防火墻詳細講解

防火墻詳細講解

一、防火墻的簡介

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。

在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的***來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

二、防火墻的分類

1、根據表現形式分類，可以分為硬件防火墻和軟件防火墻

（1）硬件防火墻

硬件防火墻主要有：cisco（pix---》asa）、天融信（網絡安全衛士）、H3C（secpath）、神州數碼和銳捷等，這些都是工作在網絡層，還有深信服防火墻，它可以工作在應用層。

（2）軟件防火墻

軟件防火墻的實現主要是在主機上實現的，如windows的ISA（internet security acceleration）和linux的iptables。

2、根據工作層次分類，可以分為應用層防火墻和網絡層防火墻

（1）網絡層防火墻

網絡層防火墻可視為一種IP封裝包過濾器，運作在底層的TCP/IP協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規則通常可以經由管理員定義或修改，不過某些防火墻設備可能只能套用內置的規則。

（2）應用層防火墻

應用層防火墻是在TCP/IP堆棧的“應用層”上運作，您使用瀏覽器時所產生的數據流或是使用FTP時的數據流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包（通常是直接將封包丟棄）。理論上，這一類的防火墻可以完全阻絕外部的數據流進到受保護的機器里。

三、iptables的主要模塊介紹

1. string(字符串匹配,可以用做內容過濾) 

# cat string/info 

iptables -I FORWARD -m string --string "騰訊" -j DROP 

iptables -I FORWARD -s 192.168.3.159 -m string --string "qq.com" -j DROP 

iptables -I FORWARD -d 192.168.3.0/24 -m string --string "寬頻影院" -j DROP 

iptables -I FORWARD -d 192.168.3.0/24 -m string --string "***" -j DROP 

iptables -I FORWARD -d 192.168.3.0/24 -p tcp --sport 80 -m string --string "廣告" -j DROP 

至于怎么靈活運用就要看自己的需要了。

2. comment (備注匹配,可以支持最多256個字符) 

Supported options: 

--comment COMMENT 

翻譯:這個選項增加CONFIG_IP_NF_MATCH_COMMENT,補充一個注釋匹配模塊.這個匹允許你增加一個備注都任何規則,這個備注最多支持256個字符,例如 

Example:(例子:) 

-A INPUT -s 192.168.0.0/16 -m comment --comment "A privatized IP block" 

譯者:我是這樣測試使用這個comment 

iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -j DROP -m comment --comment "the bad guy can not online" 

iptables -I FORWARD -s 192.168.3.159 -m string --string "qq.com" -j DROP -m comment --comment "denny go to qq.com" 

這樣在iptables -L時,就看到每條規則后面出現備注的內容.可以提高可讀和理解該條規則的作用. 

這個comment 在2.6.x中已經被正式收錄。

3. connlimit(同時連接個數限制匹配) 

# cat connlimit/info 

這個增加一個iptables匹配允許你限制每個客戶ip地址的并發tcp連接,即同時連接到一個服務器個數. 

Examples: 例子: 

# allow 2 telnet connections per client host (允許每個客戶機同時兩個telnet連接) 

iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT 

# you can also match the other way around:(你也可以匹配其他的方法:) 

iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT 

# limit the nr of parallel http requests to 16 per class C sized (這下面例子限制80端口最多同時16個連接請求) 

# network (24 bit netmask) 

iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT 

模塊 connlimit 作用:連接限制 

--connlimit-above n 限制為多少個 

--connlimit-mask n 這組主機的掩碼,默認是connlimit-mask 32 ,即每ip. 

這個主要可以限制內網用戶的網絡使用,對服務器而言則可以限制每個ip發起的連接數...比較實用 

例如:只允許每個ip同時5個80端口轉發,超過的丟棄: 

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP 

例如:只允許每組C類ip同時10個80端口轉發: 

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP 

例如:為了防止DOS太多連接進來,那么可以允許最多15個初始連接,超過的丟棄. 

/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP 

/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 

4. time(時間匹配) 

Match only if today is one of the given days. (format: Mon,Tue,Wed,Thu,Fri,Sat,Sun ; default everyday) 

(只是匹配已經給出的天,格式Mon,Tue,Wed,Thu,Fri,Sat,Sun ;默認每天) 

(開始日期 日期) 

Match only if it is after `date' (Inclusive, format: YYYY]]]] h,m,s start from 0 ; default to 1970) 

(只是匹配這個開始日期值之后的(包括,格式: YYYY]]]] h,m,s start from 0 ; 默認是1970): 

Match only if it is before `date' (Inclusive, format: YYYY]]]] h,m,s start from 0 ; default to 2037) 

(只是匹配這個開始日期值之前的(包括,格式: YYYY]]]] h,m,s start from 0 ; 默認是2037): 

Example: (例子:) 

-A INPUT -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri 

will match packets that have an arrival timestamp in the range 8:00->18:00 from Monday to Friday. 

(上面將匹配從到達日期是星期一至星期五時間從8:00至18:00的包) 

-A OUTPUT -m time --timestart 8:00 --timestop 18:00 --Days Mon --date-stop 2010 

will match the packets (locally generated) that have a departure timestamp in the range 8:00->18:00 on Monday only, until 2010 

(上面將匹配本地產生的時間范圍直到2010年為止的每個星期一8:00至18:00的包) 

NOTE: the time match does not track changes in daylight savings time

5. iprange (ip范圍匹配)   

This patch makes possible to match source/destination IP addresses against inclusive IP address ranges. 

翻譯: 這個補丁令匹配源/目標 IP地址可以倚著給出的地址范圍進行匹配 

Examples:（例子） 

iptables -A FORWARD -m iprange --src-range 192.168.1.5-192.168.1.124 -j ACCEPT 

這個例子是允許源ip地址范圍192.168.1.5-192.168.1.124的包通過 

iptables -A FORWARD -m iprange --dst-range 10.0.0.0-10.255.255.255 -j ACCEPT 

這個例子是允許目標ip地址范圍10.0.0.0-10.255.255.255的包通過    192.168.2.10-192.168.2.20

6. geoip(根據地理位置匹配) 

This patch makes possible to match a packet by its source or destination country. 

翻譯:這個補丁令一個包能夠根據源或目的國家(地區)匹配 

GeoIP options: (選項:) 

--src-cc, --source-country country 

Match packet coming from (one of) the specified country(ies) 

根據包的來源(或非來源)地區匹配 

--dst-cc, --destination-country country 

Match packet going to (one of) the specified country(ies) 

根據包的去向(或非去向)地區匹配 

NOTE: The country is inputed by its ISO3166 code. 

注意:這個國家地區列表放在ISO3166編碼里 

The only extra files you need is a binary db (geoipdb.bin) & its index file (geoipdb.idx).Both files are generated from a countries & subnets database with the csv2bin tool,available at www.cookinglinux.org/geoip/. Both files MUST also be moved in /var/geoip/ as the shared library is statically looking for that pathname (ex.: /var/geoip/geoipdb.bin). 

這個你需要額外的二進位文件geoipdb.bin 和它的索引文件geoipdb.idx.這兩個文件是國家地區網絡數據庫,是用csv2bin 工具生成的,可以在www.cookinglinux.org/geoip/得到.這些文件必須放在/var/geoip/下,作為一個共享庫查找路徑名字如/var/geoip/geoipdb.bin 

7. Nth(第n個包匹配) 

# cat nth/info 

Title: iptables nth match (標題: iptables第N個匹配) 

Author: Fabrice MARIE (作者:名字,email地址) 

Status: Works (狀況:運作) 

Repository: base (貯倉庫: 基礎的) 

# cat nth/help 

This option adds an iptables `Nth' match, which allows you to match every Nth packet encountered. By default there are 16 different counters that can be used. 

翻譯: 這個選項增加一個第N個匹配,允許你匹配每隔N個包,默認有16不同的計算方法可以使用 

This match functions in one of two ways 

1) Match ever Nth packet, and only the Nth packet. 

example:(例子) 

iptables -t mangle -A PREROUTING -m nth --every 10 -j DROP 

This rule will drop every 10th packet. 

這個規則將丟棄每隔10個包 

2) Unique rule for every packet. This is an easy and quick method to produce load-balancing for both inbound and outbound. 

為每一個包應用一個獨特的規則,這樣是一個容易和快速的負載均衡方法 

example: (例如) 

iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 0 -j SNAT --to-source 10.0.0.5 

iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 1 -j SNAT --to-source 10.0.0.6 

iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 2 -j SNAT --to-source 10.0.0.7 

This example evenly splits connections between the three SNAT addresses. 

上面例子由三個源ip地址平滑分割連接 

By using the mangle table and iproute2, you can setup complex load-balanced routing. There's lot of other uses. Be creative! 

配合iptables 的mangle表和高級路由iproute2,你能設置一個復合的負載平衡路由.還有其他的用途,具有創造性的設置 

Suppported options are: (支持選項有:) 

--every Nth Match every Nth packet (匹配每N 個包) 

num Use counter 0-15 (default:0) (用計算器(默認是0)) 

num Initialize the counter at the number 'num' instead of 0. Must be between 0 and Nth-1 

(初始化一個計算器,用這個num值而不是0. 必需是在0和N減1之間的數 

num Match on 'num' packet. Must be between 0 and Nth-1. If --packet is used for a counter than 

there must be Nth number of --packet rules, covering all values between 0 and Nth-1 inclusively. 

匹配'num' 包,必需是在0和N減1之間的數,如果該包被用一個計算器,必需是第Nth數字包規則,并覆蓋0至Nth-1的所有值(這個翻譯得不好,請指正) 

8. ipp2p(點對點匹配) 

# cat ipp2p/info 

Title: Detects some P2P packets (標題: 偵查P2P包) 

Author: Eicke Friedrich (作者:名字,email地址) 

Status: Stable (狀況:穩定的) 

Repository: extra (貯倉庫: 額外的) 

Recompile: netfilter, iptables (重新編譯:netfilter|iptables) 

# cat ipp2p/help 

This option makes possible to match some P2P packets therefore helps controlling such traffic. 

Dropping all matches prohibits P2P networks. 

Combined with conntrack,CONNMARK and a packet scheduler it can be used for accounting or shaping of P2P traffic. 

這個選項能夠匹配某些P2P包,幫助控制流量.丟棄所有匹配的P2P.結合連接跟蹤,和一個包的調度器,它能被用作計算和×××一個P2流量 

Examples: (例如:) 

iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP 

iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP 

iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP 

上例可以封殺很多bt等的P2P軟件. 

更多參數更詳細的參考還有ipp2p/iptables/extensions/libipt_ipp2p.man或http://www.ipp2p.org 

9. quota(配額匹配) 

# cat quota/info Title: iptables quota match (標題: iptables配額匹配) 

Author: Sam Johnston (作者:名字,email地址) 

Status: worksforme (狀況:運作的) 

Repository: base (貯倉庫: 基礎的) 

# cat quota/help 

This option adds CONFIG_IP_NF_MATCH_QUOTA, which implements network quotas by decrementing a byte counter with each packet. 

這個選項增加一個模塊匹配包實現網絡包通過的配額 

Supported options are: (支持選項有:) 

--quota 

The quota in bytes. (用bytes為單位) 

iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -m quota --quota 500 -j DROP 

上例是這樣的,在ip192.168.3.159的目標端口為80匹配的500個字節內,將被丟棄.直到匹配完這500字節后,才不會丟棄,就是說,才可以打開網頁. 

KNOWN BUGS: this does not work on SMP systems. 

知道的bug:這個不能工作在SMP系統上,(SMP, symmetric multiprocessing 多處理技術) 

10、state模塊

-m  state  --state   NEW   ESTABLISHED   RELATED