Robin.will: /* Die Ketten der filter Kette */

2020-03-27T10:44:57Z

Die Ketten der filter Kette

Dr.xinux am 27. März 2020 um 09:48 Uhr

2020-03-27T09:48:25Z

Dr.xinux: Die Seite wurde neu angelegt: „Ö=Iptables Funktionsweise= Iptables besteht aus: Tabellen (tables) Ketten (chains) Filterregeln (rules) Ziele (destinations) =Tabellen= ==filter== Die T…“

2020-03-27T09:48:05Z

Die Seite wurde neu angelegt: „Ö=Iptables Funktionsweise= Iptables besteht aus: *Tabellen (tables) *Ketten (chains) *Filterregeln (rules) *Ziele (destinations) =Tabellen= ==filter== Die T…“

Neue Seite

Ö=Iptables Funktionsweise=
Iptables besteht aus:
*Tabellen (tables)
*Ketten (chains)
*Filterregeln (rules)
*Ziele (destinations)

=Tabellen=
==filter==
Die Tabelle filter prüft alle für die Firewall ankommenden Pakete und entscheidet ob sie durchgelassen oder geblockt werden.
==nat==
NAT wird benutzt um IP-Adressen oder Ports zu übersetzen/ändern (= Network Adress Translation).
==mangle==
Die Tabelle mangle (übersetzt: zerhauen) ermöglicht es dem Kernel, Daten im Paket-Header zu verändern.

=Die filter Tabelle=
==Die Ketten der filter Kette==
*'''FORWARD''': für Pakte die über eine Schnittstelle hereinkommen, den Rechner auch wieder verlassen.
*'''INPUT''': für Pakete die über eine Schnittstelle hereinkommen und einen Dienst auf dem Rechner ansprechen
*'''OUTPUT''': für die über eine Schnittstelle herausgehenden Pakete, die von einem lokalen Dienst

[[Datei:ip6tables-filter.png|500px]]

==Die Filter Regeln der filter Tabelle==
Regeln werden mit '''ip6tables''' erstellt und an Ziele geschickt.
==Ziele der filter Tabelle==
*'''ACCEPT''': das Paket kann passieren
*'''REJECT''': das Paket wird zurückgewiesen und ein Fehlerpaket wird gesendet
*'''LOG''': schreibt einen Eintrag in die syslog
*'''DROP''': das Paket wird ignoriert und keine Antwort gesendet

=Syntax Allgemein=
Die Momentan in der '''filter''' Tabelle gesetzten Ketten und Regeln sieht man mit
*ip6tables -nvL -t filter
-L # Listing
-t filter # anzeigen der filter Kette
-n # numerical
-v # verbose
Da -t filter Default ist, kann man es auch weglassen,
*ip6tables -nvL -t filter
=Funktionsweise=
Die Regeln werden nacheinander abgearbeitet wenn eine Regel greift hört der Verarbeitungsprozess auf. Wenn keine greift wird die Default Policy angewandt.

{| class="wikitable"
!colspan="6"|filter table
|-style="font-style: italic; color: blue;"
||INPUT||OUTPUT||FORWARD
|-
||rule 1 ||rule 1 ||rule 1
|-
||rule 2 ||rule 2 ||rule 2
|-
||rule 3 ||rule 3 ||rule 3
|-
||rule 4 ||rule 4 ||rule 4
|-
||rule 5 ||rule 5 ||rule 5
|-
||rule 6 ||rule 6 ||rule 6
|-style="font-style: italic; color: red;"
||POLICY||POLICY||POLICY
|}
=Firewallscript=
==Der Rumpf==
Zuerst wird in dem firewall-Skript ein case start - stop Block angelegt:
*cd /usr/local/sbin/
*vi firewall
'''#!/bin/bash'''
'''case $1 in'''
'''start)'''
'''echo "starte firewall"'''
''';;'''
'''stop)'''
'''echo "stoppe firewall"'''
''';;'''
'''*)'''
'''echo "usage: $0 start|stop"'''
''';;'''
'''esac'''

==Script ausführbar machen==
*chmod +x firewall

==Testen des Scripts==
*firewall start
*firewall stop
*firewall
==Flushen aller vorhergehenden Regeln==
#!/bin/bash
case $1 in
start)
echo "starte firewall"
'''ip6tables -F'''
;;
stop)
echo "stoppe firewall"
'''ip6tables -F'''
;;
esac
==Setzen der Default Policys==
#!/bin/bash
case $1 in
start)
echo "starte firewall"
ip6tables -F
'''ip6tables -P INPUT DROP'''
'''ip6tables -P OUTPUT DROP'''
'''ip6tables -P FORWARD DROP'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
'''ip6tables -P INPUT ACCEPT'''
'''ip6tables -P OUTPUT ACCEPT'''
'''ip6tables -P FORWARD ACCEPT'''
;;
esac
==ESTABLISHED und RELATED Pakete (Connection Tracking)==
Ein Vorteil von ip6tables zu seinen Vorgängern ist die Funktion seinen Paketfilter nur auf die ersten Pakete einer Verbindung zu begrenzen und so Ressourcen zu sparen.
Dieses wird erreicht mit folgenden Zeilen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
'''ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT'''
'''ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT'''
'''ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Die neuen Funktionen die wir hier verwenden beinhalten:
:'''-m conntrack''': Das Modul von ip6tables das erkennt ob ein Paket eine Verbindung initiiert oder zu einer bereits errichteten Verbindung gehört.
:'''--ctstate ESTABLISHED,RELATED''': Der Status nach dem das Paket untersucht wird, wobei
:'''ESTABLISHED''': Pakete die zu einer Verbindung gehören. Also frühestens das 2 Paket.
:'''RELATED''': Pakete die in einer relation zu einer anderen Verbindung stehen.
:'''-j ACCEPT''' Regel springt zum ACCEPT Ziel.

==Die ersten Regeln die auch treffen==
Nun haben wir schon ein paar Regeln aber noch keine die bisher zutreffen kann. Wenn wir diese Firewall aktivieren würden wäre unser eigener Router Nichtmal mehr in der Lage mit sich selbst zu kommunizieren.
===Das loopbackdevice===
Da er dies über das sogennante '''"loopback device"''' lassen wir jetzt unsere ersten Pakete durch.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
'''ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac
;Verwendete Syntax
:'''-o lo''': output interface hier '''lo'''
:'''-i lo''': input interface hier '''lo'''
:'''-m conntrack''': laden des state Moduls
:'''--ctstate NEW''': Das erste Paket einer Verbindung
:'''-j ACCEPT''': springe zum ACCEPT Ziel

==Neue Regeln und Variablen==
===Wir lassen ausgehenden Verkehr vom Rechner zu lassen ssh und icmp Zugriff auf die Firewall zu ===
#!/bin/bash
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-p tcp''': protokoll tcp
:'''--dport 22 ''': destination port 22
===Variablen Definition und Zugriff von Innen und Multiport Modul===
#!/bin/bash
LANDEV=enp0s8
WANDEV=enp0s3
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
'''ip6tables -A INPUT -i $LANDEV -p tcp -m multiport --dport 53,80,443 -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A INPUT -i $LANDEV -p udp -m multiport --dport 53,67 -m conntrack --ctstate NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

===Diverse Forward Regeln und Logging===
#!/bin/bash
LANDEV=enp0s8
WANDEV=enp0s3
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p tcp -m multiport --dport 53,80,443 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p udp -m multiport --dport 53,67 -m conntrack --ctstate NEW -j ACCEPT
'''ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p tcp -m multiport --dport 22,25,53,80,443,465,993 -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p icmp -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A INPUT -j LOG --log-prefix "--ip6tables-in--"'''
'''ip6tables -A OUTPUT -j LOG --log-prefix "--ip6tables-out--"'''
'''ip6tables -A FORWARD -j LOG --log-prefix "--ip6tables-for--"'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

==Logging==
*tail -f /var/log/syslog | grep 'ip6tables'
=Automatischer Start=
*[[Systemd Service Firewall]]
=Die nat Tabelle=
==Die Ketten der filter Kette==
*'''POSTROUTING''': für Pakte die über eine Schnittstelle hereinkommen, und noch keine Routing Entscheidung getroffen wurde.
*'''INPUT''': für Pakete die über eine Schnittstelle hereinkommen und einen Dienst auf dem Rechner ansprechen.
*'''OUTPUT''': für Pakete die von einem Dienst generiert werden und den Rechner wieder verlassen,
*'''PREROUTING''': für die über eine Schnittstelle herausgehenden Pakete, nach der Rounting Entscheidung.

[[Datei:ip6tables-nat-filter.png|400px]]

==Ziele der filter Tabelle==
*'''DNAT''': Ziel IP oder Ziel PORT werden verändert. Wird in der PREROUTING und INPUT Kette angewandt
*'''SNAT''': Quell IP oder Quell PORT werden verändert. Wird in der POSTROUTING und OUTPUT Kette angewandt
*'''MASQUERADE''': Es wird die Quell IP des ausgehenden Interfaces gesetzt. Wird in der POSTROUTING Kette angewandt,
*'''NETMAP''': ganze Netze werden umgesetzt. (PREROUTING und POSTROUTING Kette)
*'''LOG''': schreibt einen Eintrag in die syslog.
*'''ACCEPT''': Nur in der Default Policy sinnvoll. Sollte nicht verändert werden.
===Maskierungen===
;Beim ersten Paket wird die IP Adresse des ausgehenden Interface eingesetzt.
#!/bin/bash
LANDEV=enp0s8
WANDEV=enp0s3
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -t nat -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p tcp -m multiport --dport 53,80,443 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p udp -m multiport --dport 53,67 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p tcp -m multiport --dport 22,25,53,80,443,465,993 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p icmp -m conntrack --ctstate NEW -j ACCEPT
'''ip6tables -t nat -A POSTROUTING -o $WANDEV -j MASQUERADE'''
ip6tables -A INPUT -j LOG --log-prefix "--ip6tables-in--"
ip6tables -A OUTPUT -j LOG --log-prefix "--ip6tables-out--"
ip6tables -A FORWARD -j LOG --log-prefix "--ip6tables-for--"
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

===SNAT===
;Beim ersten Paket wird die angegebenene IP Adresse eingesetzt.
#!/bin/bash
LANDEV=enp0s8
WANDEV=enp0s3
WANIP="10.84.252.32"
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -t nat -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p tcp -m multiport --dport 53,80,443 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p udp -m multiport --dport 53,67 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p tcp -m multiport --dport 22,25,53,80,443,465,993 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p icmp -m conntrack --ctstate NEW -j ACCEPT
'''ip6tables -t nat -A POSTROUTING -o $WANDEV -j SNAT --to-source $WANIP'''
ip6tables -A INPUT -j LOG --log-prefix "--ip6tables-in--"
ip6tables -A OUTPUT -j LOG --log-prefix "--ip6tables-out--"
ip6tables -A FORWARD -j LOG --log-prefix "--ip6tables-for--"
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

===DNAT===
;Auf den internen Webserver auf Port 80 und 443 kann über die externer IP Adresse zugegriffen werden.
#!/bin/bash
LANDEV=enp0s8
WANDEV=enp0s3
WANIP="10.84.252.32"
WEBSERVER="10.83.32.11"
case $1 in
start)
echo "starte firewall
ip6tables -F
ip6tables -t nat -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p tcp -m multiport --dport 53,80,443 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p udp -m multiport --dport 53,67 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p tcp -m multiport --dport 22,25,53,80,443,465,993 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p icmp -m conntrack --ctstate NEW -j ACCEPT
ip6tables -t nat -A POSTROUTING -o $WANDEV -j SNAT --to-source $WANIP
'''ip6tables -A FORWARD -i $WANDEV -o $LANDEV -p tcp --dport 80 -d $WEBSERVER -j ACCEPT'''
'''ip6tables -A FORWARD -i $WANDEV -o $LANDEV -p tcp --dport 443 -d $WEBSERVER -j ACCEPT'''
'''ip6tables -t nat -A PREROUTING -i $WANDEV -j DNAT -d $WANIP -p tcp --dport 80 --to $WEBSERVER:80'''
'''ip6tables -t nat -A PREROUTING -i $WANDEV -j DNAT -d $WANIP -p tcp --dport 443 --to $WEBSERVER:443'''
ip6tables -A INPUT -j LOG --log-prefix "--ip6tables-in--"
ip6tables -A OUTPUT -j LOG --log-prefix "--ip6tables-out--"
ip6tables -A FORWARD -j LOG --log-prefix "--ip6tables-for--"
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

@@ Zeile 20: / Zeile 20: @@
 *'''OUTPUT''': für die über eine Schnittstelle herausgehenden Pakete, die von einem lokalen Dienst
-[[Datei:ip6tables-filter.png|500px]]
+[[Datei:iptables-filter.png|500px]]
 ==Die Filter Regeln der filter Tabelle==

@@ Zeile 1: / Zeile 1: @@
-Ö=Iptables Funktionsweise=
+=Iptables Funktionsweise=
 Iptables besteht aus:
 *Tabellen (tables)

IP6Tables - Schnelleinstieg - Versionsgeschichte

Robin.will: /* Die Ketten der filter Kette */

Dr.xinux am 27. März 2020 um 09:48 Uhr

Dr.xinux: Die Seite wurde neu angelegt: „Ö=Iptables Funktionsweise= Iptables besteht aus: *Tabellen (tables) *Ketten (chains) *Filterregeln (rules) *Ziele (destinations) =Tabellen= ==filter== Die T…“

Dr.xinux: Die Seite wurde neu angelegt: „Ö=Iptables Funktionsweise= Iptables besteht aus: Tabellen (tables) Ketten (chains) Filterregeln (rules) Ziele (destinations) =Tabellen= ==filter== Die T…“