Linux Systeembeheer/Firewalls

Om aanvallen op een netwerk te voorkomen of tegen te houden is een firewall op de router onontbeerlijk. De Linux-kernel heeft een ingebouwde firewall die je kan manipuleren met het commando iptables. Nu is het opstellen van een goede firewall niet zo evident en daarom zijn er intussen tientallen applicaties beschikbaar die deze taak vergemakkelijken (o.a. Firestarter, ufw, enz.). Het gebruiken van die tools is echter niet zonder gevaar: de details van de werking blijven verborgen, de kwaliteit van de firewall is niet langer 100% zeker en het is wellicht niet langer mogelijk om alle functionaliteiten van iptables te gebruiken. Voor een goed begrip van de werking van Linux-firewalls is het daarom belangrijk met iptables te leren werken.

• De basisstructuur van Linux firewalls begrijpen
  • de begrippen “table” en “chain” kennen en begrijpen
  • de standaard tables (filter, nat, mangle) en hun functie kennen
  • de standaard chains (INPUT, OUTPUT, FORWARD) kennen en hun functie begrijpen
• Het commando iptables kunnen gebruiken om de Linux firewall te manipuleren
  • de standaard policies (ACCEPT, DROP, REJECT, LOG) kennen en kunnen instellen
  • regels en chains kunnen toevoegen en verwijderen
  • filteropties kunnen gebruiken:
    • filteren op protocol, IP-adres, MAC-adres, netwerkinterface, protocol
    • TCP, UDP uitbreidingen
    • trafiek limiteren
    • connection tracking
    • Network Address Translation
• De firewall-configuratie kunnen aanpassen en persistent maken op een RedHat-achtig systeem
  • firewall opstarten/stoppen: service iptables {start,stop,restart,status}
  • firewall-configuratie opslaan: service iptables save
  • De meegeleverde GUI-tools (system-config-firewall of system-config-securitylevel) voor firewall-beheer kunnen gebruiken

Iptables is de front-end van het netwerk packet filter framework Netfilter. Netfilter is onderdeel van de Linux kernel en kan worden gebruikt om diverse acties met data packets uit te voeren, zoals: accepteren, weigeren, NAT, etc.

Met iptables kan de systeembeheerder de firewall configureren voor het IPv4-protocol. Andere protocols brengen andere programma's of modules met zich mee. Bijvoorbeeld:

• ip6tables (IPv6)
• arptables (ARP)
• ebtables (Ethernet frames)

Het uitgangspunt van iptables is dat de regels waaruit een firewall bestaat zijn ingedeeld in drie tables of tabellen; filter, nat en mangle.

In elk van deze tabellen vindt u een aantal chains. Deze chains zijn de verzamelingen regels waaruit de firewall is opgebouwd. Welke chains u kunt gebruiken, is afhankelijk van de tabel.

De filter tabel zorgt voor packet filtering en bestaat uit drie ingebouwde chains. Let overigens op de notatie van de chains, die is altijd in hoofdletters.

• INPUT
• OUTPUT
• FORWARD

De INPUT-chain wordt gebruikt om binnenkomende pakketjes te filteren, de OUTPUT-chain wordt gebruikt voor het verwerken van pakketjes die op de lokale machine gedefinieerd zijn en naar buiten verstuurd moeten worden en de FORWARD-chain verwerkt alle pakketjes die door de firewall gerouteerd worden.

Ook de nat table bestaat uit drie chains.

• PREROUTING
• OUTPUT
• POSTROUTING

Door middel van de nat table worden twee soorten NAT ondersteund. Om te beginnen is dit het veel gebruikte masquerading. Dit is de vorm van NAT waarin hosts op het privé-netwerk het internet op kunnen door gebruik te maken van het IP-adres van de firewall. Computers op internet zien in dat geval niets anders dan de firewall en zijn zich er niet van bewust dat er achter die firewall een volledig netwerk schuilt. Daarnaast is het ook mogelijk het omgekeerde te doen. Dit betekent dat u nodes op het interne netwerk met behulp van de nat tabel toegankelijk kunt maken voor de buitenwereld door er een geregistreerd IP-adres aan toe te wijzen. Dit verschijnsel wordt ook aangeduid als statisch NAT. Dit betekent dat u aan de interface van de router een tweede IP-adres toekent en er door middel van de nat tabel voor zorgt dat alles wat op dat secundaire IP-adres binnenkomt wordt doorgestuurd naar de betreffende host op het privénetwerk.

Van de drie chains wordt de PREROUTING chain gebruikt om pakketjes te behandelen zodra ze binnenkomen; dat wil zeggen nog voordat het routingproces er mee aan de slag kan. De OUTPUT-chain wordt gebruikt om pakketjes te behandelen die door het lokale systeem gegenereerd worden, nog voordat het routing proces er mee aan de slag gaat. De POSTROUTING chain tot slot wordt gebruikt om pakketjes te behandelen voordat ze het systeem verlaten, maar nadat het routingproces er mee aan de slag is geweest.

De mangle-table zorgt voor TCP header wijzigingen en bestaat uit twee ingebouwde chains.

• PREROUTING
• OUTPUT

De PREROUTING chain behandelt alle inkomende pakketjes voordat ze gerouteerd worden, de OUTPUT chain behandelt uitgaande pakketjes voordat ze gerouteerd worden. De mangle-tabel wordt alleen in speciale gevallen gebruikt, bijvoorbeeld wanneer speciale services zoals Quality of Service (QoS) gebruikt worden om pakketjes een hogere prioriteit te geven.

Bij het definiëren van een chain wordt gebruik gemaakt van verschillende regels (rules). Het is belangrijk dat in deze regels de juiste volgorde gebruikt wordt. In normale gevallen gaat een pakketje door alle regels in de chain. Dit is niet het geval als er een DENY of REJECT in de regel voorkomt. In dat geval wordt het pakketje direct tegengehouden. In alle andere gevallen worden dus alle regels verwerkt.

Als geen enkele regel een match oplevert met het betreffende pakketje, wordt de laatste regel in de chain toegepast. Deze regel staat ook bekend als de policy. In het Nederlands mag u dit gerust vertalen in “standaardbeleid”. Dit is dus de standaardregel die wordt toegepast voor alle pakketjes waarvoor geen specifieke regel gevonden kon worden.

Er zijn standaard vier policies:

Geen documentatie is vollediger dan de iptables man page. Daarom:

 $ man iptables

Een compact overzicht van de meestgebruikte vlaggen en opties vindt u in de tabel hieronder.

Merk op dat om een nieuwe chain te definiëren, u als eerste moet aangeven tot welke tabel de chain behoort. Als u dit niet doet, wordt de nieuwe chain automatisch toegewezen aan de tabel filter.

 $ iptables [-t table] -[ADIRLFNPX] chain rule-specification [options] 

Een toegepast voorbeeld vindt u in het Bash script verder op deze pagina.

enkele overzichten met frequente functies van de iptables

Bedoeling is een firewallscript uit te werken voor een zgn. “bastion firewall” dat een lokaal netwerk, bestaande uit een DMZ (demilitarized zone) met publiek toegankelijke servers en een intranet dat niet toegankelijk is van buitenaf. Onderstaande figuur en adressentabel verduidelijken de opstelling.

Opm. 192.0.2.0 is het zgn. TEST-NET, een klasse-C netwerk dat is voorbehouden voor het gebruik in voorbeelden, handleidingen, enz. Je mag het beschouwen als een publiek IP netwerk, maar het komt nergens “in het echt” voor.

Zet een firewall op met volgende eigenschappen:

• pakketten die tegengehouden worden (DROP), moeten ook gelogd worden. Maak daarvoor een nieuwe chain aan.
• pc's op het intranet kunnen de services van de DMZ gebruiken (gebruik zo strikt mogelijke regels).
• pc's op het intranet kunnen vrij naar “buiten” (via NAT).
• computers van buiten kunnen de services van de DMZ gebruiken (ook met zo strikt mogelijke regels).
• computers van buiten kunnen GEEN verbinding aangaan met computers op het intranet.
• blokkeer flooding op de DMZ services.
• op de router draaien geen services, dus alle verkeer van en naar de router zelf moet geblokkeerd worden.

• https://linux.about.com/od/commands/l/blcmdl8_iptable.htm
• https://www.yolinux.com/TUTORIALS/ManPage_ipchains.html
• https://www.lammertbies.nl/comm/info/nl_iptables.html
• https://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-iptables.html
• https://www.lammertbies.nl/picture/iptables-flow.png
• Leerboek Linux deel 3 (Sander Van Vugt)
• https://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables