基于linux的网络防火墙系统的设计与实现

基于linux的网络防火墙系统的设计与实现内容摘要：

3) 完全开放源代码，价格低廉 4) 安全可靠，无后门 Linux 这些特点成为了我们选择 Linux 系统作为防火墙系统理由。 事实上另外 一些开源操作系统也具体相似的特点 (如 FreeBSD, NetBSD, OpenBSD 等 ), 不过个人较熟悉 Linux，所以就选择了它。 3. Linux 中的包过滤框架 . filter/iptables 简介 filter/iptables 是在 Linux 系统中实现的包过滤器框架， 它完全是 自由，开 源 ， 免费的 ， 它 功能强大，使用灵活，并且可以对流入和流出的信息进行细化的控制 , 它可以运行各种架构的机器上，它非常高效 ，即使是非常老的机器或者非常低档的机器上都运行的非常好。 iptabels/filter 是 linux 和 linux 系列内核的包过滤框架。 在此之前 Linux 内核 系列 所使用的 Alan Cox 从 BSD Unix 中移植过来的 ipfw。 在 系列的 Linux 内核中， Jos Vos 和其它一些程序员对 ipfw 进行了扩展，并且添加了 ipfwadm用户工具。 在 系列 内核中， Russell 和 Michael Neuling 做了一些非常重要的改进，也就是在该 系列的 内核中， Russell 添加了帮助用户控制过虑规则的 ipchains 工具。 后来，Russell 又 在 系列的内核中 完成了 新 的 包过滤 框架 即现在的 filter。 在 filter/iptables 框架中， 它可以实现 包过滤 、 NAT/NAPT 和数据包的分割等功能。 Netfilter 它工作在 Linux 内核之中，它在内核网络协议栈中设置了一系列的勾子函数从而允许内核模块注册一些回调函数对协议栈里的数据包进行相应的处理。 它主要包括 filter, ip_tables, 连接跟随 (ip_conntrack, nf_conntrack) 和 NAT 子系统。 而 iptables 则是让用户 自 定义 包过滤规则 集的 用户态工具。 目前 Netfiler/iptables 主要特点如下： 1) 无状态的包过滤 (包括 IPv4 和 IPv6) 2) 有状态的包过滤 (仅包括 IPv4) 3) 网络地址转换和网络地址端口转换 Ipfw linux Ipchains linux Iptables linux Iptables linux 4) 可变性和可扩展性强的架构 5) 多层次的 API 方便第三方扩展 6) 插件众多，方便应用 . iptables 的使用 作为 防火墙典型的 配置 是两个网卡 ： 一个流入，一个流出。 包过滤器 读取流入和流出的数据包的报头， 将它们与 规则 集 相比较， 被 可接 受的数据包从一个网卡转发至另外一个网卡。 对于被拒绝的数据包， 则 被丢弃或者按照 管理员自 定义的方式来处理。 iptables 是介于用户和系统内核一个工具，它 通过 向内核中的 filter 提供包 过滤 的规则如是否接受 来自某 一 个 或某些 源 地址 、到某个 或 某些 目的 地址、 特定协议类型的 数据 包。 防火墙软件或者网络管理员可以 通过 命令 iptables 根据安全要求和网络状况来 建立 相应的 规则，将其添加到 位于 内核 中 ，实现防火墙功能。 iptables 的使用语用方法如下： iptables [t table] [AD] chain rulespecification [options] iptables [t table] I chain [rulenum] rulespecification [options] iptables [t table] R chain rulenum rulespecification [options] iptables [t table] D chain rulenum [options] iptables [t table] [LFZ] [chain] [options] iptables [t table] N chain iptables [t table] X [chain] iptables [t table] P chain target [options] iptables [t table] E oldchainname newchainname 命令 iptable 用于设置，维护和查看 Linux 内核中的 IP 包过滤规则表。 内核中有数个表，而每个表包含都包含数个系统内建的规则链和用户自定义的规则链。 每个链包括一系列可以与某一类包匹配的规则。 每一个规则都要指定对与其匹配的包要做的事情，这个被叫做“目标” , 而它很可能只是跳转到在同的规则表之中一个用户自定义的规则链中。 如果不想用标准的表，就要在 [table]处指定表名。 一般情况下 可以不指定要使用的表，因为 iptables 默认使用 filter 表来执行所有的命令。 也没有必要非得 在一开始就指定表 名，实际上几乎可在规则的任何地方指定表名 ，也就是与它在命令行的顺序无关。 事实上， 把表名放在开始处已经是约定俗成的标准。 指定表名和把表名放在 iptables 参数的开始是一种非常好的习惯，它让 iptables 的规则文件更为易读，易于理解而不是像写的非常难看的代码的难看。 “mand” 告诉 iptables 该做什么，比如：插入一个规则，还是在链的末尾增加一个规则，还是删除一个规则。 下面会仔细地介绍。 . “match” 细致地描述了包的某个特点，以使这个包区别于其它所有的包。 在这里，我们可以指定包的 来源 IP 地址、网络接口、端口、协议类型，或者其他什么。 下面我们将会看到许多不同的 match。 最后是数据包的目标所在 “target”。 若数据包符合所有的 match，内核就用 target来处理它，或者说把包发往 target。 比如，我们可以让 内核把包发送到当前表中的其他链（可能是我们自己建立的），或者只是丢弃这个包而不做任何处理，或者向发送者返回某个特殊的应答。 下面我们来逐个讨论这些选项： 表（ table） [t table]选项允许使用标准表之外的任何表。 表是包含仅处理特定类型信息包的规则和链的信息 包过滤表。 有三种可用的表选项： filter、 nat 和 mangle。 该选项不是必需的，如果未指定，则 filter 用作缺省表。 下面介绍各表实现的功能。 filter filter 表用来过滤数据包，我们可以在任何时候匹配包并过滤它们。 我们就是在这里根据包的内容对包做 DROP 或 ACCEPT 的。 当然，我们也可以预先在其他地方做些过滤，但是这个表才是设计用来过滤的。 几乎所有的 target 都可以在这儿使用。 nat nat 表的主要用处是网络地址转换，即 Network Address Translation，缩写为 NAT。 做过 NAT 操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。 属于一个流的包只会经过这个表一次。 如果第一个包被允许做 NAT 或 Masqueraded，那么余下的包都会自动地被做相同的操作。 也就是说，余下的包不会再通过这个表，一个一个的被 NAT，而是自动地完成。 这就是我们为什么不应该在这个表中做任何过滤的主要原因。 PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址，如果需 要的话。 OUTPUT 链改变本地产生的包的目的地址。 POSTROUTING 链在包就要离开防火墙之前改变其源地址此表仅用于 NAT，也就是转换包的源或目标地址。 注意，只有流的第一个包会被这个链匹配，其后的包会自动被做相同的处理。 实际的操作分为以下几类： ◆ DNAT ◆ SNAT ◆ MASQUERADE DNAT 操作主要用在这样一种情况，你有一个合法的 IP 地址，要把对防火墙的访问重定向到其他的机子上（比如 DMZ）。 也就是说，我们改变的是目的地址，以使包能重路由到某台主机。 SNAT 改变包的源地址，这在极大程 度上可以隐藏你的本地网络或者 DMZ 等。 一个很好的例子是我们知道防火墙的外部地址，但必须用这个地址替换本地网络地址。 有了这个操作，防火墙就能自动地对包做 SNAT 和 DeSNAT(就是反向的 SNAT)，以使 LAN 能连接到 Inter。 如果使用类似 ，是不会从 Inter 得到任何回应的。 因为 IANA 定义这些网络（还有其他的）为私有的，只能用于 LAN 内部。 MASQUERADE 的作用和 MASQUERADE 完全一样，只是计算机的负荷稍微多一点。 因为对每个匹配的包， MASQUERADE 都要查找可用的 IP 地址，而不象 SNAT 用的 IP 地址是配置好的。 当然，这也有好处，就是我们可以使用通过 PPP、 PPPOE、 SLIP 等拨号得到的地址，这些地址可是由 ISP 的 DHCP 随机分配的。 Mangle 这个表主要用来 mangle 数据包。 我们可以改变不同的包及包头的内容，比如 TTL，TOS 或 MARK。 注意 MARK 并没有真正地改动数据包，它只是在内核空间为包设了一个标记。 防火墙内的其他的规则或程序（如 tc）可以使用这种标记对包进行过滤或高级路由。