Linux环境下用iptable实现动态防火墙

Linux环境下用iptable实现动态防火墙

　　防火墙是一个非常重要的网络安全工具，但是如果在需要对防火墙规则进行快速、复杂的动态修改时你该如何实现呢？如果你使用本文介绍的Daniel Robbins 的动态防火墙脚本，这将是一件非常容易的工作。你可以利用这些脚本来增强你网络的安全性和对网络攻击的实时响应性，并基于该脚本进行自己的创造性设计。

　　理解动态防火墙的脚本能够带来的益处的最好方法就是看它们在实际中的应用。假设我是一个某个ISP的系统管理员，我最近架设了一个基于Linux的防火墙来保护我的客户和内部系统，防止外部恶意用户的攻击。为了实现该系统我使用了新版Linux2.4内核的iptables工具来实现，防火墙允许客户和内部服务器向Internet建立连接，也允许从Internet向内部系统的公共服务如web服务器、ftp服务器等建立新的连接。由于这里我使用了默认拒绝任何服务，只开放允许的服务的策略，因此从Internet到非公共服务如squid的代理服务、samba服务的连接是被拒绝的。目前我已经有了一个功能完备的、满足安全需求的防火墙系统，其能对ISP的所有用户提供很好的保护。

　　刚刚开始的一个星期防火墙工作情况良好，但是随后一些糟糕的事情发生了。Bob-一个攻击者对我的网络进行了攻击，它采用了使用垃圾数据报淹没我的ISP网络的方法来对我的客户进行Dos攻击。不幸的是Bob 已经对我的防火墙进行了仔细的研究，知道虽然我对内部服务进行了保护但是25端口和80端口都是开放的以收发Emai和开放www服务。Bob决定对我的 Email和WWW服务器进行Dos的攻击。

　　Bob开始攻击的1-2分钟以后我发现我的线路出现严重的拥塞情况。通过tcpdump察看我发现这是Bob进行的一次攻击。并且我得到了它的攻击源地址。现在我就需要阻止这些IP地址对我的公共服务器的连接。下面我就讨论一种简单方便的解决方案。

　　阻止攻击

　　我马上采取行动，加载我的防火墙启动脚本并使用vi对 iptables 规则进行编辑，来阻塞这些Bob发出的恶意攻击数据的源地址的数据报。大约一分钟以后我找到了在防火墙启动脚本中添加新的DROP规则的位置，我马上添加了新的规则并重新启动了防火墙。很快防火墙发挥了作用，Bob的攻击得到了遏制。现在看起来我成功的击溃了Bob的攻击，可是不久网络值班电话又响了起来，原来是客户发现网络不可用而打过来的投诉电话。可是更加糟糕的是几分钟以后我注意到我的Internet连接线路又开始出现严重阻塞。我仔细察看原来是Bob使用了新的IP地址进行攻击行动。我只好不得不再次修改防火墙启动脚本来阻止它的攻击。我就这样一直在Bob的屁股后面疲于奔命。

　　问题出在哪里呢？虽然我建立了功能完备的、满足安全需求的防火墙系统并且快速的发现了网络出现问题的原因，但是我却不能在第一时间内对我的防火墙规则进行调整来响应Bob的攻击。当网络被攻击时，被动慌乱地快速对攻击做出防范反应，对防火墙规则配置脚本进行修改不但是压力巨大，而且效率低下。

　　ipdrop

　　如果能创建一个特殊的"ipdrop"脚本，其被设计为能方便地插入一个规则来阻塞指定的IP，那么将上面的工作将非常容易。通过该脚本阻塞某个IP将是非常容易的工作，只需要几秒钟就可以实现。而且通过该脚本还可以防止手工加入规则时容易出现的错误。因此阻塞Bob的攻击将变为确定其攻击源地址。然后通过如下命令：

　　# ipdrop 129.24.8.1 on

　　IP 129.24.8.1 drop on.

　　ipdrop脚本将立即阻塞129.24.8.1。通过使用该脚本能显著地提高你的防卫能力。下面就是ipdrop脚本的实现：

　　The ipdrop bash script

　　#!/bin/bash

　　source /usr/local/share/dynfw.sh

　　args 2 $# "${0} IPADDR {on/off}" "Drops packets to/from IPADDR. Good for obnoxious networks/hosts/DoS"

　　if [ "$2" == "on" ]

　　then

　　#rules will be appended or inserted as normal

　　APPEND="-A"

　　INSERT="-I"

　　rec_check ipdrop $1 "$1 already blocked" on

　　record ipdrop $1

　　elif [ "$2" == "off" ]

　　then

　　#rules will be deleted instead

　　APPEND="-D"

　　INSERT="-D"

　　rec_check ipdrop $1 "$1 not currently blocked" off

　　unrecord ipdrop $1

　　else

　　echo "Error: "off" or "on" expected as second argument"

　　exit 1

　　fi

　　#block outside IP address that's causing problems

　　#attacker's incoming TCP connections will take a minute or so to time out,

　　#reducing DoS effectiveness.

　　iptables $INSERT INPUT -s $1 -j DROP

　　iptables $INSERT OUTPUT -d $1 -j DROP

　　iptables $INSERT FORWARD -d $1 -j DROP

　　iptables $INSERT FORWARD -s $1 -j DROP

　　echo "IP ${1} drop ${2}."

　　ipdrop:解释

　　从上面的脚本源代码中最后四行加粗的内容可以看到实际的命令是在防火墙表中插入适当的规则。可以看到$INSERT变量的值取决于在命令行参数中是使用"on"还是"off"模式。当iptables行被执行时特定的规则将被适当的插入或删除。

1 2 下一页