开源零信任SDP 环境的安装和搭建二：SDP gateway

admin

SDP gateway

• 网关要配置iptables，默认drop策略
  

我这有份脚本可以用

1. IPTABLES=/sbin/iptables
   
2. IP6TABLES=/sbin/ip6tables
   
3. MODPROBE=/sbin/modprobe
   
4. INT_NET=192.168.10.0/24                                   //按实际改
   
5. INT_INTF=eth1                                                        //按实际改
   
6. EXT_INTF=eth0                                                        //按实际改
   
7. 
   
8. ### flush existing rules and set chain policy setting to DROP
   
9. echo "[+] Flushing existing iptables rules..."
   
10. $IPTABLES -F
    
11. $IPTABLES -F -t nat
    
12. $IPTABLES -X
    
13. $IPTABLES -P INPUT DROP
    
14. $IPTABLES -P OUTPUT DROP
    
15. $IPTABLES -P FORWARD DROP
    
16. 
    
17. ### this policy does not handle IPv6 traffic except to drop it.
    
18. #
    
19. echo "[+] Disabling IPv6 traffic..."
    
20. $IP6TABLES -P INPUT DROP
    
21. $IP6TABLES -P OUTPUT DROP
    
22. $IP6TABLES -P FORWARD DROP
    
23. 
    
24. ### load connection-tracking modules
    
25. #
    
26. $MODPROBE ip_conntrack
    
27. $MODPROBE iptable_nat
    
28. $MODPROBE ip_conntrack_ftp
    
29. $MODPROBE ip_nat_ftp
    
30. 
    
31. ###### INPUT chain ######
    
32. #
    
33. echo "[+] Setting up INPUT chain..."
    
34. 
    
35. ### state tracking rules
    
36. $IPTABLES -A INPUT -m conntrack --ctstate INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
    
37. $IPTABLES -A INPUT -m conntrack --ctstate INVALID -j DROP
    
38. $IPTABLES -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    
39. 
    
40. ### anti-spoofing rules
    
41. $IPTABLES -A INPUT -i $INT_INTF ! -s $INT_NET -j LOG --log-prefix "SPOOFED PKT "
    
42. $IPTABLES -A INPUT -i $INT_INTF ! -s $INT_NET -j DROP
    
43. 
    
44. ### ACCEPT rules
    
45. $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
    
46. 
    
47. ### default INPUT LOG rule
    
48. $IPTABLES -A INPUT ! -i lo -j LOG --log-prefix "DROP " --log-ip-options --log-tcp-options
    
49. 
    
50. ### make sure that loopback traffic is accepted
    
51. $IPTABLES -A INPUT -i lo -j ACCEPT
    
52. 
    
53. ###### OUTPUT chain ######
    
54. #
    
55. echo "[+] Setting up OUTPUT chain..."
    
56. 
    
57. ### state tracking rules
    
58. $IPTABLES -A OUTPUT -m conntrack --ctstate INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
    
59. $IPTABLES -A OUTPUT -m conntrack --ctstate INVALID -j DROP
    
60. $IPTABLES -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    
61. 
    
62. ### ACCEPT rules for allowing connections out
    
63. $IPTABLES -A OUTPUT -p tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT
    
64. $IPTABLES -A OUTPUT -p tcp --dport 25 -m conntrack --ctstate NEW -j ACCEPT
    
65. $IPTABLES -A OUTPUT -p tcp --dport 43 -m conntrack --ctstate NEW -j ACCEPT
    
66. $IPTABLES -A OUTPUT -p tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
    
67. $IPTABLES -A OUTPUT -p tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
    
68. $IPTABLES -A OUTPUT -p tcp --dport 4321 -m conntrack --ctstate NEW -j ACCEPT
    
69. $IPTABLES -A OUTPUT -p tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
    
70. $IPTABLES -A OUTPUT -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
    
71. $IPTABLES -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
    
72. 
    
73. ### default OUTPUT LOG rule
    
74. $IPTABLES -A OUTPUT ! -o lo -j LOG --log-prefix "DROP " --log-ip-options --log-tcp-options
    
75. 
    
76. ### make sure that loopback traffic is accepted
    
77. $IPTABLES -A OUTPUT -o lo -j ACCEPT
    
78. 
    
79. ###### FORWARD chain ######
    
80. #
    
81. echo "[+] Setting up FORWARD chain..."
    
82. 
    
83. ### state tracking rules
    
84. $IPTABLES -A FORWARD -m conntrack --ctstate INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
    
85. $IPTABLES -A FORWARD -m conntrack --ctstate INVALID -j DROP
    
86. $IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    
87. 
    
88. ### anti-spoofing rules
    
89. $IPTABLES -A FORWARD -i $INT_INTF ! -s $INT_NET -j LOG --log-prefix "SPOOFED PKT "
    
90. $IPTABLES -A FORWARD -i $INT_INTF ! -s $INT_NET -j DROP
    
91. 
    
92. ### ACCEPT rules
    
93. $IPTABLES -A FORWARD -p tcp -i $INT_INTF -s $INT_NET --dport 21 -m conntrack --ctstate NEW -j ACCEPT
    
94. $IPTABLES -A FORWARD -p tcp -i $INT_INTF -s $INT_NET --dport 25 -m conntrack --ctstate NEW -j ACCEPT
    
95. $IPTABLES -A FORWARD -p tcp -i $INT_INTF -s $INT_NET --dport 43 -m conntrack --ctstate NEW -j ACCEPT
    
96. $IPTABLES -A FORWARD -p tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
    
97. $IPTABLES -A FORWARD -p tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
    
98. $IPTABLES -A FORWARD -p tcp -i $INT_INTF -s $INT_NET --dport 4321 -m conntrack --ctstate NEW -j ACCEPT
    
99. $IPTABLES -A FORWARD -p tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
    
100. $IPTABLES -A FORWARD -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
     
101. $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
     
102. 
     
103. ### default LOG rule
     
104. $IPTABLES -A FORWARD ! -i lo -j LOG --log-prefix "DROP " --log-ip-options --log-tcp-options
     
105. 
     
106. ###### NAT rules ######
     
107. #
     
108. echo "[+] Setting up NAT rules..."
     
109. $IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i $EXT_INTF -j DNAT --to 192.168.10.3:80
     
110. $IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -i $EXT_INTF -j DNAT --to 192.168.10.3:443
     
111. $IPTABLES -t nat -A PREROUTING -p udp --dport 53 -i $EXT_INTF -j DNAT --to 192.168.10.4:53
     
112. $IPTABLES -t nat -A POSTROUTING -s $INT_NET -o $EXT_INTF -j MASQUERADE
     
113. 
     
114. ###### forwarding ######
     
115. #
     
116. echo "[+] Enabling IP forwarding..."
     
117. echo 1 > /proc/sys/net/ipv4/ip_forward
     
118. 
     
119. exit
     
120. ### EOF ###
     
121. 
     
122. 这个脚本吧ICMP留下来了，还能使用ping命令
     

复制代码

查看iptables的命令是 sudo iptables -nL --line-number
2、clone 代码编译安装

1. 
   
2. git clone https://github.com/waverleylabs/fwknop
   
3. 
   
4. sudo apt-get install net-tools openssl libssl-dev libjson-c-dev libpcap-dev texinfo libtool autoconf make telnet libuv1 libuv1-dev
   
5. 
   
6. libtoolize --force
   
7. aclocal
   
8. autoheader
   
9. automake --force-missing --add-missing
   
10. autoconf
    
11. ./configure --prefix=/usr --sysconfdir=/etc --with-iptables=/sbin/iptables   //注意iptables的位置
    
12. 
    
13. make
    
14. sudo make install
    
15. 
    

复制代码

从源代码的目录中拷贝fwknopd.conf 和 gate_sdp_ctrl_client.conf 到/etc/fwknop中，fwknopd.conf 中修改：DP_CTRL_CLIENT_CONF 就是gate_sdp_ctrl_client配置文件的地址 ，PCAP_INTF 网卡的别名 用ifconfig查，还有最下面的Direcories 我把能开的全开了，也不知道有没有用。

gate_sdp_ctrl_client中修改：CTRL_ADDR 也就是控制器的IP ，然后就是控制器生成的 KEY_FILE 、CERT_FILE 、 CA_CERT_FILE ， SPA_KEY和SPA_HMAC_KEY可以随便填，按道理应该和控制器spdid表中的数据一致，但是这个我随便填他也能生效，这应该是个bug。我的client中这个文件的字段是随着数据库一起变动的，没连接一次控制器这个东西就会更新。就这个地方弄了好久没整明白。

sudo fwknopd,启动网关。

这个网关的难点就是iptables的使用和配置文件的修改吧！

建议：客户端的debug日志通过 cat /etc/log/syslog |grep sdp 和 fwk 来看，这个东西debug日志写入了系统的syslog