Firewally

Pavel Březina, 359290@mail.muni.cz

Obsah

Typy firewallů
Netfilter
IP Tables
Literatura

Typy firewallů

Paketový filtr

filtrování se provádí na síťové a transportní vrstvě (IP adresy a porty)
filtruje se každý paket
rychlé, nezatěžuje příliš systém
typicky běží v jádře systému

Stavové paketové filtry

firewall si udržuje informace o povolených spojeních
pokud paket patří do již ustanoveného spojení, neprochází znovu rozhodovacím procesem
rychlé, pravidla můžou být jednodušší než u bezstavového filtru

Aplikační brána/Proxy firewall

pracuje na aplikační vrstvě - kontroluje jednotlivé protokoly
autentizuje se každý spojení
pro každý protokol je potřeba napsat vlastní proxy
zpracovává větší objem dat než paketový filtr
typicky běží v uživatelském režimu

Netfilter

Jedná se o framework pro filtrování a manipulaci s pakety zabudovaný do jádra systému. Definuje několik přípojných bodů na kterých můžou moduly jádra registrovat vlastní callback funkce. Tento callback je pak zavolán pro každý paket, který prochází příslušným přípojným bodem.

Umožňuje například:

vytvořit bezstavový i stavový paketový filtr
používat NAT pro sdílení internetu
používat NAT vytvoření transparentní proxy
úpravu paketů (například IP hlavičky)

Přípojné body

prerouting
forward
input
output
postrouting

IP Tables

ip_tables (ip6_tables) je zřejmě jedním z nejznámějších modulů využívajích netfilter. Prostřednictvím přípojných bodů netfiltru vytváří stavový paketový filter pro IPv4 (resp. IPv6) - pro sledování spojení využívá modul conntrack. Obsahuje v sobě čtyři tabulky:

filter: Připojuje se na input, forward, output. Je to výchozí tabulka a slouží pro filtrování paketů.
nat: Připojuje se na prerouting, postrouting, output a slouží k manipulaci s adresami paketu.
mangle: Připojuje se na všechny přípojné body a slouží pro úpravu paketů.
raw: Připojuje se na prerouting, output a slouží především ke zrušení monitorování stavu spojení (na přípojné body se registruje s větší prioritou a je tedy volán dřív než ip_conntrack a další moduly iptables).

Modul conntrack rozděluje pakety do následujících kategorií:

NEW - paket ustanovuje spojení
ESTABLISHED - paket je součástí existujícího spojení
RELATED - paket je součástí už existujícího spojení, ale zároveň vytváří nové spojení (například přenost dat přes FTP)
INVALID - není součástí žádného spojení
UNTRACKED - paket není sledován
SNAT - zdrojová adresa paketu se liší od cílové adresy odpovědi
DNAT - cílová adresa paketu se liší od zdrojové adresy odpovědi

Konfigurace tabulek se provádí příkazem iptables (ip6tables). Základní syntaxe pro přidání/smazání pravidla je:


   iptables [-t table] {-A|-D} chain rule-specification
   rule-specification = [matches...] [target]
   match = -m matchname [per-match-options]
   target = -j targetname [per-target-options]

chain jeden z předdefinovaných (PREROUTING, FORWARD, INPUT, OUTPUT, POSTROUTING) nebo můžeme použít vlastní (pomocí iptables -N chainname)

matchname je název modulu, který se použije při porovnávání paketu. Modulů existuje celá řada a každý má svoje specifické parametry. (Např. state).

targetname říká, co se má s paketem provést. Například:

ACCEPT - propustí paket
REJECT - zahodí paket a odesílateli odpoví chybovou zprávou (je možné specifikovat parametrem --reject-with)
DROP - zahodí paket a odesílateli neodpoví

Příklady

iptables -F: Smaže všechny pravidla.
iptables -P INPUT DROP: Nastavení výchozí chování na DROP (zahození paketu) pro přípojný bod INPUT
iptables -A INPUT -s "80.80.80.80" -j DROP: Přidá pravidlo pro zahazování paketů z adresy 80.80.80.80.
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT: Povolí připojení na ssh.
iptables -L [-t table]: Vypíše pravidla pro tabulku table

Další užitečné příkazy

iptables-save - exportuje pravidla na stdout
iptables-restore - importuje pravidla z stdin