Iptables puust ja punaseks

Allikas: Kuutõrvaja
                                        Roheline.jpg Toores. Ehk seda pala võib täiendada.

Tööpõhimõte

Iptables või NetFilter on töövahend linuxi kernelisse ehitatud filtreerimismehanismi kasutamiseks. Kokku koosneb iptables niisiis kahest osast. Kerneli moodulitest ning käsurea utiliidist.

Iptables koosneb kolme tüüpi objektidest:

  1. Reeglid (Rules)
  2. Ahelad (Chains)
  3. Tabelid (Tables)

Lisaks on olemas täiendavad moodulid nt erinevate protokollide jälgimiseks.

Ülevaatlikult iseloomustab pakettide liikumist läbi ahelate ning tabelite järgnev skeem.

Iptables.png

Reeglid

Peamisteks reegliteks mida rakendatakse on ACCEPT, DROP, LOG, REJECT, DNAT, SNAT ja MASQUERADE.

  • ACCEPT - lubab paketi
  • DROP - kustutab paketi armutult
  • REJECT - kustutab paketi ja teavitab sellest ka paketi saatjat
  • LOG - logib paketi ja liigutab paketi edasi järgmisele ahelale
  • DNAT – paketi saaja aadress muutmine
  • SNAT – paketi saatja aadressi muutmine
  • MASQUERADE - Paketi saatja aadressi muutmine tulemüüri enda omaks

Tabelid

Paketid liiguvad läbi tabelite ning ahelate ning seejärel neile omakorda rakendatakse reegleid.

Kõik ahelad kasutavad ühte või teist tabelit. Kui tabel pole määratud võetakse vaikimisi FILTER tabel.

Iptables sisaldab kolme põhitabelit:

filter TABEL

Seda tabelit kasutatakse pakettide filtreerimiseks läbi tulemüüri. Eesmärgiks on puhtalt pakettide filtreerimine. Näiteks sissetulevate pakettide (incoming), väljuvate pakettide (outgoing) ja pakettide mis on edastatud võrgukaartide vahel (filtering).

See tabel sisaldab kolme ahelat:

  • INPUT ahel - Sisenevate pakettide filtreerimine, ehk masinale endale suunatud liiklus.
  • OUTPUT ahel - Väljuvate pakettide filtreerimine, ehk masina enda genereeritud paketid.
  • FORWARD ahel - Võrgukaartide vahel edasi suunatud pakettide filtreerimine, või igasugune edastatav liiklus.

nat tabel Seda tabelit kasutatakse IP muutmiseks.

  • PREROUTING ahel - Kasutatakse IP aadressi muutmiseks enne paketi edastamist
  • POSTROUTING ahel - Kasutatakse IP muutmiseks peale paketi edastamist
  • OUTPUT ahel - Väljuvate ühenduste filtreerimiseks

mangle tabel Leiab kasutamist pakettide märgistamiseks. Igal linuxi tuuma läbival paketil on 32 bitine number ehk märk.

Tabelite sisu näeb järgnevate käsuga iptables -f <tabelinimi> -L. Näiteks: 

# iptables -t filter -L

Ahelad

Ahel kujutab endast objekti mis on seotud mingi tabeliga ning millele on omakorda kirjutatud peale hulk erinevaid reegleid.

Masinasse sisenenud oakett liigub mööda ahelaid ülevalt alla seni kuni mõni reegel ühildub paketiga. Näiteks lubab selle või kustutab.

Vaatleme esialgu ahelaid FILTER tabelis. Ehk siis ahelaid INPUT, OUTPUT JA FORWARD.

Ahelates olevaid reegleid näeb käsuga: 

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Selline pilt näitab, et mingeid reegleid hetkel pole kehtestatud.

Igal ahelaga saab siduda reegleid. Näiteks tekitame järgneva reegli: 

# iptables -A INPUT -i eth0 -j REJECT

See reegel on seotud INPUT ahelaga (-A) (ehk sissetulevad paketid) ja kehtib ainult pakettide kohta, mis sisenevad eth0 võrguliidesele (-i ehk input). -j Reject tähendab, et keeldutakse paketist ja antakse sellest ka paketi saatjale teada.

Ahelaid saab ka ise luua kasutades võtit -N. Aga selles juba edaspidi.

Ahela lõpetab ACCEPT, DROP, REJECT või RETURN. Lisaks on igal ahelal oma vaikimis poliitika. Kõigil kolmel põhiahelal (INPUT, FORWARD JA OUTPUT) on selleks ACCEPT.

Vaikepoliitikate seadistamine ahelatele. 

# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD DROP

Kõik reeglid ahelast saab kustutada käsuga 

# iptables --flush OUTPUT

Reeglite kustutamiseks on vaja teada reegli järjekorranumbrit. Nende nägemiseks näiteks INPUT ahelas 

# iptables -L INPUT -n --line-numbers

Ja sealt reegli kustutamiseks 

# iptables -D INPUT 4

Nat reeglite vaatamiseks tuleb anda käsk 

# iptables -nvL -t nat

Kustutamiseks aga 

# iptables -t nat -D OUTPUT 1

Paneme nüüd ahelad, tabelid ja reeglid kokku

Mõned filtreerimise reeglid

Loome näiteks mõned filtreeirmise reeglid kasutades FILTER vaiketabelit ning ahelaid INPUT ja OUTPUT

Selleks, et masina sees olevad programmid saaksid internetti kasutada lubame pakettidel väljuda läbi OUTPUT ahela 

# iptables -A OUTPUT -j ACCEPT

Selleks, et välismaailmast pääseksid kliendid ligi meie veebiserverile lubame 80nenda pordi kaudu INPUT ahelast pakettidel siseneda 

# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Lubame terve hulga porte ühe käsuga 

# iptables -A INPUT -p tcp 22,80,443 -j ACCEPT

Lisaks lubame välismaailmast serverit pingida 

iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

Keelustame aga samas näiteks kõikidele ülejäänud portidele sissetulevad paketid 

# iptables -A INPUT -j DROP


Veel paranoilisem logida kõik muud paketid ning seejärel need keelustada. 

# iptables -A INPUT -j LOG --log-level 4
# iptables -A INPUT -j DROP

Ja põhimõtteliselt ongi meil masinale seadistatud primitiivne tulemüür mis lubab väljapoole ühendusi teha. Sisse lubab aga ainult ühendusi 80nendale pordile ning masinat pingida. Kõik muud ühendused logitakse ja keelatakse ilma paketi saatjat sellest teavitamata.

Veel võib meil tekkida soov vahel mõnd IP aadressi blokeerida. 

# iptables -A INPUT -s 11.22.33.44 -j DROP

Üks võimalikult karm reeglistik veebi-serverile näeks välja aga seline 

 # 1. kustutame eksisteerivad reeglid
 iptables -F
 
 # 2. Seadistame vaikekäitumiseks DROP
 iptables -P INPUT DROP
 iptables -P FORWARD DROP
 iptables -P OUTPUT DROP 
 
 # 3. lubame sisse ssh
 iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
 iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
 
 # 4. lubame sisse veebi
 iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
 iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
 
 # lubame väljuva ssh
 iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
 iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

Või siis väiksemale lokaalvõrgu ruuterile/veebimasinale selline vähem karm poliitika 

 iptables -P INPUT DROP
 #See reegel ei luba mitte mingisugust sisenevat liiklust, väljaarvatud muidugi allpool tulevad  erandid. 
 iptables -P FORWARD ACCEPT
 #edasisiinamised lubatud
 iptables -P OUTPUT ACCEPT
 #väljuv liiklus lubatud
 iptables -A INPUT -i lo -j ACCEPT
 #lokaalmasina liiklus samuti lubatud
 iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
 #Lubame kõik liikluse veebiserveri porti
 iptables -A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
 #lubame liikluse veebiserveri https porti
 iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
 #lubame kõik liikluse meie sisevõrgust 
 iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
 #lubame masinat pingida
 iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
 #lubame läbi juba loodud ühendused

Reeglite taasesitamine ja salvestamine

Laadime reeglistiku mällu 

# /sbin/iptables-restore < /etc/sysconfig/iptables

Salvesame aktiivsed reeglid 

# /sbin/iptables-save > /etc/sysconfig/iptables

Mille tulemusena tekib umbes järgnev fail 

*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -i lo -j ACCEPT
-A INPUT -f -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A OUTPUT  -p icmp -j ACCEPT
-A OUTPUT  -p udp  -j ACCEPT
-A OUTPUT  -p tcp  -j ACCEPT

COMMIT

Pordiedastus

Suuname serveri välise pordi edasi sisevõrgul olevale masinale IP aadressiga 192.168.2.20 

# iptables -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination  192.168.2.20

Uute ahelate loomine ja reeglitega sidumine

Võimalik on luua ka täiesti uusi ahelaid ning siduda neid omakorda erinevate tabelitega. Kui tabel pole määratud kasutatakse automaatselt FILTER tabelit.

Näide1 Loome ahela nimega LOGDROP 

# iptables -N LOGDROP

Lisame sinna ahelasse, et sealsed paketid logitakse 

# iptables -A LOGDROP -j LOG

Ning seejärel kustutatakse 

# iptables -A LOGDROP -j DROP

Edaspidi saame nüüd hoida ruumi kokku ning igalepoole ahelatele kahe LOG ja DROP reegli kirjutamise asemel võime suunata nad ümber meie loodud ahelale. Näiteks: 

# iptables -I FORWARD -d 192.168.1.6 -p tcp --dport 21 -j LOGDROP

Näide 2. Loome ahela nimega blacklist kus olevad aadressid armutult blokeeritakse 

# iptables -N blacklist

Lisame sinna tabelisse kaks aadresside vahemikku 

# iptables -A blacklist -s 207.46.130.0/24 -j DROP
# iptables -A blacklist -s 207.46.250.0/24 -j DROP

Seejärel blokeerime meie loodud ahela kõigis kolmes põhiahelas. Ehk siis keelame nii siseneva kui väljuva ja võrgukaartide vahel ruuditava liikluse neile võrkudele. 

# iptables -A INPUT -j blacklist
# iptables -A OUTPUT -j blacklist
# iptables -A FORWARD -j blacklist

PS: tabelite/nimekirjade kasutamine ei ole iptablesis väga kergelt lahendatud Igast nimekirjast eraldi ahelate tegemine muudab iptablesi aeglaseks

Vajades suuri tabeleid on lahenduseks IPSet nimekirjad, mis tuleb eraldi paigaldada.

Network adress translation kasutades NAT tabelit

Siin tuleb meels pidada, kui väline IP aadress on dünaamiline tuleb teha maskeraad, muidu tuleb teha sNATi

Lubame kerneline IP'de edastamise võrguseadmete vahel. 

# echo "1" > /proc/sys/net/ipv4/ip_forward

Laadime NAT'i mooduli 

# modprobe iptable_nat

Oluline vahe on sellel, et kas teha maskeraadi või SNATi. Peamiselt seetõttu, et maskeraad on serverile töömahukam, kuna selle puhul kontrollitakse iga paketi korral väljuva võrguseadme IP aadressi. Seepärast tasub staatilise IP aadressi korral eelistada SNATi.

Maskeraad

Saatja aadress muudetakse tulemüüri omaks. Näiteks kasutame seda, et ühendada LAN internetiga: 

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Võtmed tähendavad siin järgnevat:

  • -t nat - Valime tabeli nat.
  • -A - POSTROUTING Kasutame postrouting ahelat
  • -o - eth0 reegel kehtib pakettidele mis väljuvad esimeselt interfacelt (-o tähendab output)
  • -j - MASQUERADE Saatja aadress asendatakse ruuteri aadressiga.

Snat

Juhul kui ruuter omab staatilist IP aadress on soovitatud ülaloleva näite kasutada source NAT'i. Selleks tuleb kirjutada järgnev käsk: 

# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to <eth0-ehk välise võrguseadme IP aadress>

Moodulid

Tarpit

you will need to enable the TARPIT option and rebuild the kernel. The new options will be found under "Networking Options -> IP: Netfilter Configuration". You will need to enable the "Packet Filtering" option to see the TARPIT option. Once you've successfully enabled the TARPIT module, rebuild the kernel and modules, and reboot if necessary.

To tarpit connections to TCP port 80 destined for the current machine: 

 iptables -A INPUT -p tcp -m tcp --dport 80 -j TARPIT

To significantly slow down Code Red/Nimda-style scans of unused address space, forward unused ip addresses to a Linux box not acting as a router (e.g. "ip route 10.0.0.0 255.0.0.0 ip.of.linux.box" on a Cisco), enable IP forwarding on the Linux box, and add: 

 iptables -A FORWARD -p tcp -j TARPIT
 iptables -A FORWARD -j DROP

You probably don't want the conntrack module loaded while you are using TARPIT, or you will be using resources per connection.

Moodul time

Veel üks huvitav moodul, mis lubab teha reegleid, mis kehtivad vaid teatud kellaaegade. 

iptables -A FORWARD -p tcp --dport 22 -m time --timestart 8:00 --timestop 22:00 --days \
Mon,Tue,Wed,Thu,Fri -j ACCEPT

Moodul owner

Võimalik on seadistada ka reegleid teatud kasutajatele. 

-m owner --uid-owner mart

Geoip moodul

Allow ssh for own country(DE) and the country where you take holidays(FR) 

iptables -A INPUT -p tcp --dport 22 -m geoip --src-cc DE,FR -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

Block access to FTP server for Papua New Guinea (PG) 

iptables -A INPUT -p tcp --dport 21 -m geoip --src-cc PG -j DROP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

Kasutamiseks on vajalik paigaldada http://xtables-addons.sourceforge.net/

l7 filter

Paigaldame paketid. Gentoos käib see järgnevalt: 

# emerge -av l7-protocols l7-filter

Ehitame kernelisse layer7 kontrolli mooduli 

Networking
    Networking support (NET [=y])
      Networking options
        Network packet filtering framework (Netfilter)
          Core Netfilter Configuration
            {*} Netfilter Xtables support (required for ip_tables)
            [M] "layer7" match support

Kasutamine 

iptables -t filter -A INPUT -m layer7 --l7proto edonkey -j ACCEPT
iptables -t filter -A OUTPUT -m layer7 --l7proto edonkey -j ACCEPT

Quota

iptables -A OUTPUT -p tcp --dport 80 -m quota --quota 1024 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j DROP

Lubab 1MB veebliiklust 80 pordile, misjärel reegel lõpetab toimimise ja liiklus kukutatakse maha.

Koormusjagamine

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

Stateful tulemüür ja ühenduste jälgimine

Kõik ühenduste jälgimised toimuvad raamistiku abil nimega conntrack (see võib olla kas juba kompileeritud staatiliselt kernelisse või laetud kerneli moodulina nimega ip_conntrack).

See raamistik jaotab paketid nelja state milledeks on NEW, ESTABLISHED, RELATED ka INVALID

  • NEW – tegemist värske ühendusega
  • ESTABLISHED - Edukalt loodud ja töötav ühendus
  • RELATED – ühendus kuulub mõne teise ühenduse juurde (nt ftp data kanal)
  • UNTRACKED – ühendust ei jälgita

/proc/net/ip_conntrack sisaldab kõiki conntracki admebaasi sissekandeid. (selleks peab olema ip_conntrack moodul laetud) 

# cat /proc/net/ip_conntrack
tcp	  6 117 SYN_SENT src=192.168.1.6 dst=192.168.1.9 sport=32775 \
	 dport=22 [UNREPLIED] src=192.168.1.9 dst=192.168.1.6 sport=22 \
	 dport=32775 [ASSURED] use=2

--state lipu kontrolli abil saab kergelt nendel pakettidel vahet teha

Näiteks saame lubada pakette, mis on seotud juba varemalt loodud ühendustaga --state ESTABLISHED võtmega. Või lasta läbi pakette, mis on seotud vana sessiooni põhjalt algatatud uue ühendusega --state RELATED abil.

Milleks seda vaja? Peamiselt siis kui meil asub tulemüüri taga klient, kes peale control ühenduse loomist soovib andmete ülekannuks luua veel eraldiseisvaid ühendusi. Näiteks kui on laetud nf_conntrack_ftp, siis esimene FTP info ülekandmiseks vajalikud pakettid liigitatakse sildiga "related", mitte "new" ja lubatakse sedaviisi tulemüürist mööda.

Laetud (või kernelisse kompileeritud) peab RELATED kontrolli jaoks olema veel lisaks ip_conntrackile moodul: 

ip_conntrack_ftp

Juhul kui tegemist NATitud võrguga on vaja laadida ka spetsiifilised NATiga seotud jälgimismoodulid, mis algavad enamasti ip_nat_ algusega.

Lihtne stateful tulemüür, mis keelaks kõik sisenevad aga lubaks väljuvad ühendused näeks välja selline: 

iptables -P INPUT DROP
iptables -A INPUT -i ! eth1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Liikluse kontroll ehk qos

Selleks on vaja paigaldada iproute2 pakett mis sisaldab programmi tc

  • tc - show / manipulate traffic control settings

http://linux-ip.net/articles/Traffic-Control-HOWTO/

7562f2 (1).jpg

Olemasolevate reeglite nägemiseks 

# tc -s qdisc ls dev eth0

Näiteks järgneva käsuga saame aeglustada liikluse kiiruse alla 200 ms peale 

# tc qdisc add dev eth0 root netem delay 200ms

Selle käsu töötamist saame kergelt kontrollida ping käsu abil

Reegli kustutamiseks 

# tc qdisc del dev eth0 root

tc ehk traffic shaping

Traffic shaping keskendub tulemüürist väljuvale liikluse kujundamisele. Ehk LAN <- main_ROUTER/FIREWALL -> WAN.

Linuxis on by-default pakettide väljumise reeglistik: pfifo_fast. Seal kasutatakse kolme "sektsiooni", milleks on: SSH, HTTP ja BULK. Ehk siis SSH on kõige tähtsama kaaluga ühendus, mille toimimisele aidatakse iga hinnaga kaasa, järgneb HTTP ja siis kõik muud ülejäänud.

Selleks, et pfifo_fast mingil võrguliidesel (näites eth0) asendada htb (vt ülevalt poolt), tuleb anda käsk: 

  # tc qdisc add dev eth0 root handle 1: htb default 0

See loob nö peaklassi numbriga "1". default 0 tähendab seda, et kui --set-class parameetrit mõnel reegil pole määratud, siis klassifitseeritakse 1:0 klassi.

HTB on hierahiline (nagu nimigi ütleb) ja kõikidele alumistele kehtivad ka ülemised reeglid. Peaklassi 1 jaoks luuakse alamklass 1:1, millele lisatakse reegel, mis piirab väljuva ühenduse piirkiirusele 3MB/s. Samuti on lisatud burst-kiirus (ceil) 3MB/s, mille võib suuremaks panna. Kui "bucket" tühjaks saab, siis vähendatakse kiirust esimese väärtuse peale. 

 # tc class add dev eth0 parent 1: classid 1:1 htb rate 3072kbps ceil 3072kbps

Lisame iptablesi reegli, mis määrab kõik sisevõrgust (eth1) tulnud paketid, mis suunduvad välisvõrku (eth0) klassi 1:1 

 # iptables -I FORWARD -t mangle -i eth1 -o eth0 -j CLASSIFY --set-class 1:1

Ülemine reegel kehtestab siis väljuva ühenduse maksimaalkiiruseks 3MB/s.

Pakettide liikumist saab vaadata käsuga: 

 # watch --interval=0,1 tc -s class show dev eth0

Põnevat lisalugemist ehk lingid

http://wiki.openwrt.org/doc/howto/tc http://www.amiryan.org/2009/02/16/traffic-shaping-under-linux-with-tc-and-iptables/ http://lartc.org/howto/lartc.cookbook.fullnat.intro.html

http://www.thice.nl/creating-ack-get-packets-with-scapy/

http://www.cyberciti.biz/faq/linux-traffic-shaping-using-tc-to-control-http-traffic/ liikluse limiteerimine!

http://www.linuxjournal.com/article/7562?page=0,0

http://www.thegeekstuff.com/2011/06/iptables-rules-examples/

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Iptables_puust_ja_punaseks&oldid=28506"