iptables/netfilter

[Steamer11]

Ciao a tutti,
Vorrei un po smanettare e creare un firewall con iptables/netfilter, potreste gentilmente suggerirmi dove trovare esempi/risorse? (sia italiano che inglese)

Grazie 1000

[m3nhir]

prova a guardare QUI

[Steamer11]

Grazie m3nhir, ottima documentazione. Cercavo anche degli esempi di script che utilizzano iptables/netfilter, qualche link?

Grazie

[toni00c]

Grazie m3nhir, ottima documentazione. Cercavo anche degli esempi di script che utilizzano iptables/netfilter, qualche link?

Grazie

di che tipo di esempi hai bisogno?

[Steamer11]

qualcosa tipo permettere/bloccare lo streaming audio/video ad un pc di rete, bloccare/permettere il servizio di email, impedire ai pc di una subnet di accedere a pc di una seconda subnet...qualcosa del genere...

[tunnel_net]

qualcosa tipo permettere/bloccare lo streaming audio/video ad un pc di rete, bloccare/permettere il servizio di email, impedire ai pc di una subnet di accedere a pc di una seconda subnet...qualcosa del genere...

iptable funziona
1) su device ip-address e porte
2) solo sul pc/dispositivo su cui si da il comando

dalla 1) si evince che usare le mail con pop3 e via web sono due cose che usano porte diverse
dalla 2) se vuoi bloccare l'accesso a pc su tutti devi mettere i comandi di iptable a meno che i pacchetti non passino tutti per un dispositivo e allora li controlli da lì

[Steamer11]

Ciao,
Ho creato un mini lab conVB 4.3.26 su Ubuntu 14.04 con 1 router e 2 subnets:

Host 1: Router/firewall
3 NICs: 1st NIC NAT Host-->host 1;
2nd NIC internal network host 1 -->host 2,
3rd NIC internal network host 1 -->host 3 and 4

Host 2: Client 1 su a subnet 192.168.0.0 (lan1) --192.168.0.0/24 -- 1 NIC internal network host 1 -->host 2
Host 3: Client 2 su a subnet 192.168.1.0 (lan2) --192.168.1.0/24 -- 1 NIC internal network host 1 -->host 3
Host 4: Client 3 su a subnet 192.168.1.0 (lan2) --192.168.1.0/24 -- 1 NIC internal network host 1 -->host 4

I client dovrebbero essere connessi all host 1 (che e' il firewall sul quale lo script iptable girera) e anche a internet.
Tutti e 4 gli OS sono Ubuntu 14.04
Non sono un'aquila in network ma vorrei creare uno script che utilizzi iptables e che permetta ai client di avere accesso a internet e successivamente poi bloccarlo. Mi serve questa dimostrazione accesso/blocco
Ho configurato i client che adesso pingano il firewall e viceversa ma non hanno accesso a internet..e qui chiedo il vostro aiuto..come posso attivarlo?

Grazie
Steamer.

[tunnel_net]

NIC NAT Host-->host 1

cosa vuol dire;
servirebbe un netstat -rn su host1 e sapere il defauly gateway di host2.

[Steamer11]

Ciao Tunnel,
Host --->host 1 vuol dire, host sul quale e' installato il software VB, e cioe' il mio laptop (non virtuale) e host 1 che e' il virtual host che agirebbe da router/firewall.

netstat -rn (su host1)

Codice: Seleziona tutto

ROUT_FIREWALL pc0 # netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0                 10.0.2.2        0.0.0.0                UG       0 0          0 eth0
10.0.2.0                0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.0.0         0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.1.0         0.0.0.0         255.255.255.0   U         0 0          0 eth2

Default gateway Host 2:

Codice: Seleziona tutto

pc0@LAN1PC0 ~ $ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     1          0                       0 eth0

Grazie 1000

[tunnel_net]

Su host2 c'è solo la route alla sua lan, manca il default gateway che dovrebbe essere l'ipaddress della eth1 di host1
host1 è OK punta al router 10.0.2.2 e alla tre lan

sul software su host1 non so nulla e quindi non so come forwardi i network, presumo che usi il nat.

[Steamer11]

Si host/host 1 e' nattato..
Adesso sto usando due DHCP di virtualboc per gli indirizzi delle subnets, ma posso assegnare indirizzi statici al client (come sotto).
Host 2: Client 1 su a subnet 192.168.0.3 (lan1) --- gateway 192.168.0.2
Host 3: Client 2 su a subnet 192.168.1.3 (lan2) --- gateway 192.168.1.2
Host 4: Client 3 su a subnet 192.168.1.4 (lan2) --- gateway 192.168.1.2

Quello che non riesco a capire e' se e' corretto assegnare ai client come gateway l IP del nic sul firewall e soprattutto se utilizzo per esempio:
Host 2: IP 192.168.0.3 (lan1) --- gateway 192.168.0.2
Host 1 NIC 2 192.168.0.2 -gateway ?????

Dove l'IP del nic 2 sul firewall e' 192.168.0.2, quale gateway assegno al firewall per quel nic?

questi sono tutti i NIC sul firewall:
1st NIC NAT Host-->host 1;
2nd NIC internal network host 1 -->host 2,
3rd NIC internal network host 1 -->host 3 and 4

[tunnel_net]

Quello che non riesco a capire e' se e' corretto assegnare ai client come gateway l IP del nic sul firewall e soprattutto se utilizzo per esempio:
Host 2: IP 192.168.0.3 (lan1) --- gateway 192.168.0.2
Host 1 NIC 2 192.168.0.2 -gateway ?????

Certo che è giusto, in una subnet ogni dispositivo conosce solo il next hoop, tu per andare su google non conosci tutti i router, conosci l'indirizzo destinazione, e il next hoop (che sarebbe il default gateway del tcp/ip di dove stai lavorando) gli apparecchi successivi, ogn'uno conosce il next hoop per raggiungere google.

Dove l'IP del nic 2 sul firewall e' 192.168.0.2, quale gateway assegno al firewall per quel nic?

Eccolo me lo hai mostrato con

Codice: Seleziona tutto

Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2

per 10.0.2.0/24 usa eth0
per 192.168.0.0/24 usa eth1
per192.168.1.0/24 usa eth2
per tutti gli altri tramite eth0 usa 10.0.2.2
le definizioni di routing sono per indirizzi/network destinatari, non per nic, il nic è un tramite, avendo il nic un indirizzo, la sua subnet di appartenenza viene raggiunta tramite lui.

Ovviamente ogni dispositivo-tcp/ip ha la sua tabella di routing, questa è quella del firewall, che è diversa da quella di host2

[Steamer11]

Tunnel innanzitutto grazie!

Giusto per ridurre il volume di dati focalizzo su la connessione host1-firewall con host2-client1
Questo e' l output di ifconfig e netstat sulla VM del firewall (host 1).
La eth1 adesso ha indirizzo statico 192.168.0.1 e gateway 10.0.2.2

Codice: Seleziona tutto

ROUT_FIREWALL ~ # ifconfig
eth0      Link encap:Ethernet  HWaddr 08:00:27:ca:1e:7e  
          inet addr:10.0.2.15  Bcast:10.0.2.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:feca:1e7e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:229 errors:0 dropped:0 overruns:0 frame:0
          TX packets:297 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:89417 (89.4 KB)  TX bytes:46583 (46.5 KB)

eth1      Link encap:Ethernet  HWaddr 08:00:27:b4:1c:79  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:feb4:1c79/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:16 errors:0 dropped:0 overruns:0 frame:0
          TX packets:78 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2787 (2.7 KB)  TX bytes:12383 (12.3 KB)

Codice: Seleziona tutto

ROUT_FIREWALL ~ # netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.0.2.2        0.0.0.0         UG        0 0          0 eth0
10.0.2.0        0.0.0.0         255.255.255.0   U         0 0          0 eth0
10.0.2.2        0.0.0.0         255.255.255.255 UH        0 0          0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth2

********************************************************************************

Il client (host 2) adesso ha indirizzo statico 192.168.0.2 e gateway 10.0.2.2

Codice: Seleziona tutto

pc0@LAN1PC0 ~ $ netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.0.2.2        0.0.0.0         UG        0 0          0 eth0
10.0.2.2        0.0.0.0         255.255.255.255 UH        0 0          0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0

Codice: Seleziona tutto

pc0@LAN1PC0 ~ $ ifconfig
eth0      Link encap:Ethernet  HWaddr 08:00:27:16:12:70  
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fe16:1270/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18 errors:0 dropped:0 overruns:0 frame:0
          TX packets:77 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3029 (3.0 KB)  TX bytes:12412 (12.4 KB)

Se ho capito bene il client dovrebbe utilizzare il gateway di eth0.
Non so se la configurazione e' corretta ma internet funziona sul firewall ma non sul client.

[tunnel_net]

Se metti gli ifconfig taglia la parte sotto e lascia solo le prime due righe.
Ci sono varie cose che non vanno:

ROUT_FIREWALL ~ # netstat -rn
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.0.2.2 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2

10.0.2.2 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
se fosse giusta non servirebbe, ma è sballata il gateway lo deve raggiungere tramite eth0, sfruttando la route: 10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
deve darti

Codice: Seleziona tutto

0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2

Il client (host 2) adesso ha indirizzo statico 192.168.0.2 e gateway 10.0.2.2

no contravviene alla prima regola del routing su rete ethernet
"il gateway deve essere su una lan locale"
deve avere come gateway 192.168.0.1
ti dovrebbe aver segnalato errore, comunque il risultato è sballato

0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.2 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

non va bene il netstat -rn deve dare:

Codice: Seleziona tutto

0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Tu hai (correggimi)
[router] 10.0.2.2 --------10.0.2.15 eth0 [firewall] eth1 192.168.0.1 --------------- 192.168.0.2 eth0 [host2]

configurazioni da fare: firewall

Codice: Seleziona tutto

eth0 10.0.2.15/24 gateway 10.0.2.2
eth1 192.168.0.1/24
eth2 192.168.1.1/24

host2

Codice: Seleziona tutto

eth0 192.168.0.2/24 gateway 192.168.0.1

Metti a posto il tutto, poi è chiaro che affinchè host2 raggiunga il router, sul firewall ci deve essere o il software opportuno o le iptables e la configurazione adatta

[Steamer11]

Ok ho capito, ma quindi su firewall, eth1 e eth2 non hanno default gateway?

[tunnel_net]

No perchè tramite eth1 e eth2 accedi solo alle loro reti 192.168.0.0 e 192.168.1.0, non devi raggiungere altre reti.
Servirebbe se ad esempio host2 avesse due schede e tu volessi raggiungere il network sulla seconda scheda, non sarebbe un defualt gateway che può essere solo uno sarebbe una route aggiuntiva da mettere.

[Steamer11]

Ho capito grazie tunnel.
Adesso sto cercando di fare lo script con iptable per fare il forward della connessione internet dal firewall al client 1.(per poi bloccarla dimostrando il funzionamento di iptables)

Prima di fare lo script pensavo di testare i comandi lanciandoli dalla shell.
La connessione internet sul firewall funziona sul client 1 no.
Ho eseguito questo per resettare tutto:
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
###### A qusto punto la connessione sul firewall non funziona ######
###### Ho creato due catene ######
iptables -N intnetlan1
iptables -N lan1intnet
iptables -A FORWARD -i eth0 -o eth1 -j intnetlan1
iptables -A FORWARD -i eth1 -o eth0 -j lan1intnet
######La connessione internet non funziona ne sul firewall ne sul client 1 ######

Sto testando riga dopo riga ma non trovo l errore

[tunnel_net]

Prima si devono connettere/pingare abilitando il forward su tcp/ip con

Codice: Seleziona tutto

sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"
o 
sudo sh -c "echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf"

[router] 10.0.2.2 --------10.0.2.15 eth0 [firewall] eth1 192.168.0.1 --------------- 192.168.0.2 eth0 [host2]

Riprendiamo lo schemino
1) a questo punto host2 sa che per andare a router deve mandare a 192.168.0.1
2) firewall sa che deve mandare a 10.0.2.2 tramite 10.2.2.15
È rimasto fuori router che non sa come rispondere, devi su router definire le route
192.168.0.1/24 gw 10.0.2.15
192.168.0.0/24 gw 10.0.2.15

L'alternativa è su firewall usare il NAT

[Steamer11]

Hai perfettamente ragione..ho dimenticato di cambiare il flag di ip_forward, grazie tunnel.

Sul firewall che e' una VM eth0 e' nattata con DHCP ma gli viene sempre assegnato l'indirizzo 10.0.2.15.
A scanso di equivoci posto in netstat -rn del firewall e del client 1.

Codice: Seleziona tutto

pc0@LAN1PC0 ~ $ netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG        0 0          0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0

Codice: Seleziona tutto

ROUT_FIREWALL pc0 # netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.0.2.2        0.0.0.0         UG        0 0          0 eth0
10.0.2.0        0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth2

Se ho capito bene etho del client 1 manda a eth1 del firewall che a sua volta manda a eth0 del firewall il quale ha come default gw 10.0.2.2 che sfruttando il nat dovrebbe inviare all ip del mio portatile.
Sono confuso o e' cosi?

Il mio portatile ha IP 172.29.8.185 Bcast:172.29.11.255 Mask:255.255.252.0
questo e' il netstat -rn del mio portatile:
Kernel IP routing table

Codice: Seleziona tutto

Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         172.29.8.1      0.0.0.0         UG        0 0          0 eth0
172.29.8.0      0.0.0.0         255.255.252.0   U         0 0          0 eth0

Il client1 comunque non ha connessione. Se il firewall ha connessione il problema dovrebbe essere fra il firewall e il client 1 giusto?
Il traceroute verso questo forum muore su eth1 del firewall.

Codice: Seleziona tutto

LAN1PC0 pc0 # traceroute 91.189.94.248
traceroute to 91.189.94.248 (91.189.94.248), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.251 ms  0.189 ms  0.152 ms
 2  * * *
 3  * * *
 4  * * *

[tunnel_net]

Te lo ho detto prima se hai router firewall e host1, se da host 1 vuoi andare a router, host1 deve conoscere la strada per router e router deve conoscere la strada per host1.
Il router non risponderà mai se non ci metti le route che ti ho detto, fino ad ora conosce solo la strada fino al firewall.
Il traceroute si ferma al firewall perchè il router non può rispondere.