Számítógépes hálózatok 2.

6. segédlet Netfilter
Miről lesz itt szó?

➔
Mi a Netfilter? Milyen szolgáltatásokat biztosít?
➔
Csomagszűrés logikája chain, ruleset, defaultpolicy ….
➔
Iptables a linux parancs eszköztára a Netfilter kezeléséhez
➔
Hogy készül a hatékony csomagszűrő
➔
A Netfilter többi modulja NAT, Mangle… példák tükrében

2
Mi a Netfilter?

A Netfilter linux kernel modulokból álló védelmi rendszer. Elsődleges szerepe a

csomagszűrés (packetfiltering).

További hasznos funkciója a NAT →Network Address Transmission.

Lényege hogy a hálózati forgalom irányítását segíti a csomagfejlécek
információinak célirányos módosításával. A NAT szolgáltatásai elsődlegesen
belső IP címtartományok és valós internet címtér közötti kommunikációt
teszik lehetővé.

Hatékonyságát biztosítja hogy a kernel része ezáltal biztosan előbb

működésbe lép mint a működését gátolni szándékozó károsító szoftver
eszközök. A védelmet szolgáló beállítások már a hálózati működés előtt
érvényesíthetők.

3
Csomagszűrés - packetfiltering

A csomagszűrés egy védelmi módszer mely a hálózati forgalom szabályozását

végzi az adategységek (többnyire csomagok) az OSI viszony-, szállítási-,
hálózati- és adatkapcsolati rétegbeli kísérőinformációnak (keretek) alapján
meghatározva az adategység hasznos vagy káros jellegét. Az így vizsgált és
kategórizált adatok további kezeléséről döntést is hoz (továbbenged, elutasít,
megsemmisít, részletesen elemez, naplóz….)

Lényeges megjegyezni, hogy a csomagszűrő a fent említett kereteket elemzi,

a csomagban szereplő érdemi továbbított információkhoz nem fér hozzá.

4
Netfilter működése

Alapfeladatok:
●
Csomagok azonosítása
●
Azonosított csomag feldolgozása

Csomag feldolgozás megvalósítása

●
A netfilter „chain” (lánc)-hoz rendeli a csomagokat.
●
Szabályokat rendel a láncokhoz, melyekben egyrészt azonosítást
végez a csomagfejlécek tartalmára alapozva.
●
A szabályban azonosított csomagok feldolgozását előírja.
●
Azok a csomagok, amelyek szabályok által nem kerülnek végleges
feldolgozásra a lánc alapértelmezett feldolgozási módja kerülnek
megsemmisítésre vagy vagy továbbításra.

5
Netfilter – Alapértelmezett láncok

INPUT OUTPUT Csomagok lánchoz rendelése

a Netfiltert futtató eszköz szem-
szögéből az alábbi szerint
történik:
INPUT Ide kerülnek azok
a csomagok amelyekben a
címzett az adott eszköz.
HOST
OUTPUT Ide kerülnek az eszköz-
ről feladott csomagok.
FORWARD A lánc az eszköz
átmenő forgalmát kezeli.

Megjegyzés: A gép belső forgal-

FORWARD
ma „kimegy” az OUTPUT – majd
”beérkezik” az INPUT láncon.

6
Mi az „iptables”?

Az iptables egy parancsalapú eszköztár mellyel a Netfilter teljeskörű kon-

figurálása, működtetése és felügyelete megvalósítható.

Legfontosabb parancsai:

iptables általános és szinte teljeskörű konfiguráló parancs.

iptables-save netfilter beállításait megjelenítő vagy állományba mentő

eszköz.

iptables-restore netfilter beállításait állomány tartalma alapján végző eszköz

7
Iptables példák

Szabályok listázása:
iptables -L
Lánc alapértelmezett viselkedésének beállítasa:
iptables -P FORWARD DROP
Összes szabály törlése a láncról:
iptables -F FORWARD
Szabály felvétele egy láncra a szabálylista végére
iptables -A FORWARD -s 10.0.0.0/24 -d 10.0.0.1 -j DROP
Szabaly beszúrása egy láncra legelsőként:
iptables -I FORWARD 1 -s 10.0.0.3 -d 10.0.0.1 -j ACCEPT
Új lánc létrehozása:
iptables -N NEWCHAIN
Szabály amely az új láncra irányítja a feldolgozast:
iptables -A FORWARD 1 -s 10.0.0.0/24 -p icmp -d 10.0.0.1 -j NEWCHAIN

8
Iptables példák 2.

Szabályok listázása sorszámukkal:

iptables -L –line-number
Szabály törlése sorszámmal:
iptables -D FORWARD 5
pontosan megnevezve:
iptables -D FORWARD -s 10.0.0.8 -d 10.0.0.1 -j ACCEPT

Netfilter beállítások mentese állományba:

iptables-save >szabalyok
Netfilter beállítások betöltése állománybol:
iptables-restore <szabalyok

9
Tűzfal beállítás iptables parancsokkal

#!/bin/sh
#Minden szabályt törlünk
iptables -F
#Töröljük a felhasználói láncokat
iptables -X
#Beállítjuk a láncok alapértelmezett viselkedését tiltásra
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Engedjük a loopback eszköz be és kimenő forgalmát
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Engedélyezzük a létrejött tcp kapcsolatok forgalmát
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Engedélyezzük egy megbízható gép forgalmát
biztonsagos=10.0.0.111
iptables -A INPUT -s $biztonsagos -j ACCEPT
iptables -A OUTPUT -d $biztonsagos -j ACCEPT

10
Tűzfal beállítás iptables parancsokkal 2.

#http forgalom engedélyezése

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
#ftp engedélyezés (21 vezérlőport, 20 adatport, 63000-65535 passzív
#portok)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dport 63000:65535 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
iptables -A OUTPUT -m multiport -p tcp --sport 63000:65535 -j ACCEPT
#ssh félpercenként 2 új ssh kapcsolat engedélyezése
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds
30 --hitcount 2 -j DROP

11
Netfilter legfontosabb moduljai

●
Packetfiltering (iptables parancsoknál alapértelmezett)

●
NAT: Network Address Transmission Forgalom irányítást végez a
forrás- és cél címek manipulálásával.
iptables -t nat ….

●
Mangle Csomagok jelölését végzi precízebb hatékonyabb szű-
rési eljárások végzéséhez

12
 NAT feladatai

DNAT Destination NAT - cél cím átírás:

iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 8080 -j DNAT --to 192.168.1.1:80
Átlátszó(transparent) proxy szabály
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

SNAT Source NAT -forrás cím átírás:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023
internet vonal megosztás:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Példa: Intranet belső TCP/IP szolgáltatás kifelé NAT-olása

iptables -t nat -A PREROUTING -i ppp0 --proto tcp --dport 3550 -j DNAT --to 192.168.1.50
iptables -t nat -A POSTROUTING -o ppp0 -p tcp -s 192.168.1.50 --sport 3550 -j SNAT –-to-source 100.55.44.33

13
Mangle példa

Csomag jelölése egyessel, majd az egyes jelű csomagok átengedése:

iptables -A INPUT -p tcp --dport 21 -t mangle -j MARK --set-mark 1

iptables -A INPUT -t mangle -m mark --mark 1 -j ACCEPT

14
 Köszönöm a figyelmet!

Köszönöm a figyelmet!

A háló velünk marad!

Bendes László 2018 15