Linux IPCHAINS HOWTO: Un esempio più serio

7. Un esempio più serio

Questo esempio è estratto dal tutorial scritto da me e Michael Neuling apparso in LinuxWorld nel Marzo 1999; non è il solo modo per risolvere il problema in esame, ma probabilmente è il più semplice. Spero lo si trovi interessante.

7.1 La situazione

Rete interna con il masquerading (con diversi sistemi operativi) che chiameremo ``GOOD''.
Server esposti in una rete separata (chiamata ``DMZ'' per Demilitarized Zone -- Zona Demilitarizzata).
Connessione PPP a Internet (detta ``BAD'').


   Rete Esterna (BAD)
           |
           |
       ppp0|
    ---------------
    | 192.84.219.1|             Rete dei Server (DMZ)
    |             |eth0
    |             |----------------------------------------------
    |             |192.84.219.250 |             |              |
    |             |               |             |              |
    |192.168.1.250|               |             |              |
    ---------------          --------       -------        -------
           | eth1            | SMTP |       | DNS |        | WWW |
           |                 --------       -------        -------
           |              192.84.219.128  192.84.219.129  192.84.218.130
           |
  Rete Interna (GOOD)

7.2 Scopi

Macchina per il filtraggio dei pacchetti:

PING da/per qualsiasi rete: Questo è veramente utile per sapere se una macchina è attiva.
TRACEROUTE da/per qualsiasi rete: Ancora, utile per la diagnostica.
Accesso DNS: Rende ping e DNS più utili.

All'interno di DMZ:

Mail server

SMTP verso l'esterno
Accetta SMTP dall'interno e dall'esterno
Accetta POP-3 dall'interno

Name Server

Invia richieste DNS all'esterno
Accetta richieste DNS dall'interno, dall'esterno e dalla macchina per il filtraggio dei pacchetti.

Server web

Accetta connessioni HTTP dall'interno e dall'esterno
Accesso rsync dall'interno

Rete interna:

Permettere WWW, ftp, traceroute, ssh verso l'esterno: Queste sono cose abbastanza standard da permettere: alcuni iniziano permettendo di fare tutto alla rete interna, ma qui saremo un po' più restrittivi.
Permettere connessioni SMTP verso il mail server: Ovviamente vogliamo poter inviare mail verso l'esterno.
Permettere connessioni POP-3 verso il mail server: Questo è il modo per leggere la propria posta.
Permettere connessioni DNS verso il name server: Vogliamo essere in grado di cercare i nomi esterni dei siti per il WWW, ftp, traceroute e ssh.
Permettere connessioni rsync verso il server web: Questo è il modo per sincronizzare il server web esterno con quello interno.
Permettere connessioni WWW verso il server web: Ovviamente, vogliamo poterci connettere al nostro server web esterno.
Permettere il ping verso la macchina per il filtraggio dei pacchetti: Questa è una pura cortesia: significa che si può controllare se la macchina firewall è giù.

7.3 Prima del filtraggio dei pacchetti

Anti-spoofing.
Poiché non c'è nessun instradamento asimmetrico, semplicemente si può attivare l'anti-spoofing per tutte le interfacce.
# for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done #
Impostare le regole di filtraggio per proibire (DENY) tutto.
Si permetterà ancora il traffico locale su loopback, ma verrà proibito tutto il resto.
# ipchains -A input -i ! lo -j DENY # ipchains -A output -i ! lo -j DENY # ipchains -A forward -j DENY #
Configurare le interfacce.
Solitamente ciò è fatto negli script di boot. Ci si assicuri che i passi precedenti siano fatti prima che vengano configurate le interfacce, per prevenire l'infiltrazione di pacchetti prima di aver impostato le regole.
Inserire moduli di masquerading per ciascun protocollo.
Si devono inserire i moduli di masquerading per FTP, in modo che funzioni l'FTP sia attivo che passivo per la rete interna.
# insmod ip_masq_ftp #

7.4 Filtraggio dei pacchetti per i pacchetti di passaggio

Con il masquerading, la cosa migliore è filtrare nella catena forward.

Si suddivida la catena forward in diverse catene utente a seconda delle interfacce di provenienza/destinazione; ciò spacca il problema in tronconi gestibili più facilmente.


ipchains -N good-dmz
ipchains -N bad-dmz
ipchains -N good-bad
ipchains -N dmz-good
ipchains -N dmz-bad
ipchains -N bad-good

Una cosa comune da fare è di accettare (ACCEPT) errori ICMP standard, e quindi si crea una catena solo per loro.


ipchains -N icmp-acc

Impostare i salti dalla catena forward

Sfortunatamente, è nota solamente (nella catena forward) l'interfaccia d'uscita. Quindi, per scoprire da quale interfaccia sia entrato un pacchetto useremo l'indirizzo di provenienza (l'anti spoofing previene indirizzi contraffatti).

Si noti che si registra qualsiasi cosa che non soddisfa una di queste regole (ovviamente ciò non dovrebbe mai succedere).


ipchains -A forward -s 192.168.1.0/24 -i eth0 -j good-dmz
ipchains -A forward -s 192.168.1.0/24 -i ppp0 -j good-bad
ipchains -A forward -s 192.84.219.0/24 -i ppp0 -j dmz-bad
ipchains -A forward -s 192.84.219.0/24 -i eth1 -j dmz-good
ipchains -A forward -i eth0 -j bad-dmz
ipchains -A forward -i eth1 -j bad-good
ipchains -A forward -j DENY -l

Definire la catena icmp-acc

I pacchetti che siano degli errori ICMP sono accettati, altrimenti il controllo passerà alla catena chiamante.


ipchains -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT

Da Good (interno) a DMZ (server)

Restrizioni della rete interna:

Permettere WWW, ftp, traceroute, ssh verso l'esterno
Permettere SMTP verso il Mail server
Permettere POP-3 verso il Mail server
Permettere DNS verso il Name server
Permettere rsync verso il Web server
Permettere WWW verso il Web server
Permettere il ping alla macchina filtro

Si potrebbe fare il masquerading dalla rete interna nella DMZ, ma qui non si farà. Poiché nessuno nella rete interna dovrebbe provare a fare cose brutte, registriamo qualsiasi pacchetto che venga proibito.

Si noti che le vecchie versioni di Debian usavano `pop-3' invece di `pop3' in /etc/services, cosa che viola l'RFC1700.


ipchains -A good-dmz -p tcp -d 192.84.219.128 smtp -j ACCEPT
ipchains -A good-dmz -p tcp -d 192.84.219.128 pop3 -j ACCEPT
ipchains -A good-dmz -p udp -d 192.84.219.129 domain -j ACCEPT
ipchains -A good-dmz -p tcp -d 192.84.219.129 domain -j ACCEPT
ipchains -A good-dmz -p tcp -d 192.84.218.130 www -j ACCEPT
ipchains -A good-dmz -p tcp -d 192.84.218.130 rsync -j ACCEPT
ipchains -A good-dmz -p icmp -j icmp-acc
ipchains -A good-dmz -j DENY -l

Da Bad (esterno) a DMZ (server).

Restrizioni di DMZ:
- Mail server
  - SMTP verso l'esterno
  - Accetta SMTP da interno ed esterno
  - Accetta POP-3 dall'interno
- Name server
  - Invia DNS verso l'esterno
  - Accetta DNS da interno, esterno e dalla macchina per il filtraggio dei pacchetti
- Web server
  - Accetta HTTP da interno e esterno
  - Accesso rsync dall'interno

Cose permesse dalla rete esterna verso DMZ

Non si registrano le violazioni, in quanto possono succedere.


ipchains -A bad-dmz -p tcp -d 192.84.219.128 smtp -j ACCEPT
ipchains -A bad-dmz -p udp -d 192.84.219.129 domain -j ACCEPT
ipchains -A bad-dmz -p tcp -d 192.84.219.129 domain -j ACCEPT
ipchains -A bad-dmz -p tcp -d 192.84.218.130 www -j ACCEPT
ipchains -A bad-dmz -p icmp -j icmp-acc
ipchains -A bad-dmz -j DENY

Da Good (interno) a Bad (esterno).

Restrizioni della rete interna:
- Permettere WWW, ftp, traceroute, ssh verso l'esterno
- Permettere SMTP verso il Mail server
- Permettere POP-3 verso il Mail server
- Permettere DNS verso il Name server
- Permettere rsync verso il Web server
- Permettere WWW verso il Web server
- Permettere il ping alla macchina filtro

Molti permettono qualsiasi cosa dalla rete interna verso quella esterna. Qua facciamo un po' i fascisti.

Registrazione delle violazioni.
FTP passivo gestito dal modulo del masquerading
le porte di destinazione UDP 33434 e successive sono usate da traceroute.


ipchains -A good-bad -p tcp --dport www -j MASQ
ipchains -A good-bad -p tcp --dport ssh -j MASQ
ipchains -A good-bad -p udp --dport 33434:33500 -j MASQ
ipchains -A good-bad -p tcp --dport ftp -j MASQ
ipchains -A good-bad -p icmp --icmp-type ping -j MASQ
ipchains -A good-bad -j REJECT -l

Da DMZ a Good (interno).

Restrizioni della rete interna:
- Permettere WWW, ftp, traceroute, ssh verso l'esterno
- Permettere SMTP verso il Mail server
- Permettere POP-3 verso il Mail server
- Permettere DNS verso il Name server
- Permettere rsync verso il Web server
- Permettere WWW verso il Web server
- Permettere il ping alla macchina filtro

Se si fa il masquerading dalla rete interna verso la DMZ, semplicemente si rifiuti qualsiasi pacchetto che proviene nell'altro senso. Ovvero, si permettano solo i pacchetti che possono essere parte di una connessione già stabilita.


ipchains -A dmz-good -p tcp ! -y -s 192.84.219.128 smtp -j ACCEPT
ipchains -A dmz-good -p udp -s 192.84.219.129 domain -j ACCEPT
ipchains -A dmz-good -p tcp ! -y -s 192.84.219.129 domain -j ACCEPT
ipchains -A dmz-good -p tcp ! -y -s 192.84.218.130 www -j ACCEPT
ipchains -A dmz-good -p tcp ! -y -s 192.84.218.130 rsync -j ACCEPT
ipchains -A dmz-good -p icmp -j icmp-acc
ipchains -A dmz-good -j DENY -l

Da DMZ a Bad (esterno).

Restrizioni di DMZ:
- Mail server
  - SMTP verso l'esterno
  - Accetta SMTP da interno ed esterno
  - Accetta POP-3 dall'interno
- Name server
  - Invia DNS verso l'esterno
  - Accetta DNS da interno, esterno e dalla macchina per il filtraggio dei pacchetti
- Web server
  - Accetta HTTP da interno e esterno
  - Accesso rsync dall'interno


ipchains -A dmz-bad -p tcp -s 192.84.219.128 smtp -j ACCEPT
ipchains -A dmz-bad -p udp -s 192.84.219.129 domain -j ACCEPT
ipchains -A dmz-bad -p tcp -s 192.84.219.129 domain -j ACCEPT
ipchains -A dmz-bad -p tcp ! -y -s 192.84.218.130 www -j ACCEPT
ipchains -A dmz-bad -p icmp -j icmp-acc
ipchains -A dmz-bad -j DENY -l

Da Bad (esterno) a Good (interno).

Non si permette niente (non mascherato) dalla rete esterna verso quella interna
ipchains -A bad-good -j REJECT

Filtraggio dei pacchetti per la macchina Linux stessa

Se si vuole usare il filtraggio dei pacchetti sui pacchetti in ingresso alla macchina stessa, è necessario fare il filtraggio sulla catena input. Si crei una catena per ogni interfaccia di destinazione:
ipchains -N bad-if ipchains -N dmz-if ipchains -N good-if

Creare dei salti a queste:


ipchains -A input -d 192.84.219.1 -j bad-if
ipchains -A input -d 192.84.219.250 -j dmz-if
ipchains -A input -d 192.168.1.250 -j good-if

Interfaccia di Bad (esterno).

Macchina per il filtraggio dei pacchetti:
- PING verso ogni rete
- TRACEROUTE verso ogni rete
- Accesso DNS

L'interfaccia esterna riceve risposte anche per i pacchetti ``mascherati'' (il masquerading usa le porte sorgente dalla 61000 alla 65095) oltre a errori ICMP per questi e a risposte al PING.


ipchains -A bad-if -i ! ppp0 -j DENY -l
ipchains -A bad-if -p TCP --dport 61000:65095 -j ACCEPT
ipchains -A bad-if -p UDP --dport 61000:65095 -j ACCEPT
ipchains -A bad-if -p ICMP --icmp-type pong -j ACCEPT
ipchains -A bad-if -j icmp-acc
ipchains -A bad-if -j DENY

Interfaccia di DMZ.

Restrizioni della macchina per il filtraggio dei pacchetti:
- PING verso ogni rete
- TRACEROUTE verso ogni rete
- Accesso DNS

L'interfaccia DMZ riceve risposte DNS, risposte al ping ed errori ICMP.


ipchains -A dmz-if -i ! eth0 -j DENY
ipchains -A dmz-if -p TCP ! -y -s 192.84.219.129 53 -j ACCEPT
ipchains -A dmz-if -p UDP -s 192.84.219.129 53 -j ACCEPT
ipchains -A dmz-if -p ICMP --icmp-type pong -j ACCEPT
ipchains -A dmz-if -j icmp-acc
ipchains -A dmz-if -j DENY -l

Interfaccia di Good (interno).

Restrizioni della macchina per il filtraggio dei pacchetti:
- PING verso ogni rete
- TRACEROUTE verso ogni rete
- Accesso DNS
Restrizioni della rete interna:
- Permettere WWW, ftp, traceroute, ssh verso l'esterno
- Permettere SMTP verso il Mail server
- Permettere POP-3 verso il Mail server
- Permettere DNS verso il Name server
- Permettere rsync verso il Web server
- Permettere WWW verso il Web server
- Permettere il ping alla macchina filtro

L'interfaccia interna riceve ping, risposte al ping e errori ICMP.


ipchains -A good-if -i ! eth1 -j DENY
ipchains -A good-if -p ICMP --icmp-type ping -j ACCEPT
ipchains -A good-if -p ICMP --icmp-type pong -j ACCEPT
ipchains -A good-if -j icmp-acc
ipchains -A good-if -j DENY -l

7.5 Per finire

Cancellare le regole di bloccaggio:


ipchains -D input 1
ipchains -D forward 1
ipchains -D output 1

Avanti Indietro Indice