Действия

Iptables: различия между версиями

Материал из lulzette's wiki

 
(не показано 16 промежуточных версий этого же участника)
Строка 1: Строка 1:
= 3 Цепочки: =
[[Category:Админство (Ops)]]
Практически копипаст статьи: https://losst.ru/nastrojka-iptables-dlya-chajnikov


* <code>Input</code> - обрабатывает входящие пакеты и подключения. Например, если какой-либо внешний пользователь пытается подключиться к вашему компьютеру по ssh или любой веб-сайт отправит вам свой контент по запросу браузера. Все эти пакеты попадут в эту цепочку;
Годно: https://www.opennet.ru/docs/RUS/iptables/
* <code>forward</code> - эта цепочка применяется для проходящих соединений. Сюда попадают пакеты, которые отправлены на ваш компьютер, но не предназначены ему, они просто пересылаются по сети к своей цели. Как я уже говорил, такое наблюдается на маршрутизаторах или, например, если ваш компьютер раздает wifi;
* <code>output</code> - эта цепочка используется для исходящих пакетов и соединений. Сюда попадают пакеты, которые были созданы при попытке выполнить ping losst.ru или когда вы запускаете браузер и пытаетесь открыть любой сайт.


== 2 дополнительных для <code>forward</code>: ==
Годный видик: https://youtu.be/SYM5MvV4VIk


* <code>prerouting</code> - в эту цепочку пакет попадает перед обработкой iptables, система еще не знает куда он будет отправлен, в input, output или forward;
[[Файл:Netfilter-diagram-rus.png|300px|thumb|right|netfilter dia]]
* <code>postrouting</code> - сюда попадают все проходящие пакеты, которые уже прошли цепочку forward.
 
== Цепочки ==
 
Есть несколько цепочек: Input, forward, output, prerouting и postrouting. В каждой цепочке есть таблицы:
 
* prerouting - пакет только вышел из интерфейса и направляется в систему (raw, conntrack, mangle, nat)
* input - пакет на пути из системы в приложение (mangle, filter, conntrack)
* forward - пакет проходит через систему (обычно маршрутизация) (mangle, filter)
* output - пакет вышел из приложения и подходит к выходу из системы (raw, conntrack, mangle, nat, filter)
* postrouting - конечная станция, пакет выходит из системы в интерфейс (mangle, nat, conntrack)
 
Нагляднее будет на картинке справа.
 
== Таблицы ==
* raw - предназначена для работы с сырыми пакетами, пока они еще не прошли обработку; (маркировка пакетов) - output, prerouting
* mangle - предназначена для модификации пакетов; (модификация TTL или TOS, например)
* nat - обеспечивает работу nat, если вы хотите использовать компьютер в качестве маршрутизатора; ()
* filter - основная таблица для фильтрации пакетов, используется по умолчанию. (ограничение или разрешение доступа, собсна правила, которые ниже)
<br>
При <code>iptables -L</code> выводятся правила только из таблицы filter, остальные необходимо смотреть через "-t" (<code>iptables -L -t raw</code>)
 
== Правила и действия ==
 
* ACCEPT - разрешить прохождение пакета дальше по цепочке правил;
* DROP - удалить пакет, как будто он никуда и не дошел;
* REJECT - отклонить пакет, отправителю будет отправлено сообщение, что пакет был отклонен;
* LOG - сделать запись о пакете в лог файл;
* QUEUE - отправить пакет пользовательскому приложению.
 
== syntax ==
 
https://wiki.merionet.ru/servernye-resheniya/14/pogruzhenie-v-iptables-teoriya-i-nastrojka/
 
Осталось рассмотреть основные действия, которые позволяет выполнить iptables:
<source>
-A - добавить правило в цепочку;
-С - проверить все правила;
-D - удалить правило;
-I - вставить правило с нужным номером;
-L - вывести все правила в текущей цепочке;
-S - вывести все правила без форматирования, как команды;
-F - очистить все правила;
-N - создать цепочку;
-X - удалить цепочку;
-P - установить действие по умолчанию.
 
-p - указать протокол, один из tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh;
-s - указать ip адрес устройства-отправителя пакета;
-d - указать ip адрес получателя;
-i - входной сетевой интерфейс;
-o - исходящий сетевой интерфейс;
-j - выбрать действие, если правило подошло.
-g - передать пакет в другую цепочку
--dport - указать порт
-m - совпадение, т.е. multiport (диапазон портов), tcp (tcp порт) и т.д.
 
--line-numbers - вывести правила по номерам
-n - вывести правила с резолвингом портов/доменов
</source>
 
== примеры ==
 
Вот так будет выглядеть команда, которая позволяет добавить правило iptables для блокировки всех входящих пакетов от 10.10.10.10:
 
<code>sudo iptables -A INPUT -s 10.10.10.10 -j DROP</code>
 
=== Блокаем по string'у ===
 
Какая-то рабочая хрень. При желании можно погуглить флаги.
 
<code>iptables -I INPUT -p tcp --dport 80 -m string --string "yandex.ru" --algo kmp -j DROP</code>
 
=== INPUT policy (-P) DROP ===
 
Дропаем входящие:
 
<code>iptables -P INPUT -j DROP</code>
 
Но ведь тогда не придут ping echo! Так как ответный ping пакет приходит на INPUT, а INPUT закрыт. Решение есть:
 
<code>iptables -A INPUT -m conntrack --cstate RELATED,ESTABLISHED -j ACCEPT</code>
 
Вуаля! RELATED,ESTABLISHED пакеты приниматься на INPUT'е, остальные входящие (NEW, INVALID и т.д.) будут отклонены. Однако, пинг локалхоста не доходит! Добавим правило на прием пакетов в INPUT со входящим интерфейсом lo:
 
<code>iptables -A INPUT -i lo -j ACCEPT</code>
 
Теперь все что придет на lo - будет отвечено.
 
=== NAT ===
 
==== настройка ====
Есть dnat, есть snat.
 
* Snat - статический нат (SNAT) Если IP адрес на внешнем сетевом интерфейсе (WAN) статический и не меняется, то желательно использовать именно SNAT. В правилах фаервола указывается один или несколько IP адресов, таким образом есть возможность распределить локальные IP адреса и сети по внешним IP адресам. SNAT хорошо использовать на серверах доступа.
* dnat - динамический нат (MASQUERADE) Менее быстрая маршрутизация чем SNAT при массовых запросах, так как для каждого нового соединения определяется IP адрес на внешнем сетевом интерфейсе (WAN). Отлично подходит для маршрутизаторов домашнего использования и когда меняется IP адрес на WAN интерфейсе.
 
<code>iptables -A POSTROUTING -t nat -s 192.168.20.0/24 -o eth0 -j SNAT --to-source 192.168.1.123</code>
 
==== проброс портов ====
 
перенаправляем входящие пакеты на порт VDS/контейнера
<code>iptables -t nat -A PREROUTING -i eth0 -p tcp -d 8.8.8.8 --dport 80 -j DNAT --to 10.10.10.137:80</code>
<code>iptables -t nat -A PREROUTING -i enp2s0 -p tcp --dport 80 -j DNAT --to-destination 10.0.3.175:80</code><br>
 
указываем направление исходящих из VDS/контейнера
 
<code>iptables -t nat -A POSTROUTING -o lxcbr0 -p tcp --dport 80 -d 10.0.3.175 -j SNAT --to-source 10.0.3.1</code>

Текущая версия от 23:19, 28 декабря 2021

Практически копипаст статьи: https://losst.ru/nastrojka-iptables-dlya-chajnikov

Годно: https://www.opennet.ru/docs/RUS/iptables/

Годный видик: https://youtu.be/SYM5MvV4VIk

netfilter dia

Цепочки

Есть несколько цепочек: Input, forward, output, prerouting и postrouting. В каждой цепочке есть таблицы:

  • prerouting - пакет только вышел из интерфейса и направляется в систему (raw, conntrack, mangle, nat)
  • input - пакет на пути из системы в приложение (mangle, filter, conntrack)
  • forward - пакет проходит через систему (обычно маршрутизация) (mangle, filter)
  • output - пакет вышел из приложения и подходит к выходу из системы (raw, conntrack, mangle, nat, filter)
  • postrouting - конечная станция, пакет выходит из системы в интерфейс (mangle, nat, conntrack)

Нагляднее будет на картинке справа.

Таблицы

  • raw - предназначена для работы с сырыми пакетами, пока они еще не прошли обработку; (маркировка пакетов) - output, prerouting
  • mangle - предназначена для модификации пакетов; (модификация TTL или TOS, например)
  • nat - обеспечивает работу nat, если вы хотите использовать компьютер в качестве маршрутизатора; ()
  • filter - основная таблица для фильтрации пакетов, используется по умолчанию. (ограничение или разрешение доступа, собсна правила, которые ниже)


При iptables -L выводятся правила только из таблицы filter, остальные необходимо смотреть через "-t" (iptables -L -t raw)

Правила и действия

  • ACCEPT - разрешить прохождение пакета дальше по цепочке правил;
  • DROP - удалить пакет, как будто он никуда и не дошел;
  • REJECT - отклонить пакет, отправителю будет отправлено сообщение, что пакет был отклонен;
  • LOG - сделать запись о пакете в лог файл;
  • QUEUE - отправить пакет пользовательскому приложению.

syntax

https://wiki.merionet.ru/servernye-resheniya/14/pogruzhenie-v-iptables-teoriya-i-nastrojka/

Осталось рассмотреть основные действия, которые позволяет выполнить iptables:

-A - добавить правило в цепочку; 
-С - проверить все правила;
-D - удалить правило;
-I - вставить правило с нужным номером;
-L - вывести все правила в текущей цепочке;
-S - вывести все правила без форматирования, как команды;
-F - очистить все правила;
-N - создать цепочку;
-X - удалить цепочку;
-P - установить действие по умолчанию.

-p - указать протокол, один из tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh;
-s - указать ip адрес устройства-отправителя пакета;
-d - указать ip адрес получателя;
-i - входной сетевой интерфейс;
-o - исходящий сетевой интерфейс;
-j - выбрать действие, если правило подошло.
-g - передать пакет в другую цепочку
--dport - указать порт
-m - совпадение, т.е. multiport (диапазон портов), tcp (tcp порт) и т.д.

--line-numbers - вывести правила по номерам
-n - вывести правила с резолвингом портов/доменов

примеры

Вот так будет выглядеть команда, которая позволяет добавить правило iptables для блокировки всех входящих пакетов от 10.10.10.10:

sudo iptables -A INPUT -s 10.10.10.10 -j DROP

Блокаем по string'у

Какая-то рабочая хрень. При желании можно погуглить флаги.

iptables -I INPUT -p tcp --dport 80 -m string --string "yandex.ru" --algo kmp -j DROP

INPUT policy (-P) DROP

Дропаем входящие:

iptables -P INPUT -j DROP

Но ведь тогда не придут ping echo! Так как ответный ping пакет приходит на INPUT, а INPUT закрыт. Решение есть:

iptables -A INPUT -m conntrack --cstate RELATED,ESTABLISHED -j ACCEPT

Вуаля! RELATED,ESTABLISHED пакеты приниматься на INPUT'е, остальные входящие (NEW, INVALID и т.д.) будут отклонены. Однако, пинг локалхоста не доходит! Добавим правило на прием пакетов в INPUT со входящим интерфейсом lo:

iptables -A INPUT -i lo -j ACCEPT

Теперь все что придет на lo - будет отвечено.

NAT

настройка

Есть dnat, есть snat.

  • Snat - статический нат (SNAT) Если IP адрес на внешнем сетевом интерфейсе (WAN) статический и не меняется, то желательно использовать именно SNAT. В правилах фаервола указывается один или несколько IP адресов, таким образом есть возможность распределить локальные IP адреса и сети по внешним IP адресам. SNAT хорошо использовать на серверах доступа.
  • dnat - динамический нат (MASQUERADE) Менее быстрая маршрутизация чем SNAT при массовых запросах, так как для каждого нового соединения определяется IP адрес на внешнем сетевом интерфейсе (WAN). Отлично подходит для маршрутизаторов домашнего использования и когда меняется IP адрес на WAN интерфейсе.

iptables -A POSTROUTING -t nat -s 192.168.20.0/24 -o eth0 -j SNAT --to-source 192.168.1.123

проброс портов

перенаправляем входящие пакеты на порт VDS/контейнера iptables -t nat -A PREROUTING -i eth0 -p tcp -d 8.8.8.8 --dport 80 -j DNAT --to 10.10.10.137:80 iptables -t nat -A PREROUTING -i enp2s0 -p tcp --dport 80 -j DNAT --to-destination 10.0.3.175:80

указываем направление исходящих из VDS/контейнера

iptables -t nat -A POSTROUTING -o lxcbr0 -p tcp --dport 80 -d 10.0.3.175 -j SNAT --to-source 10.0.3.1