Zaawansowane filtrowanie ruchu w sieciach LAN na na przykładzie filtrów stanowych Iptables // Ebtables

Transkrypt

1 POLITECHNIKA WARSZAWSKA Wydział Elektroniki i Technik Informacyjnych Instytut Telekomunikacji Zaawansowane filtrowanie ruchu w sieciach LAN na na przykładzie filtrów stanowych Iptables // Ebtables Dominik Derela PLAN PREZENTACJI Koncepcja filtrów iptables / ebtables (łacuchy, tabele) Sterowanie połczeniami: porty, adresy, interfejsy przekierowania połcze Modyfikacja pakietów: mechanizm NAT i odmiany podmiana wartoci w nagłówkach pakietów Znakowanie pakietów: kolejkowanie pakietów - dyscypliny HTB / SFQ Łacuchy definiowane uytkownika: operacje na łacuchach, zagniedanie Przykładowa sie załoenia, struktura, UML WWW: transparentny PROXY Podsumowanie WARSZAWA, marzec ? OSI 3 layer - network OSI 2 layer - data link Filtrowanie ruchu model OSI Filtrowanie datagramów IP reguły Tabele Łacuchy Filtrowanie ramek ethernetowych Tabele reguły = Łacuchy + = + Wyrónik (kryteria) Wyrónik (kryteria) + + Decyzja (CEL) Decyzja (CEL) iptables ebtables Ebtables/Iptables krótka charakterystyka Ebtables: Filtrowanie ramek wg: adresów MAC typu ramki interfejsów wej / wyj Ograniczone moliwoci filtrowania pakietów-> iptables Rejestrowanie informacji o ruchu Obsługa IPv4, IPv6,arp Znakowanie ramek MAC NAT (SNAT, DNAT) Iptables: Filtrowanie datagramów IP wg: adresów IP numerów portów interfejsów wej / wyj Rejestrowanie informacji o ruchu Obsługa IPv4, IPv6,arp Znakowanie pakietów Kształtowanie ruchu IP IP NAT (SNAT, DNAT) 2 3

2 Ebtables: Opcje jdra systemowego Iptables: Opcje jdra systemowego Na przykładzie jder serii 2.6 Most wirtualny; brctl, tunctl echo "Ustawiam interfejs eth0 w tryb PROMISCOUS" ifconfig eth promisc up echo "Dodaje most br0" brctl addbr br0 echo "Ustawiam parametr setfd[0] mostu br0" brctl setfd br0 0 echo "Ustawiam parametr sethello[0] mostu br0" brctl sethello br0 0 echo "Ustawiam parametr stp[off] mostu br0" brctl stp br0 off echo "Konfiguracja interfejsu mostu br0 ( )" ifconfig br netmask up echo "Dodaje interfejs eth0 do mostu br0" brctl addif br0 eth0 for IFACE in $UML_IFACES; do echo "Tworze interfejs $IFACE jako uzytkownik root" tunctl -u root -t $IFACE > /dev/null echo "Ustawiam interfejs $IFACE w tryb PROMISCOUS" ifconfig $IFACE promisc up echo "Dodaje interfejs $IFACE do mostu br0" brctl addif br0 $IFACE done Networking options --> 802.1d Ethernet Bridging Networking options --> 802.1d Ethernet Bridging --> Bridge: ebtables (NEW) Networking->Networking options-> Network packet filtering (replaces ipchains)-> Bridge: Netfilter Configuration 4 Networking->Networking options-> Network packet filtering (replaces ipchains)-> IP: Netfilter Configuration 5 Porty,adresy Tunelowanie usług Sterowanie ruchem wybrane aspekty Podział pasma w ramach: usług pojedynczej usługi Gospodarowanie uytkowników pasmem Iptables Znakowanie (klasyfikacja) Kolejkowanie w locie Czasowe ograniczanie ruchu Składnia: ebtables... parametry... j CEL filter Filtr ebtables General frame traversal scheme ródło: nat, filter Maskowanie NAT NAT statyczny NAT dynamiczny (ADSL) Detekcja zawartoci pakietów Przeszukiwanie danych Przeszukiwanie w segmencie Modyfikowanie wartoci nagłówków TTL Window Size OS Przegldarki ródło: Wskazanie tabeli: nat ebtables t broute... ebtables t nat... filter nat Tabele: broute dec. routing czy bridging nat translacja adresów filter podstawowe reguły filtrowania 6 7

3 Składnia: iptables... parametry... j CEL iptables... komendy... CEL: ACCEPT LOG DROP lub łacuch definiowany Filtr iptables Reguły s podawane jedna po drugiej i s przetwarzane sekwencyjnie w ramach łacuchów Reguły odnosz si do rónych tablic (mangle, nat, filter) Łacuchy definiowane mog by zagniedane Łacuchy predefiniowane okrelaj cel A DNS Cache Ebtables - przykład ISP most Subnet Router B $ ebtables -P FORWARD DROP $ ebtables -A FORWARD -p 0x806 -j ACCEPT $ ebtables -A FORWARD -p 0x800 --ip-dst ip-proto tcp --ip-sport 80 -j ACCEPT $ ebtables -A FORWARD -p 0x800 --ip-src ip-proto tcp --ip-dport 80 -j ACCEPT $ ebtables -A FORWARD -p 0x800 --ip-src ip-dst ip-proto udp --ip-dport 53 -j ACCEPT $ ebtables -A FORWARD -p 0x800 --ip-src ip-dst ip-proto udp --ip-sport 53 -j ACCEPT Wskazanie tabeli: iptables t mangle... iptables t nat... Tabele: mangle zmiana zawartoci pakietów nat translacja adresów sieciowych filter podstawowe reguły filtrowania 8 -p = protocol np. 0x806 ARP 0x800 IP 9 Tworzenie reguł - łacuchy Iptables - Moduły iptables A ŁACUCH... parametry... j CEL Operacje na łacuchach: -A --append - dodaj na kocu łacucha -D --delete - usu reguł z łacucha -I --insert - wstaw reguł do łacucha na konkretne miejsce -R --replace - zamie tre wybranej reguły w łacuchu -L --list - wywietl zawarto łacucha -F --flush - wyczy (skasuj) zawarto łacucha -Z --zero - wyzeruj liczniki pakietów i bajtów -N --new-chain - utwórz nowy łacuch -X --delete-chain - usu łacuch uytkownika -P --policy - ustaw polityk dla łacucha Kierunek przetwarzania reguł ŁCUCH = PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING 10 Włczanie modułów opcja m <nazwa_modułu>.: iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT Przykładowe moduły: iprange - okrelanie zakresu adresów IP mark - odczytanie ustawionego znacznika dla danego pakietu conmark - ustawianie 32 bitowego znacznika pakietu physdev - wskazanie interfejsu (zastosowanie: mosty wirtualne) pkttype - typ pakietu: kategoria ruchu: broadcast, multicat, unicast state - okrelanie stanu połczenia conntrack -ledzenie stanu połczenia, do którego naley dany pakiet time - okrelanie przedziału czasowego, w którym obowizuje dana reguła ttl - odczytanie zawartoci pola TTL w nagłówku limit - wskazanie limitu liczby pakietów/s zastosowanie: rejestrowanie zdarze mac - wskazanie adresu MAC icmp - podanie typu komunikatu protokołu ICMP dstlimit - okrelanie limitów (max liczby) pakietów dla danego IP 11

4 Iptables Moduły dodatkowe: Patch-o-matic-ng Patch-o-matic-ng = Patch-o-matic New Generation - repozytorium dodatkowych modułów Repozytoria: submitted repository CLASSIFY CLUSTERIP CONNMARK SAME addrtype comment hashlimit nf-log ownercmd raw realm sctp tcp-window-tracking pending repository conntrack-acct base repository HOPLIMIT IPV4OPTSSTRIP NETLINK NETMAP REJECT TTL connlimit expire fuzzy iprange ipv4options nth osf psd quota random set time u32 extra repository ACCOUNT IPMARK ROUTE TARPIT TCPLAG TRACE ULOG XOR account condition connbytes connrate conntrack-event-api conntrack_locking conntrack_nonat ctnetlink cuseeme-nat directx8-conntrack-nat dropped-table eggdrop-conntrack geoip goto h323-conntrack-nat ip_queue_vwmark ipp2p ipsec-01-outputhooks psec-02-input-hooks ipsec-03-policy-lookup ipsec-04-policy-checks layer2-hooks mms-conntrack-nat msnp-conntrack-nat nat-reservations nf_conntrack nfnetlink owner-socketlookup owner-supgids policy pptpconntrack-nat quake3-conntrack-nat rpc rsh rtsp-conntrack sip-conntrack-nat string talk-conntrack-nat tproxy unclean obsolete repository MARK-operations dstlimit mport netfilter-docbook pool Iptables Moduły dodatkowe: Patch-o-matic-ng Przykładowy moduł: CLASSIFY Repozytorium patch-o-matic submitted repository CLASSIFY - iptables CLASSIFY target Author: Patrick McHardy <kaber@trash.net> Status: Part of 2.6.x mainline This patch adds support for the CLASSIFY target which sets skb->priority. Some qdiscs can use this value for classification, among these are - atm - cbq - dsmark - pfifo_fast - htb - prio This target is only valid in the POST_ROUTING chain of the mangle table. Usage: iptables -t mangle -A POSTROUTING.. -j CLASSIFY --set-class MAJOR:MINOR Tunelowanie usług Wybór interfejsu wejsciowego / wyjciowego (iptables) zamiast i / -o: iptables... -i interfejs... j CEL iptables... -o interfejs... j CEL (iptables/ebtables): wskazanie physdev-in / physdev-out (moduł physdev) iptables... -m physdev -physdev-in interfejs... j CEL iptables... -m physdev -physdev-out interfejs... j CEL Wybór wg adresu IP iptables... -s src_ip -d dst_ip... j CEL Wybór rodzaju portu (pojedyncze, zakres) iptables... --sport [--dport] numer_portu:zakres... j CEL Wybór rodzaju protokołu iptables... -p TCP UDP ICMP ALL... j CEL Przekierowania na inny port... -t nat -A PREROUTING... --dport nr_portu_docelowego -j REDIRECT --to-port nr_portu na inny port i / lub inny host (P)... -t nat -A PREROUTING... --dport nr_portu_docelowego -j DNAT --to-port adres_ip:nr_portu NAT ródłowy (SNAT Source NAT) statyczny Modyfikacja: Mechanizm NAT ## Zmieñ adres ródłowy na # iptables -t nat -A POSTROUTING -o eth0 -j SNAT to-source ## Zmieñ adres ródłowy na , lub # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ## Zmieñ adresy ródłowy na , porty z zakresu # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source : dynamiczny np. ADSL ## Maskaraduj wszystko wychodzce przez ppp0. # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE NAT docelowy (DNAT Destination NAT) ## Zmieñ adresy docelowe na # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to ## Zmieñ adresy docelowe , lub # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to ## Zmieñ adresy docelowe ruchu WWW na , port 8080 # iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to :

5 Modyfikacja: zmiana wartoci TTL Sterowanie połczeniami Detekcja połcze dla pakietów o wybranej wartoci parametru TTL ( opcja jdra TTL match support )... m ttl ttl j LOG / ACCEPT / DROP Zmiana wartoci parametru TTL (opcja jdra TTL target support dostpna po aktualizacji Patch-o-matic) Ustalanie okrelonej wartoci... -t mangle -A PREROUTING... -j TTL --ttl-set warto Zwikszanie o okrelon warto... -t mangle -A PREROUTING... -j TTL --ttl-inc warto Zmniejszanie o okrelon warto... -t mangle -A PREROUTING... -j TTL --ttl-dec warto Tablica filter Tablica mangle Moduł conntrack -ledzenie stanu połczenia do którego naley pakiet: Stan NEW - nowe Stan ESTABLISHED - ustanowione Stan RELATED zwizane z ju istniejcymi np. ftp Stan INVALID - błdne iptables -A INPUT p tcp -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT Okrelanie stanu połcze TCP na podstawie wartoci flag opcja --tcpflags: iptables... -p tcp --tcp-flags <zakres_flag> <sprawdzane_flagi> -j DROP <zakres_flag> - okrela jakie flagi maj by sprawdzane <sprawdzane_flagi> - jakie flagi (bity) powinny by ustawione Np.: iptables... -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN,ACK -j DROP Znakowanie pakietów kształtowanie ruchu Ustawianie znacznika poszczególnych pakietów... -t mangle -A PREROUTING... -j MARK --set-mark znacznik Wybór pakietów oznaczonych znacznikiem... -m mark --mark znacznik -j LOG / ACCEPT / DROP Nastpnie wg ustalonych znaczników mona uy innych narzdzi np. tc do tworzenia kolejek pakietów: Podział pasma (algorytmy): HTB - pomidzy hosty (równie src & dst IP,porty) SFQ - pomidzy usługi Znakowanie pakietów kształtowanie ruchu Tworzenie kolejek na poszczególnych interfejsach # INICJALIZACJA # Tworzymy główn kolejk 1:0 na interfejsie: eth0 tc qdisc add dev eth0 root handle 1:0 htb default kbit # KOLEJKI # W kolejce tej tworzymy główn klas 1:1 o przepustowoci 9Mbit: tc class add dev eth0 parent 1:0 classid 1:1 htb rate 9000kbit ceil 9000kbit # Tworzymy podklasy i okrelamy ich przepustowoci: tc class add dev eth0 parent 1:1 classid 1:2 htb rate 480kbit ceil 480kbit tc class add dev eth0 parent 1:1 classid 1:3 htb rate 8500kbit ceil 8500kbit # Teraz tworzymy właciwe podklasy: tc class add dev eth0 parent 1:2 classid 1:4 htb rate 120kbit ceil 240kbit prio 1 tc class add dev eth0 parent 1:2 classid 1:5 htb rate 120kbit ceil 240kbit prio 1 tc class add dev eth0 parent 1:2 classid 1:6 htb rate 120kbit ceil 240kbit prio 2 tc class add dev eth0 parent 1:2 classid 1:7 htb rate 120kbit ceil 480kbit prio 2 # FILTRY HTB # Klasyfikujemy pakiety według ustawionego znacznika -> reguły iptables: tc filter add dev eth0 protocol ip parent 1:0 handle 20 fw flowid 1:2 tc filter add dev eth0 protocol ip parent 1:0 handle 21 fw flowid 1:3 tc filter add dev eth0 protocol ip parent 1:0 handle 22 fw flowid 1:4 tc filter add dev eth0 protocol ip parent 1:0 handle 23 fw flowid 1:5 480 znaczniki # FILTRY SFQ tc qdisc add dev eth1 parent 1:4 handle 20 sfq perturb 10 ISP Ruch Internet 1:0 1:1 10 Mb/s handle 1:2 1:3 1:4 1:5 1:6 1:7 Klasy 9 Mb/s Ruch lokalny 8,5 18 rate <= ceil rate co najmniej ceil co najwyej Iptables + HTB + SFQ + tc 19

6 Połczenia p2p - detekcja Ochrona przed skanowaniem Powody Silne obcianie sieci: rywalizacja w dostpie pomidzy stacjami rywalizacja pomidzy usługami na tej samej stacji Odmienny charakter ruchu Brak kontroli w oparciu o znane porty Rozwizania Konieczno implementacji na wszystkich stacjach!!! Detekcja połcze w oparciu o zawarto ładunku pakietu: moduł string... -m string string kazaa -j LOG / ACCEPT / DROP moduł regexp... -m regexp -regexp /wyraenie/opcje [--begin-offset przesunicie] [--end-offset przesunicie] -j LOG / ACCEPT / DROP przesunicie wskazuje zakres poszukiwania wzorca /wyraenie/opcje wzorzec poszukiwania np. `/GNUTELLA/[0..9]` Skanowanie ukryte opiera si na wysyłanie pakietów z ustawionymi flagami niezgodnymi z porzdkiem typowym dla TCP. Wówczas skanowany system odpowie wysyłajc pakiet z flag RST (reset). echo " Blokada prób skanowania TCP-connect (pakiety z ustawionym bitem syn)" iptables -A scan_chain -p tcp --syn -j DROP echo " Blokada prób skanowania TCP-SYN (pakiety z ustawionym tylko bitem SYN)" iptables -A scan_chain -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP echo " Blokada prób skanowania TCP-FIN (pakiety z ustawionym tylko bitem FIN)" iptables -A scan_chain -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP echo " Blokada prób skanowania TCP-ACK (pakiety z ustawionym tylko bitem ACK)" iptables -A scan_chain -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP echo " Blokada prób skanowania TCP-NULL (pakiety bez zadnej flagi)" iptables -A scan_chain -m conntrack --ctstate INVALID -p tcp --tcp-flags! SYN,RST,ACK,FIN,URG,PSH SYN,RST,ACK,FIN,URG,PSH -j DROP echo " Blokada prób skanowania "Christmas Tree" TCP-XMAS (pakiety z ustawionymi bitami FIN,URG,PSH)" iptables -A scan_chain -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP Ochrona przed atakami DOS (Denial of Service) Łacuchy zagniedone echo " -- Blokada przed atakiem DOS - Ping of Death" iptables -A ŁACUCH -p ICMP --icmp-type echo-request -m length --length 60: j ACCEPT FORWARD I Reguła: iptables A FORWARD... j Łacuch_A echo " -- Blokada przed atakiem DOS - Teardrop" iptables -A ŁACUCH -p UDP -f -j DROP Łacuch_A Łacuch_B Reguła: iptables A Łacuch_A... j Łacuch_B Reguła: iptables A Łacuch_B... j Łacuch_C echo " -- Blokada przed atakiem DOS - SYN-flood" iptables -A ŁACUCH -p TCP --syn -m iplimit --iplimit-above 9 -j DROP Łacuch_C Reguła: iptables A Łacuch_C... j ACCEPT DROP LOG echo " -- Blokada przed atakiem DOS - Smurf" iptables -A ŁACUCH -m pkttype --pkt-type broadcast -j DROP iptables -A ŁACUCH -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP iptables -A ŁACUCH -p ICMP --icmp-type echo-request -m limit --limit 3/s -j ACCEPT echo " -- Blokada przed atakiem DOS - UDP-flood (Pepsi)" iptables -A ŁACUCH -p UDP --dport 7 -j DROP iptables -A ŁACUCH -p UDP --dport 19 -j DROP echo " -- Blokada przed atakiem DOS - SMBnuke" iptables -A ŁACUCH -p UDP --dport 135:139 -j DROP iptables -A ŁACUCH -p TCP --dport 135:139 -j DROP Reguła... Łacuch_N Łacuch_N.1 Reguła 1 II III Reguła: iptables A FORWARD... j ACCEPT DROP LOG Reguła 1: iptables A Łacuch_N.1... j ACCEPT DROP LOG Reguła 2: iptables A Łacuch_N.1... j ACCEPT DROP LOG echo " -- Blokada przed atakiem DOS - Connection-flood" iptables -A ŁACUCH -p TCP --syn -m iplimit --iplimit-above 3 -j DROP Reguła 2 echo " -- Blokada przed atakiem DOS - Fraggle" iptables -A ŁACUCH -p UDP -m pkttype --pkt-type broadcast -j DROP iptables -A ŁACUCH -p UDP -m limit --limit 3/s -j ACCEPT echo " -- Blokada przed atakiem DOS - Jolt" iptables -A ŁACUCH -p ICMP -f -j DROP Łacuch_N+1 Przykładowy przebieg Kolejno przegldania reguł Pozwalaj grupowa okrelone reguły w logiczn cz. W ujciu całociowym problem bardzo złoony OPTYMALIZACJA! 22 23

7 Intel Express 210T Stackable Hub Change H ub Speed 10Base-T Colision 100Base-TX Managed Status Intel Express 210T Stackable Hub Change Hub S peed 10Base-T Collision 100Base-TX Managed Status Class I Class I Power L eft(green) Solid = Link Blink = Activ ity R ight(yelow ) Solid = Disa bled Blink = Wro ng speed Power Lef t( Green) S olid = Link B link = A ctivity Right( Y elow ) S olid = Disabled B link = Wrong s peed Domena dominder.networklinux.net www WWW w w w mail. pop3. smtp. MAIL Przekanik poczty gate. SSH / VPN usługi dns DNS wew. ns dostpowy PRZYKŁAD: sie ADSL (256/128 kbps) a) Struktura Logiczna b) Struktura Fizyczna Brama internetowa PSTN ADSL sim. SIM Komputer fizyczny uml01. WS_01 Wirtualna stacja robocza LDAP zewn. ns uml02. WS_02 Wirtualna stacja robocza usług katalogowych Komputer fizyczny COM tos Strefa DMZ Sie /8 SIM PSTN ADSL Router ADSL model AR41 4 Port Switch 4 Port Switch COM PRZYKŁAD: sie ADSL # PODSIEC -> Internet/DMZ $ipt -A FORWARD -i br1 -o br0 -j ruch_subnet-i_dmz $ipt -A ruch_subnet-i_dmz -d /8 -j ruch_do_dmz $ipt -A ruch_subnet-i_dmz -m physdev --physdev-out eth0 -d! /8 -j ruch_do_internet # Internet/DMZ -> PODSIEC $ipt -A FORWARD -i br0 -o br1 -m state --state ESTABLISHED,RELATED -j ruch_i_dmz-subnet $ipt -A ruch_i_dmz-subnet -s /8 -j ruch_z_dmz $ipt -A ruch_i_dmz-subnet -m physdev --physdev-in eth0 -s! /8 -j ruch_z_internet # PODSIEC -> PODSIEC $ipt -A FORWARD -i br1 -o br1 -s /24 -j ruch_subnet-subnet $ipt -A ruch_subnet-subnet -j subnet # Internet/DMZ -> Internet/DMZ $ipt -A FORWARD -i br0 -o br0 -j ruch_i_dmz-i_dmz $ipt -A ruch_i_dmz-i_dmz -j dmz br1 br0 br1 br0 eth0 br1 br0 Netfilter SIM Komputer fizyczny eth1 br1 br0 usługi dns Kontroler domeny usług katalogowych sim Lokalne stacje robocze - komputery fizyczne Podsie chroniona Sie /24 SEM TER TOS Łacuch FORWARD Kolejno przetwarzania reguł w łacuchu FORWARD SEM TER TOS Ruch_SUBNET-I_DMZ Ruch_I_DMZ- SUBNET Ruch_SUBNET- SUBNET Ruch_I_DMZ- I_DMZ DNS wew. PDC LDAP wew. sem ter. tos ruch_do_dmz ruch_z_dmz subnet dmz dns. pdc ldap ruch_do_internet ruch_z_internet Tunelowanie usług - np. WWW - transparent proxy Tunelowanie usług - np. WWW - transparent proxy echo "<<< Ruch [http i https]" echo " + komunikacja z serwerem WWW w DMZ" echo " - zapytania do serwera 80,443" iptables -A ruch_do_dmz -p TCP -d dport 80 -j ACCEPT iptables -A ruch_do_dmz -p TCP -d dport 443 -j ACCEPT iptables -A dmz -p TCP -d dport 80 -j ACCEPT iptables -A dmz -p TCP -d dport 443 -j ACCEPT echo " - odpowiedzi z serwera 80,443" iptables -A ruch_z_dmz -p TCP -s sport 80 -j ACCEPT iptables -A ruch_z_dmz -p TCP -s sport 443 -j ACCEPT iptables -A dmz -p TCP -s sport 80 -j ACCEPT iptables -A dmz -p TCP -s sport 443 -j ACCEPT Przykład realizacji funkcji transparent PROXY na poziomie filtra pakietów współpracujcego z serwerem Squid. Realizacja odnosi si wyłcznie do ruchu http (port 80) echo "<<< Ruch [https]" echo " + komunikacja z serwerami w sieci Internet z podsieci" echo " - zapytania z podsieci [N,E,R]" iptables -A ruch_do_internet -p TCP --dport 443 -j ACCEPT echo " - zwrotne do podsieci [E,R]" iptables -A ruch_z_internet -p TCP --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT Ruch Wychodzcy z zapory echo "<<< Przekieruj zadania na porcie 80 do Squid a" iptables -t nat -A PREROUTING -p TCP -d! m physdev --physdev-in eth1 --dport 80 -j DNAT --to :8080 echo "<<< Ruch [http]" echo " + Ruch z/do LAN - transparent Squid PROXY" echo " - Squid odpytuje siec Internet" iptables -A OUTPUT -p TCP --dport 80 -m physdev --physdev-out eth0 -j ACCEPT echo " - odpowiedzi zwrotne od Squid do LAN" iptables -A OUTPUT -p TCP --sport m physdev --physdev-out eth1 -m state state ESTABLISHED,RELATED -j ACCEPT Zawarto nagłówka HTTP wysyłanego przez przegldark z podsieci (dane odebrane przez przykładowy serwer Ale Ruch przychodzcy do zapory echo "- Dopusc zapytania z LAN do Squida" iptables -A INPUT -p TCP -m physdev --physdev-in eth1 --dport j ACCEPT echo "- Dopusc odpowiedzi zwrotne z Internet do Squida [E,R] iptables -A INPUT -p TCP -m physdev --physdev-in eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT TTL=64 (63) 26 27

8 Podsumowanie Pytania? Iptables / Ebtables pozwalaj filtrowa ruch na poziomie dwóch warstw modelu ISO/OSI warstwy 2 (data link) i warstwy 3 (network). Pierwotnie oba projekty były rozłczne. Dzi odpowiadajcy im kod jest standardowo implementowany jako cz jder systemu Linux (wersje 2.6) Składnia tworzenia reguł oraz sama budowa filtrów jest bardzo zbliona. Budowa filtra pozwala na realizacj wybranych scenariuszy macierz ruchu Moliwo filtrowania stanowego detekcja stanu dla TCP i UDP (czas) Moliwo realizacji funkcji NAT: rozrónienie SNAT NAT ródłowy, oraz DNAT NAT docelowy Moliwo grupowania reguł tworzc relacje wzajemnych odwoła, łacuchy zagniedone Dzikuj za uwag! Dominik Derela dominder@wp.pl Silna dekompozycja problemów moliwo dostosowywania filtra do własnych potrzeb Potrzeba automatyzacji dua złoono reguł Biznes: wymaga powyszych oraz prostoty, szybkoci wprowadzania zmian, natychmiastowej gotowoci do pracy!!! 28