上一篇：宽带网安全规范设计

Netfilter的高级使用

　　netfilter有一些功能在标准发行的linux内核里面没有包括，例如基于时间的控制、dropped-table、反端口扫描等等。这些功能大部分将来会慢慢加入到linux内核中，但目前都没有经过仔细测试，所以要慎重使用。
　　要使用这些功能，请先下载最新的iptables源码。解压后，执行
　　make pending-patches KERNEL_DIR=<>看看你的内核是不是太老了，然后make patch-o-matic，按照提示选择想要安装的新功能。下面是我觉得有用的一些功能：
　　1． ah-esp 增加两个扩展，允许匹配ipsec包中ah或esp包头中的一段SPI(security parameters index)。
　　2． ct-netlink 使用户空间程序可以通过netlink获得连接跟踪的状态，并可经由用户空间改变连接状态。这个补丁与其他大多数补丁冲突。
　　3． dropped-table 加了一个drop表，被drop的包遍历这个表。和其他大部分补丁冲突。
　　4． ftos 扩展的tos，可以设置tos为0x0到0xff之间的任何值，用于简单的Qos。
　　5． iplimit 限制每客户到主机或网络的并发连接数。例如：
　　iptables -p tcp --syn --dport 23 -m iplimit --iplimit-above 2 -j REJECT
　　(每客户最多两个telnet连接)，等效于iptables -p tcp --syn --dport 23 -m iplimit ! --iplimit-above 2 -j ACCEPT
　　限制到每个c类网络最多16个http连接
　　iptables -p tcp --syn --dport 80 -m iplimit --iplimit-above 16 \
　　--iplimit-mask 24 -j REJECT
　　6． ipv4options 匹配ip操作，使用该功能可以过滤掉源路由、记录路由、时间戳等ip操作。iptables -m ipv4options –help可以得到详细的帮助。例如iptables -A input -m ipv4options --rr -j DROP 过滤掉记录路由的包，iptables -A input -m ipv4options --ts -j DROP 过滤掉带时间戳操作的ip包。
　　7． irc-conntrack-nat 对irc的DCC(Direct Client-to-Client)协议的支持。
　　8． length 允许以指定值或指定范围匹配包长度。例如POD这样的大包可以直接drop。最小包长为0，最大的是0xffff。
　　9． mport 对multiport功能的增强。可以对单个端口和一段连续端口混合指定。看来是很好，不过我测试的时候这个功能不能用（2.4.6 & 2.4.9内核）。
　　10． netlink 用户空间可以经由netlink接收包。一个可用的用户空间程序fwmon (http://firestorm.geek-ware.co.uk)。这个补丁基本类似ipchains的-o操作。
　　11． netmap 为nat表增加了一个NETMAP目标。提供一对一的网络映射支持。它可以在PREROUTING链中改变流入包的目标地址，在POSTROUTING链中改变输出包的源地址。使用范例如下：
　　iptables -t nat -A PREROUTING -d 1.2.3.0/24 -j NETMAP --to 5.6.7.0/24
　　iptables -t nat -A POSTROUTING -s 5.6.7.0/24 -j NETMAP --to 1.2.3.0/24
　　
　　12． nth 提供对第n个包的匹配。
　　13． pkttype 按类匹配包。例如broadcast、multicast等。使用范例如下：
　　iptables -A INPUT -m pkttype --pkt-type broadcast -j LOG。
　　14． pool 提供一种方法，用位图中的每一位代表一个地址，使用时需要一个用户空间程序ippool。
　　15． psd 端口扫描察觉，设计思想来自于Solar Designer的scanlogd。支持如下选项：
　　a. --psd-weight-threshold
　　同一主机到不同目标端口发出多少包之后匹配
　　b. --psd-delay-threshold
　　同一主机到不同目标端口的连接间隔多少时间之内匹配
　　c. --psd-lo-ports-weight
　　访问多少个特权目标端口后匹配
　　d. --psd-hi-ports-weight
　　访问多少个非特权端口后匹配。
　　16． realm 使用前要求设置Qos配置里的CONFIG_NET_CLS_ROUTE4，允许在iptables里使用realm key，可以依照匹配的路由表项分类输出包。
　　17． record-rpc 增加两个模块ip_conntrack_rpc_udp和ip_conntrack_rpc_tcp，分别记录tcp和udp的portmap请求，增加record-rpc模块，可以鉴别一个rpc连接是一个到portmap的映射请求还是一个portmap映射后的连接。用这种方法可以方便的实现rpc过滤。
　　18． SAME 类似于标准的SNAT，不过为客户端的每个连接提供相同的ip地址。同时提供—nodst选项，选择源ip的时候不会使用这个选项后的ip地址。与dropped-table不兼容。
　　19． snmp-nat 这个模块实现snmp负载的ALC(应用层网关)，结合nat，它允许网络管理系统存取多个私有网络，即使他们的ip地址冲突也没有关系。他通过改变snmp负载中的ip地址来匹配ip层的nat映射。这是SNMP-ALG的基本形式，在rfc2962中有详细的描述。
　　20． string 允许匹配含有特定字符串的包。可以做个简单的ids。
　　21． tcp-MSS 增加tcp-MSS目标。允许调整tcp syn包里的MSS域，用于控制连接包的最大长度。
　　一些防火墙或主机会很不适当的过滤掉type 3、code 4（需要分片）的icmp包。表现出来的现象如下：
　　a．浏览网页时，什么也没有收到连接就挂起了。
　　b．小邮件能收到，大邮件收不到。
　　c． ssh工作的很好，但scp在握手成功后就挂起了。
　　Tcp-MSS目标就是用来解决此类问题的。目前发行的linux的内核从2.4.7开始已经包含了这个补丁。
　　22． tcp-window-tracking 这个补丁是依据Guido van Rooij [1]写的论文Real Stateful TCP Packet Filtering in IP Filter实现的tcp连接跟踪记录，可以对已经建立的tcp连接进行连接跟踪。增加了Window scaling支持。
　　[1] http://www.iae.nl/users/guido/papers/tcp_filtering.ps.gz
　　23． time 增加对时间的匹配，可以指定某条规则在什么时间触发，在什么时间无效。iptables -m time –help可以得到详细的帮助。这个补丁增加了如下参数：
　　a．--timestart HH:MM
　　何时触发
　　b．--timestop HH:MM
　　何时无效
　　c．--days Tue,Mon...
　　一周中的某几天有效
　　例如-m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri就是说每周的周一到周五从8：00到18：00这条规则有效。
　　需要注意的是这个补丁目前还不能处理时区，使用时只能使用UTC时间。
　　24． TTL 增加一个TTL目标。可以使用户用指定值递增或递减ttl值。
　　25． ulog 增加一个ULOG目标。跳到这个目标的包使用netlink multicast sockets送到用户空间守护进程。不像LOG目标，后者只能通过syslog来察看。Libipulog目录下是接收ulog信息的库文件。用户空间守护进程的一个实现ulogd可以从http://www.gnumonks.org/projects/ulogd得到。
　　因为条件所限，以上所写的大多没有经过测试，错漏之处，欢迎指正。
　　
　　
　　
　　
最热门文章推荐：
>· cs远程控制
>· 最好的远程控制
>· 怎么远程控制
>· windows远程控制
>· 远程控制电脑软件
>· 远程控制别人的电脑
>· 系统配置实用程序
>· vista系统配置

下一篇：体验四大防黑客软件的心得

↓相关文章：