Debian e iptables: differenze tra le versioni
mNessun oggetto della modifica |
(→Tools di IPTables: uso di netfilter-persistent) |
||
Riga 81: | Riga 81: | ||
I vantaggi di questo metodo sono la rapidità di esecuzione del comando iptables-restore ma obbligano, qualora si volesse effettuare delle modifiche alle regole, ad intervenire per forza tramite shell. | I vantaggi di questo metodo sono la rapidità di esecuzione del comando iptables-restore ma obbligano, qualora si volesse effettuare delle modifiche alle regole, ad intervenire per forza tramite shell. | ||
=====Automatizzare la procedura===== | |||
In alternativa si può utilizzare il pacchetto netfilter-persistent | |||
<pre># apt-get install netfilter-persistent</pre> | |||
che si occupa di salvare e ripristinare automaticamente le regole. | |||
====Script di Bash==== | ====Script di Bash==== |
Versione delle 10:29, 12 giu 2015
Versioni Compatibili Tutte le versioni supportate di Debian |
Introduzione a IPTables/Netfilter
Questo semplice HOW-TO è rivolto a tutti coloro che usano iptables (molti, credo) con Debian GNU/Linux.
Il tool iptables è (a partire dalla serie 2.4.x) il comando in user-space - a livello utente - che permette all'amministratore di interagire con netfilter ovvero il programma a livello kernel che si occupa del filtraggio dei pacchetti.
Per quanto riguarda Debian, Netfilter è presente in tutti i kernel installabili durante il setup di Debian. È pertanto sufficiente per iniziare ad utilizzare il proprio firewall installare il programma IPTables:
# apt-get install iptables
Attenzione che se avete un kernel ricompilato per conto vostro dovrete assicuratevi di avere abilitato tutte le opzioni ed i moduli necessari.
Risorse in rete
Per chi avesse la necessità di approfondire gli argomenti quivi trattati evidenzio da subito i seguenti link contenenti preziosa documentazione:
- sez. "Comunicare 5" di Appunti di informatica libera;
- homepage degli sviluppatori di netfilter: sono presenti una ottima mailinglist (consigliata) e ricca documentazione.
Iniziamo
Ovviamente, trattandosi di GNU/Linux, vi sono più modi differenti per ottenere i risultati desiderati. Lasciando ad ognuno il suo, ecco un excursus per vedere da dove iniziare.
Come interagire con Netfilter
Se Netfilter è il cuore del kernel che fa per noi il lavoro sporco di spulciarci/forwardare i pacchetti, IPTables è il potente tool User-space con il quale eseguire la configurazione. Oltre all'uso di IPTables sono nati anche varie GUI nel tentativo di fornire un approccio più user-friendly.
IPTables
Il comando IPTables, da dare con privilegi di root, ci permette di modificare le regole di netfilter. A grandi linee il comando è così schematizzabile:
# iptables [-t table] {A|I|D|R|P|N|X|S|E|L...} [chain] rule-specification [option]
Tradotto in Italiano: indichiamo a iptables su quale tabella se aggiungere/eliminare una nuova catena [di regole] o se inserire/appendere/eliminare in una data catena una certa regola. Per esempio, se inseriamo le seguente regola:
# iptables -I OUTPUT -d 127.0.0.1 -j DROP
indichiamo a iptables di inserire [-I] nelle regole di uscita [OUTPUT] per tutti i pacchetti indirizzati all'interfaccia di loop back [-d 127.0.0.1] la regola [-j] di bloccarli [DROP]. Pertanto non sarà più possibile pingarsi (ping 127.0.0.1). Potete vedere le regole appena inserite con
iptables -L [-n --> per avere i dati in formato numerico]
Fatta la prova possiamo ripristinare la situazione iniziale cancellando tutte le regole:
iptables -F
NAT e FORWARD
l Network Address Translation è la tecnica grazie alla quale un nodo di rete capace di lavorare al layer Network (quale un router, un gateway ecc) modifica l’header dei pacchetti che transitano attraverso di esso, mantenendo traccia dello storico delle modifiche effettuate per redirigere una connessione verso un’altra macchina (Destination NAT), per modificare l’indirizzo IP sorgente di un pacchetto (Source NAT), condividere una connessione ad Internet tra tutta la rete che utilizza un gateway (Masquerading) o infine reindirizzare un pacchetto destinato ad una porta verso un’altra.
I vantaggi di utilizzare questa tecnica sono molteplici, si pensi, per esempio, alla possibilità da parte degli amministratori di rete di condividere l'accesso ai servizi di Internet senza conferire indirizzi IP limitati ad ogni nodo presente sulla LAN. Un modo comunemente usato è quello di un indirizzo IP privato, in modo da permettere a tutti i nodi sulla LAN di accedere in modo corretto ai servizi della rete sia interni che esterni. I firewall possono ricevere da Internet, le trasmissioni in entrata e direzionare i pacchetti al nodo LAN specifico; allo stesso tempo i firewall/gateway possono direzionare le richieste in uscita da un nodo della LAN al servizio remoto di Internet. Questo inoltro di traffico della rete alle volte può essere pericoloso, soprattutto con la disponibilità di tool moderni, capaci di eseguire delle azioni di spoof nei confronti di indirizzi IP interni, e rendere la macchina di un aggressore remoto, comportarsi come un nodo sulla vostra LAN. Per evitare tutto questo, iptables fornisce delle policy di forwarding e di routing, che possono essere implementate per prevenire un uso improprio delle risorse della rete.
La policy FORWARD permette ad un amministratore di controllare dove vengono diretti i pacchetti all'interno di una LAN. Per esempio, per abilitare il forwarding per l'intero LAN (assumendo che il firewall/gateway ha un indirizzo IP interno su eth1), possono essere impostate le seguenti regole:
iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -o eth1 -j ACCEPT
Questa regola conferisce ai sistemi situati dietro un firewall/gateway, la possibilità di accedere alla rete interna. Il gateway direziona i pacchetti da un nodo LAN alla sua destinazione prevista, passando tutti i pacchetti attraverso il proprio dispositivo eth1.
Per default, la policy IPv4 nei kernel Debian disabilita il supporto per l'inoltro IP, il quale evita alle macchine Debian di non comportarsi come dei router. Per abilitare l'inoltro IP modificare il file /etc/sysctl.conf sostituendo 0 con 1 alla seguente voce:
net.ipv4.ip_forward = 0 (1)
Accettando i pacchetti inoltrati tramite il dispositivo IP interno si abilita la comunicazione tra i nodi LAN; tuttavia essi non sono ancoraabilitati a comunicare esternamente con Internet. Per abilitare i nodi LAN con indirizzi IP privati alla comunicazione con le reti pubbliche esterne configurate il firewall per l'IP masquerading, il quale maschera le richieste provenienti dai nodi LAN con l'indirizzo IP dei dispositivi esterni del firewall (in questo caso, eth0):
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
La regola utilizza il NAT packet matching table (-t nat), e specifica la catena POSTROUTING interna per NAT (-A POSTROUTING), sul dispositivo networking esterno del firewall (-o eth0). POSTROUTING permette ai pacchetti di essere modificati quando gli stessi abbandonano il dispositivo esterno del firewall. Il target -j MASQUERADE viene specificato in modo da poter mascherare l'indirizzo IP privato di un nodo, con l'indirizzo IP esterno del firewall/gateway. Pertanto, il masquerading è permette ad una rete interna con IP statico e quindi non routabile all’esterno, di uscire su internet con il solo IP pubblico del dispositivo(router, firewall) sul quale è in funzione un’implementazione di questa tecnica.
Concludiamo il discorso sul NAT, parlando del REDIRECT che consente di mutare la porta di destinazione di un pacchetto. Anche questa operazione si svolge nella chain di PREROUTING.
La sintassi è la seguente:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
-i interfaccia di destinazione -p protocollo di destinazione (tcp o udp) --dport porta di destinazione da reindirizzare --to-port nuova porta di destinazione
GUI - Grafical User Interfaces
Queste alternative non hanno avuto un enorme successo, forse perché si fa prima a capire come funzione Netfilter piuttosto che un programma che configura Netfilter. In ogni caso ecco una breve lista di possibili alternative, a discrezione dell'utente (l'ordine è puramente casuale):
- shorewall <-- guida debianizzata;
- fwbuilder <-- guida debianizzata;
- Turtle Firewall Project;
- Integrated Secure Communications System;
- Tanti, tanti altri.
Salvare la configurazione del firewall
Questa parte presenta una particolarità rispetto a quanto solitamente abituati nell'impostare le configurazioni. Infatti, lavorando a livello di kernel (netfilter) non è possibile salvare in modo permanente la configurazione del proprio firewall ma è necessario richiamarla volta per volta. Anche qui, a seconda dei gusti, propongo due differenti soluzioni che consiglio magari da utilizzare entrambi.
Tools di IPTables
Dopo aver creato la directory di configurazione (suggerisco /etc/iptables/) è possibile, dopo che si hanno inserito tutte le opzione tramite shell, salvare il lavoro svolto nel seguente modo:
# iptables-save > /etc/iptables/firewall.config
In questo modo, al riavvio successivo, sarà sufficiente richiamare il file di configurazione appena creato:
# iptables-restore < /etc/iptables/firewall.config
Sarà ovviamente possibile creare uno script che in automatico attivi la configurazione del firewall all'accensione.
I vantaggi di questo metodo sono la rapidità di esecuzione del comando iptables-restore ma obbligano, qualora si volesse effettuare delle modifiche alle regole, ad intervenire per forza tramite shell.
Automatizzare la procedura
In alternativa si può utilizzare il pacchetto netfilter-persistent
# apt-get install netfilter-persistent
che si occupa di salvare e ripristinare automaticamente le regole.
Script di Bash
Questo metodo consente, secondo personale parere, un maggiore ordine delle regole. Infatti l'idea è di creare uno script di Bash che, eseguendolo, imposti tutte le regole del firewall.
Versione 0.1 - obsoleta
Per prima cosa assicuriamoci che iptables venga attivato all'avvio del sistema:
# dpkg-reconfigure -plow iptables
Fatto questo possiamo usare iptables per creare le nostre regole di filtraggio. Quando siamo soddisfatti del rule-set creato, possiamo salvarlo e fare in modo che venga attivato automaticamente. Per memorizzare le impostazioni è sufficiente usare il comando:
# /etc/init.d/iptables-save
Per chi è abituato a configurare il firewall attraverso file di configurazione (e per i curiosi), queste impostazioni vengono memorizzate in /var/lib/iptables
.
happy filtering!
Guida scritta da:
(originariamente scritta da Keltik) |
Debianized 40% |
Estesa da: | |
Verificata da: | |
Verificare ed estendere la guida | Cos'è una guida Debianized |