PF防火墙

简介

PF提供了许多方法来进行规则集的简化。一些好的例子是使用宏和列表。另外，规则集的语言或者语法也提供了一些使规则集简化的捷径。首要的规则是，规则集越简单，就越容易理解和维护。

使用宏

宏是非常有用的，因为它提供了硬编码地址，端口号，接口名称等的可选替代。在一个规则集中，服务器的IP地址改变了?没问题，仅仅更新一下宏，不需要弄乱花费了大量时间和精力建立的规则集。

通常的惯例是在PF规则集中定义每个网络接口的宏。如果网卡需要被使用不同驱动的卡取代，例如，用intel代替3com，可以更新宏，过滤规则集会和以前功能一样。另一个优点是，如果在多台机器上安装同样的规则集，某些机器会有不同的网卡，使用宏定义网卡可以使的安装的规则集进行最少的修改。使用宏来定义规则集中经常改变的信息，例如端口号，IP地址，接口名称等等，建议多多实践!

# define macros for each network interface

IntIF = "dc0"

ExtIF = "fxp0"

DmzIF = "fxp1"</strong>

另一个惯例是使用宏来定义IP地址和网络，这可以大大减轻在IP地址改变时对规则集的维护。

# define our networks

IntNet = "192.168.0.0/24"

ExtAdd = "24.65.13.4"

DmzNet = "10.0.0.0/24"</strong>

如果内部地址扩展了或者改到了一个不同的IP段，可以更新宏为:

IntNet = "{ 192.168.0.0/24, 192.168.1.0/24 }"

当这个规则集重新载入时，任何东西都跟以前一样。

使用列表

来看一下一个规则集中比较好的例子使得RFC1918定义的内部地址不会传送到因特网上，如果发生传送的事情，可能导致问题。

block in quick on tl0 inet from 127.0.0.0/8 to any

block in quick on tl0 inet from 192.168.0.0/16 to any

block in quick on tl0 inet from 172.16.0.0/12 to any

block in quick on tl0 inet from 10.0.0.0/8 to any

block out quick on tl0 inet from any to 127.0.0.0/8

block out quick on tl0 inet from any to 192.168.0.0/16

block out quick on tl0 inet from any to 172.16.0.0/12

block out quick on tl0 inet from any to 10.0.0.0/8</strong>

看看下面更简单的例子:

block in quick on tl0 inet from { 127.0.0.0/8, 192.168.0.0/16, \

172.16.0.0/12, 10.0.0.0/8 } to any

block out quick on tl0 inet from any to { 127.0.0.0/8, \

192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }</strong>

这个规则集从8行减少到2行。如果联合使用宏，还会变得更好:

NoRouteIPs = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, \

10.0.0.0/8 }"

ExtIF = "tl0"

block in quick on $ExtIF from $NoRouteIPs to any

block out quick on $ExtIF from any to $NoRouteIPs</strong>

注意虽然宏和列表简化了pf.conf文件，但是实际是这些行会被pfctl(8)扩展成多行，因此，上面的例子实际扩展成下面的规则:

block in quick on tl0 inet from 127.0.0.0/8 to any

block in quick on tl0 inet from 192.168.0.0/16 to any

block in quick on tl0 inet from 172.16.0.0/12 to any

block in quick on tl0 inet from 10.0.0.0/8 to any

block out quick on tl0 inet from any to 10.0.0.0/8

block out quick on tl0 inet from any to 172.16.0.0/12

block out quick on tl0 inet from any to 192.168.0.0/16

block out quick on tl0 inet from any to 127.0.0.0/8</strong>

可以看到，PF扩展仅仅是简化了编写和维护pf.conf文件，实际并不简化pf(4)对于规则的处理过程。

宏不仅仅用来定义地址和端口，它们在PF的规则文件中到处都可以用:

pre = "pass in quick on ep0 inet proto tcp from "

post = "to any port { 80, 6667 } keep state"</strong>

# David's classroom

$pre 21.14.24.80 $post</strong>

# Nick's home

$pre 24.2.74.79 $post

$pre 24.2.74.178 $post</strong>

扩展后:

pass in quick on ep0 inet proto tcp from 21.14.24.80 to any \

port = 80 keep state

pass in quick on ep0 inet proto tcp from 21.14.24.80 to any \

port = 6667 keep state

pass in quick on ep0 inet proto tcp from 24.2.74.79 to any \

port = 80 keep state

pass in quick on ep0 inet proto tcp from 24.2.74.79 to any \

port = 6667 keep state

pass in quick on ep0 inet proto tcp from 24.2.74.178 to any \

port = 80 keep state

pass in quick on ep0 inet proto tcp from 24.2.74.178 to any \

port = 6667 keep state</strong>

PF 语法

PF的语法相当灵活，因此，允许编写非常灵活的规则集。PF能够自动插入某些关键字因此它们不必在规则中明确写出，关键字的顺序也是随意的，因此不需要记忆严格的语法限制。

减少关键字

要定义全部拒绝的策略，使用下面2条规则:

block in all

block out all</strong>

这可以简化为:

block all

如果没有指定方向，PF会认为规则适用于数据包传递的进、出2个方向。

同样的， "from any to any" 和 "all" 子句可以在规则中省略，例如

block in on rl0 all

pass in quick log on rl0 proto tcp from any to any port 22 keep state</strong>

可以简化为:

block in on rl0

pass in quick log on rl0 proto tcp to port 22 keep state</strong>

第一条规则阻塞rl0上从任意到任意的进入数据包，第

重定向规则: rdr on tl0 proto tcp from 192.0.2.1 to 24.65.1.13 port 80 \

-> 192.168.1.5 port 8000</strong>

数据包在经过rdr规则前的模样:

* 源地址: 192.0.2.1

* 源端口: 4028 (由操作系统任意选择)

* 目的地址: 24.65.1.13

* 目的端口: 80

数据包经过rdr规则后的模样:

* 源地址: 192.0.2.1

* 源端口: 4028

* 目的地址: 192.168.1.5

* 目的: 8000

过滤引擎看见的IP数据包时转换发生之后的情况。

安全隐患

重定向确实存在安全隐患。在防火墙上开了一个允许流量进入内部网络的洞，被保护的网络安全潜在的受到了威胁!例如，如果流量被转发到了内部的web服务器，而web服务器上允许的守护程序或者CGI脚本程序存在漏洞，则这台服务器存在会被因特网网上的入侵者攻击危险。如果入侵者控制了这台机器，就有了进入内部网络的通道，仅仅是因为这种流量是允许通过防火墙的。

这种风险可以通过将允许外部网络访问的系统限制在一个单独的网段中来减小。这个网段通常也被称为非军事化区域(DMZ)或者私有服务网络(PSN)。通过这个方法，如果web服务器被控制，通过严格的过滤进出DMZ/PSN的流量，受影响的系统仅限于DMZ/PSN网段。

重定向和反射

通常，重定向规则是用来将因特网上到来的连接转发到一个内部网络或者局域网的私有地址。例如:

server = 192.168.1.40

rdr on $ext_if proto tcp from any to $ext_if port 80 -> $server \

port 80</strong>

但是，当一个重定向规则被从局域网上的客户端进行测试时，它不会正常工作。这是因为重定向规则仅适用于通过指定端口($ext_if,外部接口，在上面的例子中)的数据包。从局域网上的主机连接防火墙的外部地址，并不意味着数据包会实际的通过外部接口。防火墙上的TCP/IP栈会把到来的数据包的目的地址在通过内部接口时与它自己的IP地址或者别名进行对比检测。那样的数据包不会真的通过外部接口，栈在任何情况下也不会建立那样的通道。因而，PF永远也不会在外部接口上看到那些数据包，过滤规则由于指定了外部接口也不会起作用。

指定第二条针对内部接口的也达不到预想的效果。当本地的客户端连接防火墙的外部地址时，初始化的TCP握手数据包是通过内部接口到达防火墙的。重定向规则确实起作用了，目标地址被替换成了内部服务器，数据包通过内部接口转发到了内部的服务器。但源地址没有进行转换，仍然包含的是本地客户端的IP地址，因此服务器把它的回应直接发送给了客户端。防火墙永远收不到应答不可能返回客户端信息，客户端收到的应答不是来自它期望的源(防火墙)会被丢弃，TCP握手失败，不能建立连接。

当然，局域网里的客户端仍然会希望象外部客户一样透明的访问这台内部服务器。有如下的方法解决这个问题:

水平分割 DNS

存在这样的可能性，即配置DNS服务器使得它回答内部主机的查询和回答外部主机的查询不一样，因此内部客户端在进行名称解析时会收到内部服务器的地址。它们直接连接到内部服务器，防火墙根本不牵扯。这会降低本地流量，因为数据包不会被送到防火墙。

将服务器移到独立的本地网络

增加单独的网络接口卡到防火墙，把本地的服务器从和客户端同一个网段移动到专用的网段(DMZ)可以让本地客户端按照外部重定向连接的方法一样重定向。使用单独的网段有几个优点，包括和保留的内部主机隔离增加了安全性;服务器(我们的案例中可以从因特网访问)一旦被控制，它不能直接存取本地网络因为所有的连接都必须通过防火墙。

TCP 代理

一般而言，TCP代理可以在防火墙上设置，监听要转发的端口或者将内部接口上到来的连接重定向到它监听的端口。当本地客户端连接防火墙时，代理接受连接，建立到内部服务器的第二条连接，在通信双方间进行数据转发。

简单的代理可以使用inetd和nc建立。下面的/etc/inetd.conf中的条目建立一个监听套接字绑定到lookback地址(127.0.0.1)和端口5000。连接被转发到服务器192.168.1.10的80端口。

127.0.0.1:5000 stream tcp nowait nobody /usr/bin/nc nc -w \

20 192.168.1.10 80</strong>

下面的重定向规则转发内部接口的80端口到代理:

rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \

127.0.0.1 port 5000</strong>

RDR 和 NAT 结合

通过对内部接口增加NAT规则，上面说的转换后源地址不变的问题可以解决。

rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \

$server

no nat on $int_if proto tcp from $int_if to $int_net

nat on $int_if proto tcp from $int_net to $server port 80 -> \

$int_if</strong>

这会导致由客户端发起的初始化连接在收到内部接口的返回数据包时转换回来，客户端的源ip地址被防火墙的内部接口地址代替。内部服务器会回应防火墙的内部接口地址，在转发给本地客户端时可以反转NAT和RDR。这个结构是非常复杂的，因为它为每个反射连接产生了2个单独的状态。必须小心配置防止NAT规则应用到了其他流量，例如连接由外部发起(通过其他的重定向)或者防火墙自己。注意上面的rdr规则会导致TCP/IP栈看到来自内部接口带有目的地址是内部网络的数据包。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

在具体应用防火墙技术时，还要考虑到两个方面:

一是防火墙是不能防病毒的，尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

总之，防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

(1)设置网卡IP地址为192.168.1.234，子网掩码为255.255.255.0，网关为192.168.1.1。

(2)设置DNS为61.177.7.1。

(3)Linux防火墙设置，禁用SELinux，启用防火墙，信任WWW、FTP、SSH、SMTP端口。

(4)设置防火墙，使能信任TCP协议的POP3端口。