Introduzione

È possibile applicare numerose patch a netfileter, utili ad ampliare in modo considerevole le funzionalità di base offerte con il kernel.

Molte di queste modifiche sono attualmente in fase di sviluppo, è sconsigliato applicarle sul proprio kernel predefinito.

Preparativi

Per applicare le patch al proprio kernel sono necessari:

Installazione

Scaricare patch'o'matic nella propria Home con i seguenti comandi:

cd
wget ftp://ftp.lt.netfilter.org/pub/netfilter/patch-o-matic-ng/patch-o-matic-ng-20040621.tar.bz2  
tar -jxvf patch-o-matic-ng-20040621.tar.bz2
cd patch-o-matic-ng-20040621

A questo punto si può procedere con la procedura standard di P-O-M:

export KERNEL_DIR=/usr/src/kerneldir (Indicare la directory dove si trovano i sorgenti del kernel da patchare)
export IPTABLES_DIR=/usr/src/iptablesdir (dove sono stati scompattati i sorgenti di iptables)
./runme pending

Con queste opzioni applichiamo le patch base, mentre usando

./runme base

o

./runme extra

applicheremo le patch degli altri due gruppi principali. Per ognuna della patch viene fornita una breve spiegazione e chiesto se si vuole aggiungerla nel kernel. Le opzioni disponibili più importanti, una volta che siamo nella procedura di configurazione di P-O-M, sono T e F; T serve per fare un test per verificare che la patch sia applicabile, F serve per forzarne l'applicazione anche se il test fallisce. Una volta completata questa operazione è possibile procedere alla compilazione del kernel secondo le solite procedure. Nel menu di configurazione del kernel tutte le patch aggiuntive sono include nella voce "NetFilter Configuration" del menu Networking options.

Patch più interessanti

match: connlimit

Patch sperimentale che serve per impostare un numero massimo di connessioni tcp da un singolo host IP o da una intera rete. Introduce il match connlimit con le opzioni:

Esempi:

Per limitare l'accesso SSH a due sole connessioni per IP sorgente:

-I INPUT -p tcp --dport 22 --syn -m connlimit --connlimit-above 2 -j DROP

Per impostare massimo 16 connessioni per rete di 256 indirizzi ad un server web dietro il firewall Linux:

-A FORWARD -d 213.215.144.242 -p tcp -m tcp --dport 80 --syn -m connlimit --connlimit-above 16 --connlimit-mask 32 -j DROP

Per impostare a 250 il numero massimo di connessioni contemporanee che possono essere fatte ad un server SMTP:

-A FORWARD -d 213.215.144.242 -p tcp -m tcp --dport 25 --syn -m connlimit --connlimit-above 250 --connlimit-mask 0 -j DROP

Voce nel kernel .config: CONFIG_IP_NF_MATCH_CONNLIMIT Nome modulo: ipt_connlimit

match: psd

E' possibile identificare dei Port Scan tramite il match psd con le seguenti opzioni:

Un esempio essenziale per aggiungere un log, che può essere verboso, di tutti gli scan (Consigliabile aggiungerlo alla fine della catena di INPUT, con un default DROP finale):

iptables -A INPUT -m psd -j LOG --log-prefix "PORTSCAN: "

Voce nel kernel .config: CONFIG_IP_NF_MATCH_PSD Nome modulo: ipt_psd

Ulteriori risorse


CategoryDaRevisionare CategorySicurezza

Sicurezza/IptablesPatch (l'ultima modifica è del 17/02/2019 14.42.02, fatta da dd3my)