IPFW防火墻的模式

另外，我們在設定防火墻時有二種模式，一種模式是預設拒絕所有聯(lián)機，再一條一條加入允許的聯(lián)機;另一種是預設接受所有聯(lián)機，加入幾條拒絕的規(guī)則。如果是非常強調安全性，應該是使用預設拒絕所有聯(lián)機，再一條一條加入我們允許的規(guī)則。

我們會將 firewall 的設定寫在 /etc/rc.firewall 中，每一條設定都是以先入為主 (first match wins) 的方式來呈現(xiàn)，也就是先符合的規(guī)則 (rules) 為優(yōu)先。所有進出的封包都會被這些規(guī)則過濾，因此我們會盡量減少規(guī)則的數(shù)量，以加速處理的速度。

在 kernel 中，關于防火墻的設定有下列幾條:

# 防火墻

options IPFIREWALL

# 支援 NAT

options IPDIVERT

# 下面這一行是預設允許所有封包通過，如果沒有這一行，

# 就必須在 /etc/rc.firewall 中設定封包的規(guī)則。

# 這條規(guī)則內定編號是 65535，也就是所有規(guī)則的最后一條

# 如果沒有加這一條規(guī)則，內定就是拒絕所有封包，

# 只允許規(guī)則中允許的封包通過。

options IPFIREWALL_DEFAULT_TO_ACCEPT

# 這一行是讓你可以在 ipfw 中設定要記錄哪些封包，

# 如果沒有這一行，就算設定了要留下記錄也不會有作用。

options IPFIREWALL_VERBOSE

# 這一行是限制每一條規(guī)則所要記錄的封包數(shù)量，

# 因為同樣的規(guī)則可能有許多記錄，加上這一條可以使

# 同樣的記錄重復數(shù)減少，以避免記錄文件爆增。

options IPFIREWALL_VERBOSE_LIMIT=10

# 下面這一行是用來支援封包轉向，

# 當你要使用 fwd 動作時必須要有這一項設定。

options IPFIREWALL_FORWARD

# 如果要使用 pipe 來限制頻寬，必須加入下列選項以支持 dummynet。

options DUMMYNET

ipfw 也支持狀態(tài)維持 (keep-state) 的功能，就是可以讓符合設定的規(guī)則以動態(tài)的方式來分配增加規(guī)則 (地址或連接端口) 來讓封包通過。也就是說防火墻可以記住一個外流的封包所使用的地址及連接端口，并在接下來的幾分鐘內允許外界響應。這種動態(tài)分配的規(guī)則有時間的限制，一段時間內會檢查聯(lián)機狀態(tài)，并清除記錄。

所有的規(guī)則都有計數(shù)器記錄封包的數(shù)量、位數(shù)、記錄的數(shù)量及時間等。而這些記錄可以用 ipfw 指令來顯示或清除。

在說明 ipfw 規(guī)則的語法之前，我們先來看這個指令的用法。ipfw 可以使用參數(shù):

指令 說明

ipfw add [rule] 新增一條規(guī)則。規(guī)則 (rule) 的語法請參考下一節(jié)的說明。

ipfw delete [number] 刪除一條編號為 number 的規(guī)則。

ipfw -f flush 清除所有的規(guī)則。

ipfw zero 將計數(shù)統(tǒng)計歸零。

ipfw list 列出現(xiàn)在所有規(guī)則，可以配合下列參數(shù)使用。

-a 使用 list 時，可以列出封包統(tǒng)計的數(shù)目。

-f 不要提出確認的詢問。

-q 當新增 (add)、歸零(zero)、或清除 (flush) 時，不要列出任何回應。當使用遠程登入，以 script (如 sh /etc/rc.firewall) 來修改防火墻規(guī)則時，內定會列出你修改的規(guī)則。但是當下了 flush 之后，會立即關掉所有聯(lián)機，這時候響應的訊息無法傳達終端機，而規(guī)則也將不被繼續(xù)執(zhí)行。此時唯一的方法就是回到該計算機前重新執(zhí)行了。在修改防火墻規(guī)則時，最好在計算機前修改，以免因為一個小錯誤而使網(wǎng)絡聯(lián)機中斷。

-t 當使用 list 時，列出最后一個符合的時間。

-N 在輸出時嘗試解析 IP 地址及服務的名稱。

-s [field] 當列出規(guī)則時，依哪一個計數(shù)器 (封包的數(shù)量、位數(shù)、記錄的數(shù)量及時間) 來排序。

我們在過濾封包時，可以依據(jù)下列的幾個封包所包含的信息來處理該封包:

接收或傳送的接口，可以使用接口名稱或地址。

方向，流入或流出。

來源或目的地的 IP 地址，也可以加上子網(wǎng)掩碼。

通訊協(xié)議，TCP,UDP,ICMP 等。

TCP flags。

IP fragment flag。

IP options。

ICMP 的類型。

和封包相關的 socket User/group ID。

使用 IP 地址或 TCP/UDP 的端口號來做為規(guī)則可能蠻危險的，因為這二種都有可能被以假的信息所蒙騙 (spoof)。但是這二種卻也是最常被使用的方法。

下列為 ipfw rules 的語法:

[number] action [log] proto from src to dist [interface_spec] [option]

使用 [ ] 包起來的表示可有可無，我們一一為大家說明它們的意義:

number:

number 是一個數(shù)字，用來定義規(guī)則的順序，因為規(guī)則是以先入為主的方式處理，如果你將規(guī)則設定放在一個檔案中 ( 如 /etc/rc.firewall )，規(guī)則會依每一行排列的順序自動分配編號。你也可以在規(guī)則中加上編號，這樣就不需要按順序排列了。如果是在命令列中下 ipfw 指令來新增規(guī)則的話，也要指定編號，這樣才能讓規(guī)則依我們的喜好排列，否則就會以指令的先后順序來排。這個編號不要重復，否則結果可能不是你想要的樣子。

action:

action 表示我們這條規(guī)則所要做的事，可以用的 action 有下列幾個:

命令 意義

allow 允許的規(guī)則，符合則通過。也可以使用 pass,permit, accept 等別名。

deny 拒絕通過的規(guī)則。

reject 拒絕通過的規(guī)則，符合規(guī)則的封包將被丟棄并傳回一個 host unreachable 的 ICMP。

count 更新所有符合規(guī)則的計數(shù)器。

check-state 檢查封包是否符合動態(tài)規(guī)則，如果符合則停止比對。若沒有 check-state 這條規(guī)則，動態(tài)規(guī)則將被第一個 keep-state 的規(guī)則所檢查。

divert port 將符合 divert sock 的封包轉向到指定的 port。

fwd ipaddr[,port] 將符合規(guī)則封包的去向轉向到 ipaddr，ipaddr 可以是 IP 地址或是 hostname。如果設定的 ipaddr 不是直接可以到達的地址，則會依本機即有的 routing table 來將封包送出。如果該地址是本地地址 (local address)，則保留本地地址并將封包送原本指定的 IP 地址。這項設定通常用來和 transparent proxy 搭配使用。例如:

# ipfw add 50000 fwd 127.0.0.1,3128 tcp from \

192.168.1.0/24 to any 80

如果沒有設定 port ，則會依來源封包的 port 將封包送到指定的 IP。使用這項規(guī)則時，必須在 kernel 中設定選項 IPFIREWALL_FORWARD。

pipe pipe_nr 傳遞封包給 dummynet(4) "pipe"，用以限制頻寬。使用本語法必須先在核心中加入 option DUMMYNET。請 man ipfw 及 man dummynet。

基本語法是先將要設定頻寬的規(guī)則加入:

ipfw add pipe pipe_nr ....

再設定該規(guī)則的頻寬:

ipfw pipe pipe_nr config bw B delay D queue Q plr P

這里的 pipe_nr 指的是 pipe 規(guī)則編號，從 1~65535;B 是指頻寬，可以表示為 bit/s、Kbit/s、Mbit/s、Bytes/s、KBytes/s、或 MBytes/s。D 是延遲多少 milliseconds (1/1000)。Q 是 queue size 的大小 (單位為 packages 或 Bytes)。P 是要隨機丟棄的封包數(shù)量。

例如我們要限制內部網(wǎng)域的計算機對外上傳的最大頻寬是 20 KBytes:

ipfw add pipe 1 ip from 192.168.0.1/24 to any in

ipfw pipe 1 config bw 20KBytes/s

log:

如果該規(guī)則有加上 log 這個關鍵詞，則會將符合規(guī)則的封包記錄在 /var/log/security 中。前提是在核心中有設定 IPFIREWALL_VERBOSE 的選項。有時因為同樣的封包太多，會使記錄文件保有大量相同的記錄，因此我們會在核心中再設定 IPFIREWALL_VERBOSE_LIMIT 這個選項，來限制要記錄多少相同的封包。

proto:

proto 表示 protocol，即網(wǎng)絡協(xié)議的名稱，如果使用 ip 或 all 表示所有協(xié)議?？梢允褂玫倪x項有 ip,all,tcp,udp,icmp 等。

src 及 dist:

src 是封包來源;dist 是封包目的地。在這二個項目可以用的關鍵詞有 any, me, 或是以 <address/mask>[ports] 的方式明確指定地址及端口號。

若使用關鍵詞 any 表示使這條規(guī)則符合所有 ip 地址。若使用關鍵詞 me 則代表所有在本系統(tǒng)接口的 IP 地址。而使用明確指定地址的方式有下列三種:

IP 地址，指定一個 IP，如 168.20.33.45。

IP/bits，如 1.2.3.4/24，表示所有從 1.2.3.0 到 1.2.3.255 的 IP 都符合規(guī)則。

IP:mask，由 IP 加上子網(wǎng)掩碼，如 1.2.3.4:255.255.240.0 表示從 1.2.0.0 到 1.2.15.255 都符合。

而在 me, any 及 指定的 ip 之后還可以再加上連接埠編號 (ports)，指定 port 的方法可以是直接寫出 port ，如 23;或給定一個范圍，如 23-80;或是指定數(shù)個 ports，如 23,21,80 以逗點隔開?；蛘呤菍懗鲈?/etc/services 中所定義的名稱，如 ftp，在 services 中定義是 21，因此寫 ftp 則代表 port 21。

interface-spec:

interface-spec 表示我們所要指定的網(wǎng)絡接口及流入或流出的網(wǎng)絡封包。我們可以使用下列幾個關鍵詞的結合:

關鍵詞 意義

in 只符合流入的封包。

out 只符合流出的封包。

via ifX 封包一定要經(jīng)過接口 ifX，if 為接口的代號，X 為編號，如 vr0。

via if* 表示封包一定要經(jīng)過接口 ifX，if 為接口的代號，而 * 則是任何編號，如 vr* 代表 vr0,vr1,...。

via any 表示經(jīng)過任何界面的封包。

via ipno 表示經(jīng)過 IP 為 ipno 界面的封包。

via 會使接口永遠都會被檢查，如果用另一個關鍵詞 recv ，則表示只檢查接收的封包，而 xmit 則是送出的封包。這二個選項有時也很有用，例如要限制進出的接口不同時:

ipfw add 100 deny ip from any to any out recv vr0 xmit ed1

recv 接口可以檢查流入或流出的封包，而 xmit 接口只能檢查流出的封包。所以在上面這里一定要用 out 而不能用 in，只要有使用 xmit 就一定要使用 out。另外，如果 via 和 recv 或 xmit 一起使用是沒有效的。

有的封包可能沒有接收或傳送的接口:例如原本就由本機所送出的封包沒有接收接口，而目的是本機的封包也沒有傳送界面。

options:

我們再列出一些常用的 option 選項 ，更多選項請 man ipfw:

選項名稱 意義

keep-state 當符合規(guī)則時，ipfw 會建立一個動態(tài)規(guī)則，內定是讓符合規(guī)則的來源及目的地使用相同的協(xié)議時就讓封包通過。這個規(guī)則有一定的生存期限 (lift time，由 sysctl 中的變量所控制)，每當有新的封包符合規(guī)則時，便用重設生存期限。

bridged 只符合 bridged 的封包。

established 只適用于 TCP 封包，當封包中有 RST 或 ACK bits 時就符合。

uid xxx 當使用者 uid 為 xxx 則符合該規(guī)則。例如，我們如果要限制 Anonymous FTP 的下載速度最大為 64KB/s，則可以使用:

ipfw pipe 1 config bw 512Kbit/s

ipfw add pipe 1 tcp from me to any uid 21

上列規(guī)則第一行是先建一個編號為 1 的 pipe，限制頻寬為 512 Kbit/s (也就是 64 KByte/s)，接著第二條是當使用者 uid 為 21 時，從本機 (me) 下載的 tcp 封包都使用編號 1 的 pipe。因為 Anonymous FTP 的使用者是 ftp，它的預設 uid 為 21，所以這條規(guī)則會被套用在 Anonymous FTP user 上。

setup 只適用于 TCP 封包，當封包中有 SYN bits 時就符合。

以上的說明只是 man ipfw 中的一小部份。如果你想要對 ipfw 更了解，例如如何使用 ipfw 來限制頻寬等，建議你 man ipfw。

不知道您看了這么多的規(guī)則是否覺得眼花繚亂，如果不了解 TCP/IP 的原理，徹底了解 ipfw 的設定還真不容易。沒關系，我們下面將舉幾個簡單、常用的設定，這些范例應該夠平常使用了。

我將原本的 /etc/rc.firewall 備份成 rc.firewal.old，并將它改成下列內容，請注意，這里只是范例，只供參考:

# 設定我的 IP

myip="1.2.3.4"

# 設定對外的網(wǎng)絡卡代號

outif="vr0"

# 設定對內的網(wǎng)絡上代號

inif="vr1"

#清除所有的規(guī)則

/sbin/ipfw -f flush

# Throw away RFC 1918 networks

$ add deny ip from 10.0.0.0/8 to any in via $

$ add deny ip from 172.16.0.0/12 to any in via $

$ add deny ip from 192.168.0.0/16 to any in via $

# 只允許內部網(wǎng)絡對 192.168.0.1 使用 telnet 服務

/sbin/ipfw add 200 allow tcp from 192.168.0.1/24 to 192.168.0.1 telnet

# 拒絕其它人連到 port 23，并記錄嘗試聯(lián)機的機器

/sbin/ipfw add 300 deny log tcp from any to me 23

# 拒絕任何 ICMP 封包

/sbin/ipfw add 400 deny icmp from any to any

# 下面這臺機器是壞人，不讓它進來，并記錄下來

/sbin/ipfw add 1100 deny log all from 211.21.104.102 to any

# NAT 的設定

/sbin/ipfw add divert natd all from any to any via vr0

# 限制內部網(wǎng)域對外下載最大頻寬為 20KBytes/s，上傳最大頻寬為 5KBytes/s

ipfw pipe 20 config bw 20KBytes/s

ipfw add pipe 20 ip from any to 192.168.0.1/24 out

ipfw pipe 30 config bw 5KBytes/s

ipfw add pipe 30 ip from 192.168.0.1/24 to any in

# 允許本機對任何地方聯(lián)機

/sbin/ipfw add check-state

/sbin/ipfw add 2000 allow udp from $ to any keep-state

/sbin/ipfw add 2100 pass ip from $ to any

# 允許外界使用郵件服務

/sbin/ipfw add 3000 pass tcp from any to $ 25 in via $

# 不允許內部的 IP 從外部連進來

/sbin/ipfw add 1200 add deny ip from $/24 to any in via $

# 其它都拒絕，如果沒有在 kernel 中設定

# IPFIREWALL_DEFAULT_TO_ACCEPT 則內定就有下列這一條

/sbin/ipfw 65535 add deny all from any to any

存盤后就可以使用 sh rc.firewall 來執(zhí)行新的規(guī)則了。如果您將規(guī)則放在 /etc/rc.firewall 中，則開機時會自動執(zhí)行。

在建立一個封包過濾的防火墻時，應該盡可能阻擋一些不必要的服務。避免開放 port 1024 以下的 TCP 服務，例如只通過 SMTP 封包 (port 25) 給郵件服務器;拒絕所有 UDP 聯(lián)機 (只有少部份服務如 NFS 會用到);一些只有內部才會使用的服務，如數(shù)據(jù)庫等也不必對外開放。

另外，同樣的防火墻限制可以使用不同的語法來展現(xiàn)，應該要試著讓規(guī)則數(shù)量越少越好，以加快處理速度。

在更新 firewall 規(guī)則時，如果規(guī)則沒有寫好，而你又是以遠程登入的方式修改規(guī)則，很可能會因此無法繼續(xù)登入。因此建議更新規(guī)則時最好在 console 前執(zhí)行，若迫不得已一定要使用遠程登入，建議您執(zhí)行 /usr/share/examples/ipfw/change_rules.sh 這支程序來編輯規(guī)則:

# cd /usr/share/examples/ipfw

# sh change_rules.sh

接著會出現(xiàn)文書編輯軟件并最動加載 /etc/rc.firewall 讓你編輯，結束離開后，會詢問是否要執(zhí)行更新。如果執(zhí)行新的規(guī)則后造成斷線，它會自動加載舊的規(guī)則，讓我們可以再次聯(lián)機。

如果您有三臺機器全部都有 public IP，而您想使用其中一臺做為防火墻，在不改變另外二臺機器的設定下，我們可以使具封包過濾的橋接器來架設防火墻。只要將這臺橋接器放在另外二臺和對外網(wǎng)絡之間即可。

另外，當我們的內部網(wǎng)絡有不同 class 的主機時，例如內部有 140.115.2.3 及 140.115.5.6 這二臺計算機時，就無法使用傳統(tǒng)的防火墻。如果要在這二臺機器連到因特網(wǎng)中途中使用防火墻，我們必須使用新的方式，也可以使用這里介紹的橋接器。

我們可以使用 FreeBSD 為橋接器，利用它來做封包過濾的動作，而絲毫不影響內部的主機原本的設定。為了達到這個功能，我們必需要有二張支持 promiscuous mode 的網(wǎng)絡卡，現(xiàn)在的網(wǎng)絡卡大部份都有支持。二張網(wǎng)絡卡當中，一張需要設定 IP，另一張不需要。至于您要將 IP 設定在哪一張卡都可以，建議是設在對外的網(wǎng)絡卡上。

首先，我們必須在核心中加入關于橋接器的設定:

# 支援橋接器

options BRIDGE

# 防火墻設定

options IPFIREWALL

options IPFIREWALL_VERBOSE

# 我們這里不將防火墻預設為接收所有封包

#options IPFIREWALL_DEFAULT_TO_ACCEPT

如果您要讓橋接器具有流量控制的功能，則可以加上之前提到的選項「options DUMMYNET」。重新編譯核心后，在重開機前，我們先設定一下 /etc/rc.conf:

firewall_enable="YES"

firewall_type="open"

還有一件事要做，當在以太網(wǎng)絡上跑 IP 協(xié)議時，事實上使用二種以太網(wǎng)絡協(xié)議，一個是 IP，另一個是 ARP。ARP 協(xié)定是當機器要找出給定 IP 地址所對應的以太網(wǎng)絡地址時使用的。ARP 并不是 IP 層的一部份，只是給 IP 應用在以太網(wǎng)絡上運作。標準的防火墻規(guī)則中并未加入對于 ARP 的支持，幸運的是，高手們的在 ipfirewall 程序代碼中加入了對封包過濾橋接器的支持。如果我們在 IP 地址 0.0.0.0 上建立一個特別的 UDP 規(guī)則，UDP 端口的號碼將被使用來搭配被橋接封包的以太網(wǎng)絡協(xié)議號碼，如此一來，我們的橋接器就可以被設定成傳遞或拒絕非 IP 的協(xié)議。請在 /etc/rc.firewall 中接近文件頂端處理 lo0 的那三行之下(就是有寫 Only in rare cases do you want to change these rules 的地方)加入下面一行:

$ add allow udp from 0.0.0.0 2054 to 0.0.0.0

現(xiàn)在我們就可以重新開機了。重開機之后，先執(zhí)行下列指令來啟動橋接器:

如果您使用的是 FreeBSD 4.x:

# sysctl -w net.link.ether.bridge_ipfw=1

# sysctl -w net.link.ether.bridge=1

如果您使用的是 FreeBSD 5.x:

# sysctl -w net.link.ether.bridge.ipfw=1

# sysctl -w net.link.ether.bridge.enable=1

現(xiàn)在我們可以將機器放在內外二個網(wǎng)域之間了。因為我們之前在 /etc/rc.conf 中，設定防火墻完全打開，不阻擋任何封包，所以放在二個網(wǎng)域之間時，運作應該沒有問題。我們之前只設了一張網(wǎng)絡上的 IP，而在執(zhí)行了上述的指令之后，第二張網(wǎng)絡卡便開始運作。

下一步就是將我們啟動橋接器的指令放在 /etc/rc.local 中，讓系統(tǒng)在開機時自動執(zhí)行?；蛘?，我們可以在 /etc/sysctl.conf 中加入下面二行:

# 如果您使用的是 FreeBSD 4.x

net.link.ether.bridge_ipfw=1

net.link.ether.bridge=1

# 如果您使用的是 FreeBSD 5.2 以后的版本

net.link.ether.bridge.enable=1

net.link.ether.bridge.ipfw=1

接下來我們就可以依自己的需求在 /etc/rc.firewall 文件的最后面加上我們自己想要的防火墻規(guī)則了。以下是一個簡單的設定規(guī)則，假設橋接器的 IP 是 140.115.75.137，內部有二臺主機，一臺提供網(wǎng)頁服務，一臺是 BBS:

us_ip=140.115.75.137

basrv_ip=140.115.3.4

bbs_ip=140.115.5.6

oif=fxp0

iif=fxp1

ipfw="/sbin/ipfw"

# Things that we've kept state on before get to go through in a hurry.

$ 1000 add check-state

# Throw away RFC 1918 networks

$ 1100 add deny ip from 10.0.0.0/8 to any in via $

$ 1200 add deny log ip from 172.16.0.0/12 to any in via $

$ 1300 add deny log ip from 192.68.0.0/16 to any in via $

# 允許橋接器本身所有想做的聯(lián)機 (keep state if UDP)

$ 1400 add pass udp from $ to any keep-state

$ 1500 add pass ip from $ to any

# 允許內部網(wǎng)絡任何想做的聯(lián)機 (keep state if UDP)

$ 1600 add pass udp from any to any in via $ keep-state

$ 1700 add pass ip from any to any in via $

# 允許任何的 ICMP 聯(lián)機

$ 1800 add pass icmp from any to any

# 不允許使用 port 888 聯(lián)機

$ 2000 add deny log tcp from any to $ 888

# TCP section

# 任何地方都可以建立 TCP 聯(lián)機

$ 3000 add pass tcp from any to any via $

# Pass the "quarantine" range.

$ 3100 add pass tcp from any to any 49152-65535 in via $

# Pass ident probes. It's better than waiting for them to timeout

$ 3200 add pass tcp from any to any 113 in via $

# Pass SSH.

$ 3300 add pass tcp from any to any 22 in via $

# Pass DNS. 當內部網(wǎng)絡有名稱服務器時才需要

#$ add pass tcp from any to any 53 in via $

# 只傳遞 SMTP 給郵件服務器

$ 3400 add pass tcp from any to $ 25 in via $

$ 3500 add pass tcp from any to $ 25 in via $

# UDP section

# Pass the "quarantine" range.

$ 4000 add pass udp from any to any 49152-65535 in via $

# Pass DNS. 當內部網(wǎng)絡有名稱服務器時才需要

#$ 4100 add pass udp from any to any 53 in via $

# 其它的都拒絕

$ 60000 add deny ip from any to any