Данная книга задумана как методическое пособие для подготовки к экзамену BSDA. Книга, тем не менее, может быть полезна не только тем кто собирается сдавать этот экзамен, но и просто широкому кругу IT-специалистов, желающих систематизировать свои знания об операционных системах семейства BSD (NetBSD, OpenBSD, FreeBSD, DragonFly BSD).
Читать -> BSDA в вопросах и ответах
Материал написан Евгением Миньковским, он старый, но многое актуально для понятия основ и по сей день.
В Интернете есть много пространных рассказов про то как настроить межсетевые фильтры, экраны, объединить сети и прочие сложности. Я про это писать не буду. Я напишу несколько простых рецептов и примеров, вполне готовых к использованию и рассчитанных на рядового пользователя, которые помогут ему защититься от внешнего вторжения.
Кроме того, здесь я расскажу об одной полезной для web-разработчика (и не только) дополнительной возможности FireWall.
Лично мне понадобился FireWall только когда я стал работать в большой компании в тесном сотрудничестве со многими людьми и мне пришлось открыть ssh-доступ, http-доступ на мою рабочую машину. Кроме того, моя собственная работа привела к тому, что мне пришлось открыть десятки портов, а слушали эти порты приложения, находящиеся в процессе разработки… Одним словом, мне понадобился FireWall, но я не уверен, что он жизненно необходим вам.
Что такое FireWall (коротко)
FireWall — это модуль ядра, который обрабатывает всю входящую информацию до того, как она будет передана соответствующим программам; и всю исходящую информацию, какой бы программой она ни была отправлена. FireWall анализирует эти данные и либо пропускает их дальше, либо блокирует, основываясь на некоторых правилах. Правильная настройка FireWall позволяет защитить систему от нежелательных внешних вторжений и ограничить возможности программ, работающих внутри системы.
Это всё теория. Главное для нас то, что FireWall — это не программа, а подсистема ядра, что он может блокировать трафик и что его можно гибко настраивать.
Подготовка
Прежде всего, вам надо загрузить модуль FireWall в ядро.
Для тестирования, вы можете сделать это «руками» командой:
kldload ipfw
ВНИМАНИЕ! После того, как вы загрузите FireWall вступят в действие настройки по умолчанию и вы будете полностью изолированны от внешнего мира! Поэтому не торопитесь с выполнением этой команды, не прочитав, как настраивать FireWall, или не сохранив инструкции на своём локальном диске.
Чтобы модуль загружался сам при каждой загрузке системы, добавьте строчку:
ipfw_load="YES"
в файл /boot/loader.conf.
Строго говоря, /boot/loader.conf можно и не трогать, модуль подгрузится и если в /etc/rc.conf присутствует firewall_enable=»YES» (см. ниже).
Написание правил
Я не буду здесь пересказывать man 8 ipfw. Он есть в каждой системе, а в сети он есть (хотя и немного устаревший) переведённый на русский язык. Я приведу готовые примеры.
Чтобы разрешить весь трафик, достаточно одного правила
00100 pass all from any to any
Смысл этого правила понятен и без чтения документации: «Пропускай все пакеты от кого угодно к кому угодно». Это правило пригодится вам во время отладки. Неминуемо у вас будут получаться конфигурации в которых вы будете полностью отрезаны от мира. Это правило — идеальное временное решение.
Первое число это номер правила. Каждое правило пронумеровано и проверяются они в порядке возрастания номеров.
Эти правила разрешают только соединения инициированные вами. Снаружи никто даже не может попытаться подключиться. Ваша машина даже не будет «пинговаться», то есть большинство окружающих будут уверены, что она вообще выключена.
Для пользователя эти правила тоже очень жёсткие, они позволяют ему пользоваться далеко не всеми ресурсами сети.
Давайте рассмотрим эти правила по порядку.
00100 allow all from any to any via lo0 00101 deny all from any to 127.0.0.0/8 00102 deny all from 127.0.0.0/8 to any 00500 check-state 00501 deny all from any to any frag 00502 deny tcp from any to any established 00600 allow tcp from any to any 80 out via bge0 setup keep-state 00601 allow tcp from any to any 110 out via bge0 setup keep-state 00602 allow tcp from any to any 143 out via bge0 setup keep-state 00603 allow tcp from any to any 25 out via bge0 setup keep-state 00700 allow tcp from any to XX.XX.XX.XX 53 out via bge0 setup keep-state 00701 allow udp from any to XX.XX.XX.XX 53 out via bge0 keep-state 00702 allow tcp from any to YY.YY.YY.YY 53 out via bge0 setup keep-state 00703 allow udp from any to YY.YY.YY.YY 53 out via bge0 keep-state
Правила 100-102 разрешают общение вашего компьютера с самим собой. Может оказаться, что вам эти правила не нужны, но без них могут не заработать некоторые программы.
Правило 500 проверяет виртуальные правила (о них чуть ниже). Если виртуальные правила не сработали, то поиск подходящего правила продолжается.
Правила 501 и 502 запрещают все соединения, которые уже созданы.
Правила 600-603 создают виртуальные правила (keep-state), пропускающие (allow) пакеты для соединений, которые инициированы (setup) вами (out via bge0).
Кстати, имя интерфейса bge0 вам следует изменить на имя вашего интерфейса.
Причём правила 600-603 позволяют вам работать только с WWW (порт 80) и e-mail (порты 25, 110, 143). Если вам нужно работать и по другим протоколам, то добавьте правил по аналогии.
Правила 700-703 аналогичны предыдущим, они позволяют вам работать с DNS, причём только с легальными DNS вашего провайдера. Замените XX.XX.XX.XX и YY.YY.YY.YY на адреса ваших DNS. Добавьте или удалите правила по необходимости.
Пакеты, которые не удовлетворяют ни одному правилу, будут блокированы FireWall.
Таким образом мы получили набор правил, который не пропускает входящие пакеты кроме тех, которые пришли в ответ на ваш запрос. Кроме того, вы можете работать только с ограниченным кругом Интернет-сервисов. То есть если у вас заведётся какая-то программа (разве такое возможно под FreeBSD?!), желающая «выйти в интернет» у неё это скорее всего не получится. Кроме того, вы не сможете воспользоваться никакими DNS, кроме тех, которым доверяете. Это сразу резко сужает круг возможных атак.
Пример 3: Разумный компромисс
Параноидальная конфигурация хороша, но уж очень параноидальна. Сам я пользуюсь более либеральными настройками:
00100 pass all from any to any via lo0 00101 deny all from any to 127.0.0.0/8 00102 deny all from 127.0.0.0/8 to any 00500 check-state 00502 deny all from any to any frag 00501 deny tcp from any to any established 00600 allow tcp from any to any out via bge0 setup keep-state 00601 allow udp from any to any out via bge0 keep-state # allow in to 80 00700 allow tcp from any to any 80 in via bge0 setup keep-state # ping 02000 allow icmp from any to any out icmptype 8 02001 allow icmp from any to any in icmptype 0
Здесь разрешён весь трафик инициированный мной (на любые порты).
Правило 700 разрешает всем обращаться к Web-серверу, размещённому на моей машине. Вы можете добавить аналогичные правила для других сервисов. На пример:
00701 allow tcp from AA.AA.AA.AA to any 22 in via bge0 setup keep-state
Это правило разрешит обращаться к вашему sshd с машины с IP-адресом AA.AA.AA.AA.
Наконец, правила 2000 и 2001 разрешают вам «пинговать» других. Вас по-прежнему никто «пинговать» не сможет.
Чтобы ping на вас работал, поправьте эти правила вот так:
02000 allow icmp from any to any icmptype 8 02001 allow icmp from any to any icmptype 0
Или напишите просто:
02000 allow icmp from any to any
Это не опасно.
Строго говоря, грамотный хакер сможет много узнать о вашей системе даже с помощью ping, но в большинстве случаев это все же не опасно.
Загрузка правил
Итак, вы выбрали правило, поправили его под свои конкретные нужды и хотите его загрузить. Для загрузки правил есть программа, которая называется так же, как и модель ядра — ipfw. Существует два способа загрузки.
Первый способ — загрузить правила из файла:
ipfw /полный/путь/к/файлу
Перед загрузкой не забудьте удалить существующие правила:
ipfw -q -f flush
Второй способ более громоздок, но он более общепринятый. Для загрузки пишется скрипт, который загружает правила по одному. Традиционно, скрипт имеет примерно такую организацию:
#!/bin/sh ipfw -q -f flush # чистим # устанавливаем переменные oif="bge0" # мой интерфейс cmd="ipfw -q add " # для краткости ks="keep-state" # для краткости # теперь загружаем, используя краткие "макросы" $cmd 00500 check-state $cmd 00502 deny all from any to any frag $cmd 00501 deny tcp from any to any established $cmd 00600 allow tcp from any to any out via $oif setup $ks $cmd 00601 allow udp from any to any out via $oif $ks
Чтобы при старте системы всё загружалось автоматически, вам надо дописать в файл /etc/rc.conf строчки:
firewall_enable="YES" firewall_script="/etc/rc.ipfw"
Упомянутый здесь файл /etc/rc.ipfw может называться и по другому (это имя выбрал я сам). Это просто файл-скрипт, загружающий правила.
Диагностика
Для диагностики есть две команды:
ipfw list
показывает все правила, а
ipfw show
показывает правила и счётчики пакетов, которые совпали с этими правилами. (Имеются полезные дополнительные ключи. Подробнее смотрите документацию.)
Не удивляйтесь, в списках правил всегда будет присутствовать правило, которое вы явно не загружали:
65535 deny ip from any to any
Это правило по умолчанию, оно присутствует всегда и удалить его нельзя. Оно обрабатывается последним в цепочке правил и останавливает все пакеты, которые не совпали ни с одним правилом.
Ограничение трафика
Наконец, ipfw предоставляет возможность, которая никак не связана с безопасностью, но может быть очень полезной при отладке web-приложений. Ipfw может эмитировать торможение сети.
Не вдаваясь в детали (которые всегда можно прочитать в man), приведу сразу пример правил. Загрузить их можно вот такими тремя командами:
ipfw pipe 1 config bw 50Kbit/s queue 20 ipfw queue 1 config pipe 1 weight 50 queue 20 ipfw 00099 add queue 1 tcp from any 9090 to any
Первой командой мы создали трубу (pipe) с скоростью пропускания 50Kbit/s и длиной очереди 20 пакетов. Второй командой мы создали очередь (queue), которая работает с нашей трубой. И третьей командой мы создали правило, которое отправляет в нашу очередь все пакеты, которые идут с порта 9090. То есть даже если вы будете соединяться сами с собой через порт 9090, то ширина канала будет ограничена 50Kbit/s.
Этот механизм позволяет не только ограничивать ширину, но и эмитировать потери пакетов и задержки. Подробнее читайте документацию на ipfw, там всё написано.
Я лишь добавлю, что очерёдность выполнения этих трёх команд не важна. А чтобы удалить трубы и очереди, есть две специальные команды:
ipfw -f pipe flush ipfw -f queue flush
Не забывайте удалять текущие настройки перед загрузкой новых.
Разрешаем производить только 4 коннекта к 22 порту в течении 60 секунд:
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Как удалить iptables правило по номеру
iptables -L INPUT --line-numbers iptables -D INPUT номер iptables -t nat -L POSTROUTING --line-numbers iptables -t nat -D POSTROUTING номер
Как ограничить пропускную полосу для пакетов помеченных меткой через MARK
Сделать MARK, и загнать все такие трансферы в какой-либо класс шейпера. Т.е. если например помеченные пакеты — все их отнести к классу 1:51 где скорость ограничена от 32К до 64К:
tc filter add dev eth1 parent 1:0 protocol ip prio 100 handle 51 fw classid 1:51 tc class add dev eth1 parent 1:2 classid 1:51 htb rate 32Kbit ceil 64Kbit tc qdisc add dev eth1 parent 1:51 handle 51 sfq perturb 10
Как запретить пользователям качать большие файлы
— Собираем поддержку connbytes в patch-o-matic.
— Добавляем правило в firewall, например:
iptables -A FORWARD --connbytes 100000 -j REJECT
— теперь все TCP сессии более 100 Кбайт будут «обрезаны», необходимо добавить исключения для протоколов типа ssh, обычные «долгоживущие» чаты и т.п.
Борьба с Kazaa и прочим вредным трафиком путем вырезания пакетов по маске
— собираем поддержку «string» в patch-o-matic.
— смотрим на протокол Kazaa, в заголовках содержится:
HTTP/1.0 503 Service Unavailable.Retry-After: 3..X-Kazaa-Username: BlazeTre
— добавляем в firewall строчку — iptables -A FORWARD -m string —string «X-Kazaa-» -j REJECT
Как в Linux перебросить соединение через NAT во внутреннюю сеть (1)
Первый путь — пробрасывание только порта:
1) iptables -t nat -A PREROUTING -p tcp -d EXT_R_IP --dport 10000 -j DNAT --to-destination LOCAL_IP:80 2) iptables -A FORWARD -i eth0 -d LOCAL_IP -p tcp --dport 22 -j ACCEPT
Второй вариант — выброс всей машины наружу (если есть свободные адреса):
1) ifconfig eth0:0 NEW_IP netmask NETMASK broadcast BROADCAST 2) route add NEW_IP gw GW netmask 0.0.0.0 metric 1 dev eth0:0 3) iptables -t nat -A PREROUTING -p tcp -d NEW_IP -j DNAT --to-destination LOCAL_IP 4) iptables -A FORWARD -i eth0 -d LOCAL_IP -j ACCEPT
Обозначения: EXT_R_IP — внешний IP роутера, LOCAL_IP — внутренний IP машины, которую хочешь выбросить NEW_IP — новый IP на который хочешь посадить машину, которая имеет локальный LOCAL_IP NETMASK, BROADCAST, GW — внешние netmask, broadcast и gateway
Пример настройки NAT с привязкой к IP под Linux
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth0 -j SNAT --to-source 212.23.98.45
или (без привязки к IP)
ipchains -A forward -j MASQ -s 192.168.0.0/16 -d 0.0.0.0/0
или (через iproute2)
ip rule add from 10.0.1.0/24 nat 254.147.38.14
Другой способ трансляции адресов:<
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
Как ограничить через iptables максимальное число одновременных соединений с одного IP.
# Максимум 10 одновременных соединений к 80 порту с одного IP iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT # Блокируем на стадии SYN iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10 # 20 соединений на сеть класса С iptables -p tcp --dport 80 -m iplimit --iplimit-above 20 --iplimit-mask 24 -j REJECT
Как посмотреть статистику по PREROUTING цепочкам в iptables.
> Делаю: >
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.22.33:3128 >
По iptables -L ничего не показывается.
Используйте:
iptables -t nat -L
Как настроить пакетный фильтр для фильтрации по содержимому пакетов
Следующие правила блокируют прохождение пакетов, данные в которых содержат подстроку virus.exe и ведут лог пакетов с строкой secret внутри:
iptables -A INPUT -m string --string "secret" -j LOG --log-level info --log-prefix "SECRET" iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --string "virus.exe" # Block Code Red iptables -I INPUT -j DROP -p tcp -m string --string "cmd.exe" # Block Nimda iptables -I INPUT -j DROP -p tcp -m string --string "root.exe" iptables -I INPUT -j DROP -p tcp -m string --string "default.ida"
Как настроить NAT (транслятор адресов) для нормальной работы с FTP и ICQ в Linux
iptables:
modprobe iptable_nat modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ip_nat_irc
ipchains:
modprobe ip_masq_ftp modprobe ip_masq_raudio modprobe ip_masq_irc modprobe ip_masq_icq
Можно ли отфильтровывать пакеты (вести лог) в зависимости от UID пользователя ?>
Для FreeBSD:
ipfw add count tcp from any to not 192.168.1.0/24 uid 231
uid user (или gid group) — под правило попадают все TCP или UDP пакеты посланный или принятые пользователем user (группой group).
В Linux в ядрах 2.4.x в iptables можно использовать модуль owner.
Ограничение трафика через iptables (1)
iptables --new-chain car iptables --insert OUTPUT 1 -p tcp --destination-port 25 -o eth1 --jump car iptables --append car -m limit --limit 20/sec --jump RETURN iptables --append car --jump DROP