iptables系列五

iptables系列之layer7

一块网卡多个IP，这张网卡上连接一个交换机，交换机上连接了多个不同网段的主机，如果设置网关，以及转发功能。不同网段主机可以通信。
地址是属于主机的，不属于网卡的。

内网：只是向公网请求，且是拒绝公网上任何主机的请求。利用网关防火墙就行源地址转换。
服务器：接受公网的请求，利用网关防火墙进行目的地址转换。 
注意：由于服务器是接受公网上任何主机进行响应的，故安全性低，所以就会有利用服务器当做跳板，进而去控制内网主机，已达到窃取数据的目的。

可以在网关防火墙上设置三张网卡，使内网主机和服务器隔离开来，即时服务器被攻陷，内网主机也不受影响。

DMZ：非军事化区
三宿主的主机 
           
内网客户端<------------>网卡1 
                         | ---|网卡3<------>  
服务器<---------------->网卡2
       DMZ          网关防火墙 
  内网                                           外网 

背靠背的模式：
 
    内网客户端<----->网卡2:内部防火墙:网卡1<-----------交换机--------->网卡2:外部防火墙:网卡1<————————>公网
                                                          |
                                                         \|/
                                                         服务器 

般通过ISA Server所设置的防火墙架构分为Edge Firewall（边缘防火墙）、3-Leg Perimeter Firewall（3向外围防火墙）、Back-to-Back Perimeter Firewall（背对背外围防火墙）与单一网络适配器（网卡）四种等。

DNS view 


内核编译：
2.6---->3.0 

单内核：模块化（文件系统，驱动，安全）
微内核：

编译内核：
 
 配置  .config (/proc/cpuinfo,lsusb,lspci,hal-device)
    make  menuconfig 
    make gconfig 
    make kconfig 
    make config
    make oldconfig  
    
    
 编译
     make 
      只编译部分源码 
     make SUBDIR=arch/
     make drivers/net/pcnet32.ko 
     make dir
     转存编译结果
      make o=/path/to/somdir     
 安装内核模块
    make modules_install 
 安装内核   
    make install 
    
    
make clean   清除以前的编译
make mrproper  

/boot  

busybox+kernel = linux 
      ulibc 

iptables :二，三，四
   string 
   
   过滤层次越高，消耗资源越多。
   
 p2p,qq,msn 
 netfilter:(打上补丁后)http,smtp,
 
 netfilter:框架,过滤是通过rules 
     /|\
 iptables：语法正确。
 
 注意：要对netfilter和iptables打补丁，进行匹配。
 
 uname -r  

 layer7 -- l7

应用：xunlei, qq, netfilter<--patch

-m layer7 --l7proto xunlei -j DROP

1、给内核打补丁，并重新编译内核
2、给iptables源码打补丁，并重新编译iptables
3、安装l7proto

kernel, patch

iptables, patch

Kernel Patch
# tar zxvf  linux-2.6.28.10.tar.gz  -C  /usr/src
# tar zxvf  netfilter-layer7-v2.22.tar.gz  -C  /usr/src
# cd /usr/src
# ln –s  linux-2.6.28.10  linux
# cd /usr/src/linux/
# patch -p1  <  ../netfilter-layer7-v2.22/kernel-2.6.25-2.6.28-layer7-2.22.patch 

# cp /boot/config-2.6.18-164.el5  /usr/src/linux/.config
# make  menuconfig


Networking support → Networking Options →Network packet filtering framework →Core Netfilter Configuration
<M>  Netfilter connection tracking support 
<M>  “layer7” match support
<M>  “string” match support
<M>  “time”  match support
<M>  “iprange”  match support
<M>  “connlimit”  match support
<M>  “state”  match support
<M>  “conntrack”  connection  match support
<M>  “mac”  address  match support
<M>   "multiport" Multiple port match support


Networking support → Networking Options →Network packet filtering framework → IP: Netfilter Configuration
<M> IPv4 connection tracking support (required for NAT)
<M>   Full NAT
    <M>     MASQUERADE target support                                                                                   
    <M>     NETMAP target support                                                                               
    <M>     REDIRECT target support 


# make 
# make modules_install
# make install


Compiles iptables :

# cp /etc/init.d/iptables ~/iptables
# cp /etc/sysconfig/iptables-config ~/
# rpm  -e  iptables-ipv6  iptables  iptstate  --nodeps
# tar jxvf iptables-1.4.6.tar.bz2 –C  /usr/src
# cd /usr/src/iptables-1.4.6
# cp ../netfilter-layer7-v2.22/iptables-1.4.3forward-for-kernel-2.6.20forward/libxt_layer7.*   ./extensions/


# ./configure  --prefix=/usr  --with-ksource=/usr/src/linux
# make
# make install

# tar zxvf l7-protocols-2009-05-28.tar.gz
# cd l7-protocols-2009-05-28
# make install

# mv ~/iptables  /etc/rc.d/init.d/

# service iptables start


l7-filter uses the standard iptables extension syntax 
# iptables [specify table & chain] -m layer7 --l7proto [protocol name] -j [action] 



linux-2.6.18 
iptables-1.4.6.tar.bz2 
l7-protocols-2009-05-28.tar.gz 
netfilter-layer7-v2.22.tar.bz2 

tar xvf linux-2.6.28.110.tzr.gz -C /usr/src 
tar xvf netfilter-layer7-v2.22 -C /usr/src 
cd /usr/src 
ln linux-2.6.28.10 linux 
cd linux 
patch -p1 < ../netfilter-layer7-v2.22 /kernel-2.6.25-2.6.28-layer7-2.22.patch 

cp /boot/config-2.6.18-308.el5  .config 
yum grouplist 

make menuconfig 

Networking support → Networking Options →Network packet filtering framework →Core Netfilter Configuration

make 
make install_modules
make install 

vim /etc/grub.conf 
 default=0 
 reboot 
 
 uname -r 
 
 ipt---->xt_
 
 编译iptables
 cp /etc/init.d/iptbales   ~/
 cp /etc/sysconfig/iptables-config ~/
 cp /etc/sysconfig/iptables ~/iptables.rules 
 
 servcie iptables stop 
 chkconfig iptables off 
 rpm -e iptables-ipv6 iptables iptables  --nedeps 
 
 cd /usr/src 
 tar xvf iptables-1.4.6.tar.gz
cd iptables 
ls 
cp ../netfilter-layer7-v2/iptables-1.1.4.3forward-for-kernel-2.6.20forward/libxt_layer7.* ./extensions/

./configure --prefix=/usr --with-ksource=/usr/src/linux 
make 
mkae install 

which iptables 
cp ~
vim iptables 
 /usr/sbin/
 cp iptables /etc/init.d/
 chkconfig --add  iptables 
 chkconfig iptables on 
chkconfig --list iptables 
cp iptables-config /etc/sysconfig/iptables
vim iptables.rules 
cp iptables.rules /etc/sysconfig/iptables 

service iptables start 

lsmod 

cd /usr/src 
tar I7-protocols-2009-05-28.tar.gz 
cd I7-protocols-2009-05-28
make install 

service iptables restart

l7-filter使用语法：

iptables  [specify tables & chain] -m layer7 --l7proto [protocol name] -j [action]

ls /etc/I7-protocols/protocols/


172.16.100.7
192.168.10.6 
iptables -t nat  -A POSTRUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.7 

iptables -t filter -A FORWARD -s 192.168.10.0/24 -m layer7 --l7proto qq -j DROP 

qq：udp 


iptables  
   -m time 
      --datestart   --datestop 
      --timestart    --timestop 

iptables -A FORWARD -s 192.168.10.0/24 -m tme --timestart 08:10:00 --timestop 12:00:00 -j DROP 
iptables -A FORWARD -s 192.168.10.0/24 -m time --tmiestart 14:30:00 --timestop 18:20:00 -j DROP 

service iptables save 

iptables-save >/etc/sysconfig/iptables.tus
iptables-restore < /etc/sysconfig/iptables.tus

iptables脚本：

#!/bin/bash 
#
ipt=/usr/sbin/iptables
einterface=eth1 
iinterface=eth0 

eip=172.16.100.7 
iip=192.168.10.6

$ipt -t nat -F 
$ipt -t filter -F 
$ipt -t mangle -F 

$ipt -N clean_up 
$ipt -A clean_up -d 255.255.255.255 -p icmp -j DROP 
$ipt -A claen_up -j REJECT 


pOST--->MBR(bootloader)--->Kernael(initrd)--->init(/etc/inittab)


1.设定默认级别
2.系统初始化脚本
3.运行指定级别      

IDS:
   nids:snort  + iptables =NIPS 
   hids:

xen,kum:iptables:虚拟 

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。
按入侵检测的手段、IDS的入侵检测模型可分为基于网络和基于主机两种。

在1998年，Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天，Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GNU General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。snort基于libpcap。
Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。
Snort能够对网络上的数据包进行抓包分析，但区别于其它嗅探器的是，它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包，进行各规则的分析后，根据规则链，可采取Activation（报警并启动另外一个动态规则链）、Dynamic（由其它的规则包调用）、Alert（报警），Pass（忽略），Log（不报警但记录网络流量）五种响应的机制。 
　　Snort有数据包嗅探，数据包分析，数据包检测，响应处理等多种功能，每个模块实现不同的功能，各模块都是用插件的方式和Snort相结合，功能扩展方便。例如，预处理插件的功能就是在规则匹配误用检测之前运行，完成TIP碎片重组，http解码，telnet解码等功能，处理插件完成检查协议各字段，关闭连接，攻击响应等功能，输出插件将得理后的各种情况以日志或警告的方式输出。