Firewall

Ядро линукс включает подсистему Netfilter (сетевой фильтр), который используется для манипулирования или решения судьбы сетевого трафика передаваемого в или через ваш сервер. Все современные решения линукс по сетевой защите используют эту систему пакетной фильтрации.

Система пакетной фильтрации на уровне ядра была бы малоиспользуема администраторами без пользовательского интерфейса для ее управления. Для этого предназначен iptables. Когда пакет попадает на ваш сервер, он передается подсистеме Netfilter для одобрения, изменения или отказа на основе правил, которые она получает от интерфейса пользователя через iptables. Таким образом iptables - это все, что вам нужно для управления вашей сетевой защитой, если вы хорошо с ним знакомы, однако множество внешних интерфейсов доступны для упрощения этой задачи.

Инструмент для настройки сетевой защиты Ubuntu по умолчанию - это ufw. Он разработан для легкой настройки iptables и предоставляет дружественный способ создания сетевой защиты для IPv4 и IPv6.

По умолчанию изначально ufw выключен. Со страницы man руководства ufw:

«ufw не предназначен для обеспечения полной функциональности брандмауэра через свой командный интерфейс, но он предоставляет легкий способ добавления или удаления простых правил. Сейчас в большинстве случаев он используется для централизованных брандмауэров.»

Далее следуют несколько примеров использования ufw:

1. Для начала требуется разрешить ufw. Наберите в терминале:

sudo ufw enable

2. Открыть порт (в данном примере SSH):

sudo ufw allow 22

3. Правила могут быть добавлены с использованием нумерованного формата:

sudo ufw insert 1 allow 80

4. Подобным образом можно закрыть открытый порт:

sudo ufw deny 22

5. Для удаления правила используйте delete:

sudo ufw delete deny 22

6. Также можно разрешить доступ к порту с определенных компьютеров или подсетей. Следующий пример описывает доступ через SSH с компьютера 192.168.0.2 к любому ip-адресу на этом хосте:

sudo ufw allow proto tcp from 192.168.0.2 to any port 22

Замените 192.168.0.2 на 192.168.0.0/24 для доступа через SSH для всей подсети.

7. Добавив опцию –dry-run ufw отображает список правил, но не применяет их. Следующий пример показывает применение опции для открытия порта HTTP:

sudo ufw --dry-run allow http

*filter
:ufw-user-input - [0:0]
:ufw-user-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
### RULES ###

### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0
-A ufw-user-input -p tcp --dport 80 -j ACCEPT

### END RULES ###
-A ufw-user-input -j RETURN
-A ufw-user-output -j RETURN
-A ufw-user-forward -j RETURN
-A ufw-user-limit -m limit --limit 3/minute -j LOG --log-prefix "[UFW LIMIT]: "
-A ufw-user-limit -j REJECT
-A ufw-user-limit-accept -j ACCEPT
COMMIT
Rules updated

8. ufw можно выключить командой:

sudo ufw disable

9. Чтобы посмотреть статус ufw:

sudo ufw status

10. Для более полного отображения информации введите:

sudo ufw status verbose

11. Для отображения в виде пронумерованного списка:

sudo ufw status numbered

Если порт, который вы хотите открыть или закрыть определен в файле /etc/services, вы можете использовать имя порта вместо его номера. В приведенном выше примере попробуйте заменить ssh на 22.

Это лишь краткое описание использования ufw. Пожалуйста обратитесь к странице man ufw для более подробной информации.

Интеграция Приложений в ufw

Приложения, открывающие порты могут включать профиль ufw, который детально описывает порты, необходимые этому приложению для корректной работы. Файлы профилей находятся в /etc/ufw/applications.d, и могут быть отредактированы если порты были изменены.

1. Для просмотра доступных профилей введите следующую команду в терминале:

sudo ufw app list

2. Подобной командой для разрешения трафика на порт может служить следующий пример:

sudo ufw allow Samba

3. Доступен также расширенный синтаксис:

ufw allow from 192.168.0.0/24 to any app Samba

Замените Samba и 192.168.0.0/24 на профиль вашего приложения и диапазон необходимых ip-адресов.

4. Для детальной информации о портах, протоколах, и т.п. необходимых для приложения введите:

sudo ufw app info Samba

Не все приложения, которые запрашивают открытие порта поставляются с профилем ufw, но если вы хотите чтобы профиль был включен в пакет приложения, сообщите об ошибке на сайте Launchpad.

ubuntu-bug nameofpackage

Цель маскировки ip-адреса состоит в том, чтобы компьютеры с частными, немаршрутизируемыми ip-адресами в вашей сети могли иметь доступ к Интернету через компьютер выполняющий маскировку. Трафик из вашей частной сети попадающий в Интернет должен быть правильно выпущен для корректного ответа, отправленного именно тому компьютеру, который послал запрос. Чтобы сделать это, ядро модифицирует заголовок каждого пакета так, чтобы ответ приходил нужному компьютеру, а не частному ip-адресу, который послал запрос, что невозможно в рамках сети Интернет. Линукс использует Трассировку Соединений (conntrack) для трассировки каждого из соединений принадлежащих соответствующим компьютерам и перенаправляет каждый возвращенный пакет. Трафик, покидает вашу частную сеть «маскируясь» таким образом, будто исходит от вашего шлюза Ubuntu. Этот процесс обозначен в документации Microsoft как Internet Connection Sharing (Общий доступ к Интернет-Соединению).

Маскировка ufw

Маскировка ip-адреса может быть достигнута с использованием различных правил ufw. Это возможно благодаря дополнению к ufw, которым является iptables-restore с файлами правил, расположенных в /etc/ufw/*.rules. Эти файлы являются отличным способом для добавления правил в iptables без использования ufw, а также правил, которые более гибко взаимодействуют со шлюзом или соединением типа «мост».

Эти правила разбиты на два разных файла команд, одни должны быть выполнены ufw перед списком правил, а другие выполняются после списка правил.

1. Во-первых, в ufw должно быть активировано перенаправление. Для этого нужно изменить конфигурацию двух файлов, в /etc/default/ufw измените DEFAULT_FORWARD_POLICY на “ACCEPT”:

DEFAULT_FORWARD_POLICY="ACCEPT"

Затем отредактируйте /etc/ufw/sysctl.conf следующим образом:

net/ipv4/ip_forward=1

Аналогично для IPv6:

net/ipv6/conf/default/forwarding=1

2. Теперь добавим правила в файл /etc/ufw/before.rules. Правила по умолчанию описаны лишь в таблице filter, а для работы маскировки нам нужно отредактировать таблицу nat. Добавьте следующие строки в начало файла конфигурации сразу после заголовка с комментарием:

# nat Table rules
*nat
:POSTROUTING ACCEPT [0:0]

# Forward traffic from eth1 through eth0.
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

# don't delete the 'COMMIT' line or these nat table rules won't be processed
COMMIT

Комментарий (COMMIT) не обязателен, но как правило это принято делать для корректной работы. Также при изменении каких-либо правил в файле /etc/ufw убедитесь что строки комментария являются последними для каждой измененной таблицы:

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

  For each Table a corresponding COMMIT statement is required. In these examples only the nat and filter tables are shown, but you can also add rules for the raw and mangle tables.

  In the above example replace eth0, eth1, and 192.168.0.0/24 with the appropriate interfaces and IP range for your network.

  Finally, disable and re-enable ufw to apply the changes:

  sudo ufw disable && sudo ufw enable

IP Masquerading should now be enabled. You can also add any additional FORWARD rules to the /etc/ufw/before.rules. It is recommended that these additional rules be added to the ufw-before-forward chain. iptables Masquerading

iptables can also be used to enable Masquerading.

  Similar to ufw, the first step is to enable IPv4 packet forwarding by editing /etc/sysctl.conf and uncomment the following line

  net.ipv4.ip_forward=1

  If you wish to enable IPv6 forwarding also uncomment:

  net.ipv6.conf.default.forwarding=1

  Next, execute the sysctl command to enable the new settings in the configuration file:

  sudo sysctl -p

  IP Masquerading can now be accomplished with a single iptables rule, which may differ slightly based on your network configuration:

  sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE

  The above command assumes that your private address space is 192.168.0.0/16 and that your Internet-facing device is ppp0. The syntax is broken down as follows:

1. t nat – the rule is to go into the nat table

1. A POSTROUTING – the rule is to be appended (-A) to the POSTROUTING chain

1. s 192.168.0.0/16 – the rule applies to traffic originating from the specified address space

1. o ppp0 – the rule applies to traffic scheduled to be routed through the specified network device

1. j MASQUERADE – traffic matching this rule is to «jump» (-j) to the MASQUERADE target to be manipulated as described above

  Also, each chain in the filter table (the default table, and where most or all packet filtering occurs) has a default policy of ACCEPT, but if you are creating a firewall in addition to a gateway device, you may have set the policies to DROP or REJECT, in which case your masqueraded traffic needs to be allowed through the FORWARD chain for the above rule to work:

  sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPT
  sudo iptables -A FORWARD -d 192.168.0.0/16 -m state \
  --state ESTABLISHED,RELATED -i ppp0 -j ACCEPT

  The above commands will allow all connections from your local network to the Internet and all traffic related to those connections to return to the machine that initiated them.

  If you want masquerading to be enabled on reboot, which you probably do, edit /etc/rc.local and add any commands used above. For example add the first command with no filtering:

  iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE

Firewall logs are essential for recognizing attacks, troubleshooting your firewall rules, and noticing unusual activity on your network. You must include logging rules in your firewall for them to be generated, though, and logging rules must come before any applicable terminating rule (a rule with a target that decides the fate of the packet, such as ACCEPT, DROP, or REJECT).

If you are using ufw, you can turn on logging by entering the following in a terminal:

sudo ufw logging on

To turn logging off in ufw, simply replace on with off in the above command.

If using iptables instead of ufw, enter:

sudo iptables -A INPUT -m state –state NEW -p tcp –dport 80 \ -j LOG –log-prefix «NEW_HTTP_CONN: »

A request on port 80 from the local machine, then, would generate a log in dmesg that looks like this (single line split into 3 to fit this document):

[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0

The above log will also appear in /var/log/messages, /var/log/syslog, and /var/log/kern.log. This behavior can be modified by editing /etc/syslog.conf appropriately or by installing and configuring ulogd and using the ULOG target instead of LOG. The ulogd daemon is a userspace server that listens for logging instructions from the kernel specifically for firewalls, and can log to any file you like, or even to a PostgreSQL or MySQL database. Making sense of your firewall logs can be simplified by using a log analyzing tool such as logwatch, fwanalog, fwlogwatch, or lire.

There are many tools available to help you construct a complete firewall without intimate knowledge of iptables. For the GUI-inclined:

  fwbuilder is very powerful and will look familiar to an administrator who has used a commercial firewall utility such as Checkpoint FireWall-1.

If you prefer a command-line tool with plain-text configuration files:

  Shorewall is a very powerful solution to help you configure an advanced firewall for any network.

  The Ubuntu Firewall wiki page contains information on the development of ufw.

  Also, the ufw manual page contains some very useful information: man ufw.

  See the packet-filtering-HOWTO for more information on using iptables.

  The nat-HOWTO contains further details on masquerading.

  The IPTables HowTo in the Ubuntu wiki is a great resource.