傳統(tǒng)防火墻和網(wǎng)橋式防火墻有什么區(qū)別呢？通常一個防火墻象一個路由器一樣工作：內(nèi)部系統(tǒng)被設(shè)置為將防火墻看做是通向外部網(wǎng)絡(luò)的網(wǎng)關(guān)，并且外部的路由器被設(shè)置為將防火墻看做是連往內(nèi)部被保護的網(wǎng)絡(luò)的網(wǎng)關(guān)。一個網(wǎng)橋則是一個聯(lián)結(jié)一個或多個網(wǎng)段的設(shè)備，在各個網(wǎng)段之間轉(zhuǎn)發(fā)數(shù)據(jù)，而網(wǎng)絡(luò)中其他設(shè)備并不會感覺到存在一個網(wǎng)橋。

換句話說，一個路由器將兩個網(wǎng)絡(luò)連接在一起，在兩者之間傳輸數(shù)據(jù)；一個網(wǎng)橋則更象一段網(wǎng)線，將一個網(wǎng)絡(luò)的兩個部分連接在一起。一個網(wǎng)橋防火墻則象網(wǎng)橋一樣工作，而不被兩端設(shè)備發(fā)現(xiàn)，但是同樣具有過濾通過它的數(shù)據(jù)包的功能。

為什么會需要實現(xiàn)網(wǎng)橋式防火墻呢？一般有以下幾個原因：

* 你可以在網(wǎng)絡(luò)中添加一個防火墻而不需要修改網(wǎng)絡(luò)中任何設(shè)備的參數(shù)。
* 你可能希望保護網(wǎng)絡(luò)的某一個部分而卻沒有權(quán)利控制外部路由的參數(shù)信息。

我遇到的問題

我的辦公室是一個ADSL連接到Demon互聯(lián)網(wǎng)，同時有16個IP地址的子網(wǎng)可供使用。因為英國ISP的特殊原因，線路和路由器是由英國電信公司安裝和擁有，因此我們有權(quán)利配置外部路由器來指定誰是內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)，這樣我只有兩種選擇：

* 直接將每臺主機和ADSL路由器相連接，并且獨立地為每臺主機使用iptables來設(shè)置防火墻規(guī)則。
* 另外一種選擇是使用NAT功能的防火墻來帶動內(nèi)部網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)。

第一種方法是不可接受的，因為這樣將大大增加出錯和系統(tǒng)管理開銷。第二種方法也優(yōu)缺點，雖然大多數(shù)應(yīng)用都能被NAT方式支持，但是也有例外，例如視頻流和VPN等等。一個網(wǎng)橋防火墻則能解決這些問題，防火墻能架設(shè)在ADSL路由器和內(nèi)部網(wǎng)絡(luò)之間來保護網(wǎng)絡(luò)，但同時不需要修改配置。最后一個障礙是在標準的Linux內(nèi)核中完全旁路了iptables，因此你能使用網(wǎng)橋或者是iptables防火墻，但是不能同時使用該功能。

解決方案

幸運的是，有一個項目專門實現(xiàn)支持iptables的網(wǎng)橋，因此任何穿過網(wǎng)橋的數(shù)據(jù)包可以被遞交給iptables規(guī)則進行過濾處理。結(jié)果是防火墻可以是完全透明于網(wǎng)絡(luò)的，不需要特殊的路由功能。就互聯(lián)網(wǎng)而言，防火墻并不存在，除了特定的連接被阻塞。網(wǎng)橋軟件是一個內(nèi)核補丁來支持已有的網(wǎng)橋代碼可以連同iptables一起工作。方便的是開發(fā)者已經(jīng)制作了RPM形式的支持網(wǎng)橋防火墻的內(nèi)核。但不方便的是相關(guān)文檔太少，因此該文章就是幫助那些希望實現(xiàn)網(wǎng)橋式防火墻的人們。

橋接和路由 - 是如何工作的

簡單的說，Linux網(wǎng)橋?qū)崿F(xiàn)一般是在具有一個或多個網(wǎng)絡(luò)接口的設(shè)備上實現(xiàn)的，通過檢測多個網(wǎng)段的活動性，橋接代碼學(xué)習到哪個MAC地址從哪個接口可以到達，并且使用該信息來判斷是否要中繼一個數(shù)據(jù)包到另外一個網(wǎng)段。網(wǎng)橋接口本身是沒有分配IP地址的，但是整個網(wǎng)橋被配置作為防火墻的單個接口。

在橋接情況下目的地址為橋設(shè)備本身的數(shù)據(jù)需要經(jīng)過filter表的INPUT規(guī)則鏈和mangle表的PREROUTING規(guī)則鏈；從橋設(shè)備自身發(fā)出的數(shù)據(jù)需要經(jīng)過filter表的OUTPUT規(guī)則鏈和mangle表的PREROUTING規(guī)則鏈；而流經(jīng)橋設(shè)備的數(shù)據(jù)則要分別經(jīng)過mangle表的PREROUTING規(guī)則鏈和filter表的FORWARD規(guī)則鏈和mangle表的POSTROUTING規(guī)則鏈。

網(wǎng)絡(luò)拓樸

我分配得到的靜態(tài)IP地址范圍為xxx.xxx.xxx.48-63，也就是子網(wǎng)掩碼為255.255.255.240。我決定將整個IP分割為兩個網(wǎng)段：xx.xxx.xxx.48-56用于防火墻以外，這包括ADSL路由器自身的IP地址 (xxx.xxx.xxx.49)；xxx.xxx.xxx.57-62用在防火墻之后部分。需要注意的是這并不是真正的子網(wǎng)劃分，因為它們是有網(wǎng)橋而不是路由器連接的。

防火墻規(guī)則

防火墻規(guī)則定義如下：

#!/bin/sh
#
# rc.firewall - Initial SIMPLE IP Firewall test script for 2.4.x
#
# Author: David Whitmarsh
# (c) 2001, 2002 Sparkle Computer Co ltd.
# based on rc.firewall by Oskar Andreasson
# parts (c) of BoingWorld.com, use at your own risk,
# do whatever you please with
# it as long as you don't distribute this without due credits to
# BoingWorld.com and Sparkle Computer Co Ltd
#

###########
# Configuration options, these will speed you up getting this script to
# work with your own setup.

#
# your LAN's IP range and localhost IP. /24 means to only use the first 24
# bits of the 32 bit IP adress. the same as netmask 255.255.255.0
#
# BR_IP is used to access the firewall accross the network
# For maxium security don't set one up - but then you must do
# everything directly on the firewall.

BR_IP="xxx.xxx.xxx.57"
BR_IFACE=br0

LAN_BCAST_ADDRESS="xxx.xxx.xxx.63"
INTERNAL_ADDRESS_RANGE="xxx.xxx.xxx.56/29"

INET_IFACE="eth1"
LAN_IFACE="eth0"

LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="/sbin/iptables"

#########
# Load all required IPTables modules
#

#
# Needed to initially load modules
#
/sbin/depmod -a

#
# Adds some iptables targets like LOG, REJECT
#
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT

#
# Support for connection tracking of FTP and IRC.
#
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc

#
# Take down the interfaces before setting up the bridge
#

ifdown $INET_IFACE
ifdown $LAN_IFACE
ifconfig $INET_IFACE 0.0.0.0
ifconfig $LAN_IFACE 0.0.0.0

# Clean up for a restart

$IPTABLES -F
$IPTABLES -X
#
# Set default policies for the INPUT, FORWARD and OUTPUT chains
#

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# Our interfaces don't have IP addresses so we have to start with the mangle
# PREROUTING table

$IPTABLES -t mangle -P PREROUTING DROP

# Now we are pretty secure, let's start the bridge
# This will create a new interface

brctl addbr $BR_IFACE

# and add the interfaces to it
brctl addif $BR_IFACE $INET_IFACE
brctl addif $BR_IFACE $LAN_IFACE

# make us visible to the network again (optional)
if [ "$BR_IP" != "" ] ; then
ifconfig $BR_IFACE $BR_IP
else
# otherwise we must at least bring the interface up for the bridge to work.
ifconfig $BR_IFACE up
fi

# Block obvious spoofs

$IPTABLES -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP
$IPTABLES -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP
$IPTABLES -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP

# Accept internal packets on the internal i/f
$IPTABLES -t mangle -A PREROUTING -i $LAN_IFACE -s $INTERNAL_ADDRESS_RANGE -j ACCEPT

# Accept external packets on the external i/f

$IPTABLES -t mangle -A PREROUTING -i $INET_IFACE ! -s $INTERNAL_ADDRESS_RANGE -j ACCEPT

#
# Accept the packets we actually want to forward
#

$IPTABLES -A FORWARD -p ALL -s $INTERNAL_ADDRESS_RANGE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level 7 --log-prefix "IPT FORWARD packet died: "

#
# Create separate chains for ICMP, TCP and UDP to traverse
#

$IPTABLES -N icmp_packets
#
# ICMP rules
#

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 0 -j ACCEPT # echo reply
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT # dest unreachable
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 5 -j ACCEPT # redirect
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT # time exceeded
$IPTABLES -A FORWARD -p ICMP -j icmp_packets

#
# UDP ports
#
$IPTABLES -N udpincoming_packets

$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT # DNS
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 123 -j ACCEPT # ntp
#$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 2074 -j ACCEPT # speakfreely
#$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 4000 -j ACCEPT #icq

$IPTABLES -A FORWARD -p UDP -j udpincoming_packets

#

$IPTABLES -N tcp_packets

#
# The allowed chain for TCP connections
#

$IPTABLES -N allowed
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

# TCP rules
#

#
# Bad TCP packets we don't want
#

$IPTABLES -A tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A tcp_packets -p TCP -s 0/0 -d springfield.sparkle-cc.co.uk --dport 80 -j allowed # smtp
$IPTABLES -A tcp_packets -p TCP -s 0/0 -d lisa.sparkle-cc.co.uk --dport 6346 -j allowed # gnutella
$IPTABLES -A tcp_packets -p TCP -s 0/0 -d springfield.sparkle-cc.co.uk --dport 25 -j allowed # smtp

$IPTABLES -A FORWARD -p TCP -j tcp_packets

#
# Input to the firewall itself. Leave these out if you don't want the firewall
# to be visible on the network at all.
# Note that the PREROUTING restrictions above mean that only packets form inside
# the firewall can fulfill the source condition. So the firewall machine should not be
# visible to the internet.
#

$IPTABLES -A INPUT -p ALL -i $BR_IFACE -s $INTERNAL_ADDRESS_RANGE -d $LAN_BCAST_ADDRESS -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $BR_IFACE -s $INTERNAL_ADDRESS_RANGE -d $BR_IP -j ACCEPT

# But you *will* need this

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -d $LO_IP -j ACCEPT

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level 7 --log-prefix "IPT INPUT packet died: "

#
# OUTPUT chain
#

$IPTABLES -A OUTPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $BR_IP -j ACCEPT
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level 7 --log-prefix "IPT OUTPUT packet died: "

這里的樣本防火墻腳本類似于傳統(tǒng)的防火墻設(shè)置，摘抄于Oskar Andreasson's iptables tutorial

基本的防火墻策略為：

1.阻止不可能的IP地址的數(shù)據(jù)包。
2.允許所有防火墻內(nèi)部到外連的連接。
3.允許屬于內(nèi)部到外部的連接的反向數(shù)據(jù)進入內(nèi)部網(wǎng)絡(luò)。
4.允許外部連接到特定的主機的特定端口。

變量定義

為了保證清晰性和可維護性，定義一些接口名和IP地址作為變量是很不錯的想法。例子中使用了下面這些數(shù)據(jù)：

BR_IP="xxx.xxx.xxx.57"
BR_IFACE=br0

LAN_BCAST_ADDRESS="xxx.xxx.xxx.63"
INTERNAL_ADDRESS_RANGE="xxx.xxx.xxx.56/29"

INET_IFACE="eth1"
LAN_IFACE="eth0"

LO_IFACE="lo"
LO_IP="127.0.0.1"

"xxx.xxx.xxx"表示網(wǎng)絡(luò)IP的前三個字段。$INTERNAL_ADDRESS_RANGE表示內(nèi)部網(wǎng)絡(luò)的IP范圍。

設(shè)置一個橋接設(shè)備

為了設(shè)置一個網(wǎng)橋，我們需要做以下一些工作。首先我們需要關(guān)閉網(wǎng)絡(luò)接口并將其IP設(shè)置去除：

ifdown $INET_IFACE
ifdown $LAN_IFACE
ifconfig $INET_IFACE 0.0.0.0
ifconfig $LAN_IFACE 0.0.0.0

如果你僅僅是通過telnet或ssh會話執(zhí)行了這些命令，那是不行的而應(yīng)該到主機的控制臺來進行操作。下一步我們創(chuàng)建一個橋設(shè)備，并為其指定以太接口：

brctl addbr $BR_IFACE
brctl addif $BR_IFACE $INET_IFACE
brctl addif $BR_IFACE $LAN_IFACE

現(xiàn)在我們就可以啟動橋接設(shè)備作為一個內(nèi)部接口：

ifconfig $BR_IFACE $BR_IP

阻止偽裝

我們可以在mangel PREROUTING規(guī)則鏈中阻塞偽造的數(shù)據(jù)包。通過在這里阻塞，我們同時可以抓獲流入和被轉(zhuǎn)發(fā)的數(shù)據(jù)包。我們使用mangle PREROUTING，而不是nat PREROUTING是因為在NAT表中只有第一個數(shù)據(jù)包被檢查。

下面的內(nèi)容確保只有具有河岸得分內(nèi)部地址的數(shù)據(jù)包被內(nèi)部接口所接受：

$IPTABLES -t mangle -A PREROUTING -i $LAN_IFACE -s $INTERNAL_ADDRESS_RANGE -j ACCEPT

下面命令阻止網(wǎng)橋外部接口接收具有內(nèi)部地址的數(shù)據(jù)包：

$IPTABLES -t mangle -A PREROUTING -i $INET_IFACE ! -s $INTERNAL_ADDRESS_RANGE -j ACCEPT

從內(nèi)部網(wǎng)絡(luò)中訪問防火墻

也許你希望你的防火墻對于網(wǎng)絡(luò)是完全透明的，或者你也可能為了方便允許從內(nèi)部網(wǎng)絡(luò)直接連接網(wǎng)橋防火墻，下面的命令將只允許內(nèi)部網(wǎng)絡(luò)到防火墻的連接。當然根據(jù)自己的實際情況對是否允許訪問網(wǎng)橋防火墻的要求是不一樣的：

$IPTABLES -A INPUT -p ALL -i $BR_IFACE -s $INTERNAL_ADDRESS_RANGE -d $LAN_BCAST_ADDRESS -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $BR_IFACE -s $INTERNAL_ADDRESS_RANGE -d $BR_IP -j ACCEPT

前面我們已經(jīng)阻止了具有和接收接口不匹配的IP地址的數(shù)據(jù)包了。