一、前言
如今很多企事业单位拥有自己的LAN,介入互联网的方案比较流行的方案是选用如图1-1的拓扑结构来构建网络。防火墙服务器充当过滤和转发数据报的中 间代理,专用服务器安置在防火墙后面避免受到攻击。这类防火墙有硬件和软件之分,对于一个普通小型局域网来说,软件防火墙已经可以满足需求,而软件防火墙 领域几乎是IPfw和IP Filter的天下,它们的功能非常强大,安装也非常容易,考验防火墙管理员的主要是如何配置防火墙的rules,现在在网上可以很容易地找到如何配置 rules的文献,但是很少有介绍其工作机理的资料,本文将以一个基于IP Filter防火墙的实际案例来分析这些rules的工作机理,并将其运用到实际案例中解决特殊的需求问题。
图1-1 常用的拓扑结构
二、案例需求
本文所举案例为一实验室的局域网的防火墙配置。该实验室局域网拥有30台客户机,它们通过3个HUB连接在一起,通过一台安装有FreeBSD的服务 器用IPFW共享一个固定IP连接Internet,该服务器除了充当局域网的防火墙之外,在其上面还运行了几乎所有FreeBSD能够提供的大众化服 务,如WEB、TOMCAT、JAVA、FTP、SMABA、MAIL、DNS、TELNET等(详情请参考cnfug期刊第八期的《用FreeBSD构 建家庭网络世界》和第九期的《基于FreeBSD操作系统的安全电子邮件系统架设》),随着使用人数的增多,该服务器慢慢有些不堪重负,经常可以看到在后 台运行的NATD服务占用了约50%的CPU时间,尤其是TOMCAT服务启动并调用JDK之后占用的内存高达106M之巨,在高峰期客户端的上网速度有 明显变慢。为了缓解服务器的压力,我采用了前面介绍的现今比较流行的方案,把防火墙和专用服务器的功能分开,防火墙采用了由cnfug开发的基于 FreeBSD的Floppy Firewall系统。如此,一来可以节约硬件成本,因为所有配件下来不到150元;二来可以方便日后的维护,因为一旦配置好防火墙之后,再也不怕断电等 会导致硬盘版操作系统数据丢失的意外事故,也方便系统的备份(仅仅备份一张软盘镜像而已);三来可以对在防火墙后的专用服务器提供一道安全屏障,这点是显 而易见的,虽然对于我们来说网络安全并不是太重要。
这套由cnfug开发的软盘版的FreeBSD防火墙使用的是4.9版本的FreeBSD,防火墙使用的是IP FilterV3.4.20,改造后的网络的整体拓扑结构如图2-1所示。
图2-1 网络物理拓扑图
本案例的需求主要有四点:
1、 子网192.168.0.0/24中的所有电脑可以借助网关(防火墙)192.168.0.1透明地访问互联网。
(注:192.168.0.0/24这种格式在IP Filter 的rules中大量使用,其中/24=3×8表示三个字节的子网掩码255.255.255.0,掩盖一个C类网段,在这里表示IP地址前三段等于 192.168.0的所有电脑。同理,/16表示一个B类网,/32唯一标识一台主机。)
2、 外网的客户机可以透明地可以访问IP地址为192.168.0.251的多功能服务器(Web、Email、Ftp服务)和IP地址为192.168.0.2的文件兼打印服务器。
3、 内网客户机可以和外网客户机一样通过访问外网IP202.115.65.225来访问内网的web、email等服务器。
4、 内网的客户机可以访问远程的Ftp服务器同时外网的客户端也可访问内网的Ftp服务器。(由于Ftp协议的特殊性在此专门提出) 从图2-1看到,防火墙的两块8139网卡rl1和rl0分别连接Internet和局域网的交换机,外网卡IP地址为202.115.65.225内网卡IP地址为192.168.0.1。由于内核中IPf的缺省设置为block all,即过滤所有的包,在该情况下,防火墙的两块网卡不能和外界有任何数据交换,ping任何地址都提示“ping:sendto: no route to host”,所以必须人工配置IPf规则,如下命令可完成让所有数据报自由进出防火墙的两块网卡:
#cat << end > ipf.conf //红色的字表示是系统提示符
>pass in all //允许任何包从任何网卡进
>pass out all //允许任何包从任何网卡出
>end //保存
#ipf –f ipf.conf //执行ipf.conf文件中的过滤规则
#sysctl –w net.inet.ip.forwarding =1 //打开内核的ip转发
现在防火墙没有任何过滤规则,可以允许所有的数据报自由进出自己的两块网卡,但是它还不知道如何把到达其上的数据报转发,下面我将详细介绍怎么让它按照我们的需求转发数据报,这也是本文的重点所在。(注:本文主要目的是介绍IP filter防火墙软件对数据报转发机理,也就是路由功能,对于如何对数据报进行过滤不是本文的内容,请参考IPf的相关文献。)
三、IP Filter NAT机理分析
IP Filter的功能主要包括过滤和路由两部分,所以该防火墙软件包有两个主要工具-IPf和IPnat。IPf可以实现数据报过滤,上一节就用到了IPf命令来使pass in/our all过滤规则生效, 路由功能则由IPnat来实现,IPnat命令用来读取并执行用户设定的路由规则。
3.1 用map指令来共享IP地址
为了让192.168.0.0/24(24=3×8即三个字节的子网)的电脑可以共享一个外网IP来访问互联网,用一条最基本的两条rules就可以实现,如下所示:
map rl1 192.168.0.0/24 -> 202.115.65.225/32 portmap tcp/udp 10000:39999
map rl1 192.168.0.0/24 -> 202.115.65.225/32
这两条rules从字面上很好解释,即在网卡rl1上把192.168.0.*(/24表示3字节的子网掩码,标识一个C类网段的所有IP地址)网段 的所有IP地址和IP地址202.115.65.225(/32表示4字节的子网掩码,唯一标识一个IP地址)进行单向映射,portmap的用处是告诉 防火墙把内网客户机的端口进行临时存储时的映射范围为10000-39999,具体原理在下面将详述。
图3-1 内网用户访问外网WEB服务器的映射过程
从图3-1中,内网中IP地址为192.168.0.3的PC客户机欲访问外网的IP地址为202.108.249.134的web服务器,连接过程如下:
①建立连接阶段(SYN第一次握手):客户机先建立一个随机的TCP端口1413准备和web服务器的80端口连接,但由于它们不在同一个网段,所以 请求连接的SYN数据报被发送到了和客户机在同一个网段的网关服务器,在这里网关服务器就是我们的防火墙兼路由器,所以数据报在数据链路层会先发送至我们 的防火墙的内网卡,从下面捕获的数据报中可以看到,数据报的以太帧的目的地址是网关的MAC地址。网关即防火墙收到该数据报之后解开IP报取出目的IP地 址,发现目的地址是外网IP所以在内部就转发到外网卡rl1,rl1会按照IPnat设置的转发规则,把在192.168.0.*发来的数据报接受下来, 然后改变IP头中的源地址为它的IP地址(202.115.65.225),map指令会把内部客户端的IP和端口号暂时保存在一个临时路由表中以便接受 到返回的数据报时可以正确地交付给客户端,客户机的端口号并不是直接保存起来,而是防火墙先在portmap的范围内找到一个端口和其一一对应起来保存, 前面的设置portmap的范围为10000:39999的原因主要是因为这个范围的端口一般不会被防火墙上本身自己的监听端口相同,如果端口冲突的话会 导致严重问题,这种暂存功能在防火墙过滤中也经常被使用,Ipf规则中的keep state就是用来在屏蔽外网数据进入的状态下把内网的请求端口号临时保存到一张路由表中以便返回数据报可以顺利被接收。
图3-2 嗅探器捕获的内网访问外网web服务器的数据报
②对方确认阶段(SNY ACK第二次握手):外网WEB服务器接收到了以202.115.65.225为源地址的连接请求,所以它会自动发会一个SYN连接请求并捎带一个ACK 确认数据报,这个数据报将被防火墙外网卡rl1接收,防火墙收到后分析IP包的端口号并从临时路由表中计算出该数据报应该转发到哪一个客户机,当然在我们 的例子中它会把该数据报发还给192.168.0.3的客户机,正如图3-2②所示。
③连接的最后确认(ACK 第三次握手):内网客户机收到WEB服务器的ACK+SYN数据报
后认为连接已经成功了,然后发送最后一个确认数据报给对方,防火墙对该数据报的处理步骤同①。
④发送HTTP连接请求:客户机发送的第一个携带HTTP数据的包从这里开始,第一个数据报是HTTP连接请求。
⑤WEB服务器回复数据报:WEB服务器顺利接收到HTTP请求马上给予回复的数据报,数据报如果标号是200则表示HTTP连接正常,接下来就可以把对方请求的WEB页传给客户机。
完成了上面的5个过程,一个对用户透明的HTTP连接就建立了起来,对于客户端的用户来说,好像是直接连接到WEB服务器上去的,这都有赖于IPnat的功劳。
3.2用rdr指令实现NAT转换
为了让外网的客户机可以通过IP 202.115.65.225访问到位于内网中的web、mail、Ftp服务器,IPnat的rule相应的设置为:
rdr rl1 202.115.65.225/32 port 80 -> 192.168.0.221 port 80
rdr rl1 202.115.65.225/32 port 21 -> 192.168.0.251 port 21
rdr rl1 202.115.65.225/32 port 25 -> 192.168.0.251 port 25
rdr rl1 202.115.65.225/32 port 110 -> 192.168.0.251 port 110
这条规则从字面上也很好解释,rdr是rewrites destination addresses的意思,其功能是把防火墙上接收到的数据报改变目的地址(转发)到另外的一台或多台主机上,上面的指令可以解释为,把rl1(外网卡) 上接收到的数据报按照指定的端口转发到指定的位于内网的服务器上,80、21、25、110分别代表web、Ftp、smtp和pop3服务,所以这四条 指令会把外网对防火墙的web、Ftp和mail请求转发到IP为192.168.0.251内网服务器上,下面以web服务为例来分析其工作流程。
如图3-3所示,IP地址为202.115.65.38的客户端欲用IP地址202.115.65.225访问位于局域网内部的IP地址为192.168.0.221的WEB服务器,连接过程如下:
图3-3 外网客户访问内网WEB服务器的过程
图3-4 从外网客户机上捕获的数据报
①发起连接阶段(SYN):客户机202.115.65.38建立临时端口1123发起对202.115.65.225的80(http)端口的连接 请求。该连接请求被传送到了防火墙的外网卡rl1上,按照前面设置的IPnat的规则,防火墙会把在rl1上对80端口的请求数据报要改变其目的地址为 192.168.0.221后转发给目的主机。
②服务器确认阶段(SYN ACK第二次握手):对于位于内网的web服务器来说,虽然它收到的HTTP连接请求是防火墙转发给它的,但是转发过程没有改动IP数据包的头信息,仅仅 改动了数据链路层的地址信息,所以它以为请求是直接从202.115.65.38上发出的,因此它会立刻给202.115.65.38发确认数据报,这个 过程其实等于202.115.65.38是外网服务器,192.168.0.221是内网客户端,数据报的转发过程和我们上一节讨论的map机制完全一 样,数据报会透明地被转发到202.115.65.38,只不过数据报的源IP地址被防火墙改为了202.115.65.225,如果没有设置前面的 map规则,数据包将无法回送,连接会失败告终。从图3-4的第2步我们可以清晰看到外网客户端接收到了返回的确认数据报。
③连接的最后确认(ACK 第三次握手):外网客户端回送确认数据报给内网web服务器,这个过程和第一步类似不再详述。
④-⑤是HTTP连接建立,和上一节类似。
3.3用bimap指令实现NAT转换
bimap指令可以说是map指令的增强版,map实现的是单向映向,而bimap能够实现双向的同时映向,它其实实现了rdr+map的功能,其主 要应用到你想把所有的外部请求都转换到内网的一台服务器上或几台运行相同服务的负载均衡服务器群上。比如上面提到的案例中的192.168.0.251是 一个身兼多职的综合服务器,设置如下bimap规则后对外部来说202.115.65.225就等同于192.168.0.251,对 202.115.65.225的web、mail、DNS、telnet等等访问会一股脑地发给192.168.0.251,用rdr来实现同样的效果则 必须每个服务作一个转换。
bimap rl1 192.168.0.251/32 -> 202.115.65.225/32
bimap rl1 202.115.65.225/32 -> 192.168.0.251/32
在我的试验中,上面两个规则都能达到同样的效果,这也充分的说明了该指令执行的是双向的映射。虽然bimap使用起来如此简单,但是bimap并没有 被广泛使用,原因非常简单,因为它只能把外部数据报转到内网的一台主机上(负载均衡服务器群组其实相当于一台服务器),如果想把web、Ftp、 email服务器分别让两台以上的主机充当用bimap将无法做到,所以rdr被广泛推崇和采纳。
由于前面已经比较详尽的分别分析了rdr和map的工作机理,对于bimap来说就是rdr和map的组合,所以本文将不做详细介绍。
四、案例需求的实现
4.1需求一的实现
案例的需求一是让子网192.168.0.0/24中的所有电脑可以借助网关192.168.0.1透明地访问互联网。这其实是IPnat的最基本的功能,上面的已经做了详尽的分析,rules设置如下:
map rl1 192.168.0.0/24 -> 202.115.65.225/32 portmap tcp/udp 10000:39999
map rl1 192.168.0.0/24 -> 202.115.65.225/32
4.2需求二的实现
案例需求二是要实现外网的客户机可以透明地可以访问IP地址为192.168.0.251的多功能服务器(Web、Email、Ftp服务)和IP地 址为192.168.0.2的文件兼打印服务器。这其实也是IPnat的基本功能,rules设置如下:
rdr rl1 202.115.65.225/32 port 80 192.168.0.251 port 80 \\web
rdr rl1 202.115.65.225/32 port 21 192.168.0.251 port 21 \\Ftp
rdr rl1 202.115.65.225/32 port 25 192.168.0.251 port 25 \\smtp
rdr rl1 202.115.65.225/32 port 110 192.168.0.251 port 110 \\pop3
rdr rl1 202.115.65.225/32 port 139 192.168.0.2 port 139 \\文件共享
4.3需求三的实现
案例需求三是要实现内网的用户可以以外网的地址访问内网的web、email等服务器,该需求不是非常的普遍,所以很难在现有的资料上找到rules 的配置方法。该需求从表面上来看和需求二很相似,但是它们有一个本质的区别,那就是需求二的请求数据报的传给的是外部网卡rl1,而本需求的请求是内网发 起的所以请求数据报会被内网卡rl0接收,所以用需求二设置的rules是不能够实现本需求的。
