IPTables

Jelikož je tento mohutný a silný nástroj všude na internetu do hloubky popsán, nemá smysl ho zde dalekosáhle rozebírat. Uvedu zde tedy jen nejzákladnější­ informace, o tom, co to vůbec je a k čemu slouží a také srovnání se starší utilitou ipchains.
Nastavíme si jádro a řekneme si jak vytvářet firewall.

IPtables je robustní prostředek na administraci IP paketového filtru, je to nástupce ipchains/ipfwadm.

Výhody

• Rychlý, flexibilní, nenáročný
  
• Flexibilní změna pravidel (nemusí se rebootovat, pokud změníme nějaké pravidlo)
  

• Analyzují se jen hlavičky a parametry paketu, nejedná se o "content filter"
  
• Hlavičky můžou být upravené
  
• Pokud budeme mít velkou síť, tak se budeme hůře orientovat v pravidlech (je dobré mít neustále přehled o tom, co chceme a co děláme)

• IPchains umožňoval jen kontrolu shody SYN flagu, IPTables umožňuje match na SYN, ACK, FIN, RST, URG, PSH, ALL, NONE
  
• Stavovost - povoluje blokování­ neautorizovaných nových spojení skrz firewall, i když by normálně pakety byly povolené.Lze aplikovat i na jiné protokoly, nejen na TCP

Stavová politika - routovací rozhodnutí můžou být založena na následujících stavech:

NEW - vytvoření nového spojení (SYN flag), nepovolujeme na INPUT řetězec, pokud neběží server
RELATED - spojení vztahující se nějakým způsobem na už existující spojení
ESTABLISHED - součást existujícího spojení
INVALID - nepatří žádnému spojení

iptables -A FORWARD -m state --state ESTABLISHED, RELATED
-j ACCEPT

• Adresový překlad NAT, IPChains umožňoval jen Maškarádu, IPTables podporuje DNAT, SNAT, REDIRECT, MASQUERADE


• Podpora "Packet Mangling" - změna "mangling" informací v hlavičkách paketů po dobu routovacího procesu (TOS, Marking)


• Ochrana před log-floodingem DOS útoky limitovaným množstvým případných shod v průběhu minuty (dá se aplikovat nejenom na LOG), podpora LOG prefixu a warning levelů (schopnost logování detailů)

iptables -A INPUT -s 192.168.0.0/16 -m limit --limit 1/s
-j LOG

iptables -A INPUT -s 192.168.0.0/16 -j LOG --log-level warn
--log-prefix "spojení:"

• Možnost kontroly (matchování) paketů na základě různých kritérií (MAC, TOS, LENGTH, TTL, ...)


• Modul LOG je separovaný "target" a nemůže být kombinovaný najednou v jednom pravidle jako tomu bylo u IPChains, musí být vytvořeno nové pravidlo (véc pravidel = větší flexibilita).


• REJECT byl zahrnut do externího modulu.

V Networking options vyberete:

CONFIG NETFILTER
CONFIG IP NF CONNTRACK
CONFIG IP NF FTP
CONFIG IP NF IRC
CONFIG IP NF IPTABLES
CONFIG IP NF MATCH LIMIT
CONFIG IP NF MATCH MAC
CONFIG IP NF MATCH MARK
CONFIG IP NF MATCH MULTIPORT
CONFIG IP NF MATCH TOS
CONFIG IP NF MATCH LENGTH
CONFIG IP NF MATCH TTL
CONFIG IP NF MATCH TCPMSS
CONFIG IP NF MATCH UNCLEAN
CONFIG IP NF MATCH OWNER
CONFIG IP NF MATCH STATE
CONFIG IP NF FILTER
CONFIG IP NF TARGET REJECT
CONFIG IP NF TARGET MIRROR
CONFIG IP NF NAT
CONFIG IP NF TARGET MASQUERADE
CONFIG IP NF TARGET REDIRECT
CONFIG IP NF TARGET LOG
CONFIG IP NF TARGET TOS
CONFIG IP NF TARGET TCPMSS
CONFIG IP NF COMPAT IPCHAINS
CONFIG IP NF COMPAT IPFWADM

• Firewall vytváříme vždy technikou "všechno zakaž, něco povol", nikdy ne, však naopak.

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

• Maškarádování vnitřní sítě

echo 1 > /proc/sys/net/ipv4/ip_forward

# pri dynamicky pridelovane IP (DHCP, PPP, ..)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUARADE

# pri pevne staticke IP
iptables -t nat -A POSTROUTING -s $INT_NETWORK -o eth0
-j SNAT --to $EXT-INTERFACE

# povoleni odpovedi a vztahujicich se spojeni
iptables -A FORWARD -m state --state ESTABLISHED, RELATED
-j ACCEPT
iptables -A FORWARD -o $EXT-INTERFACE -s $INT-NETWORK
-j ACCEPT



• Povolení v INPUT chainu příslušných serverů (DNS, SSH, FTP, HTTP, ..)
• Aplikovaní DROP, REJECT, LOG na všechny nepropuštěné pakety