之前,写了如何阻挡异常的访问和扫描所需要建立的相关规则。下面就是对于不同的服务建立不同的规则。
一、DNS服务
DNS服务是基于53端口的,一直以为DNS是完全基于UDP协议的,看书才明白是同时基于UDP/TCP协议,只是在工作原理上,优先采用UDP协议,只有在UDP反馈信息太大导致无法保存在一个UDP包内反馈,导致UDP通信失败。随后就会采用TCP重试。另外就是TCP协议用于主从域名服务器进行管理作用区转换操作。
在建立DNS规则时,需要考虑两个方面。一个是该主机作为DNS客户端访问其他DNS服务器获取解析。另外一个是作为DNS服务器提供DNS解析服务。
1. 作为DNS客户端的规则
首先设定需要访问的DNS服务器IP
NAMESERVER="202.96.0.133"
先建立UDP的规则,启用状态模块,在为新建连接时,判断来源为本机的非特权端口,目的地是DNS服务器IP,UDP53端口就可以访问。
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p udp \
-s $IPADDR --sport $UNPRIVPORTS \
-d $NAMESERVER --dport 53 \
-m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p udp \
-s $IPADDR --sport $UNPRIVPORTS \
-d $NAMESERVER --dport 53 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p udp \
-s $NAMESERVER --sport 53 \
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
在建立TCP的规则,规则和UDP相同,只是在
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
-d $NAMESERVER --dport 53 \
-m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
-d $NAMESERVER --dport 53 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp ! --syn \
-s $NAMESERVER --sport 53 \
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
2.作为转发DNS服务器
由于其它客户端访问本机的DNS服务,在本地DNS无法进行解析时,会通过本机的53端口去访问上一级DNS服务器的53端口。所以要设置一个规则允许本机的53端口可以上一级的53端口进行连接
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p udp \
-s $IPADDR --sport 53 \
-d $NAMESERVER --dport 53 \
-m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p udp \
-s $IPADDR --sport 53 \
-d $NAMESERVER --dport 53 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p udp \
-s $NAMESERVER --sport 53 \
-d $IPADDR --dport 53 -j ACCEPT
二、邮件服务
邮件服务所使用的端口包括SMTP(tcp 25),POP3(tcp 110),IMAP(tcp 143)。如果还考虑加密的邮件协议,则有SSMTP(tcp 465),IMAPS(tcp 993),SSL-POP(tcp 995)
1.在考虑发送邮件上,要考虑以下状态:
a.通过外部邮件服务器网关进行邮件转发
b.向任何邮件服务器发送邮件
在a情况下,要设置一个外部邮件网关,只允许本机和外部邮件网关的tcp25进行连接
SMTP_GATEWAY="MAIL.TEST.COM"
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
-d $SMTP_GATEWAY --dport 25 -m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
-d $SMTP_GATEWAY --dport 25 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp ! --syn \
-s $SMTP_GATEWAY --sport 25 \
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
在b情况下,则本机可以和所有外部IP的tcp25建立连接
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
--dport 25 -m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
--dport 25 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp ! --syn \
--sport 25 \
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
2.接受邮件
接受邮件需要考虑状况如下:
a.其他邮件服务器发送过来邮件到本机
b.本机通过POP3或IMAP协议来接受其它邮件服务器的信件
在a情况下,需要允许所有任何IP可以通过SMTP连接本机
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A INPUT -i $INTERNET -p tcp \
--sport $UNPRIVPORTS \
-d $IPADDR --dport 25 \
-m state --state NEW -j ACCEPT
fi
$IPT -A INPUT -i $INTERNET -p tcp \
--sport $UNPRIVPORTS \
-d $IPADDR --dport 25 -j ACCEPT
$IPT -A OUTPUT -o $INTERNET -p tcp ! --syn \
-s $IPADDR --sport 25 \
--dport $UNPRIVPORTS -j ACCEPT
在b情况下,需要允许本机可以访问指定邮件服务器的POP3或IMAP协议
对POP3的规则设定
POP_SERVER="my.isp.pop.server" # external pop server, if any
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
-d $POP_SERVER --dport 110 -m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
-d $POP_SERVER --dport 110 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp ! --syn \
-s $POP_SERVER --sport 110 \
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
对IMAP的规则设定
IMAP_SERVER="my.isp.imap.server" # external imap server, if any
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
-d $IMAP_SERVER --dport 143 -m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
-d $IMAP_SERVER --dport 143 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp ! --syn \
-s $IMAP_SERVER --sport 143 \
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
以上是针对本机进行接受和发送邮件的规则设定,可以根据实际情况进行组合应用。
下面是在本机做为邮件服务器,客户端通过POP3或IMAP来获取邮件信息,所设定的规则。
由于邮件是公司的相关信息,从安全的角度考虑,避免黑客对POP3和IMAP端口进行攻击或连接获取信息。可以考虑限制访问的IP。假设该服务器设置在公司内部,则可以限制只允许哪些IP可以访问本机的POP3和IMAP端口。我所遇到的客户在对邮件安全要求比较高的,会要求外部人员通过VPN连接后,再用邮件客户端接受邮件。
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A INPUT -i $INTERNET -p tcp \
-s --sport $UNPRIVPORTS \
-d $IPADDR --dport 110 \
-m state --state NEW -j ACCEPT
fi
$IPT -A INPUT -i $INTERNET -p tcp \
-s --sport $UNPRIVPORTS \
-d $IPADDR --dport 110 -j ACCEPT
$IPT -A OUTPUT -o $INTERNET -p tcp ! --syn \
-s $IPADDR --sport 110 \
-d --dport $UNPRIVPORTS -j ACCEPT
my.pop.clients 是指可以访问的本机POP3的IP地址
三、SSH服务
SSH所使用的端口为TCP22,由于ssh客户端的端口是从1020到65535的随机端口,所以它的端口列表并非标准的unprivileged。
1.设定本机可以对远程SSH服务器访问
SSH_PORTS="1020:65535"
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $SSH_PORTS \
--dport 22 -m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $SSH_PORTS \
--dport 22 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp ! --syn \
--sport 22 \
-d $IPADDR --dport $SSH_PORTS -j ACCEPT
2.设定外部访问本机的SSH服务
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A INPUT -i $INTERNET -p tcp \
--sport $SSH_PORTS \
-d $IPADDR --dport 22 \
-m state --state NEW -j ACCEPT
fi
$IPT -A INPUT -i $INTERNET -p tcp \
--sport $SSH_PORTS \
-d $IPADDR --dport 22 -j ACCEPT
$IPT -A OUTPUT -o $INTERNET -p tcp ! --syn \
-s $IPADDR --sport 22 \
--dport $SSH_PORTS -j ACCEPT
四、FTP服务
FTP协议是一个非标准模式的TCP服务,它的连接是依赖两种连接:一种用于指令和控制传输,另外一种用于数据文件传输。对于第一种传输,是通过21端口进行传输。对于另外一种,则提供了两种模式选择。模式一是主动模式也称为端口模式(port mode),由客户端告知服务器它将监听的端口,然后由服务器的通过20端口和该客户端的端口建立数据连接。 模式二是被动模式(passive mode),当客户端要和服务器建立数据连接时。服务器会随机设定一个非特权端口并告诉客户端,让客户端和服务器建立连接。
这两个模式的优缺点如下
主动与被动FTP优缺点:()
主动FTP对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻塞掉。
1.先设定本机访问外部的FTP服务器的规则
a.设定指令和控制传输的规则,即针对外部tcp21访问的允许规则设置
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
--dport 21 -m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
--dport 21 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp ! --syn \
--sport 21 \
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
b.对主动模式设置对应规则,就是允许外部FTP的TCP20可以和本机的非特权端口进行连接
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A INPUT -i $INTERNET -p tcp \
--sport 20 \
-d $IPADDR --dport $UNPRIVPORTS \
-m state --state NEW -j ACCEPT
fi
$IPT -A INPUT -i $INTERNET -p tcp \
--sport 20 \
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -o $INTERNET -p tcp ! --syn \
-s $IPADDR --sport $UNPRIVPORTS \
--dport 20 -j ACCEPT
c.对被动模式设置对应规则,允许外部FTP服务器的非特权端口和本机的非特权端口进行连接
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
--dport $UNPRIVPORTS -m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
--dport $UNPRIVPORTS -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp ! --syn \
--sport $UNPRIVPORTS \
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
2. 对外部开放FTP服务
在开放FTP服务,需要考虑安全因素,应该在防火墙,tcp_wrappers和FTP配置上做严格设置。同时,如果使用被动模式,会产生一个问题。就是需要对本机的非特权端口完全允许。架设本机有其它服务使用了非特权端口的某个端口,这将和ftp所设定的规则相冲突,需要仔细考虑。
a.入站FTP请求,允许外部主机通过非特权端口访问本机的TCP21端口
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A INPUT -i $INTERNET -p tcp \
--sport $UNPRIVPORTS \
-d $IPADDR --dport 21 \
-m state --state NEW -j ACCEPT
fi
$IPT -A INPUT -i $INTERNET -p tcp \
--sport $UNPRIVPORTS \
-d $IPADDR --dport 21 -j ACCEPT
$IPT -A OUTPUT -o $INTERNET -p tcp ! --syn \
-s $IPADDR --sport 21 \
--dport $UNPRIVPORTS -j ACCEPT
b.主动模式,允许外部主机主动连接本机的TCP20
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport 20\
--dport $UNPRIVPORTS -m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p tcp \
-s $IPADDR --sport 20 \
--dport $UNPRIVPORTS -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp ! --syn \
--sport $UNPRIVPORTS \
-d $IPADDR --dport 20 -j ACCEPT
c.被动模式,允许外部主机的非特权端口和本机的非特权端口连接
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A INPUT -i $INTERNET -p tcp \
--sport $UNPRIVPORTS \
-d $IPADDR --dport $UNPRIVPORTS \
-m state --state NEW -j ACCEPT
fi
$IPT -A INPUT -i $INTERNET -p tcp \
--sport $UNPRIVPORTS \
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -o $INTERNET -p tcp ! --syn \
-s $IPADDR --sport $UNPRIVPORTS \
--dport $UNPRIVPORTS -j ACCEPT
五、WEB服务
WEB服务TCP80端口,规则设定如下
a.设定本机可以访问外网的WEB服务
if ["$CONNECTION_TRACKING"="1"]; then
$IPT -A OUTPUT -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
--dport 80 -m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -p tcp \
-s $IPADDR --sport $UNPRIVPORTS \
--dport 80 -j ACCEPT
$IPT -A INPUT -p tcp ! --syn \
--sport 80
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
b.开放WEB服务给外部主机访问
if ["$CONNECTION_TRACKING"="1"]; then
$IPT -A INPUT -p tcp \
--sport $UNPRIVPORTS \
-d $IPADDR --dport 80 \
-m state --state NEW -j ACCEPT
fi
$IPT -A INPUT -p tcp \
--sport $UNPRIVPORTS \
-d $IPADDR --dport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp ! --syn \
-s $IPADDR --sport 80
--dport $UNPRIVPORTS -j ACCEPT
六、DHCP
DHCP采用UDP协议,所使用的端口为UDP 67/68。DHCP服务是一个比较复杂的服务。在整个操作过程中,操作流程如下
首先由客户端初始化时,通过68端口发送一个广播包DHCPDISCOVER查询DHCP服务器是否存在,然后DHCP服务器发送DHCPOFFER,并包含了DHCP服务器分配的信息。客户端根据分配的IP段,设定IP,并周期性和DHCP服务器连接进行续租IP,直到IP释放。
在规则设定上,需要对广播地址做对应的设定
由于DHCP协议在客户端使用UDP68端口,服务器端是UDP67端口。
作为DHCP服务器的设定如下
下面两个规则是允许广播包255.255.255.255 和0.0.0.0进行连接
$IPT -A INPUT -p udp \
-s $BROADCAST_SRC --sport 68 \
-d $BROADCAST_DEST --dport 67 \
-j ACCEPT
$IPT -A OUTPUT -p udp \
-s $BROADCAST_DEST --sport 67 \
-d $BROADCAST_SRC --dport 68 \
-j ACCEPT
下面两个规则是允许本地网络段(DHCP分配IP段)的68端口 和本机的67端口进行连接
$IPT -A INPUT -p udp \
-s $LAN_IPADDRESSES --sport 68 \
-d $IPADDR --dport 67 \
-j ACCEPT
$IPT -A OUTPUT -p udp \
-s $IPADDR --sport 67 \
-d $LAN_IPADDRESSES --dport 68 \
-j ACCEPT
下面两个规则是允许广播包0.0.0.0的68端口和本机IP的67端口进行连接
$IPT -A INPUT -p udp \
-s $BROADCAST_SRC --sport 68 \
-d $IPADDR --dport 67 \
-j ACCEPT
$IPT -A OUTPUT -p udp \
-s $IPADDR --sport 67 \
-d $BROADCAST_SRC --dport 68 \
-j ACCEPT
七、NTP
网络时间服务使用的UDP123
作为客户端访问NTP服务,需要设定以下规则
TIME_SERVER="time.server.name"
if ["$CONNECTION_TRACKING"="1"]; then
$IPT -A OUTPUT -p udp \
-s $IPADDR --sport $UNPRIVPORTS \
-d $TIME_SERVER --dport 123 \
-m state --state NEW -j ACCEPT
fi
$IPT -A INPUT -p udp \
-s IPADDR --sport $UNPRIVPORTS \
-d $TIME_SERVER --dport 123 -j ACCEPT
$IPT -A INPUT -p udp \
-s $TIME_SERVER --sport 123 \
-d $IPADDR --dport $UNPRIVPORTS -j ACCEPT
做为NTP服务器,则需要设置以下规则
if ["$CONNECTION_TRACKING"="1"]; then
$IPT -A INPUT -p udp \
--sport $UNPRIVPORTS \
-d $IPADDR --dport 123 \
-m state --state NEW -j ACCEPT
fi
$IPT -A INPUT -p udp \
--sport $UNPRIVPORTS \
-d $IPADDR --dport 123 -j ACCEPT
$IPT -A OUTPUT -p udp \
-s $IPADDR --sport 123
--dport $UNPRIVPORTS -j ACCEPT
八、过滤ICMP控制
ICMP的类型
需要通过防火墙的ICMP类型,包括源端被关闭(类型4)、参数问题(类型12)、目的不可达(类型3)和子类型需进行分片(类型3中的代码4)。可选的ICMP类型包括反射请求(类型8)、反射应答(类型0)、超时(类型11)。
作为主机所进行的ICMP的规则设定
a.阻挡分段ICMP消息,由于分段ICMP常用于DoS攻击
$IPT -A INPUT -i $INTERNET --fragment -p icmp -j LOG \
--log-prefix "Fragmented ICMP: "
$IPT -A INPUT -i $INTERNET --fragment -p icmp -j DROP
b.源端被关闭(类型4)
类型4的主要用于局域网中,进行流控制。出现该类型消息是由于源发送数据是,快于路由控制的控制所产生。
$IPT -A INPUT -i $INTERNET -p icmp --icmp-type source-quench -d $IPADDR -j ACCEPT
$IPT -A INPUT -o $INTERNET -p icmp -s $IPADDR --icmp-type source-quench -j ACCEPT
c.参数问题状态(类型12)
当接收到一个头部中不含有不合法数据或不期望得到的数据,或数据包的校验和接受机产生的校验和不匹配时,会产生类型12的ICMP
$IPT -A INPUT -i $INTERNET -p icmp --icmp-type parameter-problem \
-d $IPADDR -j ACCEPT
$IPT -A INPUT -o $INTERNET -p icmp -s $IPADDR \
--icmp-type parameter-problem -j ACCEPT
d.目的不可达错误消息(类型3)
由于类型3的错误消息有很多代码表示不同的类型。现在需要将外部发送到本机的目标不可达(destination-unreachable)的ICMP包需要接受,而本机发送的需要分片(fragmentation-needed)的ICMP包是用于协商数据包的分段大小的,也是需要接受。同时需要阻止从本机发送出去的类型3的ICMP包,避免被外部进行端口扫描和进行DoS攻击
$IPT -A INPUT -i $INTERNET -p icmp \
--icmp-type destination-unreachable -d $IPADDR -j ACCEPT
$IPT -A OUTPUT -o $INTERNET -p icmp \
-s $IPADDR --icmp-type fragmentation-needed -j ACCEPT
# Don't log dropped outgoing ICMP error messages
$IPT -A OUTPUT -o $INTERNET -p icmp \
-s $IPADDR --icmp-type destination-unreachable -j DROP
e.超时状态消息(类型11)
超时状态表示数据包的最大跳数已经超过
$IPT -A INPUT -i $INTERNET -p icmp \
--icmp-type time-exceeded -d $IPADDR -j ACCEPT
f. ping反射请求(类型8)和反射应答(类型0)控制信息
允许ping外部主机
if [ "$CONNECTION_TRACKING"= "1" ]; then
$IPT -A OUTPUT -o $INTERNET -p icmp \
-s $IPADDR --icmp-type echo-request \
-m state --state NEW -j ACCEPT
fi
$IPT -A OUTPUT -o $INTERNET -p icmp \
-s $IPADDR --icmp-type echo-request \
-j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -d $IPADDR -j ACCEPT
允许远程主机ping本机
$ALLOW_GROUP="allow.host.ip"
if [ "$CONNECTION_TRACKING"= "1" ]; then
$IPT -A INPUT -o $INTERNET -p icmp \
-s $ALLOW_GROUP --icmp-type echo-request \
-d $IPADDR -m state --state NEW -j ACCEPT
fi
$IPT -A INPUT -o $INTERNET -p icmp \
-s $ALLOW_GROUP --icmp-type echo-request \
-d $IPADDR -j ACCEPT
$IPT -A OUTPUT -p icmp -s $IPADDR \
--icmp-type echo-request -d $ALLOW_GROUP \
-j ACCEPT
