IP Filter是一款软件包,可以实现网络地址转换(network address translation)(NAT)或者防火墙服务的功能。它可以作为UNIX的一个核心模块,也可以不嵌入核心,强烈推荐将其作为UNIX的核心模块。
IP Filter是一款软件包,能够完结网络地址转化(network address translation)(NAT)或许防火墙服务的功用。它能够作为UNIX的一个中心模块,也能够不嵌入中心,强烈推荐将其作为UNIX的中心模块。装置和为体系文件打补丁要运用脚本。IP Filter内置于FreeBSD、NetBSD和Solaris中。OpenBSD能够运用Openbsd PF,Linux用户能够运用NetFilter。
下载链接:http://down.51cto.com/data/160078
>>去网络安全东西百宝箱看看其它安全东西
装置进程:本文装置版别:3.4.17
将下载的IP-Filter的源码文件IP-fil3.4.17.tar.gz放到/tmp目录下,履行
- gzip-dip-fil3.4.17.tar.gz
- tar–xvfip-fil3.4.17.tar
- cdip_fil3.4.17
- makesunos5
对下载的源码包进行编译。当IP Filter编译成功之后,装置进程运用的是solaris常用的打包的办法进行的,它会在/var/spool/pkg目录下创立相应的package文件。
在装置目录下输入make solaris来编译一切需求的二进制文件,留意不能运用GNU make来编译。
进入到装置目录的SunOS5目录下,履行make package指令,此指令会在SunOS5/<arch>/root目录下创立一个名为“ipf.pkg”的打包文件,一起主动发动pkgadd进程,假如经过手动发动打包进程则需键入:pkgadd -d ipf.pkg来进行。
装置完毕后会将IP Filter装置到/opt/ipf目录下,一起在/etc/opt/ipf创立一个名为“ipf.conf”的过滤装备文件,初始时该文件为空的。
IP Filter的发动办法是经过运转/etc/init.d/ipfboot来发动的,履行ipfboot start发动IP Filter。
树立IP Filter的装备文件,/opt/ipf/bin/mkfilters能够发生根本的装备文件。发生办法是经过履行下面的指令:
- #/opt/ipf/bin/mkfilters>/etc/opt/ipf/ipf.conf
每次添加或修正ipf.conf文件后都需求从头发动一遍ipfboot,来从头读入装备文件,具体办法如下:/etc/init.d/ipfboot reload。
IP-Filter的典型装备:
分为两个部分进行介绍,***部分是IP-Filter防火墙的根本规矩战略装备;第二部分为IP-Filter防火墙的高档规矩战略装备。留意:以下一切的装备句子都能够添加到/etc/opt/ipf/ipf.conf文件中,可是需求从头发动一遍ipfboot来使装备收效。
IP-Filter对规矩的处理是选用自顶向下的办法,在IP-Filter中假如关键字quick被添加到任何一条规矩中,能够加速该规矩的匹配速度。#p#
IP-Filter防火墙的根本规矩战略装备:
根据IP地址的根本过滤办法:
- blockinquickfrom192.168.0.0/24toany
- passinall
运用此规矩将阻挠来自于192.168.0.0网段的一切包的进入,可是答应其他网段的包进入到防火墙,一起对出去的包不作任何约束。
根据IP地址和防火墙接口的根本过滤办法:
- blockinquickonhme0from192.168.0.0/24toany
- blockinquickonhme0from172.16.0.0/16toany
- passinall
运用此规矩将阻挠经过hme0口来自于192.168.0.0和172.16.0.0网段的一切包的进入,可是答应其他网段的包进入到防火墙,一起对出去的包不作任何约束。
运用“out”关键字对出包进行过滤:
- passoutquickonhme0from192.168.0.0/24toany
- blockoutquickonhme0fromanytoany
运用此规矩将使一切从192.168.0.0网段来的包经过防火墙出去,可是一切从其他网段来的包将被阻断在防火墙内,不答应出去。
运用“log”关键字对包的过滤状况进行记载:
- blockinquickonhme0from192.168.0.0/24toany
- blockinlogquickonhme0from172.16.0.0/16toany
- passinall
运用此规矩后将阻挠经过hme0口来自于192.168.0.0和172.16.0.0网段的一切包的进入,一起对172.16.0.0网段的一切包的过滤状况进行记载,可是答应其他网段的包进入到防火墙,一起对出去的包不作任何约束。
根据IP地址和防火墙接口的彻底双向过滤办法:
- blockoutquickonhme0fromanyto192.168.0.0/24
- blockoutquickonhme0fromanyto172.16.0.0/16
- blockinquickonhme0from192.168.0.0/24toany
- blockinquickonhme0from172.16.0.0/16toany
- passinall
运用此规矩后将阻挠经过hme0口来自于192.168.0.0和172.16.0.0网段的一切包的进入和外出,可是答应其他网段的包进入到防火墙,一起对出去的包不作任何约束。#p#
运用“proto”关键字来操控一些需特别指定的协议:
- blockinlogquickonhme0protoicmpfromanyto192.168.0.40/32
运用此规矩后阻挠任何ping到192.168.0.40的icmp包。
过滤ICMP包运用“icmp-type”关键字,兼并规矩集。
- passinquickonhme0protoicmpfromanyto192.168.0.0/24icmp-type0
- passinquickonhme0protoicmpfromanyto192.168.0.0/24icmp-type11
- blockinlogquickonhme0protoicmpfromanytoany
运用此规矩后将只答应ICMP协议的类型0和11(type0&type11)的包经过hme0口进入到防火墙内,一起阻挠任何想经过hme0口进入的ICMP协议,并将匹配此规矩的包记入日志中。
运用“port”关键字对TCP和UDP的端口进行过滤:
- blockinlogquickonhme0prototcpfromanyto192.168.0.0/24port=513
- blockinlogquickonhme0prototcpfromanyto192.168.0.0/24port=8080
- blockinlogquickonhme0prototcpfromanyto192.168.0.0/24port=23
- passinall
运用此规矩后将阻挠从192.168.0.0网段经过8080和23端口对防火墙内的数据通信,可是答应其他网段的包进入到防火墙,一起对出去的包不作任何约束。
IP-Filter防火墙的高档规矩战略装备:
运用“keep state”关键字树立默许规矩
0
- #/opt/ipf/bin/mkfilters>/etc/opt/ipf/ipf.conf
运用此规矩将首要阻挠从hme0口进入的数据包,经过运用规矩组(Rule Groups)来增强防火墙的功用
能够经过添加更多更杂乱的规矩来扩展防火墙的功用,以下的示例将会修正接口称号和网络号,假定此防火墙有三个接口,分别为xl0、xl1、xl2。#p#
xl0衔接的外网20.20.20.0/26;
xl1衔接的为DMZ区20.20.20.0/26;
xl2衔接的为受维护网段20.20.20.128/25。
运用于此防火墙的规矩如下:
1
- #/opt/ipf/bin/mkfilters>/etc/opt/ipf/ipf.conf
运用此规矩之后会使防火墙完结如下的功用:
在xl0口上阻挠从192.168.0.0/16、172.16.0.0/12、10.0.0.0/8、127.0.0.0/8、0.0.0.0/8、169.254.0.0/16 、192.0.2.0/24、204.152.64.0/231、224.0.0.0/3、20.20.20.0/24、20.20.20.0/32、20.20.20.63/32 、20.20.20.64/32 、20.20.20.127/32、20.20.20.128/32、20.20.20.255/32、等网段的数据包的进入,一起此规矩的编写是经过将这些规矩绑定成为一个组的办法来进行的。一起对一切从Xl0口经过的外出包不作约束。
在DMZ区的20.20.20.64/26网段内的机器答应其运用www及ftp服务,关于IP地址为20.20.20.65/32机器答应其对外供给DNS服务。
关于内网安全区则运用了更为严厉的安全规矩,只答应20.20.20.128/25网段的机器对内网进行拜访,一起阻挠一切其他网段的机器对内网的拜访。#p#
关于NAT在IP-Filter上的运用
首要需求翻开Solaris的ip_forwarding开关,经过输入指令:
2
- #/opt/ipf/bin/mkfilters>/etc/opt/ipf/ipf.conf
能够查询ip_forwarding是否处于翻开的状况。假如为0,则表明ip_forwarding处于封闭状况,能够输入:
3
- #/opt/ipf/bin/mkfilters>/etc/opt/ipf/ipf.conf
来翻开它。
以下为NAT的规矩示例:
4
- #/opt/ipf/bin/mkfilters>/etc/opt/ipf/ipf.conf
运用以上规矩后能够完结如下功用:
***条规矩答应内网的一切主机经过hme0口的FTP拜访Internet。
第二条规矩映射了高端端口10000到40000,答应一些网络服务经过这一段端口规模进行拜访。
***一条规矩映射了一些通用的TCP流量能够进出网络。
关于在IP-Filter上运用NAT规矩,能够运用ipnat指令进行发动,此刻NAT规矩能够被存储于任何文件中,可是典型状况下规矩文件仍是被存储于/etc/ipnat.rules;
/usr/local/etc/ipnat.rules;/etc/opt/ipf/ipnat.rules,中,能够运用-r参数将现已添加到规矩会集的NAT规矩去除去。关于NAT规矩集的检测经过-l参数履行。最简洁的装载NAT规矩的办法是:
5
- #/opt/ipf/bin/mkfilters>/etc/opt/ipf/ipf.conf
#p#
对IP-Filter的监督和调试:
ipfstat东西的特点及运用:
ipfstat会显现你防火墙所过滤的数据的列表,比如:有多少包经过防火墙的过滤、有多少包被堵塞、是否启用了日志功用等等。下面是ipfstat的运转后所输出的信息:
6
- #/opt/ipf/bin/mkfilters>/etc/opt/ipf/ipf.conf
能够运用-I和-o参数来显现目前所装载的输入和输出规矩。
Ipmon东西的特点及运用:
Ipmon是一个搜集体系快照的一个东西,ipmon能够直接观看经过规矩中的“log”关键字所生成的包的日志。此东西既能够运转于前台又能够以日志deamon的办法运转能够运用下面的指令发动ipmon:
7
- #/opt/ipf/bin/mkfilters>/etc/opt/ipf/ipf.conf
对Solaris内核参数的一些调整:
Ip转发部分:
8
- #/opt/ipf/bin/mkfilters>/etc/opt/ipf/ipf.conf
端口调整部分:
9
- #/opt/ipf/bin/mkfilters>/etc/opt/ipf/ipf.conf
其它一些有用的参数:
0
- blockinquickfrom192.168.0.0/24toany
- passinall
知优网 » IP Filter:细巧的UNIX数据包过滤器(unix filters)
