A bejegyzésben áttekintjük az iptables leggyakoribb szabályait, amelyek bármikor beilleszthetők a saját tűzfalunk szabályrendszerébe.

1. Létező iptables szabályok törlése

Mielőtt létrehoznánk egy teljesen új szabályrendszert törölnünk kell a már létező szabályokat és az alapszabályokat.

iptables -F

vagy

iptables --flush

2. A láncok alapértelmezett házirendjének beállítása

A láncok házirendje határozza meg a láncok végét elérő, más célra nem küldött csomagok sorsát. Beépített láncok házirendjeként csak ACCEPT és DROP beépített célt használhatjuk. A láncok alapértelmezett házirendje az ACCEPT. Megváltoztatjuk DROP-ra minden INPUT, FORWARD, OUTPUT cél esetében.

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

3. Speciális ip című interfész

Gyakran hivatkozunk a szabályokon belül ip címekre, amelyeket az elején érdemes meghatározni és változóként hivatkozni rá a későbbiekben.

BELSO_IP="x.x.x.x"
iptables -A INPUT -s "$BELSO_IP" -j DROP

Ezen megoldás segítségével beszédesebb log fájlt és könnyebb kereshetőséget biztosít. Lehetőséget biztosít, hogy egyes interfészekre vonatkozó szabályokat hozzunk létre. Pl. eth0 interfésztől jövő a TCP forgalmat eldobjuk.

iptables -A INPUT -i eth0 -s "$BELSO_IP" -j DROP
iptables -A INPUT -i eth0 -p tcp -s "$BELSO_IP" -j DROP

4. Az összes bejövő SSH forgalmat engedélyezzük

A következő szabály engedélyezi az összes bejövő SSH forgalmat, amely az eth0 hálózati kártya felől jön.

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

5. Az összes bejövő SSH forgalmat engedélyezzük egy hálózat felől

A következő szabály engedélyezi az összes bejövő SSH forgalmat, de csak a 192.168.1.x hálózatból.

iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

A “192.168.1.0/24″ formátum lefedi a teljes 192.168.1.x-es alhálózatot, ez megadható így is: “192.168.1.0/255.255.255.0″.

6. Az összes bejövő HTTP és HTTPS forgalom engedélyezése

A következő szabály engedélyezi a webforgalmat, a HTTP portja a 80-as tcp.

iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

A HTTPS protokoll portja pedig a 443-as tcp port.

iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

7. Hasonló szabályok kombinálása multiport lehetőséggel

Az előző példából látható, hogy csak a port számában különböznek egymástól a szabályok. Ilyen esetben lehetőség van összevonni őket a multiport kiterjesztéssel.
A következő szabály engedélyezi az összes bejövő SSH, HTTP és HTTPS forgalmat.

iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

8. Kimenő SSH forgalom engedélyezése

A következő szabály a kimenő SSH forgalmat engedélyezi. Mikor van erre szükség? pl. amikor egy szerveren keresztül érünk el egy másik szervert.

iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

9. Az összes kimenő SSH forgalmat engedélyezzük egy hálózatba

A következő szabály engedélyezi a kimenő SSH forgalmat a 192.168.1.x hálózatból.

iptables -A OUTPUT -o eth0 -p tcp -d 192.168.1.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

10. Kimenő HTTPS forgalom engedélyezése

A következő szabály engedélyezi a biztonságos webforgalmat. Ez a felhasználóknál lehetővé teszi a biztonságos internetezést, a szerverek számára pedig a frissítések letöltését, wget használatát.

iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

Itt nincs multiport kiterjesztés, ezért ha a HTTP-t is szeretnénk engedélyezni, akkor a 80-as tcp portot is engedélyezni kell.

11. Terheléselosztás bejövő webforgalomnál

Az iptables lehetővő tudja tenni megfelelő szabály alkotásával a bejövő webforgalom terheléselosztását (load balance).
Ehhez az nth kiterjesztést kell használni. A következő szabály a HTTPS forgalmat 3 különböző IP címmel rendelkező szerver között osztja el a terhelést. Minden harmadik tcp csomagot a megfelelő szerverhez irányítja. (counter 0).

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

12. Pingelhetőség engedélyezése

A következő szabály engedélyezi, hogy külső hálózatból pingelhető legyen a szerverünk.

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

13. Pingelhetőség engedélyezése hálózatonkból

A következő szabály engedélyezi, hogy hálózatunkból külső szervereket tudjunk pingelni.

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

14. Helyi forgalom engedélyezése

A loopback forgalom engedélyezése szükséges a hálózat megfelelő működéséhez (pl. 127.0.0.1).

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

15. Hálózatok közöti forgalom engedélyezése

Ehhez tűzfalunknak két hálózati kártyával kell rendelkeznie. Egyik lehetséges helyzet, hogy egy külső hálózat (internet) és a belső hálózat 192.168.1.x (saját céges hálózat) összekapcsolása. A hálózati interfészek: eth0 belső, eth1 külső.

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

16. Kimenő DNS kérések engedélyezése

A következő szabály engedélyezi a kimenő DNS kéréseket.

iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

17. NIS kapcsolat engedélyezése

A NIS futásakor az ypbind szervíznek is futnia kell, mert a NIS több portot kezel. A következő paranccsal szerezhetünk információt.

rpcinfo -p | grep ypbind

Általában három portot használ 111, 853, 850 tcp és udp portot.

iptables -A INPUT -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -p udp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 853 -j ACCEPT
iptables -A INPUT -p udp --dport 853 -j ACCEPT
iptables -A INPUT -p tcp --dport 850 -j ACCEPT
iptables -A INPUT -p udp --dport 850 -j ACCEPT

18. Rsync engedélyezése egy adott hálózatból

A következő szabály engedélyezi az rsync-et egy másik hálózatból.

iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT

19. MySQL kapcsolat engedélyezése egy adott hálózatból

Általában a webszerver és az adatbázis szerver különböző gépen fut. Ekkor lehetséges a MySQL kapcsolatok korlátozása egy adott alhálózatra.

iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

20. Levelezés forgalmának engedélyezése

A következő szabály engedélyezi az SMTP (25 tcp port) forgalmat. Levélküldési protokoll, amelyet Sendmail és Postfix segítségével valósítjuk meg.

iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

21. IMAP és IMAPS forgalom engedélyezése

A következő szabály az IMAP (143 tcp port) forgalmát engedélyezi.

iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

Az IMAPS (993 tcp port) a biztonságosabb protokoll, engedélyezése a következő:

iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

22. POP3 és a POP3S forgalom engedélyezése

A következő szabály a POP3 (110 tcp port) forgalmat engedélyezi.

iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

A következő szabály a POP3S (995 tcp port)forgalmat engedélyezi.

iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

23. Port átirányítás (port forwarding)

A portátirányítás a DNAT egyik típusa, ahol a számítógép (pl. tűzfal) helyettes kiszolgálóként (proxy) viselkedik más számítógépek számára. A tűzfal elfogadja a külső hálózatokból érkező, neki címzett csomagokat, majd újraírja azokat, hogy a belső hálózaton egy másik géphez címzettként jelenjenek meg, végül a továbbítja a csomagokat az új címre.
A következő szabály a 22-es portot a 422-es portra irányítja.

iptables -t nat -A PREROUTING -p tcp -d 192.168.1.3 --dport 422 -j DNAT --to 192.168.1.3:22

Ilyenkor nem elég a 22-es port engedélyezése a tűzfalon, a 422-t is fel kell venni a szabályok közé.

24. Címálcázás (masquerading)

A címálcázás az SNAT egyik különleges típusa, amelyben a számítógép újraírja a csomagokat, hogy úgy tűnjön, mintha azok tőle származnának. A címálcázást gyakran alkalmazzák arra, hogy egy dinamikus IP című internetkapcsolatot megosszanak egy hálózat több számítógépe között.
Az SNAT-t az eth1 csatolóra úgy állíthatjuk be, ha a nat tábla POSTROUTING láncához egy egyszerű szabályt adunk:

iptables -t nat -A POSTROUTING -o eth1 -j SNAT

A címálcázáshoz a megfelelő parancs a következő:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

25. Eldobott csomagok logolása

Minden eldobott csomagot logolunk, majd eldobjuk. Ehhez létrehozzuk a LOGGING láncot.

iptables -N LOGGING

Majd minden bejövő forgalmat ideterelünk.

iptables -A INPUT -j LOGGING

A logfájl írásához egyedi azonosítót (log-prefix) biztosítunk a jobb kereshetőség érdekében.

iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTABLES ELDOBOTT CSOMIK: " --log-level 7

Majd eldobjuk a csomagokat.

iptables -A LOGGING -j DROP

+1. DoS támadás kivédése

Ha webszervert üzemeltetünk érdemes a DoS (Denial of Service) támadásra felkészülni.

# Syn-flood elleni védelem
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Portscan elleni védelem
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Ping-flood elleni védelem
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

A Netfilter a linux rendszermagjának hálózati csomagok feldolgozására szolgáló alrendszere. Beállítását az iptables paranccsal végezhetjük.

Az iptables a hálózati csomagok feldolgozási szabályait szerepük alapján szervezett táblák formájában kezeli. A szerepük a csomagszűrés, hálózati címfordítás, vagy más csomagmódosítás lehet, amelyek  mindegyikére feldolgozási szabályok lánca (sorozata) vonatkozik. A szabályok illesztésekből és célokból állnak: az illesztés (mach) határozza meg, hogy a szabály mely csomagokra vonatkozik, a cél (target) pedig azt, hogy mit kell csinálni az illeszkedő csomagokkal.

Az iptables  az OSI Layer 3. szintjén azaz a hálózati rétegben működik.

Nézzünk egy egyszerű iptables parancsot:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.10:8080

A parancs egyes elemeit az alábbi táblázat oldja fel.

Kapcsolódási pontok

Az iptables öt kapcsolódási pontot határoz meg a rendszermag csomagfeldolgozásának folyamatában. Ezek a PREROUTING, INPUT, FORWARD, POSTROUTING és OUTPUT. Hozzájuk beépített láncok kapcsolódnak, így a kapcsolódási pontok mindegyikéhez szabályok sorozata adható. A szabályok lehetővé teszik, hogy befolyásoljuk vagy megfigyeljük a csomagok áramlását.

Gyakran hivatkozunk táblákra és láncokra, ami azt a képzetet keltheti, hogy a láncok a táblákhoz tartoznak, pedig csak részlegesen függnek össze egymással, és egyikük sem “tartozik” igazán a másikhoz. A láncok a csomagok áramlásában a kapcsolódási pontokat jelölik, a táblák pedig a feldolgozási folyamat típusát jelzik. Az alábbi ábrákon megvizsgáljuk ezek megengedett kombinációit, abban a sorrendben, ahogyan megjelennek a rendszerben a csomagok áramlásakor.

NAT tábla láncai

Ezen az ábrán látható, hogyan haladnak át a csomagok a rendszeren a hálózati címfordításkor (NAT). Ezek a nat tábla láncai.

A NAT tábla láncai

FILTER tábla láncai

Ezen az ábrán látható, hogyan haladnak át a csomagok a rendszeren csomagszűréskor. Ezek a filter tábla láncai.

A filter tábla láncai

MANGLE tábla láncai

Ezen az ábrán látható, hogyan haladnak át a csomagok a rendszeren csomagmódosításkor. Ezek a mangle tábla láncai.

A mangle tábla láncai

Az ábrákon jól kivehető, hogy 5 kapcsolódási pont van a csomagok áramlásában:
FORWARD: amelyek az átjáró gépen áramlanak keresztül, egy csatolón bejönnek és egy másikon rögtön kimennek.
INPUT: éppen mielőtt megérkeznének egy helyi folyamathoz.
OUTPUT: rögtön azután, hogy egy helyi folyamat létrehozta őket.
POSTROUTING: éppen mielőtt elhagynának egy hálózati csatolót
PREROUTING: amint megérkeznek egy hálózati csatolótól

A láncot az alapján választjuk ki, hogy a csomag életciklusának melyik részén kívánjuk szabályainkat alkalmazni. Például ha a kimenő csomagokat szeretnénk szűrni, legjobb, ha ezt az OUTPUT láncban tesszük, mert a POSTROUTING nem kapcsolódik a filter táblához.

Táblák

Az ábrákon megfigyelhető, hogy az iptables három beépített táblával rendelkezik. Ezek a filter, a mangle és a nat.

nat tábla: Kapcsolatkövetésnél használjuk, hogy átirányítsunk kapcsolatokat hálózati címfordításra. Többnyire a forrás- és célcímen alapul. Beépített láncai az OUTPUT, a POSTROUTING, és a PREROUTING.
filter tábla: A számítógépbe bemenő, azon áthaladó és abból kijövő engedélyezett forgalomtípus házirendjét állítja be. Hacsak nem hivatkozunk közvetlenül egy másik táblára, az iptables alapértelmezetten ennek a táblának a láncait használja. Beépített láncai a FORWARD, az INPUT, és az OUTPUT.
mangle tábla: Speciális csomagmódosításokhoz használjuk, például az IP-kapcsolók levágásához. Beépített láncai: FORWARD, INPUT, OUTPUT, POSTROUTING, PREROUTING.

Láncok

Az iptables szabályai különféle egységekbe, ún. láncokba (chain) szerveződnek. A kernel e szabályok alapján tudja, hogy milyen csomagkezelési műveletet kell a beérkező és a kimenő adatcsomagokon végrehajtania. A láncok egyszerűen a csomagkezelő szabályokból felépülő katalógusok, ellenőrzőlisták. Ezek a szabályok egész pontosan  azt határozzák meg, hogy a bizonyos típusú fejléceket tartalmazó adatcsomagokon milyen műveleteket kell végrehajtani. A szabályok if-then-else rendszerű, feltételes vezérlő szerkezetek alapján működnek, ami azt jelenti, hogy ha egy adatcsomag nem felel meg az első szabálynak, akkor a rendszer a következő szabállyal folytatja az ellenőrzést, és így tovább. Amennyiben a csomag egyik szabály feltételének sem felel meg, a kernel lánckezelő irányelvhez (chain policy) fordul tanácsért. Ezen a ponton a csomag rendszerint visszautasításra fog kerülni. A szabályok valamelyikének feltételére illeszkedő adatcsomagokat a rendszer a nekik megfelelő célnak (target) adja át, amely végül is meghatározza mi legyen a kérdéses csomag sorsa.

Célok

Az iptables hagyomágyos céljai:

ACCEPT: Átengedi a csomagot a tűzfalon
DROP: Megtagadja a csomag áthaladását a tűzfalon
REJECT: Megtagadja az áthaladást és értesíti a csomag feladóját
QUEUE: A csomagokat elküldi a felhasználói felület számára
RETURN: A lánc végére ugrik és az alapértelmezett célnak adja át a vezérlést, amely elvégzi a feldolgozást.

A célok önmagukban  szabályok újabb láncolatait alkothatják, amelyek akár a felhasználók által definiált szabályok is lehetnek. Az adatcsomagok útjuk során több láncon is áthaladhatnak, míg végül elérik céljukat. A felhasználók által definiált láncok esetében az alapértelmezett cél mindig a következő szabályt jelenti azokban a láncokban, amelyekből a felhasználói láncokat meghívták.

#!/bin/bash
### Összes forgalom blokkolása Afganisztánból (af) és Kínából (CN). ###
ISO="af cn"
### Útvonalak beállítása###
IPT=/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep
### Az alábbiakat ne szerkeszd!###<span id="more-166"></span>
SPAMLIST="countrydrop"
ZONEROOT="/root/iptables"
DLROOT="http://www.ipdeny.com/ipblocks/data/countries"
cleanOldRules(){
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
}
# könyvtár létrehozása
[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT
# régi szabályok törlése
cleanOldRules
# új iptables lista létrehozása
$IPT -N $SPAMLIST
for c  in $ISO
do
# local zóna fájl
      tDB=$ZONEROOT/$c.zone
      # zónafájl letöltése
      $WGET -O $tDB $DLROOT/$c.zone
      # országspecifikus log üzenet
      SPAMDROPMSG="$c Country Drop"
      # illesztés\r\n      BADIPS=$(egrep -v "^#|^$" $tDB)
      for ipblock in $BADIPS
      do
      $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
      $IPT -A $SPAMLIST -s $ipblock -j DROP
      done
done
# Mindent eldob
$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST
# egyéb iptables szkript hívása
# /path/to/other/iptables.sh
exit 0

Elmentve egy fájlba a fenti sorokat crontab-ba billeszthetjük, hogy hetente fusson meg:

@weekly /path/to/country.block.iptables.sh

A tűzfalszbályok definiálása előtt mindenképp szükséges egy sort beírnunk, amellyel engedélyezzük az IP forwarding-ot (IP-továbbítást).

A parancs a következő:

Ezáltal elértük, hogy minden gépre érkező adat eljusson egy másik hálózatba.