Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Immutable Page
  • Info
  • Attachments


Introduzione

Iptables è un firewall, da linea di comando, installato in modo predefinito su Ubuntu. Quando si installa Ubuntu, anche iptables viene installato con le impostazioni di default che autorizzano tutto il traffico.

A partire da Ubuntu 8.04 anche Ufw viene installato di default. Si tratta di un applicazione che consente di semplificare la configurazione di iptables.

Mostrare la configurazione attuale

  • Per visualizzare la configurazione del firewall, è sufficiente digitare il seguente comando in una finestra di terminale:

    sudo iptables -L
  • Per esempio, con Ubuntu appena installato, il firewall è sì attivo, ma non ha ancora una vera configurazione, perciò l'output dovrebbe essere:

    Chain INPUT (policy ACCEPT)
    
    target     prot opt source               destination         
    
    Chain FORWARD (policy ACCEPT)
    
    target     prot opt source               destination         
    
    Chain OUTPUT (policy ACCEPT)
    
    target     prot opt source               destination

In modo predefinito il firewall lascia passare tutto, come indicano le scritte "policy ACCEPT" e l'assenza di altre regole. A volte le informazioni mostrate non sono sufficienti; in questi casi basta aggiungere -v oppure -vv al precedente comando. Per esempio:

sudo iptables -vv -L

Opzioni di base

Di seguito, verranno riportate alcune delle opzioni di iptables per meglio comprendere la sintassi riportata successivamente.

  • A - Append Appende (allega) questa regola alla lista delle regole. Le liste di regole valide per ciò che stiamo facendo sono INPUT, FORWARD and OUTPUT, ma in questo tutorial si tratterà l'INPUT che regolerà solo il traffico in entrata.

  • -L - List elencherà in una lista le attuali regole di filtraggio.

  • -m conntrack - Permette di filtrare le regole per abbinarle in base allo stato di connessione. Consente l'uso dell'opzione - ctstate.
  • --ctstate - Definisce l'elenco degli stati per la regola da soddisfare. Gli stati validi sono:
    • NEW - La connessione non è stata ancora visualizzata.
    • RELATED - La connessione è nuova, Ma è in relazione con un'altra attualmente permessa.
    • ESTABLISHED - La connessione è tuttora stabilita.
    • INVALID - Il traffico non può essere identificato per qualche ragione.
  • -m limit - Richiede quale regola deve essere soddisfatta solo un numero limitato di volte. Permette l'uso dell'opzione --limit. Utile per limitare le regole di registrazione.
    • --limit - Il tasso massimo di corrispondenza, dato come un numero seguito da "/second", "/minute", "/hour", or "/day" in base a quanto si desidera che la regola sia soddisfatta. Se questa opzione non viene utilizzata mentre si usa "-m limit", il valore di default è "3/hour".
  • -p - Il protocollo utilizzato per la connessione.
  • --dport - La porta di destinazione richiesta per questa regola. Può essere indicata una porta singola oppure un intervallo di porte come "portastart:portaend", che prenderà in considerazione tutte le porte da 'portastart' a 'portaend' comprese.
  • j - Salta al target specificato. Per default, iptables permette quattro target:
    • ACCEPT - Accetta il pacchetto e blocca le regole in questa lista.
    • REJECT - Rigetta il pacchetto e notifica a chi sta inviando i dati che si è proceduto al blocco, nonchè blocca le regole in vigore in questa lista.
    • DROP - Ignora silenziosamente il pacchetto e blocca le regole in vigore in questa lista.
    • LOG - Logga il pacchetto, e continua a processare più regole nella lista. Permette l'uso delle opzioni --log-prefix e --log-level.
  • --log-prefix - Durante il log, inserire questo testo prima del messaggio di log. Usare il 'double quotes' sul testo da usare.
  • --log-level - Loggarsi usando il livello 'syslog' specificato. 7 è una buona scelta finchè non si avrà specificatamente bisogno di qualcos'altro.
  • -i - Soddisfatta solo se un pacchetto sta entrando verso la periferica specificata.
  • -I - Inserisce una regola. Desidera solo due opzioni, la lista dove inserirla e il numero che la regola avrà nella lista.
    • -I INPUT 5 dovrebbe inserire la regola all'interno della lista di regole INPUT nella quinta posizione.
  • -v - Visualizza più informazioni nel rapporto. Utile per visualizzare se si hanno regole che appaiono molto simili senza l'uso dell'opzione in questione.
  • -s --source - indirizzo[/mask] 'specifica sorgente'
  • -d --destination - indirizzo[/mask] 'specifica destinazione'
  • -o --out-interface - output name[+] interfaccia di rete name ([+] per carattere jolly)

Consentire sessioni già stabilite

  • Si possono autorizzare connessioni già stabilite a ricevere traffico:

    # iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  • La regola qui sopra non ha spazi su entrambi i lati della virgola tra ESTABLISHED,RELATED
  • Se la linea qui sopra non funziona, si potrebbe essere su un VPS che usa OpenVZ oppure non si hanno installate alcune estensioni del kernel. In quel caso, provare questo comando:

    # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Autorizzare il traffico in entrata su porte specifiche

Si potrebbe iniziare bloccando il traffico, ma si potrebbe aver bisogno di lavorare su SSH, e quindi si potrebbe aver bisogno di consentire il SSH prima di bloccare tutto il resto.

  • Per consentire il traffico in ingresso sulla porta di default SSH (22), si potrebbe comunicare a iptables di consentire tutto il traffico TCP in ingresso su quella porta:

       iptables -A INPUT -p tcp --dport ssh -j ACCEPT

Facendo riferimento alla lista qui sopra, si può notare che il comando dice a iptables:

  • aggiungi questa regola alla catena input (-A INPUT) in modo da guardare il traffico in entrata
  • controlla per verificare se è di tipo TCP (-p tcp).
  • in caso affermativo, verificare se l'input punta alla porta SSH (- dport ssh).
  • in caso affermativo, accettare l'input (-j ACCEPT).

Si controllino allora le regole: (Qui sotto vengono mostrate solo le prime righe, ma il report mostrerà di più)

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh

Ora, si autorizzi il traffico in entrata nella rete

# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Controllando le regole, si avrà

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www

Abbiamo specificatamente consentito il traffico TCP verso le porte ssh e web, ma poiché non abbiamo bloccato niente, tutto il traffico può ancora entrare

Bloccare il traffico

Una volta che si è deciso di accettare un pacchetto, le regole non incidono più su di esso. Visto che le regole che consentono il traffico ssh e web sono inserite prima di altre, e dato che la regola per bloccare tutto il traffico viene dopo di loro, si può ancora accettare il traffico che si vuole. Tutto quello che dobbiamo fare è inserire la regola per bloccare tutto il traffico alla fine.

# iptables -A INPUT -j DROP
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
DROP       all  --  anywhere             anywhere

Visto che non si è specificato un'interfaccia o un protocollo, qualsiasi tipo di traffico per ogni porta su qualsiasi interfaccia è bloccata, tranne che per il web e ssh.

Modificare iptables

L'unico problema del setup appena implementato è che anche la porta di loopback è bloccata. Abbiamo potuto scrivere la regola 'drop' solo per eth0 specificando '-i eth0', ma potremmo anche aggiungere una regola per il loopback. Se vogliamo aggiungere questa regola sarà ormai troppo tardi perchè tutto il traffico è stato 'droppato'. Si deve quindi inserire prima questa regola. Visto che questo è una grossa quantità di traffico, si inserirà questa come prima regola affinchè venga processata per prima.

# iptables -I INPUT 1 -i lo -j ACCEPT
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
DROP       all  --  anywhere             anywhere

Le prime linee e le ultime si assomigliano, quindi dovremo vedere la lista di iptables con maggiore dettaglio.

# iptables -L -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www
    0     0 DROP       all  --  any    any     anywhere             anywhere

Ora è possibile vedere molte più informazioni. Questa regola è in realtà molto importante, dal momento che molti programmi utilizzano l'interfaccia di loopback per comunicare tra loro. Se non si consente loro di parlare, si potrebbe interrompere quei programmi!

Registrazione

Nessuno degli esempi di traffico riportati sopra verrà registrato. Se si desidera registrare i pacchetti 'droppati' su syslog, questo è il modo più rapido:

# iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

Si veda la sezione Suggerimenti per maggiori consigli sulla registrazione.

Salvataggio di IPTables

Se si dovesse riavviare la macchina in questo momento, la configurazione di iptables sparirebbe. Invece, se si vuole che ad ogni riavvio si mantengano queste configurazioni, si dovrà salvare la configurazione. Per salvarla, è possibile utilizzare 'iptables-save' e 'iptables-restore'.

Configurazione all'avvio

ATTENZIONE: Iptables e NetworkManager potrebbero essere in conflitto. Se siete preoccupati abbastanza per la sicurezza per installare un firewall, potreste non vuole fidarsi NetworkManager per la gestione di esso ancora. Si noti inoltre NetworkManager e iptables hanno obiettivi opposti. Iptables mira a conservare qualsiasi dubbio il traffico di rete. NetworkManager mira ad essere sempre connessi in ogni momento. Pertanto, se si vuole la sicurezza per tutto il tempo, eseguire iptables al boot. Se si desidera che la sicurezza parte del tempo poi NetworkManager potrebbe essere la scelta giusta.

ATTENZIONE: Se si utilizza NetworkManager (installato di default su Feisty e versioni successive) questi passaggi vi lascerà in grado di utilizzare NetworkManager per le interfacce si modificano. Si prega di attenersi alla procedura descritta nella sezione successiva, invece.

NOTA: Sembra in Hardy, NetworkManager ha un problema con correttamente sul salvataggio e il ripristino delle regole iptable quando si utilizza il metodo nella sezione successiva. L'utilizzo di questo primo metodo sembra funzionare. Se trovate in caso contrario, si prega di aggiornare questa nota.

Salvare le regole del firewall in un file

# sudo bash -c "iptables-save > /etc/iptables.rules"

Ora si hanno molte opzioni. Si possono fare modifiche a '/etc/network/interfaces' o aggiungere uno script a '/etc/network/if-pre-up.d/' e '/etc/network/if-post-down.d/' per ottenere risultati simili. La soluzione dello script permette una flessibilità leggermente maggiore.

Soluzione #1 - /etc/network/interfaces

(NB: si sono seguite le istruzioni in questa sezione e questo ha disabilitato la maggior parte (o tutti) degli script in '/etc/rc2.d /: Polipo, dnsmasq, bluetooth, ecc; Consiglia di utilizzare ufw/gufw.)

Modificare il file di configurazione di interfacce '/etc/network/' per applicare le regole automaticamente. È necessario conoscere l'interfaccia che si sta utilizzando, al fine di applicare le regole - se non la si conosce, probabilmente si sta utilizzando l'interfaccia eth0, anche se si dovrebbe verificare con il seguente comando per vedere se ci sono delle schede wireless:

  iwconfig

Se si ottiene un output simile al seguente, allora non avete schede wireless e molto probabilmente state usanto eth0.

$ iwconfig

lo        no wireless extensions.

eth0      no wireless extensions.

$

Quando si conosce l'interfaccia che si sta utilizzando, aprire il file '/etc/network/interfaces' e a seconda della distribuzione o dell'editor in uso si dovràc digitare:

# nano /etc/network/interfaces

Per Ubuntu e Xubuntu, premere alt+F2, e successivamente nella finestra che appare, scrivere:

gksudo gedit /etc/network/interfaces

e premere Enter.

Per Kubuntu: premere Alt+F2, successivamente nella finestra che compare scrivere:

kdesu kate /etc/network/interfaces

poi premere Enter.

Una volta all'interno del file, ricercare l'interfaccia che si è trovata, e alla fine delle righe relative alla rete per l'interfaccia, aggiungere la riga:

pre-up iptables-restore < /etc/iptables.rules

È anche possibile preparare una serie di regole secondarie, salvarli in secondo file '/etc/iptables.downrules' e si applicheranno automaticamente utilizzando la procedura di cui sopra:

post-down iptables-restore < /etc/iptables.downrules

Un esempio completo e funzionante utilizzando entrambe le soluzioni sopra:

auto eth0
iface eth0 inet dhcp
  pre-up iptables-restore < /etc/iptables.rules
  post-down iptables-restore < /etc/iptables.downrules

Si consiglia inoltre di conservare le informazioni provenienti dai contatori di byte e pacchetti.

iptables-save -c > /etc/iptables.rules 

Il comando sopra salverà l'intero set di regole in un file chiamato '/etc/iptables.rules' con i contatori byte e dei pacchetti ancora intatta.

Soluzione #2 /etc/network/if-pre-up.d and ../if-post-down.d

NOTA: Questa soluzione utilizza 'iptables-save -c' per salvare i contatori. Basta togliere l'opzione '-c' per salvare solo le regole.

In alternativa si potrebbe aggiungere 'iptables-restore' e 'iptables-save' per le directory 'if-pre-up.d' e 'if-post-down.d' nella directory '/etc/network' invece di modificare direttamente la '/etc/network/interface'.

Lo script '/etc/network/if-pre-up.d/iptablesload' conterrà:

iptables-restore < /etc/iptables.rules
exit 0

e '/etc/network/if-post-down.d/iptablessave' conterrà:

iptables-save -c > /etc/iptables.rules
if [ -f /etc/iptables.downrules ]; then
   iptables-restore < /etc/iptables.downrules
fi
exit 0

Assicurarsi di dare ad entrambi gli script i permessi di esecuzione:

# chmod +x /etc/network/if-post-down.d/iptablessave
# chmod +x /etc/network/if-pre-up.d/iptablesload

Configurazione all'avvio di NetworkManager

NetworkManager include la possibilità di eseguire script quando si attiva o disattiva un'interfaccia. Per salvare le regole iptables allo spegnimento del computer e per ripristinarle all'avvio si dovrà creare uno script di questo tipo. Per iniziare, premete Alt + F2 e digitare il seguente comando:

Per Ubuntu:

$ gksudo gedit /etc/NetworkManager/dispatcher.d/01firewall

Per Kubuntu:

kdesu kate /etc/NetworkManager/dispatcher.d/01firewall

Quindi incollare questo script nel vostro editor, salvare e uscire dall'editor.

if [ -x /usr/bin/logger ]; then
        LOGGER="/usr/bin/logger -s -p daemon.info -t FirewallHandler"
else
        LOGGER=echo
fi

case "$2" in
        up)
                if [ ! -r /etc/iptables.rules ]; then
                        ${LOGGER} "No iptables rules exist to restore."
                        return
                fi
                if [ ! -x /sbin/iptables-restore ]; then
                        ${LOGGER} "No program exists to restore iptables rules."
                        return
                fi
                ${LOGGER} "Restoring iptables rules"
                /sbin/iptables-restore -c < /etc/iptables.rules
                ;;
        down)
                if [ ! -x /sbin/iptables-save ]; then
                        ${LOGGER} "No program exists to save iptables rules."
                        return
                fi
                ${LOGGER} "Saving iptables rules."
                /sbin/iptables-save -c > /etc/iptables.rules
                ;;
        *)
                ;;
esac

Infine, bisogna assicurarsi che NetworkManager sia in grado di eseguire questo script. In una finestra di terminale, digitare il seguente comando:

# chmod +x /etc/NetworkManager/dispatcher.d/01firewall

Consigli

Modifica manuale di iptables con regole di base

I passaggi sopra descritti vanno oltre la configurazione di regole del firewall che probabilmente saranno relativamente statiche. Ma se si fa un sacco di lavoro di sviluppo, è possibile che si abbia bisogno di salvare le regole di iptables ad ogni riavvio. Si potrebbe aggiungere una linea simile a questa in '/etc/network/interfaces':

  pre-up iptables-restore < /etc/iptables.rules
  post-down iptables-save > /etc/iptables.rules

La linea "post-down iptables-save> /etc/iptables.rules" salverà le regole da utilizzare per il prossimo avvio.

Utilizzare iptables-save/restore per testare le regole

Se si modifica iptables al di là di questa esercitazione è possibile utilizzare la caratteristica 'iptables-save' e 'iptables-restore' per modificare e testare le regole. Per fare questo aprire il file di regole nel vostro editor di testo preferito (in questo esempio gedit).

$ sudo iptables-save > /etc/iptables.rules
$ gksudo gedit /etc/iptables.rules

Si avrà un file simile a:

# Generated by iptables-save v1.3.1 on Sun Apr 23 06:19:53 2006
*filter
:INPUT ACCEPT [368:102354]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [92952:20764374]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j DROP
COMMIT
# Completed on Sun Apr 23 06:19:53 2006

Notare che questi sono i comandi di iptables senza il comando 'iptable'. Ci si sentaliberi di modificarlo nel file e salvarlo. Poi per eseguire i test:

# iptables-restore < /etc/iptables.rules

NOTA: Con iptables 1.4.1.1-1 e successivi, uno script consente di testare le nuove regole senza rischiare nulla sul server remoto. Se si applicano le regole su un server remoto, è necessario considerare i test con:

# iptables-apply /etc/iptables.rules

Dopo la prova, se non si è aggiunto il comando 'iptables-save' nel file '/etc/network/interfaces' ricordarsi di non perdere le modifiche:

# iptables-save > /etc/iptables.rules

Ulteriori risorse


CategoryHomepage