- 論壇徽章:
- 0
|
請教網(wǎng)絡(luò)及防火墻的簡單概念
原帖由 "i2era" 發(fā)表:
1��,F(xiàn)reeBSD的不用
2,對于192.168.0.0/24 網(wǎng)段��,其中192.168.0.0表示本網(wǎng)絡(luò)����,192.168.0.255表示廣播地址。
可能我解釋的不是很好���,我想你應(yīng)該去看看關(guān)于TCP/IP的簡單資料,
如CCNA中的相關(guān)部分就行
謝謝指教�����!
您能解釋一下下面這個文章里的gateway是干什么的嗎����?就算普及知識吧�!
==========================
發(fā)信人: aiwha (Iva.net), 信區(qū): FreeBSD
標 題: 利用 FreeBSD 組建安全的網(wǎng)關(guān)(zz)
發(fā)信站: BBS 水木清華站 (Tue Apr 16 15:04:04 2002)
http://www.freebsdchina.org/articles/001
作者:iceblood E-Mail: iceblood@163.com 寫作日期:2002-03-03
FreeBSD在網(wǎng)絡(luò)服務(wù)器的領(lǐng)域里占有一席之地,不管是在高端應(yīng)用�,還是小型企業(yè)里,使
用FreeBSD做服務(wù)器都是不錯的選擇����,但是如何才能建立一個安全的網(wǎng)絡(luò)呢���?
首先我們來做一個這樣的假設(shè),某公司有兩臺服務(wù)器�,需要建立一個以FreeBSD為平臺的
網(wǎng)關(guān)����,并且還能提供電子郵件、DNS�����、WEB等服務(wù)����,看起來好象這是一個很簡單的事情,然
而要建立一個安全性高的卻不簡單����,在此我將為大家介紹如何去做,首先我憑著自己對
FreeBSD的熟練程度��,做了
以下設(shè)計:
Internet
____|____
| |
| Gateway |
---------
|
____________|______________
___|____ ____|____
| | | |
| LAN | | WWW |
---------- ----------
以上是我為該公司設(shè)計的網(wǎng)絡(luò)結(jié)構(gòu)圖���,首先我們來分析一下這個圖��,由于Gateway是一個
與Internet直接連接的服務(wù)器��,糟受的攻擊自然也是最多的���,所以也是最危險了�����。而且由
于該服務(wù)器擔任著公司的網(wǎng)關(guān)����,該服務(wù)器只要一出問題����,也將影響到全公司。為了穩(wěn)定性
��、安全性����,我考慮該服
務(wù)器要跑的服務(wù)越少越好。服務(wù)越少���,那么漏洞出現(xiàn)的可能性也越少����。而WWW服務(wù)器由于
放在了Gateway里面,受Gateway的保護�����,所以一般來說遭受的攻擊比較少���,所以一般可以
滿足足夠多的服務(wù),但是這些服務(wù)怎么樣才能讓Internet上的人訪問呢�����?這就會在下面我
們詳細介紹了�����。
首先我們來安裝Gateway�,Gateway要使用的Internet的IP為x.x.x.x網(wǎng)卡為xl0,內(nèi)部IP為
192.168.0.1網(wǎng)卡為xl1,由于Gateway起到網(wǎng)關(guān)的作用���,所以為了安全性�,在該服務(wù)器上做
安全是非常重要的,F(xiàn)reeBSD有自帶了一個ipfirewall防火墻�����,既然有�����,我們當然要利用
上了�,首先編譯內(nèi)核:
cd /sys/i386/conf
cp GENERIC ./kernel_IPFW
用編輯器打開kernel_IPFW這個文本文件,在該文件里加入以下內(nèi)容:
options IPFIREWALL //通知操作系統(tǒng)的內(nèi)核檢查每個IP數(shù)據(jù)包���,將它們
與規(guī)則集進行比較
options IPDIVERT //啟用由ipfw divert使用的轉(zhuǎn)向IP套接字�。這一選
項需要與natd聯(lián)合使用�����。
options IPFIREWALL_VERBOSE //向系統(tǒng)的注冊程序發(fā)送注冊信息包�����。
options IPFIREWALL_VERBOSE_LIMIT=100 //限制一臺機器注冊的次數(shù)����。
options IPSTEALTH //啟動支持秘密轉(zhuǎn)發(fā)的代碼��,這一選項在使防火墻
不被traceroute和類似工具發(fā)現(xiàn)時很有用���。
options ACCEPT_FILTER_DATA
options ACCEPT_FILTER_HTTP //接受過濾器中的靜態(tài)連接
options ICMP_BANDLIM //ICMP_BANDLIM根據(jù)帶寬限制產(chǎn)生icmp錯誤。一
般情況下我們需要這個選項����,它有助于你的系統(tǒng)免受D.O.S.攻擊。
把以上參數(shù)加入以后保存kernel_IPFW文件�����。
make depend
cd ../../compile/kernel_IPFW
make
make install
(注意���。。����。���!請不要使用遠程方式來設(shè)置服務(wù)器���!為什么?等下你就能知道了。)
以上完成以后�����,你就可以重新啟動系統(tǒng)使用新的內(nèi)核了���。
使用新內(nèi)核以后����,如果該系統(tǒng)本來是連在網(wǎng)絡(luò)上的��,那么這時他的網(wǎng)絡(luò)部分已經(jīng)完全喪失
����,這表示系統(tǒng)新的內(nèi)核已經(jīng)起作用了,防火墻也起作用了����,但由于FreeBSD的防火墻默認
情況下是不允許任何機器訪問,所以該機器的任何網(wǎng)絡(luò)功能都暫時喪失�����。不過不要著急�����,
接著往下看,你就會覺
得非常有意思了�。
既然該服務(wù)器擔當是的網(wǎng)關(guān),那么讓網(wǎng)關(guān)啟動起來是必須的����。我們現(xiàn)在再:
cd /etc
用編譯器編譯rc.conf
加入如下參數(shù):
gateway_enable="YES" //啟動網(wǎng)關(guān)
##########IP-firewall#################
firewall_enable="YES" //激活firewall防火墻
firewall_script="/etc/rc.firewall" //firewall防火墻的默認腳本
firewall_type="/etc/ipfw.conf" //firewall自定義腳本
firewall_quiet="NO" //起用腳本時,是否顯示規(guī)則信息��,F(xiàn)在為“NO”假如你
的防火墻腳本已經(jīng)定型���,那么就可以把這里設(shè)置成“YES”了��。
firewall_logging_enable="YES" //啟用firewall的log記錄�����。
##########NATD#######################
natd_interface="xl0" //NATD服務(wù)啟用在哪塊網(wǎng)卡。
natd_enable="YES" //激活NATD服務(wù)
natd_flags="-config /etc/natd.conf" //NATD服務(wù)參數(shù)設(shè)置文件�����。
設(shè)置完成后我們再編譯/etc/syslog.conf文件��。
加入以下行:
!ipfw
*.* /var/log/ipfw.log
好了rc.conf文件設(shè)置完畢,然后就是其他文件了�����。
新建/etc/ipfw.conf 文件��,在文件里寫入以下內(nèi)容:
add 00400 divert natd ip from any to any via xl0 //natd服務(wù)啟動設(shè)置
add 00001 deny log ip from any to any ipopt rr
add 00002 deny log ip from any to any ipopt ts
add 00003 deny log ip from any to any ipopt ssrr
add 00004 deny log ip from any to any ipopt lsrr
add 00005 deny tcp from any to any in tcpflags syn,fin //這5行是過濾各種掃
描包
#######tcp#########
add 10000 allow tcp from xx.xx.xx.xx to x.x.x.x 22 in //向Internet的
xx.xx.xx.xx這個IP開放SSH服務(wù)��。也就是只信任這個IP的SSH登陸�����。
add 10001 allow tcp from any to x.x.x.x 80 in //向整個Internet開放HTTP服務(wù)
����。
add 10002 allow tcp from any to x.x.x.x 25 in //向整個Internet開放smtp服務(wù)
。
add 10003 allow tcp from any to x.x.x.x 110 in //向整個Internet開放pop3服務(wù)
�����。
add 19997 check-state
add 19998 allow tcp from any to any out keep-state setup
add 19999 allow tcp from any to any out //這三個組合起來是允許內(nèi)部網(wǎng)
絡(luò)訪問出去�����,如果想服務(wù)器自己不和Internet進行tcp連接出去��,可以把19997和19998去
掉。(不影響Internet對服務(wù)器的訪問)
######udp##########
add 20001 allow udp from any 53 to me in recv xl0 //允許其他DNS服務(wù)器的信
息進入該服務(wù)器�,因為自己要進行DNS解析嘛~
add 20002 allow udp from any to x.x.x.x 53 in recv xl0 //向整個Internet開放
DNS服務(wù)。
add 29999 allow udp from any to any out //允許自己的UDP包往外發(fā)送��。
######icmp#########
add 30000 allow icmp from any to any icmptypes 3
add 30001 allow icmp from any to any icmptypes 4
add 30002 allow icmp from any to any icmptypes 8 out
add 30003 allow icmp from any to any icmptypes 0 in
add 30004 allow icmp from any to any icmptypes 11 in //允許自己ping別人的服
務(wù)器�����。也允許內(nèi)部網(wǎng)絡(luò)用router命令進行路由跟蹤�����。
#######lan##########
add 40000 allow all from 192.168.0.0/16 to any
add 40001 allow all from any to 192.168.0.0/16 //允許內(nèi)部網(wǎng)絡(luò)訪問
Internet����。
好了,還有natd沒設(shè)置了���,我們再次添加/etc/natd.conf這個文件�,其內(nèi)容如下:
log yes //啟動natd的log記錄�。
redirect_port tcp 192.168.0.2:25 x.x.x.x:25 //把對服務(wù)器IP為x.x.x.x的smtp
訪問轉(zhuǎn)到192.168.0.2的25上去���。
redirect_port tcp 192.168.0.2:80 x.x.x.x:80 //把對服務(wù)器IP為x.x.x.x的http
訪問轉(zhuǎn)到192.168.0.2的80上去�。
redirect_port tcp 192.168.0.2:110 x.x.x.x:110 //把對服務(wù)器IP為x.x.x.x的
pop3訪問轉(zhuǎn)到192.168.0.2的110上去。
好了�����,natd也設(shè)置完了~重新啟動一下系統(tǒng)讓防火墻和natd生效���,現(xiàn)在就是該裝的服務(wù)沒
裝了���,雖然防火墻已經(jīng)讓這些服務(wù)通行。
我們現(xiàn)在在Gateway上安裝DNS服務(wù)�,我現(xiàn)在選擇的是bind
9.2.0,安裝過程不是我們的重點�,所以這里就不詳細介紹了,我這里只對bind的安全設(shè)
置做一個說明�����,假設(shè)bind的工作目錄是/etc/namedb現(xiàn)在我們對bind設(shè)置一下��,因為bind
的大多數(shù)版本都存在問題���,這個版本雖然目前沒有�����,但還是提防為好����,我在這里建議使用
chroot技術(shù)來增強bind的
安全,假設(shè)我們把chroot目錄設(shè)在/chroot����,我們做以下事情:
pw useradd bind -g 53 -u 53 -d /nologin -s /nologin
mkdir /chroot
mkdir /chroot/etc
mkdir /chroot/var
mkdir /chroot/var/run
cp -rp /etc/namedb /chroot/etc/namedb //建立bind的工作環(huán)境和目錄�����。
然后再運行
$PATH/sbin/named -t /chroot -u bind
這樣做了后運行ps -ax |grep
named會發(fā)現(xiàn)bind是以bind這個權(quán)限很底的身份運行����,我們到/chroot/var/run目錄下看,
會發(fā)現(xiàn)有named.pid這個文件�����,表示bind已經(jīng)很成功的被chroot在/chroot這個目錄里了��,
就算被“黑客”利用bind入侵了���,由于權(quán)限很底���,而且被限制在/chroot這個目錄里,并
且里面沒有任何的shell
����,不給“黑客”任何的破壞條件。所以說bind這時已經(jīng)相當安全了��。
到此整個Gateway服務(wù)器就已經(jīng)完全設(shè)置完畢�。
現(xiàn)在就是內(nèi)部服務(wù)器了,而內(nèi)部服務(wù)器受到Gateway以及防火墻的保護���,所以在安裝上沒
有多大的問題����,只要注意一下郵件服務(wù)軟件以及HTTP服務(wù)軟件是否有漏洞就行了��,比如不
要使用老版本的sendmail����,因為sendmail的每個版本都存在一定的安全問題,我這里建議
使用Qmail���,關(guān)于Qmail
的安裝可以下載我提供的Qmail安裝包http://www.linuxaid.com.cn/training/tips/show
tip.jsp?i=245 �,而在HTTP上就要注意不要使用帶漏洞的新聞發(fā)布系統(tǒng),論壇等��。
好了�,整個服務(wù)器都已經(jīng)安裝完了,以上本人已經(jīng)在兩臺FreeBSD 4.5的機器上測試通過
��。使用FreeBSD4.5的朋友們����,如果按以上方法去設(shè)置自己的服務(wù)器的話,基本能保證正常
工作����。
聲明:該文章由iceblood本人原創(chuàng),如有什么問題歡迎大家與我交流經(jīng)驗�,文章如要轉(zhuǎn)載
,請保持文章的完整性���,包括“聲名”部分����! |
|
免費注冊
發(fā)表于 2003-05-18 08:18
