IPFW
IPFW
IPFW,FreeBSD 內建的防火牆指令。
ipfw 是 FreeBSD 內建的防火牆指令,我們可以用它來管理進出的網路交通。如果防火牆伺服器是扮演著路由器 (gateway 例如上一篇中的 NAT 伺服器) 的角色,則進出的封包會被 ipfw 處理二次,而如果防火牆扮演的是橋接器 (bridge) 的角色,則封包只會被處理一次。這個觀念關係著我們以下所要介紹的語法,有的語法並不適用於橋接器。
另外,我們在設定防火牆時有二種模式,一種模式是預設拒絕所有聯機,再一條一條加入允許的聯機;另一種是預設接受所有聯機,加入幾條拒絕的規則。如果是非常強調安全性,應該是使用預設拒絕所有聯機,再一條一條加入我們允許的規則。
我們會將 firewall 的設定寫在 /etc/rc.firewall 中,每一條設定都是以先入為主 (first match wins) 的方式來呈現,也就是先符合的規則 (rules) 為優先。所有進出的封包都會被這些規則過濾,因此我們會盡量減少規則的數量,以加速處理的速度。
在 kernel 中,關於防火牆的設定有下列幾條:
防火牆
options IPFIREWALL
支援 NAT
options IPdivert
下面這一行是預設允許所有封包通過,如果沒有這一行,
就必須在 /etc/rc.firewall 中設定封包的規則。
這條規則內定編號是 65535,也就是所有規則的最後一條
如果沒有加這一條規則,內定就是拒絕所有封包,
只允許規則中允許的封包通過。
options IPFIREWALL_DEFAULT_TO_ACCEPT
這一行是讓你可以在 ipfw 中設定要記錄哪些封包,
如果沒有這一行,就算設定了要留下記錄也不會有作用。
options IPFIREWALL_VERBOSE
這一行是限制每一條規則所要記錄的封包數量,
因為同樣的規則可能有許多記錄,加上這一條可以使
同樣的記錄重複數減少,以避免記錄文件爆增。
options IPFIREWALL_VERBOSE_LIMIT=10
下面這一行是用來支援封包轉向,
當你要使用 fwd 動作時必須要有這一項設定。
options IPFIREWALL_FORWARD
如果要使用 pipe 來限制頻寬,必須加入下列選項以支持 dummynet。
options DUMMYNET
ipfw 也支持狀態維持 (keep-state) 的功能,就是可以讓符合設定的規則以動態的方式來分配增加規則 (地址或連接埠) 來讓封包通過。也就是說防火牆可以記住一個外流的封包所使用的地址及連接埠,並在接下來的幾分鐘內允許外界響應。這種動態分配的規則有時間的限制,一段時間內會檢查聯機狀態,並清除記錄。
所有的規則都有計數器記錄封包的數量、位數、記錄的數量及時間等。而這些記錄可以用 ipfw 指令來顯示或清除。
在說明 ipfw 規則的語法之前,我們先來看這個指令的用法。ipfw 可以使用參數:
ipfw add rule 新增一條規則。規則 (rule) 的語法請參考下一節的說明。
ipfw delete number 刪除一條編號為 number 的規則。
ipfw -f flush 清除所有的規則。
ipfw zero 將計數統計歸零。
ipfw list 列出現在所有規則,可以配合下列參數使用。
-a 使用 list 時,可以列出封包統計的數目。
-f 不要提出確認的詢問。
-q 當新增 (add)、歸零(ZERO)、或清除 (flush) 時,不要列出任何回應。當使用遠程登入,以 script (如 sh /etc/rc.firewall) 來修改防火牆規則時,內定會列出你修改的規則。但是當下了 flush 之後,會立即關掉所有聯機,這時候響應的訊息無法傳達終端機,而規則也將不被繼續執行。此時唯一的方法就是回到該計算機前重新執行了。在修改防火牆規則時,最好在計算機前修改,以免因為一個小錯誤而使網路聯機中斷。
-t 當使用 list 時,列出最後一個符合的時間。
-N 在輸出時嘗試解析 IP 地址及服務的名稱。
-s field 當列出規則時,依哪一個計數器 (封包的數量、位數、記錄的數量及時間) 來排序。
12.3.1 ipfw 規則
我們在過濾封包時,可以依據下列的幾個封包所包含的信息來處理該封包:
接收或傳送的介面,可以使用介面名稱或地址。
方向,流入或流出。
來源或目的地的 IP 地址,也可以加上子網掩碼。
TCP flags。
IP fragment flag。
IP options。
ICMP 的類型。
和封包相關的 socket User/group ID。
使用 IP 地址或 TCP/UDP 的埠號來做為規則可能蠻危險的,因為這二種都有可能被以假的信息所矇騙 (spoof)。但是這二種卻也是最常被使用的方法。
下列為 ipfw rules 的語法:
number action log proto from src to dist interface_spec option
使用 包起來的表示可有可無,我們一一為大家說明它們的意義:
number:
number 是一個數字,用來定義規則的順序,因為規則是以先入為主的方式處理,如果你將規則設定放在一個檔案中 ( 如 /etc/rc.firewall ),規則會依每一行排列的順序自動分配編號。你也可以在規則中加上編號,這樣就不需要按順序排列了。如果是在命令列中下 ipfw 指令來新增規則的話,也要指定編號,這樣才能讓規則依我們的喜好排列,否則就會以指令的先後順序來排。這個編號不要重複,否則結果可能不是你想要的樣子。
action 表示我們這條規則所要做的事,可以用的 action 有下列幾個:
命令 意義
allow 允許的規則,符合則通過。也可以使用 pass,permit, accept 等別名。
deny 拒絕通過的規則。
reject 拒絕通過的規則,符合規則的封包將被丟棄並傳回一個 host unreachable 的 ICMP。
count 更新所有符合規則的計數器。
check-state 檢查封包是否符合動態規則,如果符合則停止比對。若沒有 check-state 這條規則,動態規則將被第一個 keep-state 的規則所檢查。
divert port 將符合 divert sock 的封包轉向到指定的 port。
fwd ipaddr,port 將符合規則封包的去向轉向到 ipaddr,ipaddr 可以是 IP 地址或是 hostname。如果設定的 ipaddr 不是直接可以到達的地址,則會依本機即有的 routing table 來將封包送出。如果該地址是本地地址 (local address),則保留本地地址並將封包送原本指定的 IP 地址。這項設定通常用來和 transparent proxy 搭配使用。例如:
ipfw add 50000 fwd 127.0.0.1,3128 tcp from \
192.168.1.0/24 to any 80
如果沒有設定 port ,則會依來源封包的 port 將封包送到指定的 IP。使用這項規則時,必須在 kernel 中設定選項 IPFIREWALL_FORWARD。
pipe pipe_nr 傳遞封包給 dummynet(4) "pipe",用以限制頻寬。使用本語法必須先在核心中加入 option DUMMYNET。請 man ipfw 及 man dummynet。
基本語法是先將要設定頻寬的規則加入:
ipfw add pipe pipe_nr ....
再設定該規則的頻寬:
ipfw pipe pipe_nr config bw B delay D queue Q PLR P
這裡的 pipe_nr 指的是 pipe 規則編號,從 1~65535;B 是指頻寬,可以表示為 bit/s、Kbit/s、Mbit/s、Bytes/s、KBytes/s、或 MBytes/s。D 是延遲多少 milliseconds (1/1000)。Q 是 queue size 的大小 (單位為 packages 或 Bytes)。P 是要隨機丟棄的封包數量。
例如我們要限制內部網域的計算機對外上傳的最大頻寬是 20 KBytes:
ipfw add pipe 1 ip from 192.168.0.1/24 to any in
ipfw pipe 1 config bw 20KBytes/s
log:
如果該規則有加上 log 這個關鍵詞,則會將符合規則的封包記錄在 /var/log/security 中。前提是在核心中有設定 IPFIREWALL_VERBOSE 的選項。有時因為同樣的封包太多,會使記錄文件保有大量相同的記錄,因此我們會在核心中再設定 IPFIREWALL_VERBOSE_LIMIT 這個選項,來限制要記錄多少相同的封包。
proto:
src 及 dist:
src 是封包來源;dist 是封包目的地。在這二個項目可以用的關鍵詞有 any, me, 或是以
ports 的方式明確指定地址及埠號。
若使用關鍵詞 any 表示使這條規則符合所有 ip 地址。若使用關鍵詞 me 則代表所有在本系統介面的 IP 地址。而使用明確指定地址的方式有下列三種:
IP 地址,指定一個 IP,如 168.20.33.45。
IP/bits,如 1.2.3.4/24,表示所有從 1.2.3.0 到 1.2.3.255 的 IP 都符合規則。
IP:mask,由 IP 加上子網掩碼,如 1.2.3.4:255.255.240.0 表示從 1.2.0.0 到 1.2.15.255 都符合。
而在 me, any 及 指定的 ip 之後還可以再加上連接埠編號 (ports),指定 port 的方法可以是直接寫出 port ,如 23;或給定一個範圍,如 23-80;或是指定數個 ports,如 23,21,80 以逗點隔開。或者是寫出在 /etc/services 中所定義的名稱,如 ftp,在 services 中定義是 21,因此寫 ftp 則代表 port 21。
interface-spec:
interface-spec 表示我們所要指定的網路介面及流入或流出的網路封包。我們可以使用下列幾個關鍵詞的結合:
in 只符合流入的封包。
out 只符合流出的封包。
via ifX 封包一定要經過介面 ifX,if 為介面的代號,X 為編號,如 vr0。
via if* 表示封包一定要經過介面 ifX,if 為介面的代號,而 * 則是任何編號,如 vr* 代表 vr0,vr1,...。
via any 表示經過任何界面的封包。
via ipno 表示經過 IP 為 ipno 界面的封包。
via 會使介面永遠都會被檢查,如果用另一個關鍵詞 recv ,則表示只檢查接收的封包,而 xmit 則是送出的封包。這二個選項有時也很有用,例如要限制進出的介面不同時:
ipfw add 100 deny ip from any to any out recv vr0 xmit ed1
recv 介面可以檢查流入或流出的封包,而 xmit 介面只能檢查流出的封包。所以在上面這裡一定要用 out 而不能用 in,只要有使用 xmit 就一定要使用 out。另外,如果 via 和 recv 或 xmit 一起使用是沒有效的。
有的封包可能沒有接收或傳送的介面:例如原本就由本機所送出的封包沒有接收介面,而目的是本機的封包也沒有傳送界面。
options:
我們再列出一些常用的 option 選項,更多選項請 man ipfw:
keep-state 當符合規則時,ipfw 會建立一個動態規則,內定是讓符合規則的來源及目的地使用相同的協議時就讓封包通過。這個規則有一定的生存期限 (lift time,由 sysctl 中的變數所控制),每當有新的封包符合規則時,便用重設生存期限。
bridged 只符合 bridged 的封包。
established 只適用於 TCP 封包,當封包中有 RST 或 ACK bits 時就符合。
uid xxx 當使用者 uid 為 xxx 則符合該規則。例如,我們如果要限制 Anonymous FTP 的下載速度最大為 64KB/s,則可以使用:
ipfw pipe 1 config bw 512Kbit/s
ipfw add pipe 1 tcp from me to any uid 21
上列規則第一行是先建一個編號為 1 的 pipe,限制頻寬為 512 Kbit/s (也就是 64 KByte/s),接著第二條是當使用者 uid 為 21 時,從本機 (me) 下載的 tcp 封包都使用編號 1 的 pipe。因為 Anonymous FTP 的使用者是 ftp,它的預設 uid 為 21,所以這條規則會被套用在 Anonymous FTP user 上。
setup 只適用於 TCP 封包,當封包中有 SYN bits 時就符合。
以上的說明只是 man ipfw 中的一小部份。如果你想要對 ipfw 更了解,例如如何使用 ipfw 來限制頻寬等,建議你 man ipfw。
不知道您看了這麼多的規則是否覺得眼花撩亂,如果不了解 TCP/IP 的原理,徹底了解 ipfw 的設定還真不容易。沒關係,我們下面將舉幾個簡單、常用的設定,這些範例應該夠平常使用了。
12.3.2 範例
我將原本的 /etc/rc.firewall 備份成 rc.firewal.old,並將它改成下列內容,請注意,這裡只是範例,只供參考:
設定我的 IP
myip="1.2.3.4"
設定對外的網路卡代號
outif="vr0"
設定對內的網路上代號
inif="vr1"
清除所有的規則
/sbin/ipfw -f flush
Throw away RFC 1918 networks
add deny ip from 10.0.0.0/8 to any in via
add deny ip from 172.16.0.0/12 to any in via
add deny ip from 192.168.0.0/16 to any in via
只允許內部網路對 192.168.0.1 使用 telnet 服務
/sbin/ipfw add 200 allow tcp from 192.168.0.1/24 to 192.168.0.1 telnet
拒絕其它人連到 port 23,並記錄嘗試聯機的機器
/sbin/ipfw add 300 deny log tcp from any to me 23
拒絕任何 ICMP 封包
/sbin/ipfw add 400 deny icmp from any to any
下面這台機器是壞人,不讓它進來,並記錄下來
/sbin/ipfw add 1100 deny log all from 211.21.104.102 to any
NAT 的設定
/sbin/ipfw add divert natd all from any to any via vr0
限制內部網域對外下載最大頻寬為 20KBytes/s,上傳最大頻寬為 5KBytes/s
ipfw pipe 20 config bw 20KBytes/s
ipfw add pipe 20 ip from any to 192.168.0.1/24 out
ipfw pipe 30 config bw 5KBytes/s
ipfw add pipe 30 ip from 192.168.0.1/24 to any in
允許本機對任何地方聯機
/sbin/ipfw add check-state
/sbin/ipfw add 2000 allow udp from to any keep-state
/sbin/ipfw add 2100 pass ip from to any
允許外界使用郵件服務
/sbin/ipfw add 3000 pass tcp from any to 25 in via
不允許內部的 IP 從外部連進來
/sbin/ipfw add 1200 add deny ip from /24 to any in via
其它都拒絕,如果沒有在 kernel 中設定
IPFIREWALL_DEFAULT_TO_ACCEPT 則內定就有下列這一條
/sbin/ipfw 65535 add deny all from any to any
存檔后就可以使用 sh rc.firewall 來執行新的規則了。如果您將規則放在 /etc/rc.firewall 中,則開機時會自動執行。
在建立一個封包過濾的防火牆時,應該儘可能阻擋一些不必要的服務。避免開放 port 1024 以下的 TCP 服務,例如只通過 SMTP 封包 (port 25) 給郵件伺服器;拒絕所有 UDP 聯機 (只有少部份服務如 NFS 會用到);一些只有內部才會使用的服務,如資料庫等也不必對外開放。
另外,同樣的防火牆限制可以使用不同的語法來展現,應該要試著讓規則數量越少越好,以加快處理速度。
在更新 firewall 規則時,如果規則沒有寫好,而你又是以遠程登入的方式修改規則,很可能會因此無法繼續登入。因此建議更新規則時最好在 console 前執行,若迫不得已一定要使用遠程登入,建議您執行 /usr/share/examples/ipfw/change_rules.sh 這支程序來編輯規則:
cd /usr/share/examples/ipfw
sh change_rules.sh
接著會出現文書編輯軟體並最動載入 /etc/rc.firewall 讓你編輯,結束離開后,會詢問是否要執行更新。如果執行新的規則后造成斷線,它會自動載入舊的規則,讓我們可以再次聯機。
如果您有三台機器全部都有 public IP,而您想使用其中一台做為防火牆,在不改變另外二台機器的設定下,我們可以使具封包過濾的橋接器來架設防火牆。只要將這台橋接器放在另外二台和對外網路之間即可。
另外,當我們的內部網路有不同 class 的主機時,例如內部有 140.115.2.3 及 140.115.5.6 這二台計算機時,就無法使用傳統的防火牆。如果要在這二台機器連到網際網路中途中使用防火牆,我們必須使用新的方式,也可以使用這裡介紹的橋接器。
我們可以使用 FreeBSD 為橋接器,利用它來做封包過濾的動作,而絲毫不影響內部的主機原本的設定。為了達到這個功能,我們必需要有二張支持 promiscuous mode 的網路卡,現在的網路卡大部份都有支持。二張網路卡當中,一張需要設定 IP,另一張不需要。至於您要將 IP 設定在哪一張卡都可以,建議是設在對外的網路卡上。
首先,我們必須在核心中加入關於橋接器的設定:
支援橋接器
options BRIDGE
防火牆設定
options IPFIREWALL
options IPFIREWALL_VERBOSE
我們這裡不將防火牆預設為接收所有封包
options IPFIREWALL_DEFAULT_TO_ACCEPT
如果您要讓橋接器具有流量控制的功能,則可以加上之前提到的選項「options DUMMYNET」。重新編譯核心后,在重開機前,我們先設定一下 /etc/rc.conf:
firewall_enable="YES"
firewall_type="open"
還有一件事要做,當在乙太網路上跑 IP 協議時,事實上使用二種乙太網路協議,一個是 IP,另一個是 ARP。ARP 協定是當機器要找出給定 IP 地址所對應的乙太網路地址時使用的。ARP 並不是 IP 層的一部份,只是給 IP 應用在乙太網路上運作。標準的防火牆規則中並未加入對於 ARP 的支持,幸運的是,高手們的在 ipfirewall 程序代碼中加入了對封包過濾橋接器的支持。如果我們在 IP 地址 0.0.0.0 上建立一個特別的 UDP 規則,UDP 埠的號碼將被使用來搭配被橋接封包的乙太網路協議號碼,如此一來,我們的橋接器就可以被設定成傳遞或拒絕非 IP 的協議。請在 /etc/rc.firewall 中接近文件頂端處理 lo0 的那三行之下(就是有寫 Only in rare cases do you want to change these rules 的地方)加入下面一行:
add allow udp from 0.0.0.0 2054 to 0.0.0.0
現在我們就可以重新開機了。重開機之後,先執行下列指令來啟動橋接器:
如果您使用的是 FreeBSD 4.x:
sysctl -w net.link.ether.bridge_ipfw=1
sysctl -w net.link.ether.bridge=1
如果您使用的是 FreeBSD 5.x:
sysctl -w net.link.ether.bridge.ipfw=1
sysctl -w net.link.ether.bridge.enable=1
現在我們可以將機器放在內外二個網域之間了。因為我們之前在 /etc/rc.conf 中,設定防火牆完全打開,不阻擋任何封包,所以放在二個網域之間時,運作應該沒有問題。我們之前只設了一張網路上的 IP,而在執行了上述的指令之後,第二張網路卡便開始運作。
下一步就是將我們啟動橋接器的指令放在 /etc/rc.local 中,讓系統在開機時自動執行。或者,我們可以在 /etc/sysctl.conf 中加入下面二行:
如果您使用的是 FreeBSD 4.x
net.link.ether.bridge_ipfw=1
net.link.ether.bridge=1
如果您使用的是 FreeBSD 5.2 以後的版本
net.link.ether.bridge.enable=1
net.link.ether.bridge.ipfw=1
接下來我們就可以依自己的需求在 /etc/rc.firewall 文件的最後面加上我們自己想要的防火牆規則了。以下是一個簡單的設定規則,假設橋接器的 IP 是 140.115.75.137,內部有二台主機,一台提供網頁服務,一台是 BBS:
us_ip=140.115.75.137
basrv_ip=140.115.3.4
bbs_ip=140.115.5.6
OIF=fxp0
iif=fxp1
ipfw="/sbin/ipfw"
Things that we've kept state on before get to go through in a hurry.
1000 add check-state
Throw away RFC 1918 networks
1100 add deny ip from 10.0.0.0/8 to any in via
1200 add deny log ip from 172.16.0.0/12 to any in via
1300 add deny log ip from 192.68.0.0/16 to any in via
允許橋接器本身所有想做的聯機 (keep state if UDP)
1400 add pass udp from to any keep-state
1500 add pass ip from to any
允許內部網路任何想做的聯機 (keep state if UDP)
1600 add pass udp from any to any in via keep-state
1700 add pass ip from any to any in via
允許任何的 ICMP 聯機
1800 add pass icmp from any to any
不允許使用 port 888 聯機
2000 add deny log tcp from any to 888
TCP section
任何地方都可以建立 TCP 聯機
3000 add pass tcp from any to any via
Pass the "quarantine" range.
3100 add pass tcp from any to any 49152-65535 in via
Pass ident probes. It's better than waiting for them to timeout
3200 add pass tcp from any to any 113 in via
Pass SSH.
3300 add pass tcp from any to any 22 in via
Pass DNS. 當內部網路有名稱伺服器時才需要
add pass tcp from any to any 53 in via
只傳遞 SMTP 給郵件伺服器
3400 add pass tcp from any to 25 in via
3500 add pass tcp from any to 25 in via
UDP section
Pass the "quarantine" range.
4000 add pass udp from any to any 49152-65535 in via
Pass DNS. 當內部網路有名稱伺服器時才需要
4100 add pass udp from any to any 53 in via
其它的都拒絕
60000 add deny ip from any to any