- 論壇徽章:
- 1
|
ipfilter 實(shí)現(xiàn)透明代理
April 20, 2002
href="mailto:charleysense@btamial.net.cn">Charley Sense
(本文可以自由轉(zhuǎn)載,請(qǐng)注明作者和出處)
本人(作者)屬新手上路, 才學(xué)習(xí)了沒幾天, 剛剛配好了一臺(tái)代理服務(wù)器, 對(duì)于高手來(lái)講實(shí)在是小菜一碟, 本沒有什么可以值得炫耀的. 應(yīng)
href="http://www.linuxforum.net">中國(guó)Linux論壇 FreeBSD世界版主
href="mailto:yjs@oldhand.org">r00t 的要求, 對(duì)配置過程做了一個(gè)記錄, 不免貽笑大方.
文中如有什么錯(cuò)誤, 請(qǐng)與作者
聯(lián)系. 本文著重介紹配置透明代理, 基本不涉及網(wǎng)絡(luò)服務(wù)器, 含dns, web, email的配置, 這些服務(wù)器對(duì)于防火墻的要求, 請(qǐng)參照其它介紹.
采用本文內(nèi)容, 如果造成任何損失, 作者概不負(fù)責(zé).
Reference:
IP Filter Based Firewalls HOWTO [
href="http://www.obfuscation.org/ipf/ipf-howto.pdf" target=_blank> DF
|
target=_blank>HTML ] (本文中簡(jiǎn)稱 HOWTO)
target=_blank>Quick CableNet Connections with FreeBSD - By, Leon
系統(tǒng)構(gòu)成
Gateway:
系統(tǒng)安裝FreeBSD 4.5. PENTIUM-S 100, 80M內(nèi)存, 4G硬盤. 安裝雙網(wǎng)卡.
1. Dlink DFE5000TX一塊古老的網(wǎng)卡, 老得Windows 98都需要廠家的驅(qū)動(dòng), Windows 2000廠家都不提供驅(qū)動(dòng)了, 不過BSD/Linux還都支持這塊網(wǎng)卡, FreeBSD中為dc0. 該網(wǎng)卡連接內(nèi)部網(wǎng)絡(luò).
2. Dlink DFE530TX, FreeBSD中為vr0. 該網(wǎng)卡連接 ADSL Modem.
網(wǎng)內(nèi)客戶機(jī)
本文中有時(shí)稱為Client, 安裝Windows XP
網(wǎng)絡(luò)結(jié)構(gòu)
Gateway dc0分配地址192.168.0.1/24, 通過HUB連接內(nèi)網(wǎng)Windows XP客戶機(jī)
192.168.0.4/24, vr0連接ADSL Modem, 通過pppoe撥號(hào)上網(wǎng).采用動(dòng)態(tài)地址.
本文假定Gateway 的 pppoe和DNS已經(jīng)正常工作, 有關(guān)這方面的介紹, 請(qǐng)參照其它文章.
Gateway設(shè)置
編譯內(nèi)核
cd /usr/src/sys/i386/conf
cp GENERIC KERNEL1
vi KERNEL1
修改該內(nèi)核配置文件, 增加如下配置
options IPFILTER # ipfilter support
options IPFILTER_LOG # ipmon( log support
options IPFILTER_DEFAULT_BLOCK # block all packets by default
options RANDOM_IP_ID # RANDOM_IP_ID causes the ID field in IP packets to be
randomized
# instead of incremented by 1 with each packet generated.
options BRIDGE
options ICMP_BANDLIM # Rate limit bad replies
#options TCP_DROP_SYNFIN # drop TCP packets with SYN+FIN
# 該參數(shù)可以提高系統(tǒng)的安全性�����,但在作web server時(shí)不建議使用��,詳見LINT
取消內(nèi)核中所有與IPFIREWALL有關(guān)的配置
# options IPFIREWALL # firewall
# options IPFIREWALL_VERBOSE # enable logging to syslogd(
# options IPFIREWALL_FORWARD # enable transparent proxy support
# options IPFIREWALL_VERBOSE_LIMIT=100 # limit verbosity
# options IPFIREWALL_DEFAULT_TO_ACCEPT # allow everything by default
# options DUMMYNET
調(diào)整網(wǎng)絡(luò)參數(shù)
options NMBCLUSTERS=32768
系統(tǒng)安裝時(shí)該參數(shù)很小, 會(huì)影響網(wǎng)絡(luò)的性能. 這個(gè)數(shù)值只是我簡(jiǎn)單的配置, 做服務(wù)器可能要更大. 具體說(shuō)明詳見
href="http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/index.html" target=_blank>FreeBSD HandBook "http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/configtuning-kernel-limits.html" target=_blank>6.10.2 Network Limits
標(biāo)示該內(nèi)核
ident KERNEL1
編譯內(nèi)核
cd /usr/src
make buildkernel KERNCONF=KERNEL1
make installkernel KERNCONF=KERNEL1
(這兩個(gè)命令可以合并為 make kernel KERNCONF=KERNEL1)
修改配置文件
/etc/rc.conf
刪除該文件中有關(guān)ipfw的配置, 或者將
firewall_enable="NO"
增加如下配置
gateway_enable="YES" # enable gateway
named_enable=YES" # enable naming service
ipfilter_enable="YES" # Stateful firewall
ipfilter_program="/sbin/ipf"
ipfilter_rules="/etc/ipf.conf" # 新增加的規(guī)則文件, 有人習(xí)慣文件名 .rule
ipfilter_flag=""
ipnat_enable="YES" # Network Address Translation
ipnat_program="/sbin/ipnat"
ipnat_rules="/etc/ipnat.conf" # 新增加的規(guī)則文件, 有人習(xí)慣文件名 .rule
ipmon_enable="NO" # Firewall logging, 我沒有開放, 如果是重要的服務(wù)器, 應(yīng)該開放.
ipmon_program="/sbin/ipmon"
ipmon_flag="-Ds"
/etc/ipf.conf
該文件為防火墻配置文件, 本文主要介紹實(shí)現(xiàn)透明代理, 從網(wǎng)絡(luò)的角度講是代理Client, 因此關(guān)閉了Internet方向的Server
In的所有端口. 這個(gè)配置, 允許內(nèi)網(wǎng)dc0的所有操作, 允許對(duì)外Internet的所有請(qǐng)求, 但外網(wǎng)Internet只允許對(duì)內(nèi)網(wǎng)請(qǐng)求的回應(yīng), 其他包一律丟棄.
# 默認(rèn)規(guī)則, 關(guān)閉阻止所有的包, 關(guān)閉所有的通路, 再一步一步打開允許的通道.
# 如果內(nèi)核設(shè)置了 IPFILTER_DEFAULT_BLOCK, 可以省略.
block in all
block out all
# 允許內(nèi)網(wǎng)的信息自由通過.
pass in quick on dc0 from 192.168.0.0/24 to any
pass out quick on dc0 from any to 192.168.0.0/24
# 允許本機(jī)的信息自由通過.
pass in quick on lo0 all
pass out quick on lo0 all
# 禁止外網(wǎng)的無(wú)效地址通過
block in quick on tun0 from 192.168.0.0/16 to any
block in quick on tun0 from 10.0.0.0/8 to any
block in quick on tun0 from 172.16.0.0/12 to any
block in quick on tun0 from 127.0.0.0/8 to any
block in quick on tun0 from 0.0.0.0/8 to any
block in quick on tun0 from 192.0.2.0/14 to any
block in quick on tun0 from 204.152.64.0/23 to any
block in quick on tun0 from 224.0.0.0/3 to any
# 對(duì)外網(wǎng)信息的處理, 允許內(nèi)網(wǎng)包發(fā)送到外網(wǎng), 并且允許外網(wǎng)對(duì)這些包的回應(yīng)信息通過
pass out quick on tun0 proto tcp from any to any flags S/SAFR keep state keep frags
pass out quick on tun0 proto udp from any to any keep state keep frags
pass out quick on tun0 proto icmp from any to any keep state keep frags
/etc/ipnat.conf
該文件為NAT配置文件.
本文中pppoe通過DHCP方式獲得地址, 因此無(wú)法在規(guī)則中給出外網(wǎng)的地址, 先用0代替.
# ftp proxy, 為 active 方式的FTP使用, 稍后再作介紹. 請(qǐng)注意, proxy的設(shè)置一定要在portmap之前.
#map tun0 192.168.0.0/24 -> 0/32 proxy port ftp ftp/tcp
# IKE proxy, 為ESP (Encapsulating Security Protocol) 使用
# map tun0 192.168.0.0/24 -> 0/32 proxy port 500 ipsec/udp
# RealAudio proxy, 只可用于PNM模式, RealPlayer G2已經(jīng)使用RTSP.
#map tun0 192.168.0.0/24 -> 0/32 proxy port 7070 raudio/tcp
# 允許內(nèi)部的UDP/TCP包通過,并且允許外網(wǎng)回應(yīng)包通過
# 到外網(wǎng)采用指定范圍的端口
# map tun0 192.168.0.0/24 -> 0/32 portmap tcp/udp 40000:60000
# 到外網(wǎng)由系統(tǒng)自動(dòng)分配端口
map tun0 192.168.0.0/24 -> 0/32 portmap tcp/udp auto
# 允許內(nèi)部ICMP通過,并且允許回應(yīng)包通過
map tun0 192.168.0.0/24 -> 0/32
# 允許net2phone, 將呼入的呼叫轉(zhuǎn)到指定機(jī)器
# rdr tun0 0/0 port 6801 -> 192.168.0.4 port 6801 udp
# 允許squid
# rdr dc0 0/0 port 80 -> 127.0.0.1 port 3128 tcp
/etc/sysctl.conf
net.inet.ip.forwarding=1
net.inet.ip.sourceroute=0
net.ip.accept_sourceroute=0
# To definding against sequence number attacks
# based on rfc 1948 by randomize initial sequence number
net.inet.tcp.strict_rfc1948=1
# To verisy that an incoming packet arrives on an interface
# that has an address matching the packets destination address
net.inet.ip.check_interface=1
# To Drop SYN packets destine to non-listening tcp/upd port.
# This will create a blackhole and protect against stealth port scans
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
# Increase TCP Windows size for increase in network performance
# Ref: http://www.psc.edu/networking/perf_tune.html
net.inet.tcp.recvspace=65535
net.inet.tcp.sendspace=65535
DNS
修改文件 /etc/resolv.conf, 增加一條
nameserver DNS_SERVER_IP
如果內(nèi)網(wǎng)有DNS Server, 應(yīng)指向該服務(wù)器. 如果gateway本身為DNS Server, 為127.0.0.1, 必須配置named.conf. 一般最簡(jiǎn)單的配置就是指向ISP的DNS Server.
客戶機(jī)設(shè)置
將客戶機(jī)的Gateway 和 DNS Server都設(shè)置為Gateway機(jī)器的地址 192.168.0.1
系統(tǒng)測(cè)試
Gateway修改完配置后需要啟動(dòng). 命令 shutdown -r now
客戶機(jī)Windows XP不需重啟, Windows 98要重啟.
啟動(dòng)步驟
1. 連接internet, 命令ppp -dedicated <XXXXX >
2. 同步防火墻. 我們?cè)谠O(shè)置規(guī)則的時(shí)候并不知道網(wǎng)絡(luò)地址, 只有連接成功后才知道確切的地址, 命令ipf
-y可以使ipfilter更新地址, 之后ipfilter就會(huì)使用tun0的具體地址. 每次重新連接pppoe后, 都需要進(jìn)行同步.
Gatewat測(cè)試
1. 測(cè)試內(nèi)網(wǎng), ping 192.168.0.4看是否正常.
2. 測(cè)試internet. 運(yùn)行ifconfig -a
察看tun0的地址及其對(duì)應(yīng)的gateway/router的地址, 假如為a.b.c.d. ping a.b.c.d看是否正常.
3. 測(cè)試DNS是否正常, 運(yùn)行nslookup yahoo.com.cn, 看是否正常.
4. 測(cè)試網(wǎng)絡(luò), 運(yùn)行traceroute yahoo.com.cn, 看是否正常. 我的機(jī)器沒裝Xwindow, 因此無(wú)法使用瀏覽器進(jìn)行測(cè)試.
5. 其它有用的測(cè)試命令,
ipfstat -hio 顯示規(guī)則被“擊中”的情況.
ipfstat -t 顯示防火墻的連接狀態(tài).
ipnat -l 顯示NAT的狀態(tài).
netstat -r 顯示路由表.
netstat -i
顯示網(wǎng)絡(luò)的情況, 如果有錯(cuò)誤或有大量的沖突包, 應(yīng)該設(shè)法解決.
vmstat 顯示系統(tǒng)內(nèi)存的狀態(tài), 如果資源不足, 應(yīng)增加資源或減少一些服務(wù).
客戶機(jī)測(cè)試
1. ping 192.168.0.1看是否正常.
2. tracert a.b.c.d看是否正常. BSD/Linux用traceroute命令, 若不正常, 是防火墻或NAT的問題.
3. nslookup yahoo.com.cn看是否正常. 若不正常, 是DNS設(shè)置的問題.
4. ping yahoo.com.cn看是否正常.
5. 瀏覽器上網(wǎng), 看是否正常.(注意�,瀏覽器不應(yīng)設(shè)置proxy)
經(jīng)過測(cè)試, 證明Windows XP使用如下工具工作正常.
* 瀏覽器: IE6, Netscape 4.72, Netscape 6
* Email: Outlook Express, 含 hotmail 和 pop3 郵件的收發(fā).
* MSN, 含數(shù)據(jù)和語(yǔ)音通話.
安全測(cè)試
請(qǐng)參照
target=_blank>http://www.cert.org/security-improvement/practices/p060.html
href="http://web.ranum.com/pubs/fwtest/">http://web.ranum.com/pubs/fwtest/
相關(guān)話題
RealPlayer的問題
系統(tǒng)完成后, 發(fā)現(xiàn)RealPlayer在防火墻后無(wú)法聽音樂, 總是不停地buffering, 直到timeout.
這是因?yàn)槟J(rèn)方式下, RealPlayer8 使用了UDP Port 6970-7170接收數(shù)據(jù), 該數(shù)據(jù)被我們的防火墻無(wú)情的擋住了,
由于NAT的存在, 簡(jiǎn)單地允許這樣的數(shù)據(jù)包也無(wú)法保證Client工作正常.
ipfilter 提供了一個(gè)proxy給我們, 規(guī)則為上面已經(jīng)列出來(lái)了, 但是有關(guān)資料顯示該proxy只支持古老的 PNM RealAudio方式, RealPlayer G2已經(jīng)使用 RTSP 方式. 該proxy并不支持.
好在RealPlayer提供與防火墻兼容的模式, 可以設(shè)置為只使用TCP Port
7070, 7071, 554 三個(gè)端口連接Server, 與我們的防火墻正好吻合. 在防火墻工作正常后, RealPlayer 8 的設(shè)置方法是:
* 啟動(dòng)RealPlayer
* 選擇菜單 View -> Perferences -> Transport
* 選擇Auto-Configure, RealPlayer可以自動(dòng)為你設(shè)置為TCP
Only的方式. 也可以手工設(shè)置, 去除UDP的方式, 只用TCP的方式.
其他版本的設(shè)置方法, 請(qǐng)參照
target=_blank>http://service.real.com/firewall/adminfw.html
QQ的問題
網(wǎng)上有關(guān)QQ問題談得很多, 我使用的是MSN,
因才對(duì)QQ不是很了解, 只能做一下簡(jiǎn)單的分析. 理論上講, 通過服務(wù)器轉(zhuǎn)發(fā)或向外發(fā)送一般是沒有什么問題的, 問題一般出現(xiàn)在無(wú)法正常收到對(duì)方以UDP方式發(fā)送的消息,
該消息無(wú)法通過我們的防火墻.
不過這種說(shuō)法對(duì)防火墻來(lái)講不公平, 增加一條規(guī)則允許該UDP的包通過非常簡(jiǎn)單. 問題實(shí)際是在NAT上, 我們使用了192.168.0.0/16這樣的內(nèi)部地址. 當(dāng)QQ向服務(wù)器注冊(cè)時(shí), 實(shí)際使用的是Gateway的地址, 但是如果內(nèi)部有多個(gè)人使用QQ,
服務(wù)器也會(huì)把這些QQ號(hào)碼連接到這個(gè)IP上, 其他用戶根據(jù)服務(wù)器提供的地址從外部發(fā)送UDP包到了Gateway,
Gateway就不知道應(yīng)該把消息轉(zhuǎn)發(fā)給誰(shuí). 因此這并不是一個(gè)簡(jiǎn)單的允許數(shù)據(jù)包通過的問題. 與此相同的問題還有netmeeting. 解決的方法, 一是允許用戶全部通過服務(wù)器轉(zhuǎn)發(fā), 防火墻能夠很好地處理這樣的問題. 我相信MSN就是這么做的. 但這需要QQ
service provider的合作, 而且對(duì)他們的服務(wù)器會(huì)有更高的要求. 另一種方法是類似ftp client的解決方式, 在Gateway上增加proxy. 我沒有QQ的資料, 不能妄下結(jié)論.
FTP的問題
FTP協(xié)議
這是一個(gè)由于FTP協(xié)議所造成的問題, 讓我們先看一下FTP協(xié)議.
FTP一般需要使用兩個(gè)端口, 端口21只是一個(gè)命令端口, 真正傳送數(shù)據(jù)的時(shí)候, 還需要另外一個(gè)數(shù)據(jù)端口. 問題就出現(xiàn)在第二個(gè)數(shù)據(jù)端口上.
打開這個(gè)數(shù)據(jù)端口的時(shí)候有兩種方式, 一種是passive(PASV command)方式, 由FTP Server端提供一個(gè)連接的IP/Port, FTP
Client連接到這個(gè)IP/Port上進(jìn)行數(shù)據(jù)傳輸. 另一種是active(PORT command)方式, 由FTP Client提供IP/Port,
再由FTP Server回叫至Client提供的地址. 具體采用哪一種方式, 是由FTP
Client決定的, Client通過PASV或PORT命令通知Server采用什么方式. 正是這樣的握手方式, 給Server端和Client端都造成了麻煩. 這個(gè)問題的具體描述詳見
target=_blank>http://www.daemonnews.org/200109/ftpnat.html
FTP Server
Server端一般不希望使用passive方式, 這種方式要求防火墻動(dòng)態(tài)地打開PASV的端口.
而active方式對(duì)于Server的防火墻沒有什么特殊的要求. 但是FTP
Server是不能選擇的, 除非聲明不支持passive方式. 一般的解決方法是, 在防火墻上固定地打開一些端口, 如 15001-19999, 每次通信, FTP
Server軟件可以從這些端口中選擇一個(gè)作為PASV的端口通知FTP Client. 如果你的FTP
Server不支持指定passive端口范圍, 你應(yīng)該考慮更換FTP Server了. 這種方式防火墻需要增加規(guī)則
pass in quick on tun0 proto tcp from any to 0/32 port 15000>< 20000
flags S keep state keep frags
FTP Client
根據(jù)上面的協(xié)議規(guī)則, 如果FTP Client采用passive方式, 對(duì)于防火墻來(lái)講沒有什么特殊的要求, 我們可以把問題留給FTP Server.
好消息是,一般的FTP Client軟件都支持passive方式, 我使用的網(wǎng)絡(luò)螞蟻(netant), 網(wǎng)際快車(FlashGet)默認(rèn)方式都是passive,
WS_FTP是可以設(shè)置的, 這樣防火墻就不需要特殊處理了. Unix下需要設(shè)置
FTP_PASSIVE_MODE=yes; export FTP_PASSIVE_MODE
壞消息是, 瀏覽器的FTP使用的是active方式, 而且好像還不能更改. 不過現(xiàn)在直接使用瀏覽器FTP的人已經(jīng)是很少了
------ 我從來(lái)就不用瀏覽器下載.
還有, 有一些FTP站點(diǎn), 不支持passive方式. 我曾經(jīng)訪問過一些私人的FTP站點(diǎn), 就無(wú)法使用passive下載, 也許是他們?cè)谠O(shè)計(jì)防火墻的時(shí)候沒有考慮吧.
支持active模式可以通過在NAT上增加proxy解決的. Linux通過增加ip_conntrack_ftp解決, ipnat已經(jīng)完成了這一功能, 我們只需要增加一條規(guī)則就可以了.
那就是我前面ipnat.conf中的第一條規(guī)則. 該proxy可以還提供反向FTP代理, 用于FTP Server. 可惜的是, 這樣有可能造成安全隱患�,詳見
target=_blank>http://www.false.net/ipfilter/2001_11/0273.html.
我曾經(jīng)與其他一些ipfilter的使用者討論過這個(gè)問題, 一般認(rèn)為, 如果gateway兼做對(duì)外的FTP Server, 需要對(duì)外提供FTP服務(wù)的話, 最好還是不要開放這一proxy, 內(nèi)部用戶只允許使用passive方式.
如果僅僅是做一個(gè)對(duì)外的代理服務(wù)器, 即FTP只對(duì)內(nèi)部機(jī)器開放, 開放這一proxy應(yīng)該是安全的. |
|
免費(fèi)注冊(cè)
發(fā)表于 2005-11-08 12:17
發(fā)表于 2005-11-08 13:06
