Netfilter jako Ściana Ognia

Łukasz Klimek <

casa@szluug.org

>

Szczecińska Grupa Użytkowników Linuksa/Uniksa

www.SzLUUG.org

Plan wykładu

—

Wstęp

—

Rozwinięcie

—

Zakończenie

Podstawowe pojęcia

—

reguła (ang. rule) – zasada postępowania z

pakietami składająca się z:

–

testów (ang. match), które określają, których pakietów
dotyczy dana reguła

–

akcji (ang. action) która ma zostać wykonana

—

łańcuch (ang. chain) – zbiór reguł ułożonych w

określonej kolejności

—

tablica (ang. table) - zbiór łańcuchów

Przykładowa reguła

—

iptables

-I INPUT

-s 192.168.1.1

-j DROP

-t filter

–

INPUT

– łańcuch

–

-s 192.168.1.1

– test – adres źródłowy

–

-j DROP

– akcja – porzucenie pakietu

–

-t filter

– tablica filter

–

Składnia polecenia iptables

—

iptables [-t tablica] komenda [testy] [cel]

–

tablica: filter | nat | mangle

–

komenda: -I n | -A | -D | -R | -L | -F | -Z | -N |
-X | -P | -E

–

testy: -p | -s | -d | -i | -o | ...

–

cel: -j ACCEPT | -j DENY | -j REJECT | -j DROP
| -j inny_lancuch

Tablica filter

—

domyślna tablica, jeśli nie podamy opcji -t

—

używana do filtrowania pakietów

—

główne cele:

–

LOG, DROP, ACCEPT

–

REJECT

--reject-with icmp-net-unreachable | icmp-host-unreachable
| icmp-port-unreachable | icmp-proto-unreachable
| icmp-net-prohibited | icmp-host-prohibited

| icmp-admin-prohibited

Tablica nat

—

służy do definiowania zasad działania NAT

—

trafiają do niej tylko pakiety otwierające nowe

połączenie

—

specjalne cele:

–

SNAT – Source NAT – zmiana adresu źródłowego

–

DNAT – Destanation NAT – zmiana adresu celu

–

MASQUERADE – wolniejszy SNAT; sprawdza za
każdym razem adres IP, wspiera dynamiczne IP

—

Tablica mangle

—

służy głównie do modyfikowania pakietów

—

specjalne cele:

–

TOS – zmiana flag Type Of Service

–

TTL – zmiana Time To Live – czasu życia pakietu

–

MARK – znakowanie pakietów

Droga przez mękę ;)

dest=localhost

mangle:

PREROUTING

nat:

PREROUTING

routing

mangle:

INPUT

filter:

INPUT

Proces

lokalny

Sieć

Droga przez mękę ;)

src=localhost

routing

mangle:

OUTPUT

filter:

OUTPUT

Sieć

Proces

lokalny

nat:

OUTPUT

mangle:

POSTROUTING

nat:

POSTROUTING

Droga przez mękę ;)

forwarding

mangle:

PREROUTING

nat:

PREROUTING

routing

mangle:

FORWARD

filter:

FORWARD

Sieć 2

Sieć 1

mangle:

POSTROUTING

nat:

POSTROUTING

Dodawanie i usuwanie reguł

–

iptables

-I INPUT

-s 192.168.1.1 -j DROP -t filter

wstawienie reguły na początku łańcucha

INPUT

–

iptables

-A INPUT

-s 192.168.1.1 -j DROP -t filter

wstawienie reguły na końcu łańcucha

INPUT

–

iptables

-I INPUT 5

-s 192.168.1.1 -j DROP -t filter

wstawienie reguły na pozycji piątej łańcucha

INPUT

–

iptables

-D INPUT 3

usunięcie reguły z pozycji 3 łańcucha

INPUT

–

iptables

-D INPUT

-s 192.168.1.1 -j DROP -t filter

usunięcie pierwszej reguły identycznej z podaną

Wyświetlanie listy reguł

–

iptables

-L INPUT

-t filter

Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 1.2.3.3 anywhere
DROP all -- 1.2.3.7 anywhere
DROP all -- 1.2.3.4 anywhere
DROP all -- 1.2.3.3 anywhere

–

Nie podanie nazwy łańcucha spowoduje wyświetlenie
reguł dla wszystkich łańcuchów w danej tabeli

Zastępowanie reguł

–

iptables

-R INPUT 3

-s 127.0.0.1 -j ACCEPT -t filter

–

Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 1.2.3.3 anywhere
DROP all -- 1.2.3.7 anywhere
ACCEPT all -- localhost anywhere
DROP all -- 1.2.3.3 anywhere

Zarządzanie łańcuchami

—

iptables

-N nazwałańcucha

-t filter

–

dodanie nowego łańcucha o nazwie nazwałańcucha

—

iptables

-F nazwałańcucha

-t filter

–

usunięcie wszystkich reguł z łańcucha nazwałańcucha

—

iptables

-X nazwałańcucha

-t filter

–

usunięcie łańcucha nazwałańcucha; nie może on
zawierać żadnych reguł

—

iptables

-Z nazwałańcucha

-t filter

wyzerowanie liczników dla danego łańcucha

Liczniki

—

każda reguła posiada licznik trafień

–

ilość pakietów

–

ilość bajtów

—

przykład:

iptables -I OUTPUT -d 81.210.40.2 -p icmp

zauważmy brak celu! dzięki temu zliczamy pakiety

–

iptables -v -L ...

—

Chain OUTPUT (policy ACCEPT 130 packets, 9161 bytes)

pkts bytes target prot opt in out source destination

26 2184 icmp -- * * 0.0.0.0/0 81.210.40.2

Zarządzanie łańcuchami - c.d.

—

iptables

-P nazwałańcucha cel

-t filter

–

ustalenie domyślnego celu dla łańcucha; łańcuch musi
być jednym z łańcuchów wbudowanych (

INPUT,

FORWARD, OUTPUT, PREROUTING,
POSTROUTING), a cel to DROP lub ACCEPT

—

iptables

-E staranazwa nowanazwa

-t filter

–

zmiana nazwy łańcucha

Inne przydatne opcje

—

iptables

–

-n

– nie zamieniaj adresów IP na nazwy hostów

–

-v

– bądź głośny – podawaj więcej informacji

wartości liczbowe będą podawane z przyrostkami krotności

(M,G,...) chyba, że podamy argument

-x

–

--line-numbers

– pokazuj numery reguł

–

-c

– użyte przy wstawianiu ustawia liczniki na podane

wartości, np. -c 20 4000

Podstawowe testy

—

iptables -I łańcuch -t tablica

-p protokół

–

wybór protokołu, którego ma dotyczyć reguła;
najczęściej używane to

tcp, udp i icmp oraz ALL;

pełna lista protokołów dostępna jest w pliku
/etc/protocols

—

iptables -I łańcuch -t tablica

-s 192.168.1.234

–

źródłowy adres ip pakietu którego dotyczy reguła

—

iptables -I łańcuch -t tablica

-d 192.168.1.234

–

docelowy adres ip pakietu którego dotyczy reguła

Podstawowe testy(2)

—

iptables -I łańcuch -t tablica

-i eth0

–

wybór interfejsu (karty sieciowej) przez który wchodzą
pakiety

—

iptables -I łańcuch -t tablica

-o eth0

–

wybór interfejsu (karty sieciowej) przez który
wychodzą pakiety

Protokół TCP

—

--sport NNN

– port źródłowy pakietu

—

--dport NNN

– port docelowy pakietu

—

--tcp-flags

SYN, ACK, FIN, RST, URG, PSH |

ALL | NONE

–

flagi nagłówka TCP

—

--syn

= --tcp-flags SYN,RST,ACK SYN

–

oznacza pakiet nawiązujący połączenie

—

--tcp-option

N – sprawdza czy w nagłówku

ustawiona jest dana opcja

UDP i ICMP

—

UDP:

–

--sport, --dport

—

ICMP:

–

--icmp-type (patrz: iptables -p icmp -h)

—

—

modyfikator

!

–

zanegowanie wartości znajdującej się za znakiem !

–

dotyczy większości testów

Przykłady

—

Zablokowanie wychodzących pakietów tcp

otwierających połączenie ze stroną www.wp.pl

iptables -A OUTPUT -d www.wp.pl -p tcp --dport 80 \

--syn -j DROP

–

wersja 2:

iptables -A OUTPUT -d www.wp.pl -p tcp --dport 80 \
--syn -j REJECT --reject-with icmp-admin-prohibited

–

Na czym (w praktyce) polega różnica?

Przykłady(2).

—

Wyłączenie odpowiadania na ping:

–

iptables -I INPUT -p icmp --icmp-type echo-request -j DROP

—

Reguły zabezpieczające sieć lokalną

–

Załóżmy, że mamy 2 karty sieciowe: eth0 – wyjście do

Internetu, eth1 – sieć lokalna 1.2.3.0/24....

iptables -I FORWARD -s 1.2.3.0/24 -i eth1 -j ACCEPT
iptables -I FORWARD -d 1.2.3.0/24 -o eth1 -j ACCEPT
iptables -P FORWARD DROP

Przykłady - c.d.

—

Firewall na serwerze DNS

–

iptables -A INPUT -p tcp --dport ! 53 -j DROP
iptables -A INPUT -p udp --dport ! 53 -j DROP

—

wersja 2:

–

iptables -P INPUT DROP

iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Bardziej skomplikowane zadanie

—

Stwórzmy 3 łańcuchy:

–

lancuch_tcp i lancuch_udp, zawierający dozwolone
porty odpowiednio dla protokołu TCP i UDP

–

łańcuch loguj_odrzuc, który zapisze informacje z
przechodzących przez niego pakietów do logów, a

następnie odrzuci je

—

Będziemy akceptować pakiety wychodzące na port

80 (tcp) i 53 (udp).

Bardziej skomplikowane zadanie(2)

—

iptables -N lancuch_tcp

iptables -N lancuch_udp

iptables -N loguj_odrzuc

iptables -A OUTPUT -p tcp -j lancuch_tcp

iptables -A OUTPUT -p udp -j lancuch_udp

iptables -A OUTPUT -j loguj_odrzuc

loguj_odrzuc

—

Logowanie pakietu:

–

iptables -A loguj_odrzuc -j LOG

—

Odrzucanie pakietu:

–

iptables -A loguj_odrzuc -j REJECT

lancuch_tcp, podejście 1

—

iptables -I lancuch_tcp -p tcp --dport ! 80 -j DROP

Efekt: pakiety wysyłane na port 80 także są odrzucane.

DLACZEGO ???

Przepływ danych przez nasze tabele

Pakiet na port 80 (tcp)

INPUT:

1. -p tcp -j lancuch_tcp

lancuch_tcp:

1. --dport ! 80 -j DROP

TAK

lancuch_tcp:

2. koniec łańcucha

NIE

INPUT:

2. -p udp -j lancuch_udp

Powrót

INPUT:

3. -j loguj_odrzuc

loguj_odrzuc:

1. -j LOG

loguj_odrzuc:

2. -j REJECT

Pakiet

odrzucony

SNAT i DNAT

—

SNAT – Source Network Address Translation –

technika pozwalająca na dynamiczną zamianę
adresu

źródłowego w przechodzących przez daną

maszynę pakietach

—

DNAT – Destanation Network Address

Translation – technika pozwalająca na dynamiczną
zamianę adresu

docelowego w przechodzących

przez daną maszynę pakietach

Prosty SNAT

—

SNAT może być używany do korzystania z Internetu
przez wiele maszyn z użyciem tylko 1 rzeczywistego
adresu IP.

—

Załóżmy, że posiadamy sieć lokalną 10.0.0.0/8 i
rzeczywisty (zewnętrzny) adres IP 1.2.3.4.

—

Najprostsza forma SNAT:

–

iptables -A POSTROUTING -t nat -s 10.0.0.0/8 \

-j SNAT --to 1.2.3.4

—

Pytanie: jaki teraz będzie efekt regułki:

–

iptables -I FORWARD -s 1.2.3.4 -j DROP

DNAT

—

NAT może być m.in. wykorzystane do prostego

load balancingu.

—

Załóżmy, że mamy klaster 2 serwerów www:

1.2.3.2 i 1.2.3.3. Z Internetem łączy je router

1.2.3.1 operujący na Linuksie. Niech

www.serwer.com

wskazuje na host 1.2.3.1.

–

iptables -I PREROUTING -d 1.2.3.1 -p tcp \

--dport 80 -j DNAT --to 1.2.3.2 --to 1.2.3.3 -t nat

—

Regułka ta powoduje, że połowa żądań będzie

wysłana do serwera 1.2.3.2 a reszta do 1.2.3.3

Adres MAC

—

Czasem chcemy, aby użytkownicy mogli uzyskać

dostęp do Sieci tylko z określonych adresów mac

—

Służy to tego polecenie

–

iptables ....

-m mac --mac

12:34:56:78:90:ab

—

Opcja

-m

pozwala skorzystać z dodatkowych, nie

uwzględnianych domyślnie, testów.

Adres MAC - przykład

—

Chcemy zablokować możliwość wysyłania

pakietów do użytkownika o adresie MAC

12:34:56:78:90:ab

–

[root@Coth: casa]# iptables -I OUTPUT -m mac \
--mac 12:34:56:78:90:ab -j DROP

iptables: Target problem

—

Wniosek: dopasowanie match może być używane

tylko tablicach wejściowych (PREROUTING,

INPUT, FORWARD), gdzie znany jest mac

nadawcy pakietu.

Adres MAC – przykład 2

—

Nadajemy użytkownikom dostęp do Sieci tylko

wtedy gdy ich adres IP pasuje do adresu MAC

–

# iptables -A FORWARD -m mac \
--mac 12:34:56:78:90:ab -s 1.2.3.4 -j ACCEPT

...
# iptables -A FORWARD -d 1.2.3.4 -j ACCEPT
# iptables -P FORWARD DROP

Problem: dużo reguł

—

Jeśli mamy dużo reguł podanych na poprzedniej

stronie i duży ruch, będą one spowalniały

działanie naszej sieci. Każdy pakiet będzie

bowiem musiał przejść (w najgorszym

przypadku) przez wszystkie reguły.

—

Obejście – podział na łańcuchy

Podział na łańcuchy

—

Przykład: sieć 1.2.3.0/24 dzielimy na 2 łańcuchy

# iptables -N siec1; iptables -N siec2; iptables -P FORWARD DROP

# iptables -A FORWARD -s 1.2.3.0/25 -j siec1
# iptables -A FORWARD -s 1.2.3.128/25 -j siec2
# iptables -A FORWARD -d 1.2.3.0/24 -j ACCEPT

# iptables -A siec1 -s 1.2.3.1 -m mac .... -j ACCEPT
...
# iptables -A siec1 -s 1.2.3.127 -m mac .... -j ACCEPT

# iptables -A siec1 -s 1.2.3.128 -m mac .... -j ACCEPT
...

# iptables -A siec1 -s 1.2.3.254 -m mac .... -j ACCEPT

Efekt podziału – pakiet odrzucony

Oszacowanie ilości porównań

N reguł

Przed podziałem

3 reguły

Po podziale

pakiet

pakiet

pakiet

odrzucony

pakiet

odrzucony

Jaki jest inny sposób minimalizacji ilości porównań w tym przypadku?

Efekt podziału – pakiet przyjęty

Przypadek najgorszy

N-1 reguł

Przed podziałem
N-1 porównań

1-2 reguły

Po podziale – N/2 + ok. 1 reguły

pakiet

pakiet

pakiet

przyjęty

N/2 reguł

N/2 reguł

pakiet

przyjęty

Efekt podziału – pakiet przyjęty

Przypadek średni

N/2 reguł

Przed podziałem
N/2 porównań

1 reguła

Po podziale – N/4 + 1 porównań

pakiet

pakiet

pakiet

przyjęty

N/4 reguł

N/4 reguł

pakiet

przyjęty

Podział regułek - podsumowanie

—

Istnieje możliwość takiego skonstruowania reguł,

aby ilość porównań w najgorszym wypadku

wynosiła log

2

(N)

—

Jednak czy warto?

–

łańcuchy zajmują zasoby

–

przemieszczanie się między łańcuchami troszkę trwa

Patch-o-matic

—

Patch-o-matic to zbiór dodatkowych dopasowań i

celów dla iptables.

—

Przykład – test limit:

–

iptables -A INPUT -p tcp --dport 80 -m limit --limit
5/min -j LOG

—

Przykład – test multiport

–

iptables -A INPUT -p tcp -m multiport --dports
80,81,82 -m limit --limit 5/min -j LOG

Literatura

—

man 8 iptables

—

http://www.netfilter.org/documentation/

—

http://iptables-tutorial.frozentux.net/iptables-
tutorial.html

KONIEC

Dziękuję za uwagę