FIREWALL - IPTABLES. 1. Co je to firewall 2. IPTABLES 3. Manuálové stránky 4. Nastavení směrovače 5. Příklady. 1. Co je to firewall?

Podobné dokumenty
Firewal ing v Linuxe

Osobní firewall s iptables

Instalace. Samotný firewall již je s největší pravděpodobností nainstalovaný Zjistíme dle parametru při použití. aptitude search iptables

Téma 11: Firewall v CentOS. Nastavení firewallu

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

Firewally a iptables. Přednáška číslo 12

Firewall, mac filtering, address filtering, port forwarding, dmz. Ondřej Vojtíšek, Jakub Niedermertl

Základní konfigurace Linux firewallu

PB169 Operační systémy a sítě

Zjednodusene zaklady prace s IPTABLES Jiri Kubina jiri.kubina@osu.cz Ver. 1.1 zari 2006

Y36SPS: Firewalling laborka

Konfigurace síťových stanic

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Semestrální projekt do předmětu SPS

Praktikum Směrování Linux

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

Access Control Lists (ACL)

Analýza protokolů rodiny TCP/IP, NAT

X36PKO Úvod Protokolová rodina TCP/IP

Zabezpečení v síti IP

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Úvod do iptables aneb UN*Xové firewally

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Technologie počítačových sítí 7. přednáška

Laboratorní práce: SNMP - Linux snmputils

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Routování směrovač. směrovač

Y36SPS Bezpečnostní architektura PS

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Počítačové sítě Systém pro přenos souborů protokol FTP

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Základy IOS, Přepínače: Spanning Tree

Multikast z pohledu uživatele

Y36SPS Bezpečnostní architektura PS

Super Hot Multiplayer vzdálené sledování finančních dat. Konfigurace sítě. Strana: 1 / 8

Počítačové sítě Transportní vrstva. Transportní vrstva

IP filtr a detektor útoků

Semestrální projekt 2. část

2N EasyRoute UMTS datová a hlasová brána

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Nastavení programu pro práci v síti

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Site - Zapich. Varianta 1

nftables budoucnost linuxového firewallu Petr Krčmář 18. listopadu 2014

Standardizace Internetu (1)

Migrace laboratorního firewallu z platformy Linux PC na platformu MikroTik

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

PB169 Operační systémy a sítě

Y36PSI Protokolová rodina TCP/IP

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

XL-IPM-301W(I/T) Bezdrátové ovládání zásuvek 230V

nftables budoucnost linuxového firewallu Petr Krčmář 7. října 2017

Použití programu WinProxy

Děkuji vedoucímu diplomové práce Doc.Ing. Janu Janečkovi, CSc. za vedení práce. Dále chci poděkovat Michalu Medveckému a Michalu Štusákovi za

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Inovace a zkvalitnění výuky prostřednictvím ICT Počítačové sítě Vrstvový model TCP/IP Ing. Zelinka Pavel

ADMINISTRACE UNIXU A SÍTÍ - AUS Metodický list č. 1

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Uživatelský modul. Transparent Mode

Quido - Telnet. Popis konfigurace modulů Quido protokolem Telnet. 3. srpna 2007 w w w. p a p o u c h. c o m

Příručka nastavení funkcí snímání

Zásobník protokolů TCP/IP

Bezpečnost počítačových sítí

Nová cesta ip. Stará cesta ifconfig, route. Network address translation NAT

Rozhraní Ethernet. KERN & Sohn GmbH Ziegelei 1 D Balingen info@kernsohn.com. Stránka 2. KMB-A01/ FTB-A09/ ITB-A17-IA-cz-0710

ŠPEH BONZÁK přenos provozu mezi programy PŘÍMÉ SPOJENÍ

5. Směrování v počítačových sítích a směrovací protokoly

Zjednodusene zaklady ARP,TCP/IP Jiri Kubina Ver. 1.0 leden 2006

Střední odborná škola a Střední odborné učiliště, Hořovice

Linux v síti. Ondřej Vondrouš

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Část první: Tipy a triky pro práci se systémem 17

e1 e1 ROUTER2 Skupina1

OpenVPN. Ondřej Caletka.

IP adaptér Linksys SPA-1001 (SIP) Stručný průvodce instalací a konfigurací

Úvod do analýzy. Ústav informatiky, FPF SU Opava Poslední aktualizace: 8. prosince 2013

JAK ČÍST TUTO PREZENTACI

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Počítačové sítě. Další informace naleznete na :

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek

Bezpečnost sí, na bázi IP

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Linux na serveru. seminář Arcibiskupského gymnázia v Praze a gymnázia Boženy Němcové v Hradci Králové

Bezdrátové routery LTE & UMTS datové a hlasové brány

Protokoly přenosu. Maturitní otázka z POS - č. 15. TCP/IP (Transmission Control Protocol/Internet Protocol)

Přepínaný Ethernet. Virtuální sítě.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

IP protokol v linuxu trocha teorie a hodně praxe příkazy ip, iptables a další.

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Transkript:

FIREWALL - IPTABLES 1. Co je to firewall 2. IPTABLES 3. Manuálové stránky 4. Nastavení směrovače 5. Příklady 1. Co je to firewall? Firewall je bezpečný a důvěryhodný počítač zapojený mezi privátní a veřejnou sítí. Firewallový systém má nastavena pravidla udávající, jaký síťový provoz může propouštět a jaký má být zablokován nebo odmítnut. V některých velkých organizacích se firewally používají i uvnitř sítě jako ochrana citlivých oddělení organizace od ostatních zaměstnanců. Firewally je možné konstruovat různými metodami. Nejpokročilejší metoda používá několik samostatných systémů a rozděluje síť na různě zabezpečené úrovně. Dva počítače fungují jako filtry umožňují průchod pouze přesně definovaným typům provozu a mezi nimi jsou umístěny síťové servery jako například poštovní brána, WWW server, a podobně. Takováto konfigurace může být velmi bezpečná a umožňuje snadno nastavit kdo se může připojit zvenčí dovnitř a zevnitř ven. Tento typ ochrany se používá obvykle ve velkých společnostech. Typičtěji je firewall jediným počítačem, který zajišťuje vše. Jedná se o méně bezpečné řešení, protože pokud bude v samotném firewallu chyba, která umožní neautorizovaný přístup k němu, může být narušena celá bezpečnost sítě. 2. NETFILTER a IPTABLES Nástroj iptables je součástí zdrojového balíku netfilter. Tento balík vznikl jako důsledek snahy o zjednodušení mechanismu filtrování datagramů ve firewallovém jádře. V linuxu se používá od verze jádra 2.4. Netfilter na rozdíl od předcházejících ipchans řeší jak složitost, tak neobratnost tím, že v jádře implementuje obecnou platformu, která zjednodušuje proces zpracování datagramů a zároveň umožňuje modifikovat filtrační politiky bez nutnosti modifikovat jádro. V implementaci IP Chains se třída input vztahuje na všechny datagramy přijaté počítačem, bez ohledu na to, zda jsou určeny pro něj, nebo zda je má pouze směrovat. V implementaci netfilter se třída input vztahuje pouze na datagramy určené lokálnímu hostiteli, třída forward pak pouze na datagramy určené jinému hostiteli. Analogicky se v IP chains třída output vstahuje na všechny odeslané datagramy bez ohledu na to, zda je odesílá lokální systém, nebo zda je směřuje jinému hostiteli. V netfilter se třída output vztahuje pouze na datagramy generované lokálním systémem a netýká se datagramů směrovaných jinému hostiteli. Program iptables slouží k nastavení filtračních pravidel mechanismu netfilter. Jeho syntaxe je odvozena od ipchains, liší se v jednom podstatném rysu: je rozšiřitelná. Znamená to, že funkce programu je možné doplnit bez nutnosti jeho nového přeložení. Toto je realizovéno pomocí sdílených knihoven. Příkaz iptables slouží k nastavení filtrace a k nastavení filtrace adres. Zajišťují to dvě tabulky pravidel filter a nat. Tabulka filter se nahravá automaticky, pokud neuvedeme prametr t. Kromě toho systém obsahuje pět vestavěných tříd. Třídy

INPUT a FORWARD se týkají tabulky filter, třídy PREROUTING a POSTROUTING tabulky nat a třída OUTPUT obou tabulek. Obecná syntaxe příkazu iptables je: iptables příkaz specifikace_pravidel rozšíření Příkazy K nastavení firewallů se vztahují následující příkazy : -A třída Přidá na konec třídy jedno nebo více pravidel -I třída č_prav Přidá jedno nebo více pravidel na začátek třídy. -D třída Vymaže ze třídy jedno nebo více pravidel, která odpovídají následující specifikaci. -D třída č_prav Vymaže ze třídy pravidlo na pozici č_prav. Pravidla jsou číslovány od jedničky. -R třída č_prav Nahradí pravidlo na pozici č_pravidlo novým pravidlem. -C třída -L [ třída ] Vypíše pravidla dané třídy, případně všech tříd, pokud není třída zadána. -F [třída] Vymaže pravidla dané třídy, případně všech tříd, není-li zadána třída. -Z [třída] Vynuluje počítadla datagramů dané třídy nebo všech tříd. -N třída Vytvoří novou třídu se zadaným názvem. Třída zadaného jména nesmí existovat. Tímto příkazem se vytvářejí uživatelem definované třídy. -X [třída] Vymaže třídu definovanou uživatelem, případě všechny uživatelem definované třídy. -P třída politika Nastavuje implicitní politiku dané třídy. Specifikace pravidel Program iptables má celou řadu parametrů sloužících k definici pravidel. Kdykoliv se zadává pravidlo, používají se všechny následující parametry. Pokud některý z parametrů není zadán, použije se jeho implicitní hodnota. -p [! ] protokol Udává protokol, který pravidlu vyhovuje. Platné názvy protokolů jsou tcp, udp, icmp nebo číselná hodnota protokolu. Je-li uveden!, pravidlo je negováno a budou mu vyhovovat všechny protokoly kromě zadaného. -s [! ] adresa[/maska] Udává zdrojovou adresu datagramu, který pravidlu vyhovuje. Adresa může být zadána názvem počítače, názvem sítě nebo IP adresou. Nepovinný údaj maska, představuje síťovou masku a může být zadán buď v tradiční podobě (např. /255.255.255.0) nebo v moderní podobě (např. /24). -d [! ] adresa[/maska] Udává cílovou adresu datagramu, který pravidlu vyhovuje. Parametr se používá stejně jako s. -j cíl Definuje akci, která se má provést, jestliže diagram pravidlu vyhovuje.

Tento parametr můžete chápat jako příkaz běž na. Platné cílové hodnoty jsou ACCEPT, DROP a REJECT. -i [! ] název_rozhraní Definuje rozhraní, na němž je datagram přijat. Symbol! opět neguje význam pravidla. Pokud název rozhraní končí symbolem +, vyhovují všechna rozhraní začínající zadaným řetězcem. Například i ppp+ definuje všechny rozhranií PPP, -i! eth+ definuje všechna rozhraní kromě ethernetových rozhraní. -o [! ] název_rozhraní Definuje rozhraní, na němž je datagram odesílán. Použití je stejné jako u parametru -i. [!] -f Udává, že pravidlo platí pro všechno kromě prvního fragmentu fragmentovaného datagramu. Volby Následující volby příkazu iptable jsou obecné. Některé z nich slouží k nastavení specifických nuancí systému netfilter. -v Zapne výřečný výstup programu iptables. Program bude sdělovat více informací. -n Způsobí, že iptables bude vypisovat IP adresy a porty jako čísla a nebude se pokoušet o jejich převod na názvy. -x Všechna čísla ve výstupu programu iptables budou uvedena přesně, bez zaokrouhlování. - - line numbers Při výpisu pravidel jednotlivých tříd budou řádky číslovány. Čísla řádků odpovídají pořadí pravidla ve třídě. Rozšíření Iptables je rozšiřitelný pomocí modulů sdílených knihoven. Existuje několik standardních rozšíření, která implementují funkce programu ipchains. Abychom mohli rozšíření použít, musíme jeho název sdělit programu iptables parametrem m název. Následující seznam obsahuje parametry m a p, které nastavují kontext rozšíření, společně s parametry, které rozšíření poskytuje. Rozšíření TCP : -m tcp -p tcp -sport [! ] [port [ :port]] Definuje zdrojový port datagramu, z nějž musí datagram pocházet, aby pravidlu vyhovoval. Je možno specifikovat i rozsahy portů zadáním spodní a horní meze oddělených dvojtečkou. Například 20:25 znamená porty od 20(včetně) po 25 (včetně). Znakem! je možno význam pravidel negovat. -port [! ] [port [ :port]] Definuje cílový port diagramu, na němž musí být datagram určen, aby pravidlu vyhovoval. Použití parametru je stejné jako u sport. -tcp flags [!] maska comp Pravidlu budou vyhovovat ty TCP datagramy, jejichž příznaky odpovídají podmínkám specifikovaným parametry maska a comp.

maska je čárkami oddělený seznam příznaků, které mají být do testování zahrnuty, comp je čárkami oddělený seznam testovaných příznaků, které musí být nastaveny. Platnými příznaky jsou SYN, ACK, FIN, URG, PSH, ALL, a NONE. Symbolem! je možné význam pravidla negovat. Rozšíření UDP : -m udp -p udp -sport [! ] [port [ :port]] Definuje zdrojový port datagramu, z nějž musí datagram procházet, aby pravidlu vyhovoval. Je možné specifikovat i rozsahy portů zadáním spodní a horní meze oddělených dvojtečkou. Znakem! je možné význam pravidla negovat. -dport [! ] [port [ :port]] Definuje cílový port datagramu, na nějž musí být datagram určen, aby pravidlu vyhovoval. Použití parametru je stejné jako u -sport. Rozšíření ICMP : -m icmp -p icmp -icmp-type [!] typ Udává typ ICMP zprávy, která bude pravidlu vyhovovat. Typ je možné zadat číslem názvem. Některé platné názvy jsou: echo-request, echo-reply, source-quench, time-exceeded, destination-unreachable, network-unreachable, host-unreachable, protocolunreachablea a port-unreachable. Rozšíření MAC : -m mac -mac-source [!] adresa Udává ethernetovou adresu hostitele, který datagram vyslal. Tento parametr má význam pouze ve třídách input a forward, protože u všech dataramů ve třídě output jsme odesílatelem my. 4. Nastavení směrovače Adresa sítě Adresa sítě 192.168.2.0 192.168.1.0 směrovač Interní síť Externí síť Eth0 192.168.2.1 Eth1 192.168.1.1 Při nastavení směrovače postupujeme následujícím způsobem 1. nastavení ip adres síťových rozhraní směrovače. Každé rozhraní náleží jedné ze síťových karet. ifconfig eth0 192.168.2.1 netmask 255.255.255.0 ifconfig eth1 192.168.1.1 netmask 255.255.255.0

2. dále potřebujeme nastavit, aby směrovač předával informace z interní do externí sítě a naopak. Toto se nastavuje v souboru /proc/sys/net/ipv4/id_forward. Pro zjištění jakou hodnotu tento soubor obsahuje. more /proc/sys/net/ipv4/id_forward Pro zapnutí směrování, musíme v tomto souboru nastavit hodnotu na 1. Příkaz pro zapnutí směrování použijeme příkaz echo 1 > /proc/sys/net/ipv4/id_forward 5. Příklady Pozn : Při propouštění nějaké služby přes firewall, kdy nechceme, aby dosáhla na lokální počítač, budou nám stačit dvě pravidla : obě ve třídě forward, jedno pro směr tam a druhé pro směr zpět. Příklad 1. Nastavení počátečních politik /sbin/iptables -X /sbin/iptables -F INPUT /sbin/iptables -F OUTPUT /sbin/iptables -F FORWARD Příklad 2. Povolení localhostu /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT Příklad 3. Povolení pro eth1 uživatel je schopen z eth1 provádět operace /sbin/iptables -A INPUT -i eth1 -j ACCEPT /sbin/iptables -A OUTPUT -o eth1 -j ACCEPT Příklad 4. Povolení pro eth0 /sbin/iptables -A INPUT -i eth0 -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -j ACCEPT Příklad 5.WWW pro obě strany /sbin/iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 80 -j ACCEPT /sbin/iptables -A FORWARD -p tcp -d 0/0 -s 0/0 --sport 80 -j ACCEPT Příklad 6. FTP z vnější sítě se není nikdo schopen přihlásit na ftp, ale z sítě 192.168.2.0 se můžem přihlásit kamkoliv /sbin/iptables -A FORWARD -p tcp -s 192.168.2.0/24 -d 0/0 --dport 20 -j ACCEPT /sbin/iptables -A FORWARD -p tcp -s 192.168.2.0/24 -d 0/0 --dport 21 -j ACCEPT /sbin/iptables -A FORWARD -p tcp -d 192.168.2.0/24 -s 0/0 --sport 20 -j ACCEPT /sbin/iptables -A FORWARD -p tcp -d 192.168.2.0/24 -s 0/0 --sport 21 -j ACCEPT Příklad 7. ICMP povolení icmp pro lokalní sít ( např. jsem schopný se pingnout na stroje za Firewallem )

/sbin/iptables -A FORWARD -p icmp -j ACCEPT Příklad 8. ICMP povolení icmp na router ( např. jsem schopný pingnout interface routeru ) /sbin/iptables -A INPUT -p ICMP -j ACCEPT /sbin/iptables -A OUTPUT -p ICMP -j ACCEPT 6. Reference 1. Linus Torvalds, Linux dokumentační projekt, 2. AbcLinuxu s.r.o., www.abclinuxu.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář