Professional Documents
Culture Documents
IpTables PDF
IpTables PDF
• Definition de Chaine
• IDS Tools
• Sauver dans le dossier /etc/init.d come firewall contenant les scripts d’initialisation de Linux
– Attribuer les privilèges d’exécution par la commande
chmod 776 firewall
– LAN Configuration
• Adresse IP sur le LAN: LAN_IP
• Interface réseau sur le LAN: LAN_IFACE
• Range IP du LAN: LAN_IP_RANGE
– Local Configuration
• Adresse Locale: LO_IP
• Interface Locale: LO_IFACE
• Commande IpTables: IPTABLES
– Inizialisation
/sbin/depmod -a
– Loading
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
#
# Initialisation
#
/sbin/depmod -a
#
# 2.1 Modules obligatoires
#
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -t nat -F PREROUTING
$IPTABLES -t nat -F POSTROUTING
#
# 3. Impostazione variabili di sistema.
#
#
# 3.1 Impostazione ip_forward
#
-D, --delete iptables -D INPUT --dport 80 -j DROP Cancella una regola dalla tabella
-R, --replace iptables -R INPUT 1 -s 192.168.0.1 -j DROP Modifica una regola esistente alla posizione specificata
-I, --insert iptables -I INPUT 1 --dport 80 -j ACCEPT Inserisce una regola nella posizione specificata
-s, --src, --source iptables -A INPUT -s 10.5.0.2 Considera pacchetti provenienti dall’IP/range specificato
-d, --dst, --destination iptables -A INPUT -d 10.5.0.0/16 Considera pacchetti diretti all’IP/range specificato
--sport, --source-port iptables -A INPUT -p tcp --sport 22:25 Indica la porta/range da considerare per il match
--dport,
iptables -A INPUT -p tcp --dport 22 Definisce la porta/range verso cui sono diretti i pacchetti
--destination-port
DNAT Riscrive il campo Destination IP nel pacchetto TCP per modificare il destinatario
LOG Permette di loggare informazioni specifiche del pacchetto che sta transitando
Modifica il campo Source IP del pacchetto, come SNAT, e permette la chiusura
MASQUERADE
automatica della connessione quando l’interfaccia sorgente reale viene sconnessa
Esegue un Source Network Address Translation modificando il campo Source IP e
SNAT
quindi il destinatario
• Molto rischiosa, prevede che ogni tipologia di rischio sia valutata e che sia previsto
un set completo di regole
• Esercizi:
– Es: scrivete una regola che abiliti connessioni SSH/22 da parte client
interno (10.X.0.2) verso il firewall
– Es: scrivete una regola che permetta il ping (protocollo ICMP) da parte
di utenti internet verso il firewall
– Controllate traffico entrante con tcpdump
• Cosa manca?
• Esercizi:
– Abilita il forward tra eth1 e eth0
$IPTABLES –A FORWARD ……
– Verifica il comprotamento con tcpdump
– Cosa manca?
– Per loggare tutti i pacchetti UDP in INPUT con porta sorgente diversa da 137,138 e 139, inserendo come
prefisso INPUT UDP:
– Esempio di log:
• Nell’esempio saranno
utilizzate catene per:
– Pacchetti mal-formati
– Pacchetti TCP
– Pacchetti UDP
– Pacchetti ICMP
– Pacchetti considerati NEW ma senza bit SYN attivato: generati da eventuali errori di protocollo
o dal down di un firewall della stessa rete che aveva aperto una connessione RELATED
– Pacchetti considerati NEW con bit SYN/ACK attivato: generati da errori di protocollo o da un
probabile attacco TCP spoofing; la connessione viene negata e terminata con il comando tcp-
reset
$IPTABLES -N allowed
$IPTABLES -N udp_packets
#
# Catena per pacchetti malformati
#
$IPTABLES -N bad_tcp_packets
#
# Catene per pacchetti ICMP, TCP and UDP in transito
#
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets