Solaris 10 IP Filter技術詳解

Solaris 10 IP Filter技術詳解 Solaris 10整合了許許多多的開源軟體，IP Filter就是其中之一，該軟體包直接替換了原來SUN screen 防火牆軟體包。IP Filter軟體包其功能也完全替代sun screen，功能包括狀態性包過濾和網路位址轉譯（NAT），同樣提供非狀態包過濾以及建立和管理位址集區的能力。 包過濾是防止基於網路攻擊最直接有效保護方法，Solaris IP Filter可以根據不同需求，可通過IP地址、連接埠、協議、網卡對網路包載入過濾功能。Solaris IP Filter也可以通過私人的源IP地址和目標IP地址 ，或者一個IP位址範圍，再或者一個IP池來進行網路包的過濾。就是說其定製的策略是非常靈活的。 Solaris IP Filter設定檔介紹Solaris IP Filter軟體包提供防火牆和網路位址轉譯(NAT)兩種功能，而起配置資訊都可以使用相應的設定檔來提供。Solaris IP Filter設定檔都放在/etc/ipf目錄下，包括ipf.conf，ipf.nat以及ippool.conf等檔案。這些檔案在系統boot過程中被自動讀取，只要這些檔案存放在/etc/ipf目錄下。 Solaris IP Filter包過濾特徵介紹通過使用包過濾規則集可以十分輕鬆設定防火牆功能，命令ipf是用來配合這些規則集進行功能設定。這些規則集既可以使用命令列進行設定，也可以使用編寫設定檔的方法來進行設定。/etc/ipf/ipf.conf設定檔裡面放置了所有包過濾規則集，在系統boot過程中被ipfilter服務所讀取。如果ipf.conf檔案不放在/etc/ipf/目錄下，這些規則集就不會被讀取，但是可以在啟動完成後，使用命令來動態讀取。Solaris IP Filter同時維護著兩份規則集，一個為啟用使用的（在kernel中），一個為非啟用的規則集。IP Filter在進行包過濾的時候是從規則集的開始一直到最後一行進行處理，並設定著一個標誌，根據這個標誌，IP Filter決定是否轉寄或者攔截網路包。以上從頭到尾的遍曆處理方式有兩個例外情況，一個是規則中含有quick關鍵字，另外一個就是含有group關鍵字。如果規則中含有quick關鍵字，規則合規處理就為處理完所在規則行後，將不再往下讀取其他規則了。如果規則中含有group關鍵字，那麼只有帶有group標誌的網路包才被處理。 Solaris IP Filter文法通解在/etc/ipf/ipf.conf檔案中每一行的文法都如以下所示來描述一個規則：action [in|out] option keyword, keyword...1.       action  每個規則必須使用的開始部分這些action為其後規則被匹配時所採用的動作，具體如下：block                  阻止網路包pass                     允許網路報文通過log                        記錄所有被通過和阻止的網路包，使用ipmon命令查看count                 統計計算網路報文數，使用ipfstat查看統計資訊skip number      過濾處理時跳過規則的個數auth                     通過使用者程式驗證網路報資訊，需要進行包授權請求preauth             過濾器查看預授權表請求，決定網路包如何處理2.       action後面必須為in或者outin為進來的網路包，out是出去的網路包3.       第三部分為規則的一些選項如果以下選項都被使用的話，必須按順序寫入規則集log             最後一個規則被匹配時，網路包將被記錄quick                    如果網路包被匹配時的規則行包含quick選項，將按該規則處理，後面的規則不在被讀取on interface-name            只有進出指定網卡的網路包才能適用該規則dup-to interface-name      在指定網卡上，拷貝包然後發送拷貝的包到指定的IP上to interface-name              將網路包在改網卡上順序移動4.       第四部分為網路包的匹配原則tos              根據服務類型進行包過濾，為一個十六進位或者十進位的整型數來表達ttl                根據包的存活值time-to-live進行匹配，該值存放在資料包頭上proto        根據指定的協議來匹配，可以使用任何在/etc/protocols檔案中命名的協議，比如tcp/udp用來匹配TCP或者UDP資料包       from/to/all/any           匹配以下任何一個或者全部資料包：源IP地址、目標IP地址以及連接埠號碼with             匹配與指定屬性相關聯的資料包，如果插入not或者no，是為了只                     有選項沒有表達情況才匹配flags            用於TCP資料包，基於TCP 標誌位被設定的情況icmp-type  根據ICMP類型進行過濾keep keep-options      檢測被保留的資料包的相關資訊，keep-optons 包含在state選項                                        中才有效head number               為過濾規則建立一個新的組，用number數字來標註group number             增加一規則用組數number來替代預設的組設定檔的編寫，以及規則樣本後面章節將加以詳細介紹。Solaris IP Filter網路位址轉譯NAT特徵介紹網路位址轉譯NAT是一組映射規則的設定，它擔負著將源IP地址和目標IP地址映射成其他的IP地址或者INTERNET網路地址。這些規則修改資料包裡的源IP地址和目標IP地址，使得這些資料包能夠發送到正確的地址上去。NAT也可以將資料包從一個連接埠發送到另一個連接埠上。 可以使用ipnat命令來維護制定NAT的列表，也可以使用設定檔來維護和制定此列表，這些列表都可以寫在ipnat.conf檔案裡面。跟IP Filter包過濾設定檔一樣，如果需要在boot的時候讀取調用的話，就將ipnat.conf檔案放置在/etc/ipf目錄下，如果不需要這樣，就可以放在任意指定的目錄中，使用命令讀取。配置NAT列表按以下的文法進行編製：command interface-name parameters1.       每個規則必須以以下關鍵字開始map            一個IP地址或者網路映射到另一個IP地址或者網路rdr                從一個IP地址和連接埠的配對重新導向到另一個IP地址和連接埠配對bimap        在外部IP地址和內部IP地址之間建立一個雙向的NATmap-block 建立靜態IP地址翻譯2.       第二部就是網卡的名字3.       第三部是以下一些參數ipmask       指明網路遮罩dstipmask 指明ipmask翻譯到網路的地址mapport     指定TCP，udp，或者TCP/UDP連接埠，或者一個連接埠號碼範圍Solaris IP Filter IP位址集區特徵介紹IP位址集區建立了一個參考標準，用來命名一個地址/連接埠配對組，這樣帶來的好處就是大大減小了用規則來匹配IP的時間，提高了處理效率。 IP位址集區配置規則放置在ippool.conf檔案中，和前面的FILTER和NAT一樣，如果需要在引導系統就load進kernel的話，就將該檔案放在/etc/ipf/目錄下。配置IP位址集區配置IP位址集區可以使用以下文法：table role = role-name type = storage-format number = reference-numbertable         為多個地址定義了一個參考表role           指定這個池在Solaris IP Filter中的角色type            指定池的儲存格式number    指定一個參考數被過濾過濾規則使用使用pfil STREAMS模組啟用IP Filter啟用Solaris IP Filter必須使用到pfil STREAMS模組，Solaris IP Filter不提供自動機制來為每個介面（比如網卡）調用模組，其替代方法就是pfil STRAMS模組使用SMF svc:/network/pfil機制來管理。為網卡啟用網路包過濾功能，需要為網卡配置pfil.ap設定檔並啟用svc:/network/pfil，這樣pfil STRAMS模組就能為每個網卡服務了。enable 該模組，必須用以下兩種方法來實現，一個是reboot系統，另外一個就是將所涉及的網卡 unplumb，在plumb起來，手動設定網口。 Solaris IP Filter配置指南1.         Enable IP FilterSolaris IP Filter軟體在solaris 10版本及以後版本已經整合，預設情況下是不啟用這個服務的，以下為開啟該服務的步驟：a．  使用IP Filter角色使用者登陸系統或者直接使用root使用者b．  建立Filter規則設定檔/etc/ipf/ipf.confc．  Enable系統的Filter功能svcadm enable network/ipfilter以下步驟是完成指定網卡設定的Filter功能a．    建立關於網卡的檔案pfil.ap這個檔案包含了需要包過濾的網卡，只要寫入該網卡的名字即可例如：bge -1 0 pfilb．    重啟進程以讀取該檔案內容scvadm restart network/pfilc．    啟用對網卡包過濾的規則策略的另種方法l  # sync;sync;sync; init 6系統l  # ifconfig bge0 unplumb;# ifconfig bge0 plumb 192.168.0.199/24 up手工停啟用網卡，配置網路IP等2.         Re-Enable IP filter修改了設定檔後必須是的進程重新讀取檔案內容，才能使得新修訂的包過濾規則生效：#ipf –D停止Filter#ipf –E 啟用Filter#ipf –f /etc/ipf/ipf.conf重新讀取ipf.conf檔案內容Solaris IP Filter設定檔內容樣本以下內容為配置內容詳解，主要為制定一些包過濾規則策略提供參考：1.       預設情況下記錄所有的進出網卡nxge0的資料包pass in log on nxge0 allpass out log on nxge0 all 2.       阻止，但是不記錄進入其他保留地址的資料包block in quick on nxgel0 from 10.0.0.0/8 to anyblock in quick on nxgel0 from 172.16.0.0/12 to any其中quick選項，在讀取設定檔時，只要資料包匹配了該行規則，就不再讀取後續的規則行3.       阻止並記錄不可信任內部IP的所有資料包，192.168.100.100/32為運行IP filter的機器block in log quick from 192.168.0.15 to 192.168.100.100/324.       阻止並記錄X11（port 600）協議所有資料包，以及RPC和portmapper（port 111），192.168.100.100/32為運行IP filter的機器block in log quick on nxge0 proto tcp from any to 192.168.100.100/32 port = 6000 keep stateblock in log quick on nxge0 proto tcp/udp from any to192.168.100.100/32 port = 111 keep state 5.       靈活運用quick樣本pass in quick on nxgel0 from 192.168.0.101/32 to anypass out quick on nxgel0 from 192.168.0.101/32 to anypass in quick on nxgel0 from 192.168.0.200/32 to anypass out quick on nxgel0 from 192.168.0.200/32 to anyblock in quick on nxgel0 from 192.168.0.0/24 to anyblock out quick on nxgel0 from 192.168.0.0/24 to any該例子阻止了192.168.0.0網段所有進出的資料包，但是該網段192.168.0.101和192.168.0.200兩台主機所有的資料包還是能夠正常發送和接受的。這是quick靈活運用的例子，quick表示在規則被匹配後，後續的規則不再讀取，這樣就能屏蔽掉後面的包含該規則的其他行。