51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

IP Filter:小巧的UNIX数据包过滤器

作者:佚名
安全
IP Filter是一款软件包,可以实现网络地址转换(network address translation)(NAT)或者防火墙服务的功能。它可以作为UNIX的一个核心模块,也可以不嵌入核心,强烈推荐将其作为UNIX的核心模块。

IP Filter是一款软件包,可以实现网络地址转换(network address translation)(NAT)或者防火墙服务的功能。它可以作为UNIX的一个核心模块,也可以不嵌入核心,强烈推荐将其作为UNIX的核心模块。安装和为系统文件打补丁要使用脚本。IP Filter内置于FreeBSD、NetBSD和Solaris中。OpenBSD可以使用Openbsd PF,Linux用户可以使用Netfilter。

下载链接:http://down.51cto.com/data/160078

>>去网络安全工具百宝箱看看其它安全工具

安装步骤:本文安装版本:3.4.17

将下载的IP-Filter的源码文件ip-fil3.4.17.tar.gz放到/tmp目录下,执行

  1. gzip -d ip-fil3.4.17.tar.gz  
  2. tar –xvf ip-fil3.4.17.tar  
  3. cd ip_fil3.4.17  
  4. make sunos5 

对下载的源码包进行编译。当IP Filter编译成功之后,安装过程使用的是solaris常用的打包的方式进行的,它会在/var/spool/pkg目录下创建相应的package文件。

在安装目录下输入make solaris来编译所有需要的二进制文件,注意不能使用GNU make来编译。

进入到安装目录的SunOS5目录下,执行make package命令,此命令会在SunOS5/<arch>/root目录下创建一个名为“ipf.pkg”的打包文件,同时自动启动pkgadd进程,如果通过手动启动打包进程则需键入:pkgadd -d ipf.pkg来进行。

安装结束后会将IP Filter安装到/opt/ipf目录下,同时在/etc/opt/ipf创建一个名为“ipf.conf”的过滤配置文件,初始时该文件为空的。

IP Filter的启动方式是通过运行/etc/init.d/ipfboot来启动的,执行ipfboot start启动IP Filter。

建立IP Filter的配置文件,/opt/ipf/bin/mkfilters可以产生基本的配置文件。产生方法是通过执行下面的命令:

  1. #/opt/ipf/bin/mkfilters > /etc/opt/ipf/ipf.conf 

每次添加或修改ipf.conf文件后都需要重新启动一遍ipfboot,来重新读入配置文件,具体方法如下:/etc/init.d/ipfboot reload。

IP-Filter的典型配置:

分为两个部分进行介绍,***部分是IP-Filter防火墙的基本规则策略配置;第二部分为IP-Filter防火墙的高级规则策略配置。注意:以下所有的配置语句都可以添加到/etc/opt/ipf/ipf.conf文件中,但是需要重新启动一遍ipfboot来使配置生效。

IP-Filter对规则的处理是采用自顶向下的方式,在IP-Filter中如果关键字quick被添加到任何一条规则中,可以加快该规则的匹配速度。#p#

IP-Filter防火墙的基本规则策略配置:

基于IP地址的基本过滤方式:

  1. block in quick from 192.168.0.0/24 to any  
  2. pass in all 

应用此规则将阻止来自于192.168.0.0网段的所有包的进入,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。

基于IP地址和防火墙接口的基本过滤方式:

  1. block in quick on hme0 from 192.168.0.0/24 to any  
  2. block in quick on hme0 from 172.16.0.0/16 to any  
  3. pass in all 

应用此规则将阻止通过hme0口来自于192.168.0.0和172.16.0.0网段的所有包的进入,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。

使用“out”关键字对出包进行过滤:

  1. pass out quick on hme0 from 192.168.0.0/24 to any  
  2. block out quick on hme0 from any to any 

应用此规则将使所有从192.168.0.0网段来的包通过防火墙出去,但是所有从其他网段来的包将被阻断在防火墙内,不允许出去。

使用“log”关键字对包的过滤情况进行记录:

  1. block in quick on hme0 from 192.168.0.0/24 to any  
  2. block in log quick on hme0 from 172.16.0.0/16 to any  
  3. pass in all 

应用此规则后将阻止通过hme0口来自于192.168.0.0和172.16.0.0网段的所有包的进入,同时对172.16.0.0网段的所有包的过滤情况进行记录,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。

基于IP地址和防火墙接口的完全双向过滤方式:

  1. block out quick on hme0 from any to 192.168.0.0/24  
  2. block out quick on hme0 from any to 172.16.0.0/16  
  3. block in quick on hme0 from 192.168.0.0/24 to any  
  4. block in quick on hme0 from 172.16.0.0/16 to any  
  5. pass in all 

应用此规则后将阻止通过hme0口来自于192.168.0.0和172.16.0.0网段的所有包的进入和外出,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。#p#

使用“proto”关键字来控制一些需特别指定的协议:

  1. block in log quick on hme0 proto icmp from any to 192.168.0.40/32 

应用此规则后阻止任何ping到192.168.0.40的icmp包。

过滤ICMP包使用“icmp-type”关键字,合并规则集。

  1. pass in quick on hme0 proto icmp from any to 192.168.0.0/24 icmp-type 0  
  2. pass in quick on hme0 proto icmp from any to 192.168.0.0/24 icmp-type 11  
  3. block in log quick on hme0 proto icmp from any to any 

应用此规则后将只允许ICMP协议的类型0和11(type0&type11)的包通过hme0口进入到防火墙内,同时阻止任何想通过hme0口进入的ICMP协议,并将匹配此规则的包记入日志中。

使用“port”关键字对TCP和UDP的端口进行过滤:

  1. block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513 
  2. block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 8080 
  3. block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 23 
  4. pass in all 

应用此规则后将阻止从192.168.0.0网段通过8080和23端口对防火墙内的数据通信,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。

IP-Filter防火墙的高级规则策略配置:

使用“keep state”关键字建立默许规则

  1. block in quick on hme0 all  
  2. pass out quick on hme0 proto tcp from 20.20.20.1/32 to any keep state 

应用此规则将首先阻止从hme0口进入的数据包,通过使用规则组(Rule Groups)来增强防火墙的性能

可以通过增加更多更复杂的规则来扩展防火墙的性能,以下的示例将会修改接口名称和网络号,假设此防火墙有三个接口,分别为xl0、xl1、xl2。#p#

xl0连接的外网20.20.20.0/26;

xl1连接的为DMZ区20.20.20.0/26;

xl2连接的为受保护网段20.20.20.128/25。

应用于此防火墙的规则如下:

  1. block in quick on xl0 all head 1  
  2. block in quick on xl0 from 192.168.0.0/16 to any group 1  
  3. block in quick on xl0 from 172.16.0.0/12 to any group 1  
  4. block in quick on xl0 from 10.0.0.0/8 to any group 1  
  5. block in quick on xl0 from 127.0.0.0/8 to any group 1  
  6. block in quick on xl0 from 0.0.0.0/8 to any group 1  
  7. block in quick on xl0 from 169.254.0.0/16 to any group 1  
  8. block in quick on xl0 from 192.0.2.0/24 to any group 1  
  9. block in quick on xl0 from 204.152.64.0/23 to any group 1  
  10. block in quick on xl0 from 224.0.0.0/3 to any group 1  
  11. block in log quick on xl0 from 20.20.20.0/24 to any group 1  
  12. block in log quick on xl0 from any to 20.20.20.0/32 group 1  
  13. block in log quick on xl0 from any to 20.20.20.63/32 group 1  
  14. block in log quick on xl0 from any to 20.20.20.64/32 group 1  
  15. block in log quick on xl0 from any to 20.20.20.127/32 group 1  
  16. block in log quick on xl0 from any to 20.20.20.128/32 group 1  
  17. block in log quick on xl0 from any to 20.20.20.255/32 group 1  
  18. pass in on xl0 all group 1  
  19. pass out on xl0 all  
  20. block out quick on xl1 all head 10  
  21. pass out quick on xl1 proto tcp from any to 20.20.20.64/26 port = 80 flags S keep state group 10  
  22. pass out quick on xl1 proto tcp from any to 20.20.20.64/26 port = 21 flags S keep state group 10  
  23. pass out quick on xl1 proto tcp from any to 20.20.20.64/26 port = 20 flags S keep state group 10  
  24. pass out quick on xl1 proto tcp from any to 20.20.20.65/32 port = 53 flags S keep state group 10  
  25. pass out quick on xl1 proto udp from any to 20.20.20.65/32 port = 53 keep state group 10  
  26. pass out quick on xl1 proto tcp from any to 20.20.20.66/32 port = 53 flags S keep state  
  27. pass out quick on xl1 proto udp from any to 20.20.20.66/32 port = 53 keep state group 10  
  28. pass in quick on xl1 proto tcp/udp from 20.20.20.64/26 to any keep state  
  29. block out on xl2 all  
  30. pass in quick on xl2 proto tcp/udp from 20.20.20.128/25 to any keep state 

应用此规则之后会使防火墙完成如下的功能:

在xl0口上阻止从192.168.0.0/16、172.16.0.0/12、10.0.0.0/8、127.0.0.0/8、0.0.0.0/8、169.254.0.0/16 、192.0.2.0/24、204.152.64.0/231、224.0.0.0/3、20.20.20.0/24、20.20.20.0/32、20.20.20.63/32 、20.20.20.64/32 、20.20.20.127/32、20.20.20.128/32、20.20.20.255/32、等网段的数据包的进入,同时此规则的编写是通过将这些规则绑定成为一个组的方式来进行的。同时对所有从Xl0口通过的外出包不作限制。

在DMZ区的20.20.20.64/26网段内的机器允许其使用www及ftp服务,对于IP地址为20.20.20.65/32机器允许其对外提供DNS服务。

对于内网安全区则应用了更为严格的安全规则,只允许20.20.20.128/25网段的机器对内网进行访问,同时阻止所有其他网段的机器对内网的访问。#p#

关于NAT在IP-Filter上的应用

首先需要打开Solaris的ip_forwarding开关,通过输入命令:

  1. #ndd -get /dev/tcp ip_forwarding 

可以查询ip_forwarding是否处于打开的状态。如果为0,则表示ip_forwarding处于关闭状态,可以输入:

  1. #ndd -set /dev/tcp ip_forwarding 1 

来打开它。

以下为NAT的规则示例:

  1. map hme0 192.168.100.0/24 ->0/32 proxy port ftp ftp/tcp  
  2. map hme0 192.168.100.0/24 ->0/32 portmap tcp/udp 10000:40000  
  3. map hme0 192.168.100.0/24 ->0/32 

应用以上规则后可以实现如下功能:

***条规则允许内网的所有主机通过hme0口的FTP访问Internet。

第二条规则映射了高端端口10000到40000,允许一些网络服务通过这一段端口范围进行访问。

***一条规则映射了一些通用的TCP流量可以进出网络。

对于在IP-Filter上应用NAT规则,可以使用ipnat命令进行启动,此时NAT规则可以被存储于任何文件中,但是典型情况下规则文件还是被存储于/etc/ipnat.rules;

/usr/local/etc/ipnat.rules;/etc/opt/ipf/ipnat.rules,中,可以使用-r参数将已经添加到规则集中的NAT规则去除掉。对于NAT规则集的检测通过-l参数执行。最简便的装载NAT规则的方法是:

  1. #ipnat -CF -f /etc/ipnat.rules 

#p#

对IP-Filter的监视和调试:

ipfstat工具的属性及使用:

ipfstat会显示你防火墙所过滤的数据的列表,诸如:有多少包通过防火墙的过滤、有多少包被阻塞、是否启用了日志功能等等。下面是ipfstat的运行后所输出的信息:

  1. # ipfstat  
  2. input packets: blocked 99286 passed 1255609 nomatch 14686 counted 0  
  3. output packets: blocked 4200 passed 1284345 nomatch 14687 counted 0  
  4. input packets logged: blocked 99286 passed 0  
  5. output packets logged: blocked 0 passed 0  
  6. packets logged: input 0 output 0  
  7. log failures: input 3898 output 0  
  8. fragment state(in): kept 0 lost 0  
  9. fragment state(out): kept 0 lost 0  
  10. packet state(in): kept 169364 lost 0  
  11. packet state(out): kept 431395 lost 0  
  12. ICMP replies: 0 TCP RSTs sent: 0  
  13. Result cache hits(in): 1215208 (out): 1098963  
  14. IN Pullups succeeded: 2 failed: 0  
  15. OUT Pullups succeeded: 0 failed: 0  
  16. Fastroute successes: 0 failures: 0  
  17. TCP cksum fails(in): 0 (out): 0  
  18. Packet log flags set: (0)  
  19. none 

可以使用-I和-o参数来显示目前所装载的输入和输出规则。

Ipmon工具的属性及应用:

Ipmon是一个收集系统快照的一个工具,ipmon可以直接观看通过规则中的“log”关键字所生成的包的日志。此工具既可以运行于前台又可以以日志deamon的方式运行可以使用下面的命令启动ipmon:

  1. # ipmon -o S  
  2. 01/08/1999 15:58:57.836053 STATE:NEW 100.100.100.1,53 -> 20.20.20.15,53 PR udp  
  3. 01/08/1999 15:58:58.030815 STATE:NEW 20.20.20.15,123 -> 128.167.1.69,123 PR udp  
  4. 01/08/1999 15:59:18.032174 STATE:NEW 20.20.20.15,123 -> 128.173.14.71,123 PR udp  
  5. 01/08/1999 15:59:24.570107 STATE:EXPIRE 100.100.100.1,53 -> 20.20.20.15,53 PR udp Pkts 4 Bytes 356  
  6. 01/08/1999 16:03:51.754867 STATE:NEW 20.20.20.13,1019 -> 100.100.100.10,22 PR tcp  
  7. 01/08/1999 16:04:03.070127 STATE:EXPIRE 20.20.20.13,1019 -> 100.100.100.10,22 PR tcp Pkts 63 Bytes 4604 

对Solaris内核参数的一些调整:

Ip转发部分:

  1. #ndd -set /dev/ip ip_forwarding 1 

端口调整部分:

  1. #ndd -set /dev/tcp tcp_smallest_anon_port 25000  
  2. #ndd -set /dev/tcp tcp_largest_anon_port 65535   

其它一些有用的参数:

  1. #ndd -set /dev/ip ip_forward_directed_broadcasts 0  
  2. #ndd -set /dev/ip ip_forward_src_routed 0  
  3. #ndd -set /dev/ip ip_respond_to_echo_broadcast 0 

 

责任编辑:佟健 来源: ChinaUnix
IP FilterUnix数据包过滤器
相关推荐
Openbsd PF:OpenBSD数据包过滤器
象其它平台上的Netfilter和IPFilter一样,OpenBSD用户最爱用PF,这就是他们的防火墙工具。它的功能有网络地址转换、管理TCPIP通讯、提供带宽控制和数据包分级控制。

2010-12-27 13:14:15

Openbsd PFOpenBSD数据包过滤
Java中Filter过滤器详解
Filter也称之为过滤器,它是Servlet技术中最实用的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp,Servlet,静态图片文件或静态html文件等进行拦截,从而实现一些特殊的功能。

2016-12-07 09:56:13

JavaFilter过滤器
Redis 布隆(Bloom Filter过滤器原理与实战
布隆过滤器(BloomFilter)是由BurtonHowardBloom于1970年提出,它是一种spaceefficient的概率型数据结构,用于判断一个元素是否在集合中。

2022-03-21 08:31:07

布隆过滤器Redis过滤器原理
浅析Servlet过滤器
Servlet过滤器和Servlet很类似,注意的是它有拦截客户端请求的用法,Servlet过滤器可以改变请求中的内容,满足实际开发的需要。

2021-07-05 15:22:03

Servlet过滤器客户端
什么是布隆过滤器?如何实现布隆过滤器
以下我们介绍了什么是布隆过滤器?它的使用场景和执行流程,以及在Redis中它的使用,那么问题来了,在日常开发中,也就是在Java开发中,我们又将如何操作布隆过滤器呢?

2024-01-05 09:04:35

隆过滤器数据结构哈希函数
学习J2EEFilter结构与建立过滤器
Filter是J2EE中提供的一种特殊的Servlet,意为过滤器。本文讲述了Filter的结构,以及如何在Web程序中建立过滤器。

2009-06-22 11:28:00

Filter结构建立过滤器
过滤器Filter和拦截器Interceptor联系和区别
本文将对拦截器Interceptor进行简单讲解,并通过几个例子对它们的差异进行简要分析。

2022-01-13 10:04:21

拦截器Interceptor过滤器
Hibernate过滤器高级应用
Hibernate过滤器的优势就在于可以随时在程序中关闭或打开,也就是说过滤器是可编程的,而且过滤器被定义在Hibernate的映射文件中,这样将非常容易维护。

2009-06-18 10:13:00

Hibernate过滤
图解布隆过滤器和布谷鸟过滤器实现原理
我们元数据通过两个哈希函数函数之后得到2和7两个值,然后将2和7这个两个值对应的bit位上的值设置为1,这样我们就将元数据存放到布隆过滤器上。

2024-11-04 08:45:48

布隆过滤器元数据指纹值
创建Servlet过滤器向导
本文介绍创建Servlet过滤器的向导,包括指定过滤器的路径匹配模式,添加统一的标题或脚注等。

2009-07-08 17:33:37

Servlet过滤器
Servlet过滤器配置详解
本文介绍配置Servlet过滤器的过程,以及介绍过滤器通过web.xml文件中的两个XML标签来声明。

2009-07-08 16:07:04

Servlet过滤器配
Swing模型过滤器概述
本文介绍Swing模型过滤器,模型过滤是这样一种技术,它在Swing组件体系结构中提供附加的功能与灵活性。

2009-07-14 09:09:08

Swing模型过滤器
Servlet过滤器是什么
本文介绍Servlet过滤器是什么,包括Servlet过滤器中结合了许多元素,以及介绍Servlet过滤器体系结构。

2009-07-08 15:30:56

Servlet过滤器
分析Hibernate设置过滤器
这里介绍Hibernate设置过滤器映射,因为过滤器不能过滤全部的程序,所以可以用列表的形式来增加需要过滤的文件。

2009-09-29 13:55:23

Hibernate设置
详解 Qt 事件过滤器
本文介绍的是Qt事件过滤器,对于Qt事件过滤器有很详细的讲解,先来看内容。

2011-06-29 16:14:59

Qt 事件 过滤器
在Wireshark中过滤数据包
数据包过滤可让你专注于你感兴趣的确定数据集。如你所见,Wireshark默认会抓取所有数据包。这可能会妨碍你寻找具体的数据。Wireshark提供了两个功能强大的过滤工具,让你简单而无痛地获得精确的数据。

2017-08-22 11:30:15

LinuxWireshark过滤数据包
路由器数据包过滤介绍
数据包是TCPIP协议通信传输中的数据单位,局域网中传输的不是“帧”吗?

2013-01-21 15:11:39

路由器数据包路由技术
Apache Flume之正则过滤器
在当今的大数据世界中,应用程序产生大量的电子数据–这些巨大的电子数据存储库包含了有价值的、宝贵的信息。对于人类分析师或领域专家,很难做出有趣的发现或寻找可以帮助决策过程的模式。我们需要自动化的流程来有效地利用庞大的,信息丰富的数据进行规划和投资决策。在处理数据之前,收集数据,聚合和转换数据是绝对必要的,并最终将数据移动到那些使用...

2017-07-18 14:10:31

大数据Apache Flum过滤器
Hibernate过滤器使用窍门
Hibernate过滤器(filter)是全局有效的、具有名字、可以带参数的过滤器,对于某个特定的Hibernatesession您可以选择是否启用(或禁用)某个过滤器。

2009-09-25 15:19:44

Hibernate过滤
Spring Cloud内置Zuul过滤器详解
我是51CTO学院讲师周立,在51CTO学院“4.20IT充电节”(4月1920日)到来之际,和大家分享一下《SpringCloud内置的Zuul过滤器应用》的经验。

2017-04-12 14:43:01

Spring ClouZuul过滤器
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服