configurazione di iptables

da **albatross** » ven nov 14, 2003 16:21

Ciao, vorrei utilizzare iptables per realizzare un firewall. Ho configurato una macchina con due interfacce di rete, 192.x.x.x (eth1) collegata alla lan interna e 10.x.x.x (eth0) collegata al router. Lo scopo è quello di limitare i client della lan all´utilizzo delle sole porte 80,443,25,110 e 21 bloccando tutte le altre. Mi potreste guidare per piacere passo passo? Grazie albatross

da **albatross** » ven nov 14, 2003 19:56

ebbene dopo un po di ricerche sono riuscito a trovare qualcosa. Ecco la configurazione: eth0 collegato con router dsl eth1 collegato alla lan interna iptables -A INPUT -i eth0 -p tcp -j DROP !blocca il traffico in ingresso sulla scheda di rete esterna del fw iptables -A OUTPUT -p tcp -j DROP !blocca tutto il traffico in uscita sulla scheda di rete esterna del fw !tanto il fw non si deve collegare verso l´esterno bensì deve fare !routing iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT !permette il forwarding/routing di pacchetti indirizzati alla porta 80 !lo stesso comando è stato ripetuto per le porte 443, 25, 110, 21 iptables -A FORWARD -i eth0 -p tcp -j DROP !in teoria dovrebbe scartare tutto il resto del traffico e consentire il !passaggio del solo traffico autorizzato dalle regole precedenti Il problema è che appena aggiungo quest´ultima regola non riesco più a collegarmi su internet - indipendente dalla porta utilizzata. Cosa sbaglio? Sicuramente mi sfugge qualcosa.... albatross

da **useless** » sab nov 15, 2003 13:58

allora, se ho ben capito la configurazione è questa: internet <-> fw(eth0) <-> fw(eth1) <-> lan e dalla lan si deve poter uscire su internet solo sulle porte: 80, 443, 25, 110 e 21. quello che non ci dici e se i pc della lan hanno ip pubblici o devono fare il masquerading x poter uscire su internet (questa ipotesi mi sembra la + probabile, dato che tutti gli ip che hai scritto sono interni. tra l´altro nota che mentre ha senso in questo discorso scrivere 10.x.x.x, non ne ha scrivere 192.x.x.x, dato che la subnet riservata è 192.168.x.x, occhio!). io farei (uhm... faccio, a dire il vero, ho solo le reti invertite!) così: - iptables -F OUTPUT cancella tutte le regole presenti - iptables -P OUTPUT DROP fa sì che nessun pacchetto esca verso internet, tranne quelli che permetteremo esplicitamente - iptables -A OUTPUT -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT permette che si possa uscire sulla porta 80, ripetere x tutte le altre porte, eventualmente anche x il protocollo UDP. tra l´altro se non apri anche la 53 i tuoi client non saranno in grado di fare richieste DNS, il che non mi sembra una buona cosa, a meno che tu non abbia una cache dns interna. - iptables -P FORWARD DROP - iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT fanno sì che i pacchetti che arrivano al fw, destinati ad un pc della lan siano accettati e correttamente routati (e solo quelli, non altri!) - iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE - echo "1" > /proc/sys/net/ipv4/ip_forward - echo "1" > /proc/sys/net/ipv4/ip_dynaddr attivano il masquerading, non necessario se i tuoi client hanno un ip pubblico. l´ultima riga invece è solo utile se la tua connessione internet ha un ip dinamico. con tutto questo dovrebbe funzionare, fammi sapere. ricordati di settare correttamente le route in uscita sui client (route add default gw ip_interno_del_fw) e i server dns in /etc/resolv.conf. tanta fortuna!

da **albatross** » sab nov 15, 2003 17:00

Funziona... Ecco un riepilogo di quello che ho fatto (magari farà risparmiare qualche ora di lavoro a qualcun altro) Allora tutto da capo eth0 10.1.1.1 interfaccia esterna del fw collegata al router eth1 192.168.0.0/24 interfaccia interna del fw collegata alla lan prima di tutto ho abilitato il routing/NAT/MASQUERADING con iptables -t nat -A POSTROUTING -o eth0 -j MASQUARADING dopodiché ho azzerato tutte le chain con iptables -F OUTPUT iptables -F INPUT iptables -F FORWARD successivamente ho impostato un drop per tutte le chain in questo modo iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P FORWARD DROP ho permesso la creazione di comunicazioni originate dalla lan interna con iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHE,RELATED -j ACCEPT ed infine ho permesso il routing dei soli pacchetti indirizzati alle porte specificate 80 (http), 443 (https), 25 (smtp), 110 (pop3), 21 (ftp) ed ovviamente come suggerito da "useless" la 53 (dns) (quest´ultima sui protocolli tcp ed udp) iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 21 -j ACCEPT Con questa configurazione il fw non riceve e non origina traffico ma offre il solo servizio di routing quindi non può essere attaccato in nessun modo (a meno di qualche falla in iptables :-)

Voglio ringrazziare "useles" che in questa circostanza è stato tutt´altro che inutile... :-)

grazie albatross

da **useless** » sab nov 15, 2003 20:54

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>Quote:<HR></TD></TR><TR><TD><BLOCKQUOTE>iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 21 -j ACCEPT</BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> a parte che il tcp x il dns non è essenziale (dà + problemi che vantaggi, ma ai server, quindi noi possiamo fare finta di niente

), queste regole io le metterei in OUTPUT, non in FORWARD! FORWARD riguarda i pacchetti che entrano nella lan ma sono destinati ad altre macchine, OUTPUT i pacchetti che escono x qualsiasi ragione dalla lan. fammi sapere!

da **albatross** » lun nov 17, 2003 9:15

Il chain OUTPUT dovrebbe avere effetto sui pacchetti originati dal computer sui cui è configurato iptables (in questo caso il fw) poiché non voglio poter originare traffico dal fw bensì solo effettuare il routing dei pacchetti originati dalla lan credo che vada bene il chain FORWARD. Infatti se controlli i comandi FORWARD hanno come origini la lan e come output l´interfaccia collegata alla dsl oltre al comando ESTABLISHED,RELATED. ciao albatross

da **useless** » lun nov 17, 2003 15:29

hai ragione! è bello sapere che ti ho aiutato pur avendo frainteso un concetto ;-)

. <A HREF="http://www.netfilter.org/documentation/HOWTO/it/packet-filtering-HOWTO-6.html" TARGET="_blank">qua</A> ci sono maggiori info su come o pacchetti attraversano le catene...

da **albatross** » lun nov 17, 2003 18:11

ancora grazie albatross

da **albatross** » gio nov 20, 2003 15:29

mancava qualcosa... proprio oggi un utente si è lamentato che non funzionava l´ftp, ecco cosa mancava: #carica i moduli per connessioni ftp /sbin/insmod -s ip_conntrack_ftp /sbin/insmod -s ip_nat_ftp #permette l´apertura di una nuova connessione di una porta tra 1024 e #65535. Il server ftp infatti viene contattato sulla porta 21 ma il #traffico avviene su una porta concordata tra client e server compresa #tra 1024 e 65535 iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -p TCP --sport 1024:65535 --dport 1024:65535 -j ACCEPT iptables -A FORWARD -o eth0 -m state --state NEW -p TCP --sport 1024:65535 --dport 21 -j ACCEPT buon lavoro a tutti albatross

da **albatross** » gio nov 20, 2003 18:06

correzione al messaggio precedente!!! Le uniche voci che servono sono: /sbin/insmod -s ip_conntrack_ftp iptables -A FORWARDING -o eth0 -m state --state ESTABLISHED,RELATED -p TCP --sport 1024:65535 --dport 1024:65535 -j ACCEPT /sbin/insmod -s ip_nat_ftp non so cosa faccia... :-)

mentre l´altro comando iptables realizzave una grossa falla nel sistema del fw. Risultava infatti possibile effettuare connessione verso qualsiasi porta alta se originate dall´interno. Quindi ipotizziamo che qualcuno riesca a penetrare (tramite un exploit?) nella nostra lan... avrebbe avuto la possibilità di collegarsi verso l´esterno!!! E´ stato possibile eliminare il comando incriminato grazie a /sbin/insmod -s ip_conntrack_ftp che effettua un connection tracking del flusso ftp. In pratica monitorizza tutto il traffico ftp alla ricerca del comando PORT (utilizzato per negoziare la porta per lo scambio dei dati) e fa in modo di considerarla come già contatta dall´interno della lan. ciao albatross

da **Emo** » dom giu 06, 2004 16:27

domanda stupida: quando riavvio le regole di iptables tornano tutte a zero, come si fa a salvarle? ho pensato di fare uno script che lancia all-avvio ipotables_restore, ma immagino che non sia la soluzione ideale, cosa mi consigliate? Ciao

da **cRoW2k** » dom giu 06, 2004 18:04

iptables-save man iptables-save

da **FiNeX** » mer giu 09, 2004 18:07

oppure /etc/rc.d/rc.firewall :-)

da **Emo** » ven giu 11, 2004 1:48

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>Quote:<HR></TD></TR><TR><TD><BLOCKQUOTE> 06-06-2004 alle ore 18:04, cRoW2k : iptables-save man iptables-save </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> si, uso gia´ iptables-save, ma ogni volta che avvio devo fare il restore a mano, mi sa che l´unica in effetti e´ rc.firewall... qualche consiglio? il vostro com´ e` ?

da **Ir0nFl4m3** » sab giu 12, 2004 8:26

Io ho l´ rc.firewall in /etc/rc.d con i permessi di esecuzione e fila tutto liscio ^_____^

Chi c’è in linea