Linux主機防火牆規則(Linux主機伺服器架設技術)
Linux 安裝完畢,便已內建基本的防火牆規則,它是採 IPTABLES 來進行封包過濾的動作。
預設的規則列主要在防止外面主機連線至主機,被阻擋的服務有 FTP, SSH, Samba網芳等。
Linux主機防火牆基本原理:
設定檔
設定規則列位置及套用方式是 Linux 專用的方法,與其他 Debian OS 不同。
* 使用工具: iptables
* 規則列位置: /etc/rc.local
* 修改後套用
root@dns:~# service rc.local start
* 註: rc.local 原本設計是為開機後要手動執行特定工作的設定區,Linux 把它借來放置防火牆規則列
Linux主機防火牆基本觀念:
* IPTABLES = "/sbin/iptables"
這一行是指:設定 IPTABLES 這個變數,以後只要看到 $IPTABLES 這個字串,就代表 /sbin/iptables 這個指令
* $IPTABLES -F
這一行是指:把之前所有已設過的規則清空(flush)
Linux主機防火牆封包進出主機方向:
在 /etc/rc.local 內之「設定 filter table 的預設政策」會看到三行設定值,如下:
###—————————————————–###
# 設定 filter table 的預設政策
###—————————————————–###
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
筆者將其簡化說明如下:
* INPUT –> 外面要進入主機的網路封包,主要用於規範外面如何連線至主機上的各種服務,與 NAT 內網無關
* OUTPUT –> 從主機出去的網路封包。
* FORWARD –> 從 B 網卡轉至 A 網卡,規範於有 NAT 主機或透通式防火牆用途時,內轉外網路封包之控管。
* 依上例,預設所有的封包皆開放,不阻擋
INPUT規則列的寫法
規則列的寫法,是把預設政策擺在最下面一行,例外規則擺上面,如下所例
# 只有本主機所屬網段才能連到這台主機的 ssh port 22
$IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 203.68.102.0/24 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 220.130.230.76 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 127.0.0.1 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp –dport 22 -j DROP
上面的規則列可以用下面這張圖來表達,預設 22 埠是不被連線的,但有四個綠點例外。
Iptables sample.png
進階處理
取消某個通訊埠的阻擋
只要把所有該 port (–dport)的規則列前面加上 # 變成註解,或直接刪除即可,以 FTP 示例如下:
# 只有本主機所屬網段才能連到這台主機的 FTP SERVER port 21
# $IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 –dport 21 -j ACCEPT
# $IPTABLES -A INPUT -p tcp -s 127.0.0.1 –dport 21 -j ACCEPT
# $IPTABLES -A INPUT -p tcp –dport 21 -j DROP
# 只有本主機所屬網段才能連到這台主機的 ssh port 22
$IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 203.68.102.0/24 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 220.130.230.76 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 127.0.0.1 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp –dport 22 -j DROP
新增例外連線範圍
若要新增例外連線點,一定要加在相同埠值區塊最後一行之前(建議第一行),假設我們要加中華電信某個網段 59.127.0.0/16 至 Port 22 的例外點上,做法如下:
* 編輯 /etc/rc.local (紅字為新增部分)
root@dns:~# vi /etc/rc.local
# 只有本主機所屬網段才能連到這台主機的 ssh port 22
$IPTABLES -A INPUT -p tcp -s 59.127.0.0/16 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 203.68.102.0/24 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 220.130.230.76 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 127.0.0.1 –dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp –dport 22 -j DROP
* 套用新規則
root@dns:~# service rc.local start
新增某個通訊埠連線限制
以 TCP 1723 為例
假設主機有架 VPN 服務,經由「netstat -nlp」查詢後得知其使用的埠值為 TCP 1723。因此,為避免不具善意的網客隨便亂測密碼,我們可以在 /etc/rc.loal加上其連線限制。
假設允許的網段為
1. 校內: 163.26.182.0/24
2. 校外某點: 220.130.230.76
* 編輯 /etc/rc.local,在 IPv4 的設定區(就是 /sbin/ip6tables -F 之上),依 port 值排序,大約在網芳區塊後面加上。
root@dns:~# vi /etc/rc.local(紅字為新增部分)
……
$IPTABLES -A INPUT -p tcp –dport 139 -j DROP
$IPTABLES -A INPUT -p tcp –dport 445 -j DROP
$IPTABLES -A INPUT -p udp –dport 137 -j DROP
$IPTABLES -A INPUT -p udp –dport 138 -j DROP
$IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 –dport 1723 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 220.130.230.76 –dport 1723 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 127.0.0.1 –dport 1723 -j ACCEPT
$IPTABLES -A INPUT -p tcp –dport 1723 -j DROP
/sbin/ip6tables -F
/sbin/ip6tables -A INPUT -p tcp –dport 21 -j DROP
/sbin/ip6tables -A INPUT -p tcp –dport 22 -j DROP
/sbin/ip6tables -A INPUT -p tcp –dport 23 -j DROP
……
* 套用新規則列
root@dns:~# service rc.local start
以 ICMP 為例
預設不讓外面網路任意點可以 PING 本主機,造就本主機不存在的假象,但選定數點開放偵測。假設允許的網段為
1. 教網中心:163.26.200.0/24
2. 校內: 163.26.182.0/24
3. 校外某點: 220.130.230.76
* 編輯 /etc/rc.local,在 IPv4 的設定區,Port 21 規則列上方。
root@dns:~# vi /etc/rc.local(紅字為新增部分)
……
$IPTABLES -A INPUT -p icmp -s 163.26.182.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp -s 163.26.200.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp -j DROP
# 只有本主機所屬網段才能連到這台主機的 FTP server port 21
$IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 –dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 127.0.0.1 –dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp –dport 21 -j DROP
……
* 套用新規則列
root@dns:~# service rc.local start
防止 DoS 攻擊
筆者朋友主機最近遭到 DoS 攻擊,我本來以 iptables -m limit 來處理,但發現它會不分來源一律阻擋,這樣無辜的 IP Address 也受到限制,非常不公平,思考並搜尋了一個晚上,後來決定以限制單一 IP 同時連線數(connlimit),來處理此類攻擊,它會把單一 IP 來源同時要求服務(–syn)的連線數,限制在一定的數量以內,正常用人工手動點網頁,就算該網頁有 FrameSet ,應也不致於大過 12(自已用手拼命點得到的結論)才對。因此在設定此限制時,以每一個 IP 同時連線數不得超過 15 為參數,並進行後續的觀察。在設定後,經過一段時間的觀察,CPU 再也不會一直維持在 90-100% 高檔了,大約只會偶而跳至 60-70% ,一般皆在 10 % 以內。重點是它只 tcp-reset 有問題的來源,無辜的人仍可享受應有的速度。
設定方式:
* 請確認 syslog 有下列參數
o Linux 在 /etc/syslog.conf
o Ubuntu 在 /etc/rsyslog.d/50-default.conf
# iptables 的記錄可以寫入 /var/log/kern.log
kern.* -/var/log/kern.log
* 先把可能攻擊的 ip 寫入 /var/log/kern.log ,再把它的封包無聲的丟掉;以同時 15 個連線為限。
$IPTABLES -A INPUT -p tcp –syn –dport 80 -m connlimit –connlimit-above 15 -j LOG –log-level 4
$IPTABLES -A INPUT -p tcp –syn –dport 80 -m connlimit –connlimit-above 15 -j REJECT –reject-with tcp-reset
* 分析攻擊可能來源
o 螢幕觀看(以 tab 鍵分隔欄位)
root@dns:~# cat /var/log/kern.log |awk '{print $1 " " $2 " " $9}'
o 轉至純文字,以供下載至試算表統計
root@dns:~# cat /var/log/kern.log |awk '{print $1 " " $2 " " $9}' > /root/dosatt.txt
呈現的結果部分截取如下:
May 10 SRC=60.250.181.66
May 10 SRC=60.250.181.66
May 10 SRC=60.250.181.66
May 10 SRC=60.251.81.94
May 10 SRC=60.251.81.94
May 10 SRC=60.251.81.94
May 10 SRC=60.251.81.94
May 10 SRC=60.251.81.94
May 10 SRC=60.251.81.94
May 10 SRC=60.251.81.94
May 10 SRC=60.251.81.94
May 10 SRC=60.251.81.94
May 10 SRC=60.250.181.66
May 10 SRC=60.250.181.66
* 鎖了吧,可疑者!
若某個 IP 來源您不認識,但每天常常超過,人工點網頁的極限(同時超過 15 個連線數),可以再加以下規則,把它鎖了吧!
$IPTABLES -A INPUT -i eth0 -p tcp -s 60.250.xxx.xx –dport 80 -j DROP
