发布时间 : 星期一 文章Linux防火墙应用及DDOS攻击的防范探讨论文更新完毕开始阅读31128a679e314332396893f0
符合条件的数据包的目的ip地址改为数据包进入系统时的网络接口的ip地址。通常是在与squid配置形成透明代理时使用,假设squid的监听端口是3128,我 们可以通过以下语句来将来自192.168.1.0/24,目的端口为80的数据包重定向到squid监听端口:
#iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128 c)一个具体的应用实例
为了更加系统和全面地介绍NAT的使用,下面举一个实际的例子来进行说明。假设有一家ISP提供企业Internet接入服务,为了方便管理,该ISP分配给企业用户的IP地址都是私网IP,通过该私网IP用户无法向外发布信息。但是,部分用户要求建立自己的WWW服务器对外发布信息。我们可以再防火墙的外部网卡上绑定多个合法IP地址,然后通过ip映射使发给其中某一个IP地址的包转发至内部某一用户的WWW服务器上,然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。 具体的IP分配如下:
(1)该ISP分配给A单位www服务器的IP为: 私网ip:172.168.92.100 公网ip:210.95.33.100
(2)该ISP分配给B单位www服务器的IP为: 私网ip:172.168.92.200 公网ip:210.95.33.200
(3)Linux防火墙的IP地址分别为: 内网接口eth1:172.168.92.10 外网接口eth0:210.95.33.1
然后,我们需要进行如下步骤地操作:
(1)将分配给A、B单位的真实ip绑定到防火墙的外网接口,以root权限执行以下命令:
#ifconfig eth0 add 210.95.33.100 netmask 255.255.255.0 #ifconfig eth0 add 210.95.33.200 netmask 255.255.255.0
(2)成功升级内核后安装iptables,然后执行以下脚本载入相关模块: modprobe ip_tables modprobe ip_nat_ftp
(3)对防火墙接收到的目的ip为210.95.33.100和210.95.33.200的所有数据包进行目的NAT(DNAT):
#iptables -A PREROUTING -i eth0 -d 210.95.33.100 -j DNAT --to 172.168.92.100
#iptables -A PREROUTING -i eth0 -d 210.95.33.200 -j DNAT --to 172.168.92.200
(4)对防火墙接收到的源ip地址为172.168.92.100和172.168.92.200的数据包进行源NAT(SNAT):
#iptables -A POSTROUTING -o eth0 -s 172.168.92.100 -j SNAT --to 210.95.33.100
#iptables -A POSTROUTING -o eth0 -s 172.168.92.200 -j SNAT --to 210.95.33.200
这样,所有目的ip为210.95.33.100和210.95.33.200的数据包都将分别被转发给172.168.92.100和172.168.92.200;而所有来自172.168.92.100和172.168.92.200的数据包都将分 别被伪装成由210.95.33.100和210.95.33.200,从而也就实现了ip映射。 6、应用实战3:使用Iptables构建DMZ 1) DMZ原理
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。网络结构如图3所示。网络设备开发商利用这一技术,开发出了相应的防火墙解决方案。DMZ通常是一个过滤的
子网,DMZ在内部网络和外部网络之间构造了一个安全地带。 2)构建DMZ a)构建原则
Linux从2.4内核开始,正式使用iptables来代替以前的ipfwadm和ipchains,实现管理Linux的包过滤功能。Linux的包过滤通过一个叫netfilter的内核部件来实现。netfilter内建了三个表,其中默认表Filter中又包括3个规则链,分别是负责外界流入网络接口的数据过滤的INPUT链、负责对网络接口输出的数据进行过滤的OUTPUT链,以及负责在网络接口之间转发数据过滤的FORWARD链。 要在Linux系统中构建一个带DMZ的防火墙,需要利用对这些链的设定完成。首先要对从连接外部网络的网卡(eth0)上流入的数据进行判断,这是在INPUT链上完成。如果数据的目标地址属于DMZ网段,就要将数据转发到连接DMZ网络的网卡(eth1)上;如果是内部网络的地址,就要将数据转发到连接内部网络的网卡(eth2)上。表1显示了各个网络之间的访问许可关系: 内网外网DMZ 内网/允许允许 外网禁止/允许 DMZ禁止禁止/
表1 DMZ和内外网的访问关系
根据表,可以明确以下六条访问控制策略:
? 内网可以访问外网:内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
? 内网可以访问DMZ:此策略是为了方便内网用户使用和管理DMZ中的服务器。 ? 外网不能访问内网:内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
? 外网可以访问DMZ:DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
? DMZ不能访问内网:很明显,如果违背此策略,则当入侵者攻陷DMZ时,就
可以进一步进攻到内网的重要数据。
? DMZ不能访问外网:此条策略在有的情况下可能会有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。 b)DMZ的具体实现
根据以上访问控制策略可以设定Linux防火墙的过滤规则。下面将在一个虚构的网络环境中,探讨如何根据以上六条访问控制策略建立相应的防火墙过滤规则。这里的讨论和具体应用会有所区别,不过这种讨论将有助于实际应用。用户在实际应用时可根据具体的情况进行设置。该虚拟环境的网络拓扑如图3所示。
图3 DMZ网络拓扑图
如图3所示,路由器连接Internet和防火墙。作为防火墙的Linux服务器使用三块网卡:网卡eth0与路由器相连,网卡eth1与DMZ区的Hub相连,网卡eth2与内网Hub相连。作为一个抽象的例子,我们用“[内网地址]”来代表“192.168.1.0/24”之类的具体数值。同理还有“[外网地址]”和“[DMZ地址]”。 对于防火墙,原则之一就是默认禁止所有数据通信,然后再打开必要的通信。所以在防火墙脚本的最初,需要清空系统原有的规则,然后将INPUT、OUTPUT、FORWARD的默认规则设置为丢弃所有数据包。