【正文】 來自我們自己 Inter IP 的任何東西，它們或者已建立連接或者與某些連接相關(guān)聯(lián)。在特殊條件下這些包被允許，但 99%的情況下我們不希望這些包通過。 INPUT 鏈 象我寫的 INPUT 鏈大多使用其他鏈來工作。 nat table的 PREROUTING 鏈 PREROUTING 鏈與它的字面意思一樣，在它們真正遇到將它們送到過濾表上不同的INPUT/FORWARD/OUTPUT 鏈的路由表之前過濾包。 我們現(xiàn)在還允許端口 2074，用于象 speak freely 一類的實(shí)時(shí)多媒體應(yīng)用。我們不希望這種行為，所以我們當(dāng)然允許 DNS。 現(xiàn)在 ,如果我們確實(shí)在 INPUT 鏈上獲得一個(gè) UDP 包 ,我們則將它繼續(xù)傳送到udpining_packets，在那用 p UDP 再為 UDP 協(xié)議做一個(gè)匹配，匹配了所有的源地址為 掩碼為 的東西，換句話說所有的東西又匹配了。 端口 80 是 HTTP，換句話說就是你的網(wǎng)絡(luò)服務(wù)器，如果你不想在你的站點(diǎn)上運(yùn)行一個(gè)網(wǎng)絡(luò)服務(wù)器就刪掉它。如果它有任何一條規(guī)則沒匹配，它將被傳回到發(fā)送它到 tcp_packets 鏈的鏈。一個(gè) tcp_packets 告訴 iptables 在哪個(gè)鏈中添加新規(guī)則，規(guī)則被添在鏈尾。 這是 ICMP 類的一個(gè)總列表： Table 1. ICMP types Type Code Description 0 0 Echo Reply 3 0 Network Unreachable 3 1 Host Unreachable 3 2 Protocol Unreachable 3 3 Port Unreachable 3 4 Fragmentation needed but no frag bit set 3 5 Source routing failed 3 6 Destination work unknown 3 7 Destination host unknown 3 8 Source host isolated (obsolete) 3 9 Destination work administratively prohibited 3 10 Destination host administratively prohibited 3 11 Network unreachable for TOS 3 12 Host unreachable for TOS 3 13 Communication administratively prohibited by filtering 3 14 Host precedence violation 3 15 Precedence cutoff in effect 4 0 Source quelch 5 0 Redirect for work 5 1 Redirect for host 5 2 Redirect for TOS and work 5 3 Redirect for TOS and host 8 0 Echo request 9 0 Router advertisement 10 0 Route sollicitation 11 0 TTL equals 0 during transit 11 1 TTL equals 0 during reassembly 12 0 IP header bad (catchall error) 12 1 Required options missing 13 0 Timestamp request (obsolete) 14 0 Timestamp reply (obsolete) 15 0 Information request (obsolete) 16 0 Information reply (obsolete) 17 0 Address mask request 18 0 Address mask reply ?/TD 7 如想獲取更多的信息，我建議你閱讀下面的網(wǎng)站和報(bào)告： The Inter Control Message Protocol ICMP RFC792 又及，阻礙你想要做的某些事情可能是我的錯(cuò)誤，但對(duì)我來說，阻礙其它我不允許的 ICMP 類型將會(huì)使我的一切東西都工作的很好。 Redirect，我允許它因?yàn)槲铱赡軟]有使用到達(dá)一個(gè)主機(jī)的最佳路徑，比如我向 Gateway 1(G1) 發(fā)送一個(gè) 包，與 Gateway 2(G2)在同一個(gè)網(wǎng)段， G1 將包發(fā)給 G2， G2可能 6 告訴你使用 G2而不是 G1 來節(jié)省一跳。象現(xiàn)在我只允許傳入的 ICMP Echo Replies, Destination unreachable, Redirect 和 Time Exceeded。當(dāng)前沒有可利用的 TCP/IP 應(yīng)用支持打開一個(gè)除了 SYN 包的 TCP 連接，所以丟棄這些廢物 , 因?yàn)樗?99%是進(jìn)行端口掃描。一個(gè)已建立的連接（ ESTABLISHED connection ）是一個(gè)雙向都有負(fù)載的連接，因?yàn)槲覀儷@取了一個(gè) SYN包和一個(gè)對(duì) SYN包的應(yīng)答，連接必為已建立（ ESTABLISHED）狀態(tài)。首先我們象以前一樣建立鏈。新鏈將建立起來而且內(nèi)部沒有任何規(guī)則。 建立不同的使用鏈 現(xiàn)在你有點(diǎn)了解包如何穿過不同鏈以及它們之間的從屬關(guān)系，我們負(fù)責(zé)將它們聯(lián)系起來。如果這些規(guī)則都不匹配，包將被我們的鏈規(guī)則丟棄。具體圖片可以在以下地址獲得 . 如果包去往或來自我們的本地網(wǎng)，它將被路由到 FORWARD鏈。因?yàn)槭?，所以匹配，將被傳送?tcp_packets 鏈。如果不允許，它將到達(dá) icmp_packets 鏈尾，回到 INPUT 鏈，到達(dá)鏈尾做更多的檢查，看它是否來自本地主機(jī)或本地網(wǎng)，如果是它將被接收。然后它們穿過那些鏈。使用這種方法我們并沒有耗費(fèi)太多資源。如果有人對(duì)你傾倒廢物的話這是好的，否則會(huì)產(chǎn)生許多兆字節(jié)的日志記錄。 最后的事情就是記錄滑過邊緣命中省缺策略的負(fù)載，這是那些應(yīng)該通過卻沒有通過的包。很簡單，是嗎？ 下一步是接收所有來自輸入接口 eth1 的并通過默認(rèn)表過濾器中的 FORWARD鏈的包 ， eth1是與內(nèi)部網(wǎng)絡(luò)連接的接口。 真正開始偽裝 我們第一個(gè)任務(wù)就是開始真正的偽裝，是嗎？至少對(duì)我是這樣的。反 之亦然，我們在哪希望被動(dòng)的 FTP 工作，卻沒發(fā)送 DCC ，當(dāng)然我們得用其他方式做，加載 IRC 模塊，而不是 FTP 模塊?；蛘叱四愕挠脩艉透酝?，你不許其他用戶從你的網(wǎng)絡(luò)設(shè)備連接 Inter，可能對(duì)其他人不方便，但你在黑客攻擊前可能安全些。然后我們加載一些我們感興趣的模塊。當(dāng)然，安裝這個(gè)包也是個(gè)好主意。 CONFIG_IP_NF_TARGET_MASQUERADE 使改變你的局域網(wǎng)到 Inter 的連接成為可能，使他們看起來象是從其他的主機(jī)而不是普通的 box IP 來。 回答，而不只是丟棄死包。它所做的就是在基于信息包與其他連接的關(guān)系上增加包過濾的可能性，例如你可以使一個(gè)被動(dòng)的 FTP 客戶通過一個(gè)其他方面是完全關(guān)閉的服務(wù)器，下載文件，列表目錄等。當(dāng)你想在 FTP的連接上偽裝時(shí)需要它。s 下文中的一些選項(xiàng)是你所需要使用而且我也將要講述的 . CONFIG_PACKET CONFIG_NETFILTER CONFIG_IP_NF_CONNTRACK CONFIG_IP_NF_FTP CONFIG_IP_NF_IPTABLES CONFIG_IP_NF_MATCH_STATE CONFIG_IP_NF_MATCH_UNCLEAN CONFIG_IP_NF_TARGET_REJECT CONFIG_IP_NF_TARGET_MASQUERADE 使用過的選項(xiàng)的解釋 CONFIG_PACKET 使得類似 tcpdump 的程序工作，在本指南中并沒有真正使用，但因?yàn)槟阕x了，我假設(shè)你對(duì)安全方面感興趣 , 在這一點(diǎn)上， tcpdump和 snort是好的添加。 從哪獲得 ? iptables 用戶空間包可以從 filter 的一個(gè)主頁獲 iptables 還使用了內(nèi)核空間包，在配置時(shí)可以加入內(nèi)核，有用的部分我們將在下文討論。我不太確定如何組織這篇文章，但我最后 決定自頂向下地跟隨 文件，換句話說，你可以閱讀 文件，當(dāng)你碰到不懂的東西時(shí)再來查看這個(gè)文件。 還有一個(gè)小腳 本，我寫它只是為使你在配置它的時(shí)候能象我一樣振奮，具體文件可以在 . 怎么樣？ 我已經(jīng)向 Marc Boucher 及 filter 團(tuán)隊(duì)的其他核心成員提出了問題。是的，最初這篇文章是偽裝成 HOWTO文檔的形式書寫的 ,因?yàn)樵S多人只接受 HOWTO文檔 ,。這大部分的東西都基于例子 文件，因?yàn)槲野l(fā)現(xiàn)這是學(xué)習(xí) iptables的一個(gè)好方法。但 是，新的 iptables 代碼中也有一些小毛病，在某些方面我發(fā)現(xiàn)這些代碼并沒有為作為完整的產(chǎn)品發(fā)布做好準(zhǔn)備，但我仍然建議那些使用 ipchains 或更老的 ipfwadm 的人進(jìn)行升級(jí)，除非他們對(duì)正在使用的代碼滿意，或則它們足以滿足他們的需要。 builtin 在配置時(shí)有幫助，其他命令對(duì)于了解基本的東西會(huì)有幫助，詳細(xì)情況請(qǐng)看一下 filter 主頁上的 HOWTO39。它在偽裝或做任何一種 NAT 操作的時(shí)候需要！ CONFIG_IP_NF_FTP 跟蹤 FTP連接，因?yàn)樗c基本的過濾器有點(diǎn)問題，所以是分開的代碼。 CONFIG_IP_NF_MATCH_STATE 是 iptables 的狀態(tài)匹配代碼，對(duì) 和 內(nèi)核來說它是一種新的特性，但到目前為止還沒有很好的文檔對(duì)它加以描述，這也是我所想補(bǔ)救的。換句話說，它可以讓你用 `ICMP error39。如果你只有一個(gè)配置的 IP ，但是還想將所有的網(wǎng)絡(luò)設(shè)備都連到 Inter 上，就需要它將你的局域網(wǎng)連到 Inter 上。 用戶設(shè)置 在這你要做的就是獲取 iptables 包并配置好它 , iptables 包在 filter 的一個(gè)主頁可下載 . 。 額外模塊的初始加載 首先我們注意到模塊關(guān)聯(lián)文件通過發(fā)布 /sbin/depmod —— 一個(gè)命令而保持最新的。在這個(gè)例子中我不用它，但基本上，你可以只允許根做與 redhat 和 DROP 及其他一切的 FTP 和 HTTP連接。為使他們工作，這兩者必須沒被編譯進(jìn)內(nèi)核，我重復(fù)一遍，必須沒有。 為了 IP 傳送的內(nèi)核初始化及其他 之后，我們通過給 /proc/sys//ipv4/ip_forward 回應(yīng)一個(gè) ” 1”來開始 IP 傳送 ，可以使用下面的方 式： echo 1 /proc/sys//ipv4/ip_forward 萬一你需要?jiǎng)討B(tài)的 IP 支持，比如你使用 SLIP, PPP 或 DHCP等等 ，你需要做下面的操作來 4 啟動(dòng) ip_dynaddr 選項(xiàng)： echo 1 /proc/sys//ipv4/ip_dynaddr 如果還有其他選項(xiàng)你要開啟，那么你要遵循它們的格式，有其他的文章介紹如何去做這些工作，在本文中就不做介紹了。所有與這條規(guī)則匹配的包都被偽裝，看起來象來自你的 Inter 接口。換句話說，在 eth1 后我們先在本地網(wǎng)絡(luò)設(shè)備發(fā)送一個(gè)包，因?yàn)樗鼇碜?eth1, 所以我們接收它，然后當(dāng) Inter 網(wǎng)絡(luò)設(shè)備應(yīng)答的時(shí)候，它被這個(gè)規(guī)則俘獲，因?yàn)檫B接在兩個(gè)方向上都看見了這個(gè)包。這意味著在這條線上，我們每分鐘最多得到 3條記錄（ log entries），限制仍是 3，所以如果我們在 2秒鐘內(nèi)得到 3條記錄，下條記錄我們要等 1分鐘。不讓 TCP 包穿過 ICMP, UDP 和 TCP 規(guī)則，我只是匹配 TCP 包，讓 TCP 包穿過另一條鏈。 首先做一個(gè)路由決策，如果它的目的地是你的主機(jī)，它是發(fā)向 INPUT，如果它的目的地是本地網(wǎng)的某個(gè)網(wǎng)絡(luò)設(shè)備，它是發(fā)向 FORWARD。如果允許，我們只是離開 INPUT 鏈接收這個(gè)包。 如果是個(gè) TCP 包，它不會(huì)匹配是 ICMP 包的規(guī)則，傳到下一個(gè)檢查是否是 TCP包的規(guī)則。 UDP 包基本上一樣，除了它要穿過 udpining_packets 鏈，如果它在那什么規(guī)則也沒匹配，它將被送到 INPUT 鏈，穿過與 TCP 包和 ICMP 包相同的路 。如果包去往我們的本地網(wǎng)，我們只是匹配已建立的或相關(guān)的流，因?yàn)槲覀儾幌虢耐獠康轿覀儽镜鼐W(wǎng)的新連接。你可能在某種情況下希望消除這 一切，不過不要忘了消除 OUTPUT 鏈的默認(rèn)規(guī)則是丟棄所有的東西。然后我們建立我們想與 N 命令一同使用的不同的特殊鏈。 TCP 允許的鏈 ,允許 TCP前的最后一次檢查 如果一個(gè)包來自 eth0 是 TCP 類的，它穿過 tcp_packets 鏈，如果連接與一個(gè)允許的端口相反，我們將要做一些最后的檢查來看我們是否真的允許它。然后我們檢查包是否來自一個(gè)已建立的或相關(guān)的連接，如果是，我們當(dāng)然也允許它。不開始一個(gè)與 SYN 包的連接沒有什么