Linux OS are un firewall de baza extrem de puternic, denumit iptables/netfilter. Iptables este modulul prin care utilizatorul, interactionand cu linia de comanda, introduce reguli de firewall în tabele predefinite. Netfilter este un modul construit în kernel, care executa de fapt filtrarea. Exista multe interfete GUI pentru iptables care permit utilizatorilor sa adauge sau sa defineasca reguli cu ajutorul click-urilor, dar acestea de multe ori lipsesc utilizatorul de flexibilitatea oferita de linie de comanda si limiteaza întelegerea a ceea ce se întâmpla cu adevarat.

Inainte de a avansa in cunoasterea iptables, trebuie sa avem o intelegere de baza a modului în care functioneaza. Iptables utilizeaza conceptul de adrese IP, protocoale (TCP, UDP, ICMP) si porturi.

Iptables incarca regulile în lanturi predefinite (INPUT, OUTPUT si FORWARD), care sunt verificate cu orice tip de trafic de retea (pachete IP) relevante pentru aceste lanturi si este luata o decizie cu privire la ce sa faca cu fiecare pachet pe baza rezultatelor acestor reguli, si anume acceptarea sau renuntarea la pachet. Aceste actiuni sunt mentionate ca target-uri, dintre care, cele mai comune sunt DROP (se renunta la un pachet) sau ACCEPT (se accepta un pachet).

Chains (lanturi)

Exista 3 lanturi predefinite în tabelul de filtrare la care putem adauga reguli pentru prelucrarea pachetelor IP. Aceste lanturi sunt:

• INPUT - Toate pachetele destinate pentru computerul gazda.
• OUTPUT - Toate pachetele provenind de la computerul gazda.
• FORWARD - Toate pachetele care doar trec prin (dirijate de catre) computerul gazda. Acest lant este folosit la utilizarea computer-ului ca un router.

Cea mai mare atentie o vom acorda lantului de INPUT, pentru a filtra pachetele ce intra in sistemul nostru.

Regulile sunt adaugate într-o lista pentru fiecare lant. Un pachet este verificat pentru fiecare regula in parte, pornind de la prima de sus, si daca se potriveste unei reguli, atunci se iau masuri, cum ar fi acceptarea (ACCEPT) sau renuntarea (DROP) la pachet. Odata ce o regula a fost potrivita si o masura luata, pachetul este procesat în conformitate cu rezultatele din aceasta regula si nu este verificat de celelalte reguli ramase în lant. Daca un pachet trece prin toate regulile din lant si ajunge în partea de jos, fara a fi potrivit cu nici o regula, atunci actiunea implicita pentru acel lant este luata. Acest lucru este mentionat în continuare ca politica implicita ce poate fi setata pe ACCEPT sau DROP.

Conceptul de politica implicita în cadrul lanturilor ridica doua posibilitati fundamentale care trebuie examinate mai întâi, înainte de a decide cum vom organiza firewall-ul nostru.

• Putem stabili o politica implicita de DROP pentru toate pachetele de date si apoi sa adaugam reguli pentru a permite (ACCEPT) în mod specific pachete care provin de la adrese IP sigure, sau pentru anumite porturi petru care avem servicii active, cum ar fi: server FTP, Web Server, server de fisiere, etc
• Putem stabili o politica implicita de ACCEPT pentru toate pachetele de date si apoi sa adaugam reguli pentru a bloca (DROP) în mod specific pachete de la anumite adrese IP necunoscute sau intervale de adrese, sau pentru anumite porturi pentru care nu avem servicii active.

În general, optiunea 1 de mai sus este folosita pentru lantul INPUT pentru a controla accesul in sistemul nostru si optiunea 2 ar fi de ales pentru lantul OUTPUT deoarece avem incredere in validitatea datelor care pleaca din sistemul nostru.

Chestii de baza

Lucrul cu iptables din linia de comanda necesita privilegii de root, deci va fi nevoie de a va loga ca si root pentru cele mai multe lucruri pe care le vom face.

Puteti verifica daca iptables este instalat pe sistemul dvs. prin comanda:

$ rpm -q iptables
iptables-1.3.5-1.2.1

Si pentru a vedea daca iptables chiar ruleaza activ, putem verifica daca modulele iptables sunt încarcate si putem  folosi atributul -L pentru a inspecta regulile încarcate în prezent:

# lsmod | grep ip_tables
ip_tables              29288  1 iptable_filter
x_tables               29192  6 ip6t_REJECT,ip6_tables,ipt_REJECT,xt_state,xt_tcpudp,ip_tables

# iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  –  anywhere             anywhere
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  –  anywhere             anywhere
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  –  anywhere             anywhere
ACCEPT     icmp —  anywhere             anywhere            icmp any
ACCEPT     esp  –  anywhere             anywhere
ACCEPT     ah   —  anywhere             anywhere
ACCEPT     udp  –  anywhere             224.0.0.251         udp dpt:mdns
ACCEPT     udp  –  anywhere             anywhere            udp dpt:ipp
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:ipp
ACCEPT     all  –  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  –  anywhere             anywhere            state NEW tcp dpt:ssh
REJECT     all  –  anywhere             anywhere            reject-with icmp-host-prohibited

Daca iptables nu ruleaza il puteti porni utilizand comanda:

# service iptables start
# service iptables stop (pentru a opri serviciul)
# service iptables restart (pentru a restarta serviciul)

Scrierea unui set de reguli de baza

In acest moment vom sterge (flush) regulile de baza. Daca sunteti conectat remote prin ssh la server sunt sanse mari sa nu mai aveti acces dupa aceasta operatiune. Trebuie sa configurati politica implicita de INPUT (default input policy) pe ACCEPT inainte de stergerea regulilor curente si sa adaugati apoi o regula pentru a va permite accesul.

Vom aborda comenzile iptables folosind exemple pentru a fi mai usor de inteles. In acest prim exemplu vom creea un set de reguli pentru a configura un firewall pentru Stateful Packet Inspection (SPI) care va permite toate conexiunile outgoing si va bloca toate conexiunile incoming nedorite.

# iptables -P INPUT ACCEPT
# iptables -F
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -p tcp –dport 22 -j ACCEPT
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -L -v

care va da urmatorul output:

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
0     0 ACCEPT     all  –  lo     any     anywhere             anywhere
0     0 ACCEPT     all  –  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
0     0 ACCEPT     tcp  –  any    any     anywhere             anywhere            tcp dpt:ssh
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination

Sa studiem acum fiecare din aceste 9 comenzi pentru a intelege ce s-a intamplat:

iptables -P INPUT ACCEPT
Daca suntem conectati remote trebuie sa setam temporar politica implicita a lantului de INPUT pe ACCEPT pentru a nu ajunge in situatia de a nu ne mai putea loga dupa ce facem flush la regului.

iptables -F
Am folosit -F pentru a face flush la reguli.

iptables -A INPUT -i lo -j ACCEPT
Acum adaugam reguli noi. Folosim -A (add) pentru a adauga o regula la un anumit lant, in acest caz lantul de INPUT. Folosim apoi atributul -i (interfata) pentru a specifica pachete pentru sau cu destinatia lo (localhost, 127.0.0.1). In final utilizam atributul -j (jump) pentru a specifica actiunea (target-ul) pentru pachetele care se potrivesc regulii. In acest caz actiunea este de ACCEPT. Asadar aceasta regula va permite acceptarea tuturor pachetelor cu destinatia interfata localhost. Aceasta regula este in general necesara, ea fiind utilizata de multe aplicatii software.

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
Din nou adaugam (-A) aceasta regula la lantul de INPUT (chain). Folosim -m pentru a incarca un modul ce examineaza starea unui pachet si determina daca este NEW, ESTABLISHED sau RELATED. NEW se refera la pachetele de incoming care fac parte din conexiuni noi care nu au fost initiate de sistemul gazda. ESTABLISHED si RELATED se refera la pachetele de incoming care fac parte sau au legatura cu o conexiune ce este deja stabilita cu sistemul gazda.

iptables -A INPUT -p tcp –dport 22 -j ACCEPT
Prin aceasta regula permitem conexiunile SSH pe portul tcp 22. Este utila in cazul lucrului remote pe un server.

iptables -P INPUT DROP
Atributul -P seteaza politica implicita pe un anumit lant. Asadar punem politica implicita pe lantul de INPUT ca fiind DROP. Orice pachet care nu indeplineste una dintre regulile urmatoare este refuzat. Daca suntem conectati remote si nu am fi adaugat regula anterioara cu SSH acum am fi ramas blocati in afara serverului si fara posibilitatea de a mai ne loga.

iptables -P FORWARD DROP
Similar setam politica implicita pe lantul de FORWARD ca fiind DROP deoarece nu folosim sistemul ca router si nu dorim sa treaca pachetele prin calculatorul nostru.

iptables -P OUTPUT ACCEPT
Punem politica implicita la lantul de OUTPUT pe ACCEPT deoarece vrem sa permitem tot traficul de outgoing.

iptables -L -v
Listam (-L) regulile recent introduse.

Ultimul lucru care trebuie facut este sa salvam regulile pentru ca data viitoare cand pornim sistemul ele sa fie reincarcate:

# /sbin/service iptables save

In acest fel se executa scriptul de init iptables, care ruleaza /sbin/iptables-save si scrie configuratia curenta in /etc/sysconfig/iptables. La reboot scriptul de init aplica din nou regulile salvate in iptables ruland comanda /sbin/iptables-restore.

Daca aveti mai multe reguli si cand firewall-ul este mai complex acest proces de introducere al regulilor din linia de comanda poate deveni greoi. Cea mai simpla metoda de a lucra cu iptables este folosind scripturi care vor face treaba in locul nostru. Toate comenzile de mai sus pot fi scrise intr-un editor de text si salvate, de exemplu sub numele myfirewall:

#!/bin/bash
# iptables example configuration script
# Flush all current rules from iptables
iptables -F
# Allow SSH connections on tcp port 22
# This is essential when working on remote servers via SSH to prevent locking yourself out of the system
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
# Set default policies for INPUT, FORWARD and OUTPUT chains
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Set access for localhost
iptables -A INPUT -i lo -j ACCEPT
# Accept packets belonging to established and related connections
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
# Save settings
/sbin/service iptables save
# List rules
iptables -L -v

Acum faceti scriptul executabil prin comanda:

# chmod +x myfirewall

Pentru a-l executa din linia de comanda folositi comanda:

# ./myfirewall

Interfete

In exemplul anterior am vazut cum putem accepta toate pachetele de incoming pe o anumita interfata, in acel caz localhost:

iptables -A INPUT -i lo -j ACCEPT

Sa presupunem ca avem doua interfete (placi de retea), eth0, interfata cu reteaua interna LAN si eth1, interfata externa folosita la conexiunea la internet. Vrem sa acceptam toate pachetele de incoming ce vin dinspre reteaua interna(eth0) dar sa refuzam pachetele de incoming dinspre reteaua externa(eth1). Pentru aceasta folosim regulile:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT

Trebuie sa fim foarte atenti la regulile pe interfata externa. Daca acceptam toate pachetele de incoming pe interfata externa este ca si cum am da disable la firewall!!!:

iptables -A INPUT -i eth1 -j ACCEPT

Adrese IP

Acceptarea pachetelor pe o anumita interfata poate sa nu fie suficient de sigur si poate doriti mai mult control in ce acceptati sau rejectati. Sa presupunem ca acem o mica retea care folosesc subreteaua 192.168.0.x. Ne putem deschide firewall-ul doar pentru o singura adresa IP, sa zicem 192.168.0.4:

# Accept packets from trusted IP addresses
iptables -A INPUT -s 192.168.0.4 -j ACCEPT

Adaugam (-A) o regula la lantul de INPUT prin care acceptam (ACCEPT) toate pachetele ce au ca adresa IP sursa (-s) 192.168.0.4.

Daca dorim sa adaugam o regula care sa permita acceptarea pachetelor de la mai multe adrese IP aflate in aceeasi retea atunci putem scrie cate o regula de acceptare pentru fiecare adresa sau, varianta mai simpla, sa scriem o singura regula pentru toate. Pentru a specifica aceste adrese ne folosim de netmask sau de o notatie standard. Daca dorim sa deschidem firewall-lul pentru toate adresele IP ce provin din subreteaua 192.168.0.x putem folosi una dintre urmatoarele doua metode:

# Accept packets from trusted IP addresses

• iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
• iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT

Pe langa faptul ca putem specifica adresa IP sursa a unui pachet se poate specifica si adresa MAC intr-o regula. Putem scrie o regula care sa permita acceptarea pachetelor de incoming doar pentru cele care au ca sursa un anumit IP si o anumita adresa MAC. Pentru aceasta trebuie sa incarcam modulul de mac la fel cum anterior am incarcat modul de stare pentru a verifica daca un pachet face parte dintr-o conexiune ESTABLISHED sau RELATED:

# Accept packets from trusted IP addresses
iptables -A INPUT -s 192.168.0.4 -m mac –mac-source 00:50:8D:FD:E6:32 -j ACCEPT

Folosim -m mac pentru incarcarea modulului si –mac-source pentru a specifica adresa MAC a ip-ului (192.168.0.4). Pentru a filtra dupa MAC prima data trebuie sa aflati adresa MAC a unui computer; puteti face acest lucru pe linux folosind comanda ifconfig ca si root. Pe Windows utilizati din linia de comanda comanda ipconfig /all.

Filtrarea dupa MAC poate preveni spoofingul adresei IP adica folosirea adresei IP de catre o persoana/statie neautorizata. Din pacate aceasta filtrare nu functioneaza in internet dar este foarte utila pentru o retea locala (LAN).

Porturi si protocoale

Daca inainte am vazut cum se face filtrarea pentru anumite adrese IP sau adrese MAC acum vom aprofunda realizarea firewall-ului prin prezentarea filtrarii pe porturi si protocoale pentru a controla mai amanuntit traficul in sistemul nostru.

Inainte de a face o astfel de filtrare trebuie sa cunoastem ce protocol si ce port foloseste un anumit serviciu pe care dorim sal acceptam sau sa-l rejectam. Sa luam ca exemplu serviciul de bittorrent care utilizeaza protocolul tcp si portul 6881. Dorim asadar sa acceptam toate pachetele tcp care au ca si destinatie portul 6881 al masinii noastre:

# Accept tcp packets on destination port 6881 (bittorrent)
iptables -A INPUT -p tcp –dport 6881 -j ACCEPT

Adaugam (-A) regula pentru lantul de INPUT valabila la pachetele protocolului tcp (-p tcp) care acceseaza computerul nostru pe portul 6881 (–dport 6881).

Combinarea regulilor

Un serviciu foarte utilizat in linux este secure shell (SSH) care permite logarea remote la un statie sau server. Implicit acest serviciu merge peste protocolul tcp si utilizeaza portul 22. Asadar ca sa acceptam logarea remote va trebui sa acceptam conexiuni tcp pe portul 22:

# Accept tcp packets on destination port 22 (SSH)
iptables -A INPUT -p tcp –dport 22 -j ACCEPT

Aceasta comanda deschide portul 22 pentru toate conexiunile tcp de incoming indiferent de sursa lor, ceea ce poate prezenta un pericol de risc deoarece multi atacatori pot incerca fortarea acestui port pentru eventuale conturi cu parole nesigure. De aceea daca stim adresa sursa de unde se doreste conectarea remote prin ssh o putem specifica in regula, scutindu-ne astfel de eventuale surprize. De exemplu daca dorim sa deschidem portul 22 doar pentru conexiuni de incoming avand ca adresa sursa pe oricine din subreteaua (192.168.0.x):

# Accept tcp packets on destination port 22 (SSH) from private LAN
iptables -A INPUT -p tcp -s 192.168.0.0/24 –dport 22 -j ACCEPT

In acest fel portul 22 va aparea ca find inchis pentru oricine nu face parte din aceasta subretea. Chiar si verificarea cu un port scanner va returna portul ca fiind inchis (closed) daca nu este facuta de pe o adresa sursa acceptata.