Linux IPCHAINS-HOWTO：一个严肃的例子。

7. 一个严肃的例子。

这个例子摘自 Michael Neuling 和我在 1999 年 3 月 LinuxWorld 教程；这不是解决给定问题的唯一方法，但它可能是最简单的方法。我希望您会觉得它内容丰富。

7.1 安排

经过地址伪装的内部网络（各种操作系统），我们称之为 “GOOD”。
暴露的服务器位于独立的网络中（称为 “DMZ”，即非军事区）。
PPP 连接到互联网（称为 “BAD”）。


   External Network (BAD)
           |
           |
       ppp0|
    ---------------
    | 192.84.219.1|             Server Network (DMZ)
    |             |eth0
    |             |----------------------------------------------
    |             |192.84.219.250 |             |              |
    |             |               |             |              |
    |192.168.1.250|               |             |              |
    ---------------          --------       -------        -------
           | eth1            | SMTP |       | DNS |        | WWW |
           |                 --------       -------        -------
           |              192.84.219.128  192.84.219.129  192.84.218.130
           |
   Internal Network (GOOD)

7.2 目标

包过滤盒

PING 任何网络

这对于判断机器是否宕机非常有用。

TRACEROUTE 任何网络

再次说明，这对诊断很有用。

访问 DNS

为了使 ping 和 DNS 更有用。

在 DMZ 内

邮件服务器

SMTP 发送到外部
接受来自内部和外部的 SMTP
接受来自内部的 POP-3

名称服务器

发送 DNS 到外部
接受来自内部、外部和包过滤盒的 DNS

Web 服务器

接受来自内部和外部的 HTTP
允许来自内部的 Rsync 访问

内部

允许 WWW、ftp、traceroute、ssh 连接到外部

这些是相当标准的允许事项：有些地方一开始允许内部机器几乎做任何事情，但在这里我们是限制性的。

允许 SMTP 连接到邮件服务器

显然，我们希望他们能够发送邮件出去。

允许 POP-3 连接到邮件服务器

这是他们如何读取邮件的方式。

允许 DNS 连接到名称服务器

他们需要能够查找 WWW、ftp、traceroute 和 ssh 的外部名称。

允许 rsync 连接到 Web 服务器

这是他们如何将外部 Web 服务器与内部服务器同步的方式。

允许 WWW 连接到 Web 服务器

显然，他们应该能够连接到我们的外部 Web 服务器。

允许 ping 包过滤盒

这是一个礼貌的做法：这意味着他们可以测试防火墙盒是否宕机（这样如果外部站点出现故障，我们不会被责怪）。

7.3 包过滤之前

防欺骗
由于我们没有任何非对称路由，我们可以简单地为所有接口启用防欺骗。
# for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done #

将过滤规则设置为拒绝所有

我们仍然允许本地环回流量，但拒绝其他任何流量。


# ipchains -A input -i ! lo -j DENY
# ipchains -A output -i ! lo -j DENY
# ipchains -A forward -j DENY
#

设置接口
这通常在启动脚本中完成。确保在配置接口之前完成上述步骤，以防止在规则设置之前发生数据包泄漏。
插入每个协议的地址伪装模块。
我们需要插入 FTP 的地址伪装模块，以便从内部网络进行主动和被动 FTP 都能 “正常工作”。
# insmod ip_masq_ftp #

7.4 通过数据包的包过滤

使用地址伪装时，最好在转发链中进行过滤。

根据源/目标接口将转发链拆分为各种用户链；这将问题分解为可管理的小块。


ipchains -N good-dmz
ipchains -N bad-dmz
ipchains -N good-bad
ipchains -N dmz-good
ipchains -N dmz-bad
ipchains -N bad-good

接受标准错误 ICMP 是一种常见的做法，因此我们为其创建一个链。


ipchains -N icmp-acc

从转发链设置跳转

不幸的是，我们只知道（在转发链中）传出接口。因此，为了弄清楚数据包从哪个接口进入，我们使用源地址（防欺骗可以防止地址伪造）。

请注意，我们会记录任何与这些都不匹配的内容（显然，这不应该发生）。


ipchains -A forward -s 192.168.1.0/24 -i eth0 -j good-dmz
ipchains -A forward -s 192.168.1.0/24 -i ppp0 -j good-bad
ipchains -A forward -s 192.84.219.0/24 -i ppp0 -j dmz-bad
ipchains -A forward -s 192.84.219.0/24 -i eth1 -j dmz-good
ipchains -A forward -i eth0 -j bad-dmz
ipchains -A forward -i eth1 -j bad-good
ipchains -A forward -j DENY -l

定义 icmp-acc 链

属于错误 ICMP 之一的数据包将被接受，否则，控制权将传递回调用链。


ipchains -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT

GOOD（内部）到 DMZ（服务器）

内部限制

允许 WWW、ftp、traceroute、ssh 连接到外部
允许 SMTP 连接到邮件服务器
允许 POP-3 连接到邮件服务器
允许 DNS 连接到名称服务器
允许 rsync 连接到 Web 服务器
允许 WWW 连接到 Web 服务器
允许 ping 包过滤盒

可以从内部网络到 DMZ 进行地址伪装，但在这里我们不这样做。由于内部网络中没有人会试图做坏事，因此我们会记录任何被拒绝的数据包。

请注意，旧版本的 Debian 在 /etc/services 中将 `pop3` 称为 `pop-3`，这与 RFC1700 不一致。


ipchains -A good-dmz -p tcp -d 192.84.219.128 smtp -j ACCEPT
ipchains -A good-dmz -p tcp -d 192.84.219.128 pop3 -j ACCEPT
ipchains -A good-dmz -p udp -d 192.84.219.129 domain -j ACCEPT
ipchains -A good-dmz -p tcp -d 192.84.219.129 domain -j ACCEPT
ipchains -A good-dmz -p tcp -d 192.84.218.130 www -j ACCEPT
ipchains -A good-dmz -p tcp -d 192.84.218.130 rsync -j ACCEPT
ipchains -A good-dmz -p icmp -j icmp-acc
ipchains -A good-dmz -j DENY -l

BAD（外部）到 DMZ（服务器）。

DMZ 限制
- 邮件服务器
  - SMTP 发送到外部
  - 接受来自内部和外部的 SMTP
  - 接受来自内部的 POP-3
- 名称服务器
  - 发送 DNS 到外部
  - 接受来自内部、外部和包过滤盒的 DNS
- Web 服务器
  - 接受来自内部和外部的 HTTP
  - 允许来自内部的 Rsync 访问

我们允许从外部网络到 DMZ 的内容。

不要记录违规行为，因为它们可能会发生。


ipchains -A bad-dmz -p tcp -d 192.84.219.128 smtp -j ACCEPT
ipchains -A bad-dmz -p udp -d 192.84.219.129 domain -j ACCEPT
ipchains -A bad-dmz -p tcp -d 192.84.219.129 domain -j ACCEPT
ipchains -A bad-dmz -p tcp -d 192.84.218.130 www -j ACCEPT
ipchains -A bad-dmz -p icmp -j icmp-acc
ipchains -A bad-dmz -j DENY

GOOD（内部）到 BAD（外部）。

内部限制
- 允许 WWW、ftp、traceroute、ssh 连接到外部
- 允许 SMTP 连接到邮件服务器
- 允许 POP-3 连接到邮件服务器
- 允许 DNS 连接到名称服务器
- 允许 rsync 连接到 Web 服务器
- 允许 WWW 连接到 Web 服务器
- 允许 ping 包过滤盒

许多人允许从内部网络到外部网络的所有内容，然后添加限制。我们是法西斯式的。

记录违规行为。
被动 FTP 由地址伪装模块处理。
UDP 目标端口 33434 及以上由 traceroute 使用。


ipchains -A good-bad -p tcp --dport www -j MASQ
ipchains -A good-bad -p tcp --dport ssh -j MASQ
ipchains -A good-bad -p udp --dport 33434:33500 -j MASQ
ipchains -A good-bad -p tcp --dport ftp -j MASQ
ipchains -A good-bad -p icmp --icmp-type ping -j MASQ
ipchains -A good-bad -j REJECT -l

DMZ 到 GOOD（内部）。

内部限制
- 允许 WWW、ftp、traceroute、ssh 连接到外部
- 允许 SMTP 连接到邮件服务器
- 允许 POP-3 连接到邮件服务器
- 允许 DNS 连接到名称服务器
- 允许 rsync 连接到 Web 服务器
- 允许 WWW 连接到 Web 服务器
- 允许 ping 包过滤盒

如果我们从内部网络到 DMZ 进行地址伪装，只需拒绝任何来自另一方向的数据包。实际上，只允许可能是已建立连接一部分的数据包。


ipchains -A dmz-good -p tcp ! -y -s 192.84.219.128 smtp -j ACCEPT
ipchains -A dmz-good -p udp -s 192.84.219.129 domain -j ACCEPT
ipchains -A dmz-good -p tcp ! -y -s 192.84.219.129 domain -j ACCEPT
ipchains -A dmz-good -p tcp ! -y -s 192.84.218.130 www -j ACCEPT
ipchains -A dmz-good -p tcp ! -y -s 192.84.218.130 rsync -j ACCEPT
ipchains -A dmz-good -p icmp -j icmp-acc
ipchains -A dmz-good -j DENY -l

DMZ 到 BAD（外部）。

DMZ 限制
- 邮件服务器
  - SMTP 发送到外部
  - 接受来自内部和外部的 SMTP
  - 接受来自内部的 POP-3
- 名称服务器
  - 发送 DNS 到外部
  - 接受来自内部、外部和包过滤盒的 DNS
- Web 服务器
  - 接受来自内部和外部的 HTTP
  - 允许来自内部的 Rsync 访问


ipchains -A dmz-bad -p tcp -s 192.84.219.128 smtp -j ACCEPT
ipchains -A dmz-bad -p udp -s 192.84.219.129 domain -j ACCEPT
ipchains -A dmz-bad -p tcp -s 192.84.219.129 domain -j ACCEPT
ipchains -A dmz-bad -p tcp ! -y -s 192.84.218.130 www -j ACCEPT
ipchains -A dmz-bad -p icmp -j icmp-acc
ipchains -A dmz-bad -j DENY -l

BAD（外部）到 GOOD（内部）。

我们不允许从外部网络到内部网络的任何内容（非地址伪装）。
ipchains -A bad-good -j REJECT

Linux 盒本身的数据包过滤

如果我们想对进入盒本身的数据包使用包过滤，我们需要在输入链中进行过滤。我们为每个目标接口创建一个链
ipchains -N bad-if ipchains -N dmz-if ipchains -N good-if

创建到它们的跳转


ipchains -A input -d 192.84.219.1 -j bad-if
ipchains -A input -d 192.84.219.250 -j dmz-if
ipchains -A input -d 192.168.1.250 -j good-if

BAD（外部）接口。

包过滤盒
- PING 任何网络
- TRACEROUTE 任何网络
- 访问 DNS

外部接口还接收地址伪装数据包的回复（地址伪装使用源端口 61000 到 65095）以及它们的 ICMP 错误和 PING 回复。


ipchains -A bad-if -i ! ppp0 -j DENY -l
ipchains -A bad-if -p TCP --dport 61000:65095 -j ACCEPT
ipchains -A bad-if -p UDP --dport 61000:65095 -j ACCEPT
ipchains -A bad-if -p ICMP --icmp-type pong -j ACCEPT
ipchains -A bad-if -j icmp-acc
ipchains -A bad-if -j DENY

DMZ 接口。

包过滤盒限制
- PING 任何网络
- TRACEROUTE 任何网络
- 访问 DNS

DMZ 接口接收 DNS 回复、ping 回复和 ICMP 错误。


ipchains -A dmz-if -i ! eth0 -j DENY
ipchains -A dmz-if -p TCP ! -y -s 192.84.219.129 53 -j ACCEPT
ipchains -A dmz-if -p UDP -s 192.84.219.129 53 -j ACCEPT
ipchains -A dmz-if -p ICMP --icmp-type pong -j ACCEPT
ipchains -A dmz-if -j icmp-acc
ipchains -A dmz-if -j DENY -l

GOOD（内部）接口。

包过滤盒限制
- PING 任何网络
- TRACEROUTE 任何网络
- 访问 DNS
内部限制
- 允许 WWW、ftp、traceroute、ssh 连接到外部
- 允许 SMTP 连接到邮件服务器
- 允许 POP-3 连接到邮件服务器
- 允许 DNS 连接到名称服务器
- 允许 rsync 连接到 Web 服务器
- 允许 WWW 连接到 Web 服务器
- 允许 ping 包过滤盒

内部接口接收 ping、ping 回复和 ICMP 错误。


ipchains -A good-if -i ! eth1 -j DENY
ipchains -A good-if -p ICMP --icmp-type ping -j ACCEPT
ipchains -A good-if -p ICMP --icmp-type pong -j ACCEPT
ipchains -A good-if -j icmp-acc
ipchains -A good-if -j DENY -l

7.5 最后

删除阻止规则


ipchains -D input 1
ipchains -D forward 1
ipchains -D output 1