Define the firewall type in /etc/rc.conf.  Valid values are:
#   open     - will allow anyone in
#   client   - will try to protect just this machine
#   simple   - will try to protect a whole network
#   closed   - totally disables IP services except via lo0 interface
#   UNKNOWN  - disables the loading of firewall rules.
#   filename - will load the rules in the given filename (full path required)
#
# For ``client'' and ``simple'' the entries below should be customized
# appropriately.
 
 

  这里解释了rc.conf中对firewall参数的可能设置值,可以设置为不同的设置值,或者可以使用一个文件名作为firewall_type的值,指定一个包括了ipfw规则的文件,而设置使用者自己定制的过滤规则。

############
# Only in rare cases do you want to change these rules
$fwcmd add 100 pass all from any to any via lo0
$fwcmd add 200 deny all from any to 127.0.0.0/8
 
 

  这两个规则用于设置本地网络lo0的数据包能进行传输,但屏蔽所有从其他网络界面通向本地网络lo0的通信。这是最基本的设置,防止在路由或IP地址设置不正确的情况下,外部计算机访问127.0本地网络。

# Prototype setups.
if [ "${firewall_type}" = "open" -o "${firewall_type}" = "OPEN" ]; then
 
        $fwcmd add 65000 pass all from any to any
 
 

  设置open为防火墙的类型时,即使没有设置IPFIREWALL_DEFAULT_TO_ACCEPT内核选项,也允许对数据包进行转发,因为这里设置的规则序号为65000,小于缺省的65535规则。

elif [ "${firewall_type}" = "client" ]; then
 
    ############
    # This is a prototype setup that will protect your system somewhat against
    # people from outside your own network.
    ############
 
    # set these to your network and netmask and ip
    net="192.168.4.0"
    mask="255.255.255.0"
    ip="192.168.4.17"
 
 

  当设置了client为防火墙的类型,那么就需要更改这里的IP地址和子网掩码的设置,使其符合自己计算机的实际情况。client类型主要用于单机系统,保护本机不受外部计算机侵袭的设置。它的保护与tcpwrapper类似,但比tcpwrapper更为基本和高效,但是它不能提供详细的连接记录日志。

# Allow any traffic to or from my own net.
$fwcmd add pass all from ${ip} to ${net}:${mask}
$fwcmd add pass all from ${net}:${mask} to ${ip}
 
 

  这两个规则用于许可计算机与本地网络的通信。

# Allow TCP through if setup succeeded
$fwcmd add pass tcp from any to any established
 
 

  上面这两个规则允许连接已经设定成功的TCP连接的数据包能够保持连接,数据传输能够继续进行。 established参数就用于说明数据包为已经设置成功的TCP连接数据包。

# Allow setup of incoming email
$fwcmd add pass tcp from any to ${ip} 25 setup
 
 

  允许外部计算机能向内地smtp端口发起连接请求,setup用于说明定义的数据包为请求连接的数据包。

# Allow setup of outgoing TCP connections only
$fwcmd add pass tcp from ${ip} to any setup
 
 

  允许本地计算机能向外部网络发起连接请求。

# Disallow setup of all other TCP connections
$fwcmd add deny tcp from any to any setup
 
 

  此后屏蔽所有其他种类的TCP连接请求数据包,因此如果要打开其他TCP连接请求,就需要在这个规则之前进行定义。

# Allow DNS queries out in the world
    $fwcmd add pass udp from any 53 to ${ip}
    $fwcmd add pass udp from ${ip} to any 53
 
    # Allow NTP queries out in the world
    $fwcmd add pass udp from any 123 to ${ip}
    $fwcmd add pass udp from ${ip} to any 123
 
    # Everything else is denied as default.
 
 

  此后定义对UDP数据包的过滤规则,只许可DNS和NTP协议通过,而屏蔽其他UDP数据包。

  上面这些指令都是client类型的过滤规则,综合上面的指令,这就表示为屏蔽外部计算机向本地除smtp之外的TCP连接请求,而允许本地计算机向外发起连接请求,屏蔽除DNS和NTP之外的其他UDP数据包。这些过滤规则可以有效的保护一个不对外提供服务的客户系统。但是,如果要对外提供网络服务,就需要更改这里的设置,打开需要提供服务的端口,例如打开TCP端口22,以使得ssh客户能连接到系统中。

elif [ "${firewall_type}" = "simple" ]; then
 
    ############
    # This is a prototype setup for a simple firewall.  Configure this machine
    # as a named server and ntp server, and point all the machines on the inside
    # at this machine for those services.
    ############
 
    # set these to your outside interface network and netmask and ip
    oif="ed0"
    onet="192.168.4.0"
    omask="255.255.255.0"
    oip="192.168.4.17"
 
    # set these to your inside interface network and netmask and ip
    iif="ed1"
    inet="192.168.3.0"
    imask="255.255.255.0"
    iip="192.168.3.17"
 
 

  防火墙类型simple用于设置一个简单的防火墙系统,用于保护内部网络中的计算机。由于防火墙系统需要连接多个网络界面,一个用于连接外部网络,而其他用于连接内部网络。这个简单的防火墙只针对两个网络界面进行了过滤规则的设置,内部网络的界面iif,外部网络的界面oif,因此它只适合只有两个网络界面的防火墙系统。

  当真正要使用这个防火墙设置的时候,首先就要修改iif与oif的IP地址,网络掩码等相关设置,与本地系统实际使用的设置相同。

# Stop spoofing
$fwcmd add deny all from ${inet}:${imask} to any in via ${oif}
$fwcmd add deny all from ${onet}:${omask} to any in via ${iif}
 
 

  这两个过滤规则用于丢弃涉及IP地址欺骗的数据包,这包括来自于外部网络界面,但源地址为内部网络地址,或者来自于内部网络界面,但源地址为外部网络地址的数据包。由于这些数据包涉及IP地址欺骗,每个路由器都应该丢弃这样的数据包。

# Stop RFC1918 nets on the outside interface
    $fwcmd add deny all from 192.168.0.0:255.255.0.0 to any via ${oif}
    #$fwcmd add deny all from any to 192.168.0.0:255.255.0.0 via ${oif}
    $fwcmd add deny all from 172.16.0.0:255.240.0.0 to any via ${oif}
    $fwcmd add deny all from any to 172.16.0.0:255.240.0.0 via ${oif}
    $fwcmd add deny all from 10.0.0.0:255.0.0.0 to any via ${oif}
    $fwcmd add deny all from any to 10.0.0.0:255.0.0.0 via ${oif}
 
来源:http://freebsd.online.ha.cn/

声明:本站的文章和软件是本人从网上收集整理的(除本人的作品之外),所有版权属于作者,
如有侵犯您的权益,请指出,本站将立即改正,谢谢.

Copyright 2000 www.newok.com