kernel.lt » iptables http://kernel.lt Kompiuterijos ir kitos IT naujienos Sun, 03 Feb 2013 20:17:07 +0000 en-US hourly 1 http://wordpress.org/?v=3.5.1 Iptables http://kernel.lt/2010/04/iptables-2/ http://kernel.lt/2010/04/iptables-2/#comments Tue, 27 Apr 2010 09:51:30 +0000 Martynas

Ugniasienė (angl. firewall) skirta vidinio kompiuterių tinklo (arba atskiro tinklo kompiuterio) saugumui užtikrinimui. Ji analizuoja bei valdo duomenų sraute esančių paketų antraštes.  Antraštėje (header) yra siuntėjo ir gavėjo IP adresai. Ugniasienė paremta paketų filtru, analizuojančiu paketų pradžią ir kontroliuojančiu paketo judėjimą. Yra du taisyklių kūrimo principai:

  • viskas leidžiama, kas neuždrausta;
  • viskas draudžiama, kas neleista (dažniausiai naudojamas).

Paketų filtras “iptables”

Paketų valdymo taisyklės yra sudaromos naudojant programą „iptables“. Tai paketų filtras, kuris programiškai peržiūri paketo antraštę ir nusprendžia, ką su paketu daryti: jį sustabdyti, praleisti, arba atmesti (pranešant apie tai siuntėjui).

Linux operacinėje sistemoje paketų filtras yra integruotas į branduolį. Paketų filtravimas yra valdomas programa iptables, kuri kreipiasi į branduolį, įterpia į branduolio paketų filtravimo lentelę taisykles, ir taip nustato, kokius paketus filtruoti. Taip padaryti filtrai galioja iki sistemos perkrovimo, todėl po perkrovimo reikia iptables komandas suvesti į paleidimo skriptus. Linux sistemoje tai padaryti galima pasinaudojus cron programa.

Taisyklės yra apjungiamos į sąrašus, vadinamus grandimis (chain). Branduolys turi tris pagrindines grandis: INPUT, OUTPUT, FORWARD.

  • Iš tinklo į sąsają patekęs paketas tiriamas – analizuojama paketo antraštė
    • Jei jis skirtas šiam kompiuteriui, jis perleidžiamas INPUT grandžiai
    • Jei jis skirtas kitam kompiuteriui, ir jei yra įjungtas persiuntimas (FORWARDING), paketas nusiunčiamas nurodytai grandžiai,
    • Kitais atvejais – paketas sustabdomas
  • Į tinklą  siunčiami paties kompiuterio generuojami paketai persiunčiami OUTPUT grandžiai.

Keletas veiksmų, kuriuos galima atlikti su grandimis:

  • sukurti naują grandį (-N) iptables -N syn-flood
  • išmesti taisykles iš grandies (-F) iptables -F
  • šalinti tuščią grandį (-X) iptables -X
  • nustatyti bazines (default) taisykles (policy) grandžiai (-P) iptables -P INPUT DROP (bazinė INPUT grandies taisyklė – sustabdyti paketus)
  • perskaityti grandies taisykles (-L)iptables -L
  • pridėti taisyklę prie grandies (-A) iptables -A INPUT -i eth0 -d 127.0.0.1 -j DROP (sustabdyti paketus, atėjusius į sąsają eth0, adresuotus 127.0.0.1). Pridedant taisykles svarbu žinoti, kad jos bus taikomos iš eilės!
  • pašalinti taisyklę iš grandies (-D)iptables -D INPUT -i eth0 -d 127.0.0.1 -j DROP (pašalinti anksčiau apibrėžtą taisyklę)
  1. INPUT - dedamos taisyklės, kurios filtruoja į sistemą ateinančius paketus.
  2. OUTPUT - dedamos taisyklės, kurios filtruoja iš sistemos išeinančius paketus.
  3. FORWARD - dedamos taisyklės, kurios filtruoja per sistemą iš vieno į kitą interfeisą siunčiamus paketų srautus.

Kiti nurodomi iptables parametrai:

-s <adresas> siuntėjo adresas
-d <adresas> gavėjo adresas
-p <proto> protokolas. (TCP, UDP, ICMP)
-i <int> interfeisas įėjimo
-o <int> interfeisas įšėjimo
-j <target> Nurodoma ką daryti su paketu: ACCEPT ar DROP.

Adresas gali būti užrašomas:

  1. Pilnu vardu: www.google.lt
  2. Ip adresu: 192.168.58.2
  3. Ip adresu su kauke (netmask): 192.168.58.2/255.255.255.0
  4. Ip adresu su prefiksu: 192.168.58.2/24
  5. Norint nurodyti paneigimą: !192.168.58.2 Šiuo atveju taisyklė bus taikoma visiems adresams, išskyrus nurodytąjį.
Eil.nr iptables konfigūracijos eilutė Atliekamos funkcijos
1 
/sbin/iptables -P INPUT DROP

/sbin/iptables -P OUTPUT DROP

/sbin/iptables -P FORWARD DROP
 Grandžių standartinės taisykles nustatytos taip, kad būtų numesti visi paketai
2 
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
 Leisti išsiųsti ir gauti paketus per lokalų lo interfeisą.
3 
/sbin/iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
/sbin/iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
 Sustabdyti iš siuntėjo atėjusius broadcast paketus.
4 
/usr/sbin/iptables -A INPUT -i eth1 -p all -s 160.86.0.0/16 -j ACCEPT

/usr/sbin/iptables -A INPUT -i eth1 -p all -j DROP
 Priima/Uždraudžia visus įeinančius protokolus į įšorinį (eth1) interfeisą iš siuntėjo.
5 
iptables -A INPUT -i eth0 -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT
 Į grandį INPUT pridedama taisyklė: ICMP protokolo pranešimas: destination-unreachable/time-exceeded/echo-reply/echo-request
6 
iptables -A INPUT -s !127.0.0.0/8 -p tcp --dport 111 -j DROP
 Sustabdyti atėjusius visus TCP paketus išskyrus 127.0.0.0/8 į 111 portą.
7 
iptables -A INPUT -p tcp -i eth0 --dport 113 -j REJECT --reject-with tcp-reset
 Atmesti visus atėjusius TCP paketus į 113 portą ir išsiunčiamas ICMP pranešimas: tcp-reset.
8 
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 4  -j ACCEPT
 Priimti visus atėjusius TCP paketus į  4 portą (sfs).
9 
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 21 -j ACCEPT
 Priimti visus atėjusius TCP paketus į 21 portą (ftp).
10 
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
 Priimti visus atėjusius TCP paketus į 22 portą (ssh)
11 
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
 Priimti visus atėjusius TCP paketus į 80 portą (http)
12 
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT
 Priimti visus atėjusius TCP paketus į 443 portą ( https).
13 
/sbin/iptables -A OUTPUT -p ALL -o lo -j ACCEPT
/sbin/iptables -A OUTPUT -p ALL -o eth1 -j ACCEPT
/sbin/iptables -A OUTPUT -p ALL -o eth0 -j ACCEPT
 Leidžia visus išeinančius protokolus iš šių interfeisų: lo/eth1/eth0
14 
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth1 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 1. Pirma taisyklė prijungia LAN prie interneto naudojant NAT.

2. Grandinei FORWARD leidžia įeinančius paketus iš eth1 interfeiso.

3. Leidžia sekti tokias susijungimo būsenas: ESTABLISHED, RELATED
15 
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 160.86.0.50
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 160.86.0.51
 1. Nukreipia per TCP 80 portą iš interneto į vidinio tinklo adresą 160.86.0.50

2. Nukreipia per TCP 21 portą iš interneto į vidinio tinklo adresą 160.86.0.51

Sistemos saugumo skanavimas su “Nmap”

Programa „NMap“ skirta tinklo ir jo saugumo tyrimui. Programa gali:

  • nustatyti veikiančius tinklo įrenginius
  • skenuoti prievadus, surasti atvirus prievadus
  • nustatyti programinės įrangos versiją
  • atpažinti operacinę sistemą.

Papildomos taisyklės:

  1. Drausti vietinio tinklo vartotojui 10.0.0.44 jungtis prie Linux ugniasienės TCP 8080 porto (Lokalios -Intranet Web svetainės) iš vidinio tinklo
  2. Leisti įeinančius tik iš 10.0.0.0/24 tinklo paketus jungtis prie TCP 110 porto (Pašto POP3 serveris laiškų paėmimui iš pašto dėžės) per vidinio tinklo (eth2) interfeisą.
  3. Leisti įeinančius paketus jungtis prie TCP 143 porto (Pašto IMAP serveris laiškų paėmimui iš pašto dėžės) per vidinio tinklo (eth2) interfeisą.
  4. Nustatykite DNAT nukreipimą iš interneto į TCP 443 portą ateinantiems srautams į vidiniame tinkle esančio HTTPS serverio 10.0.0.32 TCP 443 portą.

iptables -A INPUT -i eth2 -s 10.0.0.44 -p tcp –dport 8080 -j DROP

iptables -A INPUT -i eth2 -s 10.0.0.0/24 -p tcp –dport 110 -j ACCEPT

iptables -A INPUT -i eth2 -p tcp –dport 143 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j DNAT –to-destination 10.0.0.32:443

]]> http://kernel.lt/2010/04/iptables-2/feed/ 0