IPTABLES. Forrás: https://hu.wikipedia.org/wiki/iptables Gregor N. Purdy: Linux iptables zsebkönyv

Hasonló dokumentumok
Tűzfal építés az alapoktól. Kadlecsik József KFKI RMKI

Netfilter. Csomagszűrés. Összeállította: Sallai András

IPTABLES II. Jelenlegi tűzfalunk így néz ki (IPTABLES I. rész):

A netfilter csomagszűrő tűzfal

Hálózatok építése és üzemeltetése

Linux hálózati adminisztráció

T?zfalak elméletben és gyakorlatban. Kadlecsik József KFKI RMKI

Netfilter: a jó, a rossz és a csúf. Kadlecsik József KFKI RMKI <kadlec@mail.kfki.hu>

Számítógépes Hálózatok GY 8.hét

Alap tűzfal otthoni PC-re (iptables I)

Internet ROUTER. Motiváció

Számítógépes Hálózatok. 8. gyakorlat

nftables Kadlecsik József MTA Wigner FK

Javaslat egy Iptables tűzfal konfigurációjára Számítógép hálózatok esszé Készítette : Veress Krisztián

Számítógépes Hálózatok GY 9.hét

Adatbiztonság a gazdaságinformatikában ZH december 7. Név: Neptun kód:

Hálózati beállítások Készítette: Jámbor Zoltán 2016

Számítógépes Hálózatok GY 8.hét

Csomagsz rés Linux-Netlter környezetben

Hálózatok építése és üzemeltetése

HBONE rendszergazdák tanácsa

Számítógépes Hálózatok

Könnyû álom (6. rész)

Számítógépes hálózatok

Sávszélesség szabályozás kezdőknek és haladóknak. Mátó Péter

Hálózati sávszélesség-menedzsment Linux rendszeren. Mátó Péter Zámbó Marcell

Hálózati architektúrák és Protokollok GI 8. Kocsis Gergely

Linux iptables csomagszűrési gyorstalpaló, kezdőknek...

Hálózatok építése és üzemeltetése

EESZT szerver üzemeltetési dokumentáció

Változások a Sulinet szűrési szabályokban

Az iptables a Linux rendszerek Netfilter rendszermagjának beállítására szolgáló eszköz.

Hálózati architektúrák és Protokollok PTI 6. Kocsis Gergely

Hálózati architektúrák és Protokollok PTI 5. Kocsis Gergely

Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?

IPv6 Elmélet és gyakorlat

Hálózati architektúrák és Protokollok GI 7. Kocsis Gergely

Kiskapu Kft. Minden jog fenntartva

1. Forgalomirányítók konfigurálása

A Sangoma Technologies Intelligens

Hálózati architektúrák laborgyakorlat

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban

HOGYAN Packet Shaping - Gentoo Linux Wiki

Készítette: Sallai András Terjesztés csak engedéllyel sallaia_kukac_fre _pont_hu

HÁLÓZATBIZTONSÁG III. rész


CISCO gyakorlati segédlet. Összeállította: Balogh Zoltán

Internetkonfigurációs követelmények. A számítógép konfigurálása. Beállítások Windows XP alatt

SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI

Hálózati rendszerek adminisztrációja JunOS OS alapokon

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

Tűzfalak működése és összehasonlításuk

2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM NAT/PAT. Számítógép hálózatok gyakorlata

Hálózatvédelem, biztonság

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Alkalmazásszintû proxyzás a Zorp segítségével (2. rész)

Hálózati architektúrák és Protokollok Levelező II. Kocsis Gergely

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Számítógépek és hálózatok biztonsága laboratórium (BMEVIHI4401) SEC-2 mérés. v1.0. Számítógépes rendszerek sebezhetőségi vizsgálata

1. Kapcsolók konfigurálása

SZÉCHENYI ISTVÁN EGYETEM MŐSZAKI TUDOMÁNYI KAR JEDLIK ÁNYOS GÉPÉSZ, INFORMATIKAI ÉS VILLAMOSMÉRNÖKI INTÉZET MATEMATIKA ÉS SZÁMÍTÁSTUDOMÁNY TANSZÉK

Felhő alapú hálózatok (VITMMA02) OpenStack Neutron Networking

OpenBSD hálózat és NAT64. Répás Sándor

A virtuális környezetet menedzselő program. Első lépésként egy új virtuális gépet hozzunk létre a Create a New Virtual Machine menüponttal.

Hálózatok összekapcsolása

LINUX Hálózat beállítása. Forrás:


SQUID. Forrás:

Hálózatok építése és üzemeltetése

[SZÁMÍTÓGÉP-HÁLÓZATOK]

Hálózati eszközök biztonsága

2019/02/12 12:45 1/13 ACL

Témák. Betörés megelőző rendszerek. Mire használhatjuk az IDS-t? Mi az IDS? (Intruding Detection System)

Segédlet a Hálózati architektúrák és protokollok laborgyakorlathoz v0.6

Általános rendszergazda Általános rendszergazda

Hálózati adminisztráció Linux (Ubuntu 9.04) 9. gyakorlat

Az internet ökoszisztémája és evolúciója. Gyakorlat 4

LINUX LDAP címtár. Mi a címtár?

Gyors telepítési kézikönyv

III. Felzárkóztató mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK

Hálózatok építése és üzemeltetése

IPV6 TRANSITION. Számítógép-hálózatok (BMEVIHIA215) Dr. Lencse Gábor

routing packet forwarding node routerek routing table

Léteznek nagyon jó integrált szoftver termékek a feladatra. Ezek többnyire drágák, és az üzemeltetésük sem túl egyszerű.

Számítógép-hálózatok. Gyakorló feladatok a 2. ZH témakörének egyes részeihez

JEGYZŐKÖNYV. Operációs rendszerek telepítése virtuális gépre. Készítette: Vargáné Magusics Erika Informatikatanár MA I. évfolyam

Az 1. ábrán látható értékek szerint végezzük el az IP-cím konfigurációt. A küldő IP-címét a következő módon tudjuk beállítani:

Tartalom. Az adatkapcsolati réteg, Ethernet, ARP. Fogalma és feladatai. Adatkapcsolati réteg. A hálókártya képe

Mérési útmutató a Hálózati protokollok vizsgálata proxy technológiával (Zorp) című méréshez

Gyakorló feladatok a 2. ZH témakörének egyes részeihez. Számítógép-hálózatok. Dr. Lencse Gábor

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

Mérési útmutató a Tűzfal megoldások a gyakorlatban (iptables, Zorp) című méréshez

Bérprogram vásárlásakor az Ügyfélnek ben és levélben is megküldjük a termék letöltéséhez és aktiválásához szükséges termékszámot.

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

VIII. Mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK

Az internet ökoszisztémája és evolúciója. Gyakorlat 2

Kiskapu Kft. Minden jog fenntartva

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

Kiszolgálók üzemeltetése. Iványi Péter

Átírás:

Forrás: https://hu.wikipedia.org/wiki/iptables http://szabilinux.hu/iptables/chapter7.html Gregor N. Purdy: Linux iptables zsebkönyv

Mi az iptables? Netfilter a Linux rendszermagjának hálózati csomagok feldolgozására szolgáló alrendszer. Ennek beállítására az iptables parancs használható. Csomagszűrő Tűzfal OSI modell 3. rétegében dolgozik Korábbi kerneleknél ipchains volt a parancs 2

OSI modell 3

Táblák és láncok nat tábla láncai: PREROUTING, POSTROUTING OUTPUT, filter tábla láncai: INPUT, FORWARD, OUTPUT mangle tábla láncai: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING 4

Láncok INPUT: Bejövő csomagok OUTPUT: Kimenő csomagok FOWARD: Továbbítandó csomagok PREROUTING, POSTROUTING: Csomagmódosításra szolgáló láncok, a nat és mangle tábla használja. Pl. címfordítás (NAT) Minden láncnak van egy alapértelmezett szabálya (policy): ACCEPT: engedélyezett, DROP: tiltott 5

A filter tábla Alapértelmezett tábla, legfontosabb tábla. Ha nincs megadva tábla az iptables parancsban, akkor ebben dolgozik! Láncai: INPUT FORWARD OUTPUT Egy hálókártya (munkaállomás) esetén az INPUT lánc használatos. Nem tud forward-olni. 6

A nat tábla Címfordításkor használatos. Több hálókártya van, router. Láncai: PREROUTING OUTPUT POSTROUTING Internet felé címfordítás: POSTROUTING Internet felől címfordítás: PREROUTING (SNAT) (DNAT) 7

A mangle tábla Módosítások végezhetőek a TCP/IP csomagokban. Pl. TOS, TTL, MARK, SECMARK, CONNSECMARK... Láncai: PREROUTING INPUT FORWARD OUTPUT POSTROUTING 8

Az iptables parancs Általában az INPUT láncban szűrünk. Ha az adott csomag egyik szabályra sem illeszkedik, akkor az alapértelmezett (default policy) érvényesül. Legfontosabb paraméterek: -F : minden szabályt töröl a láncból, ha a lánc elmarad, a tábla összes láncából -L : kilistázza a szabályokat, ha a lánc elmarad, az INPUT láncét -P : megadja a beépített lánc policy-ját (default policy) -N : saját láncot hoz létre -X : töröl egy saját láncot -A : a szabályt a lánc végére szúrja be -I : a szabályt a lánc elejére szúrja be -t : a tábla, amiben dolgozik, ha nincs megadva, akkor a filter tábla 9

Az iptables parancs Feltételek megadása: -s : küldő IP címe (forrás, source) -d : címzett IP címe (cél, destination) --sport : küldő port --dport : címzett port -i : fogadó interfész, csatoló (pl. eth0) -o : kiküldő interfész, csatoló (pl. eth1) -p : csomag protokoll: tcp, udp, icmp -m : iptables modul betöltése 10

Az iptables parancs Feltételek megadása: -m modulename 11

Az iptables parancs Célok megadása: -j <cél> : A csomagcél megadása Cél lehet: ACCEPT: elfogadott csomag, feldolgozás befejezése. DROP: eldobott csomag, feldolgozás befejezése REJECT: visszautasított csomag, kezdeményező oldal felé egy icmp értesítő üzenet is elküldésre kerül. Feldolgozás befejezése. LOG: kernel szinten naplózásra kerül (--log-level, --log-prefix). Feldolgozás 12 folytatódik.

Az iptables parancs Célok megadása: -j <cél> : A csomagcél megadása Cél lehet a nat táblán: SNAT: SNAT forráscím fordítás DNAT: DNAT célcím fordítás MASQUERADE: forráscím maszkolás 13

iptables példák Naplózás: iptables -A INPUT -j LOG --log-prefix "IPTABLES_input " --log-level debug Rendszernaplóban: Nov 7 08:55:21 szerver1 kernel: [ 1888.333958] IPTABLES_input IN=eth0 OUT= MAC=d4:be:d9:53:23:85:f8:d1:11:3b:ab:1c:08:00 SRC=216.58.209.163 DST=192.168.1.11 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=3457 PROTO=TCP SPT=443 DPT=57184 WINDOW=0 RES=0x00 RST URGP=0 Tűzfalszabályok törlése iptables -P INPUT ACCEPT # minden bejövő csomagot engedünk iptables -P OUTPUT ACCEPT # minden kimenő csomagot engedünk iptables -F # törlünk minden szabályt iptables -X # törlünk minden saját láncot iptables -Z # törlünk minden számlálót iptables -P FORWARD DROP # a csomagtovábbítást tiltjuk 14

iptables példák Munkaállomás tűzfalszabályai: iptables -A INPUT -i lo -j ACCEPT # gepen beluli kommunikaciot engedjuk iptables -A OUTPUT -o lo -j ACCEPT # gepen beluli kommunikaciot engedjuk iptables -A OUTPUT -j ACCEPT # mindent kiengedunk iptables -N admin # sajat lanc ssh-nak # INPUT lanc iptables -A INPUT -m pkttype --pkt-type mcast -j DROP iptables -A INPUT -m conntrack --ctstate INVALID -j DROP # a munkaallomas nem hasznal multicastot # a megszunt kapcsolathoz tartozo csomagot eldobjuk iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # a mar letrejott kapcsolatok csomagjai bejohetnek iptables -P INPUT DROP # ha egy csomag beengedesere nincs szabaly, eldobjuk iptables -A INPUT -p icmp --icmp_type echo_request -j ACCEPT # ping iptables -A INPUT -p tcp --dport ssh -j admin # az ssh-t csak bizonyos gepekrol fogadjuk iptables -A INPUT -j LOG --log-prefix "IPTABLES_input " --log-level debug # logoljuk a probalkozasokat # admin lanc iptables -A admin -p tcp -m iprange --src-range 192.168.1.2-192.168.1.254 -j ACCEPT # az ssh-t csak helyi halobol engedjuk iptables -A admin -j LOG --log-prefix "IPTABLES_admin " --log-level debug # logoljuk a probalkozasokat iptables -A admin -s 0/0 -j DROP # eldobjuk a csomagot, amire nincs beengedo szabaly 15

iptables példák NAT szerver tűzfalszabályai: # a megszunt kapcsolathoz tartozo csomagot eldobjuk: iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP # a mar letrejott kapcsolatok csomagjait engedjuk: iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # a belso halobol mindenki kimehet: iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT # MASQUERADE a kimeno csatolo elsodleges cimen NAT-ol: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE SNAT: statikus IP címek esetén MASQUERADE: dinamikus IP címek esetén (pl. ppp) A MASQUERADE feldolgozza az IP címváltozást, de erőforrásigényes. 16

Az iptables telepítés Debian alapú rendszerek esetén: apt install iptables RedHat alapú rendszerek esetén: yum install iptables dnf install iptables 17

Az iptables szabályok konfigurálása Szolgáltatás indítás, leállítás, státusz systemctl start iptables systemctl stop iptables systemctl status iptables Beállítások (szabályok) mentése iptables-save Beállítások (szabályok) visszatöltése iptables-restore 18

Az iptables szabályok konfigurálása Lehet shell szkriptet írni. Konfigurációs fájlba beállítható (RedHat alapú rdsz.): /etc/sysconfig/iptables # Generated by iptables-save *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p udp -m udp sport 161 -j ACCEPT -A INPUT -p tcp dport 21 -j DROP COMMIT 19

Frontend, felhasználói réteg A könnyebb kezelhetőség, konfigurálás érdekében készült egy kezelői felület: firewalld http://www.firewalld.org 20

Köszönöm a figyelmet! 21