15-防火墙与Linux代理服务器.docx

资源描述

防火墙与Linux代理服务器 Linux提供了一个非常优秀的防火墙工具netfilter/iptables，它免费、功能强大，可以对流入流出的信息进行灵活控制，并且可以在一台低配置机器上很好地运行。一、 netfilter/iptables简介 Linux在2.4以后的内核中包含netfilter/iptables，系统这种内置的IP数据包过滤了具使得配置防火墙和数据包过滤变得更加容易，使用户可以完全控制防火墙配置和数据包过滤。netfiher/iptables允许为防火墙建立可定制的规则来控制数据包过滤，并且还允许配置有状态的防火墙。另外，netfiher/iptables还可以实现NAT(网络地址转换)和数据包的分割等功能。 netfilter组件也称为内核空间，是内核的一部分，由一些数据包过滤表组成，这些表包含内核，用来控制数据包过滤处理的规则集。 iptables组件是一种工具，也称为用户空间，它使插入、修改和删除数据包过滤表中的规则变得容易。使用用户空间(iptables)构建自己定制的规则，这些规则存储在内核空间的过滤表中。这些规则中的目标告诉内核，对满足条件的数据包采取相应的措施。根据规则处理数据包的类型，将规则添加到不同的链中。处理入站数据包的规则被添加到INPUT链中。处理出站数据包的规则被添加到OUTPUT链中。处理正在转发的数据包的规则被添加到FORWARD链中。这二个链是数据包过滤表(filter)中内置的默认主规则链。每个链都可以有一个策略，即要执行的默认操作，当数据包与链中的所有规则都不匹配时，将执行此操作(理想的策略应该丢弃该数据包)。数据包经过filter表的过程如图1所示。图1 数据包经过fiher表的过程二、iptables的语法及其使用通过使用iptables命令建立过滤规则，并将这些规则添加到内核空间过滤表内的链中。添加、删除和修改规则的命令语法如下：格式：#iptables [-t table] command [match][target] 说明： 1、table [ -t table)有三种可用的表选项:filter、nat和mansle。该选项不是必需的，如未指定，则filter作为默认表。 filter表用于一般的数据包过滤，包含INPUT、OUTPUT和FORWARD链。 nat表用于要转发的数据包，包含PREROUTING、OUTPUT和POSTROUTING链。 manglc表用于数据包及其头部的更改，包含PREROUTING和OUTPUT链。 2．command command是iptables命令中最重要的部分，它告诉itables命令要进行的操作，如插入规则、删除规则、将规则添加到链尾等。中tables常用的一些操作命令见下表。表 iptables常用的操作命令操作命令功能 -A或-append 该命令将一条规则附加到链的末尾 -D或-delete 通过用-D指定要匹配的规则或者指定规则在链中的位置编号，该命令从链中删除该规则 -P或-policy 该命令设置链的默认目标，即策略。所有与链中任何规则都不匹配的数据包都将被强制使用此链的策略 -N或-new-chain 用命令中所指定的名称创建一个新链 -F或-flush 如果指定链名，该命令删除链中的所有规则，如果未指定链名，该命令删除所有链中的所有规则。此参数用于快速清除 -L或-list 列出指定链中的所有规则示例： #iptables -A INPUT -s 192.168.0.10 -j ACCEPT 该命令将一条规则附加到INPUT链的末尾，确定来自源地址192.168.0.10的数据包可以ACCEPT。 #iptables -D INPUT -dport 80 -j DROP 该命令从INPUT链删除规则。 #iptables -P INPUT DROP 该命令将INPUT链的默认目标指定为DROP。这将丢弃所有与INPUT链中任何规则都不匹配的数据包。 3．match mateh部分指定数据包与规则匹配所应具有的特征，比如源IP地址、目的IP地址、协议等。lptables常用的规则匹配器见下表。表 iptab]es常用的规则匹配器参数功能 -p或--protocol 该通用协议匹配用于检查某些特定协议。协议示例有TCP、UDP、ICMP及用逗号分隔的任何这三种协议的组合列表以及ALL(用于所有协议)。AILL是默认匹配，可以使用!符号，表示不与该项匹配 -s或--souece 该源匹配用于根据数据包的源IP地址来与它们匹配。该匹配还允许对某一范围内的IP地址进行匹配，可以使用!符号，表示不与该项匹配。默认源匹配与所有IP地址匹配 -d或--destination 该目的地匹配用于根据数据包的目的地IP地址来与它们匹配。该匹配还允许对某一范围内IP地址进行匹配，可以使用!符号，表示不与该项匹配示例： #iptables-A INPUT -p TCP，UDP #iptables-A INPUT-p!ICMP #iptables-A OUTPUT-s 192．168．0．10 #iptables-A OUTPUT-s 1 210．43．1．100 #iptables-A INPUT-d 192．168．1．1 #iptables-A OUTPUT-d 1 210．43．1．100 4．target 目标是由规则指定的操作，lptaLles常用的一些目标和功能说明见下表。表 iptables常用的目标和功能目标功能 ACCEPT 当数据包与具有ACCEPT目标的规则完全匹配时，会被接受(允许它前往目的地)，并且它将停止遍历链(虽然该数据包可能遍历另一个表中的其他链，并且有可能在那里被丢弃)。该目标被指定为-j ACCEPT DROP 当数据包与具有DROP目标的规则完全匹配时，会阻塞该数据包，并且不对它做进一步处理。该目标被指定为-j DROP REJECT 该目标的工作方式与DROP目标相同，但它比DROP好。和DROP不同，REJECT不会在服务器和客户机上留下死套接字。另外，RKJECT将错误消息发回给数据包的发送方。该目标被指定为-j REJECT RETURN 在规则中设置的RETURN目标让与该规则匹配的数据包停止遍历包含该规则的链。如果链是如INPUT之类的主链，则使用该链的默认策略处理数据包。该目标被指定为-j RETURN 5．保存规则用上述方法建立的规则被保存到内核中，这些规则在系统重启时将丢失。如果希望在系统重启后还能使用这些规则，则必须使用iptables -save命令将规则保存到某个文件 (iptables -script)中。 #iptables -save>iptables-script 执行如上命令后，数据包过滤表中的所有规则都被保存到lptables-script文件中。当系统重启时，可以执行lptaLles-restoreiptables-script命令，将规则从文件iptables -scrtpt中恢复到内核空间的数据包过滤表中。三、设置防火墙在终端窗口执行system-config-securitylevel命令，打开“安全级别设置”窗口，如图2所示。可以启用或停用防火墙。可以添加可信任服务，比如添加FTP和SSH。添加的可信任服务其实是允许数据包从该服务对应的端口进出。另外也可以直接添加可信任的端口，比如添加了3128(squid服务)。端窗口执行iptables -L命令，如图3所示，可以看出刚才添加的过滤规则已经生效。图2 "安全级别设置"窗口图3 执行iptables -L命令下面是一个iptables的脚本实例，读者要根据自己的环境需求进行相应的调整。 #!/bin/bash INET_IF="ppp0" #外网接口 LAN_IF="eth0" #内网接口 LAN_IP_RANGE="192.168.1.0/24" #内网IP地址范围，用于NAT IPT="/sbin/iptables" #定义变量 MODPROBE="/sbin/modprobe" $MODPROBE ip_tables #下面9行加载相关模块 $MODPROBE iptable_nat $MODPROBE ip_nat_ftp $MODPROBE ip_nat_irc $MODPROBE ipt_mark $MODPROBE ip_conntrack $MODPROBE ip_conntrack_ftp $NODPROBK ip_conntrack_irc $NODPROBK ipt_MASOUZRADE for TABLE in filter nat mangle;do #清除所有防火墙规则 $IPT -t $TABLE -F $IPT -t $TABLR -X done $IPT -P INPUT DROP #下面6行设置filter和nat表的默认策略 $IPT -P OUTPUT ACCEPT $IPT -P FOKNARD DROP $IPT -t nat -P PREROUTINC ACCEPT $IPT -t nat -P POSTROUTING ACCEPT $1PT -t nat -P OUTPUT ACCEPT #允许内网samba、smtp和pop3连接 $IPT -A INPUT -m state --state ESTABLISHED,RKLATED -j ACCEPT $IPT -A INPUT -p top -m multiport --dports 1863,443,110,80,25 -j ACCEPT $IPT -A INPUT -p top -s $LAN_IP_RANGR --dport 139 -j ACCEPT #允许DNs连接 $IPT -A INPUT -i $LAN_IF -p udp -m multiport --dports 53 -j ACCEPT #为了防止DOS攻击，可以最多允许15个初始连接，超过的将被丢弃 $IPT -A INPUT -s $LAN_IP_RANGE -p top -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -i $ INET_IF -p top --syn -m connlimit --connlimit -above 15 -j DROP $IPT -A INPUT -s $LAN_IPRANGE -P top --syn -m connlimit --connlimit -above 15 -j DROP #设置ICMP阈值，记录攻击行为 $IPT -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INPO --log -prefix "ICMP packet IN:" $IPT -A INPUT -p icmp -m limit --limit 6/m -j ACCEPT $IPT -A INPUT -p icmp -i DROP #开放的端口 $IPT -A INPUT -p TCP -i $INE IF --dport 21 -j ACCEPT #FTP $IPT -A INPUT -p TCP -i $INE IF --dport 22 -j ACCEPT #SSH $IPT -A INPUT -p TCP -i $INE IF --dport 25 -j ACCEPT #SMTP $IPT -A INPUT -p TCP -i $INE IF --dport 53 -j ACCEPT #DNS $IPT -A INPUT -p TCP -i $INE IF --dport 53 -j ACCEPT #DNS $IPT -A INPUT -p TCP -i $INE IF --dport 80 -j ACCEPT #WWW $IPT -A INPUT -p TCP -i $INE IF --dport 110 -j ACCEPT #POP3 #禁止BT连接 $IPT -I PORNARD -M state --state ESTABLISHKD,RELATZD -J ACCEPT $IPT -A PORNARD -m ipp2p --edk --kazaa --bIT -j DROP $IPT -A PORNARD -p tcp -m ipp2p --ares -j DROP $IPT -A PORNARD -p udp -m ipp2p --kazaa j DROP #只允许每组ip同时15个80端口转发 $IPT -A PORWARD -p top --syn --dport 80 -m connlimit --connlimit -above 15 --connlimit -mask 24 -j DROP #NAC、IP地址绑定 $IPT -A PORNARD -s 192.168.O.1 -m mac --mac -source 00:E2:A1:56:C2 -p tcp --dport 80 -i ACCEPT $IPT -A PORNARD -s 192.168.O.10 -m mac --mac -source 00:22:DA:32:C1 -p tcp --dport 80 -i ACCEPT $IPT -A PORNARD -s 192.168.O.62 -m mac --mac -source 00:0C2:A1:2E:BC -p tcp --dport 80 -i ACCEPT $IPT -A PORNARD -s 192.168.O.254 -m mac --mac -source 00:0D:E3:F2:C2 -p tcp --dport 80 -i ACCEPT #禁止192.168.0.22使用QQ #$IPT -t mangle -A POSTROUTINC -m layer7 --17proto qq -s 192.168.O.22/32 -j DROP #$IPT -t mangle -A POSTROUTINC -m layer7 --17proto qq -d 192.168.O.22/32 -j DROP #禁止192.168.0.22使用MSN #$IPT -t mangle -A POSTROUTINC -m layer7 --17proto msnmessenger -s 192.168.O.22/32 -j DROP #$IPT -t mangle -A POSTROUTINC -m layer7 --17proto msnmessenger -d 192.168.O.22/32 -j DROP #限制192.168.0.22流量 $IPT -t mangle -A PREROUTINC -s 192.168.0.22 j MARX --set -mark 30 $IPT -t mangle -A POSTROUTINC -d 192.168.0.22 j MARX --set -mark 30 四、 NAT与代理服务器的设置 NAT(Network Address Translation)即网络地址转换，将局域网内的私有IP地址转换成Internet上公有的IP地址，反之亦然。代理服务是指：由一台拥有公有IP地址的主机代替若干台没有公有IP地址的主机，和Internet上的其他主机打交道，提供代理服务的这台机器称为代理服务器。若干台拥有私有IP地址的机器组成内部网，代理服务器的作用就是沟通内部网和Internet。代理服务器放置在内部网与外网之间，用于转发内外主机之间的通信。拥有内部地址的主机访问 Internet上的资源时，先把这个请求发给拥有公有IP地址的代理服务器，由代理服务器把这个请求转发给目的服务器。然后目的服务器把响应的结果发给代理服务器，代理服务器再将结果转发给内部主机。由于Internet上的主机不能直接访问拥有私有IP地址的主机，因此，这样就保障内部网络的安全性。 1、NAT概述当内部网要连接到Internet上，却没有足够的公有IP地址分配给内部主机时，就要用到NAT了，NAT的功能是通过改写数据包的源和目的IP地址、源和目的端口号实现的。 1．源NAT和目的NAT (1)SNAT(Source NAT)：修改一个数据包的源地址，改变连接的来源地，SNAT会在包发出之前的最后时刻进行修改。 (2)DNAT(Destination NAT)：修改一个数据包的目的地址，改变连接的目的地，DNAT会在包进入之后立刻进行修改。 2．filter、nat和mangle 在Linux系统中，NAT是由netfilter/iptables系统实现的。netfilter/lptallc：内核空间中有3个默认的表：FILter、nat和mangle。FILter表用于包过滤，mangle表用于对数据包做进一步的修改，nat表用于IP NAT。netfilter/iptables由两个组件组成：natfilter和iptables。 (1)natFILter：称为内核空间，是内核的一部分，由一些表组成，每个表由若干链组成，每条链中有若干条规则。 (2)iptables：称为用户空间，是一种工具，用于插入、修改和删除包过滤表中的规则。 nat中的链有：PREROUTING、OUTPUT和POSTROUTING。可使用的动作有：SNAT、DNAT、REDIRECT和MASQUERADE。要做SNAT的信息包的规则被添加到POSTROUTING链中。要做DNAT的信息包的规则被添加到PREROUTING链中。直接从本地出站的信息包的规则被添加到OUTPUT链中。数据包穿过nat表的过程如图4所示。图4 数据包穿过nat表的示意图 3．认识内网客户机访问外网服务器的过程内网客户机访问外网服务器的过程如下： (1)PCI将访问WWW服务器的请求包发给NAT。 (2)NAT对请求包进行SNAT，即修改源IP地址和源端口号。 (3)NAT将修改后的请求包发给WWW服务器。 (4)WWW服务器将响应包发给NAT。 (5)NAT对响应包进行DNAT，即修改目的IP地址和目的端口号。 (6)NAT将修改后的响应包发给PCI。五、使用NAT带动局域网上网。 1、服务器端的设置第1步：执行#touch/etc/rc.d/snat命令，生成空的脚本文件。第2步：执行#chmod+x/etc/rc.d/snat命令，使该文件可执行。第3步：编辑shat文件，如图5所示。 5 编辑snat文件第2行：定义外部网络接口变量INET_IF。第3行：定义内部网络接口变量LAN_IF。第4行：定义内部网IP地址范围。，第6、7行：定义相关变量，定义这些变量是为了后面书写的简洁。第9行：打开内核的包转发功能。第11行：整理内核所支持的模块清单。第12～17行：加载要用到的模块。第19～22行：如果本主机以前设置了防火墙，那么此命令将清除已设规则，还原到没有设置防火墙的状态。第24～29行：设置filter和nat表的默认策略为ACCEPT。第33行：如果不是拨号接人因特网(即不是用pppO，而是用ethx)，则应该将该行换为$IPT-t nat-A POSTROUTING-s$LAN-IP_RANG-o$INET_IF -j SNAT --to $INET IP，其中$INETIP为外网络接口IP地址。第4步：保存该文件，执行#./snat。如果想使该脚本在系统启动时自动执行，需要执行#echo "/etc/rc.d/snat">>/etc/rc.d/rc.local命令。第5步：执行#less/etc/resolv．eonf命令，查看拨号连接时获得DNS的IP地址，如图6所示。DNS的IP地址将在设置客户端时使用。图6 获得DNS的IP地址 2、Windows客户端的设置在桌面上右击“网上邻居”，在弹出的快捷菜单中选择“属性”，在打开的窗口中双击“本地连接”，再在弹出的窗口中单击“属性”按钮。在弹出的窗口中双击"Internet协议(TCP/IP)”，将打开的"Internet协议(TCP//IP)属性”对话框，Windows客户端的设置如图50所示。设置好网络环境后(读者可以根据实际情况进行相应调整)，就可以访问Internet了。六、代理服务器Squid 1、Squid简介在Internet中，传统的通信过程是：客户端向服务器发起请求，服务器响应该请求，将数据传送给客户端。在引人了代理服务器以后，这一过程是：客户端向服务器发起请求，该请求被送到代理服务器；代理服务器分析该请求，先查看自己缓存中是否有请求数据，如果有就直接传送给客户端，如果没有就代替客户端向该服务器发出请求。服务器响应以后，代理服务器将响应的数据传送给客户端，同时在自己的缓存中保留一份该数据的备份。这样，再有客户端请求相同的数据时，代理服务器就可以直接将数据传送给客户端，而不需要再向该服务器发起请求。代理软件的一个优点是：它能够检验除了数据包之外的许多东西。Squid对数据包的有效载荷进行检验，根据数据包的首部(数据包中的IP部分)和数据包有效载荷(包括TCP首部)的信息，决定数据包将发往何处，数据包请求什么，以及根据数据包提供的这些信息，决定采取什么样的行动。对于Web用户来说，Squid是一个高性能的代理缓存服务器，可以加快内部网浏览Internet的速度，提高客户机的访问命中率。当一个用户要下载一个主页时，它向Squid发出一个申请，要Squid替它下载，然后Squid连接所申请网站并请求该主页，接着把该主页传给用户，同时保留一个备份，当别的用户申请同样的页面时，Squid把保存的备份立即传给用户，使用户觉得速度相当快。Squid不仅支持HTTP协议，还支持FTP、Gopher和SSL等协议。和一般的代理缓存软件不同，Squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。 Squid由一个主要的服务程序Squid、一个DNS查询程序dnsserver、几个重写请求和执行认证的程序，以及几个管理工具组成。当Squid启动以后，它可以派生出指定数目的 dnsserver进程，而每一个dnsscrver进程都可以执行单独的DNS查询，这样一来就大大减少了服务器等待DNS查询的时间。 Squid的另一个优点在于，它使用了访问控制列表(ACL)，访问控制列表通过阻止特定的网络连接来减少潜在的对Internet的非法连接，可以使用这些列表来确保内部网中的主机无法访问不适宜的或有威胁的站点。 2、局域网中使用Squid共享上网。配置Squid代理服务器第1步：修改/etc/squid/squid．conf主配置文件，如图7所示。第1行：squid对3128端口进行监听。第9行：用作缓存的物理内存的大小，一般为实际物理内存的l/3左右。第10行：其中ufs为/var/spool/squid目录下使用趵缓冲系统类型。缓存空间总量为100M，第l层目录数为16，第2层目录数为265。第13、14、17行：定义的访问控制列表。图7 修改squid．conf主配置文件第15行:允许本地机访问因特网。第18行：允许192．168．0．0/24网段中的客户机访问代理服务器。保存该文件。下面对Squid配置文件中的几个基本配置选项和语句进行说明： (1)http_port 定义Squid监听HTTP客户连接请求的端口。默认是3128。可以指定多个端口，但是所有指定的端口都必须在一条命令中。 (2)cache mere(bytes) 该选项用于指定Squid可以使用内存的理想值。 (3)cache dir Type Directory-Name Mbytes Level，l Level-2 指定Squid用来存储对象的交换空间的大小及其目录结构。可以用多个cache_dir命令来定义多个这样的交换空间，并且这些交换空间可以分布在不同的磁盘分区。 Type是指Linux使用的缓冲系统类型。 Directory-Name指明了该交换空间的顶级目录。如果想用整个磁盘来作为交换空间，那么可以将该目录作为挂载点，将整个磁盘mount到该挂载点，默认值为/var/spool/squid。 Mbytes定义了可用的空间总量。需要注意的是，SQuid进程必须拥有对该目录的读写权。 Level-1是可以在该顶级目录下建立的第一级子目录的数目，默认值为16。同理，Level-2是可以建立的第二级子目录的数目，默认值为256。为什么要定义这么多子目录呢?这是因为如果子目录太少，则存储在一个子目录下的文件数目将大大增加，这也会导致系统查找某一个文件的时间大大增加，从而使系统的整体性能急剧降低。所以，为了减少每个目录下的文件数量，必须增加所使用的目录的数量。如果仅仅使用一级子目录，则顶级目录下的子目录数目太大了，所以使用两级子目录结构。 (4)acl：定义访问控制列表定义语法为： acl aclname acltype siringl... acl aclname acltype "file"... acltype访问控制列表类型及说明见下表。表 acltype访问控制列表类型及其说明类型说明 src 指明源地址，格式为：aclaclname srcp-address/netmask...(客户IP地址)或acl aclname src addrl-addr2/netrnask...(地址范围) dst 指明目标地址，格式为：scl aclnamedst ip-address/netmask...(即客户请求的服务器的IP地址) srcdomain 指明客户所属的域，格式为：...squid将根据客户IP地址反向查询DNS dstdomain 指明请求服务器所属的域，格式为：acl aclname dstdonlaln ...由客户请求的URL决定。注意：如果用户使用服务器IP地址而非完整的域名时，Squid将进行反向的析来确定其完整域名，如果失败就记录为"none" method 指定请求方法。比如：aclaclname method GET POST... port 指定访问端口。可以指定多个端口，比如：acl aclname port 80 8080 8000...aclaclnameport 0-2048...(指定一个端U范围) proto 指定使用协议。可以指定多个协议： acl aclname proto HTTP FTP... time 指明访问时间，格式为：aclaclname time[day-abbrevs][h1:ml-h2:m2][hh:mm-hh:mm]day -abbrevs为:S(Sunday)、M(Monday)、T(Tuesday)、W(Wednesday)、H(Th[irsday)、F(Friday)、A(Saturday)h1:m1必须小于h2:m2 urlregex 使用正则表达式匹配特定一类URL，格式为：acl aclname url_regex[-i] pattern 5)http_access 根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目，则默认为使用最后一条项目的“非”。比如最后一条为允许，则默认就是禁止。所以，通常应该把最后的条目设为“denyall”或“allowall”来避免安全隐患。第2步：启动squldBR务器，并且清除防火墙的过滤规则。设置Squid客户机设置好Squid服务器后，就该设置Squid客户机了。 (1)在Linux操作系统上设置Squid客户机首先打开Firefox浏览器，单击主菜单后面的按钮。然后依次选择“编辑”/“首选项”，打开“首选项”窗口，单击“高级”按钮，选择“网络”选项卡。再单击“设置”按钮，打开“连接设置”窗口，如图11所示，在其中选择“手工配置代理”单选按钮，然后在"HTTP代理”和“端口”文本框中输入Squid服务器的IP地址和端口号。 (2)在Windows操作系统上设置Squid客户机首先打开IE浏览器，然后依次选择“工具”/"Internet选项”，打开"Internet选项”窗口。然后选择“连接”选项卡，在其中单击“局域网设置”按钮，打开“局域网设置”窗口。在其中选择“为LAN使用代理服务器”复选框，然后在“地址”和“端口”文本框中输入Squid服务器的IP地址和端口号。

展开阅读全文