Linux como Firewall

Agenda ● Historia. ● Netfilter. ● Características. ● Filtrado. ● NAT. ● Network Stack. ● Estructura Netfilter.

Historia ● Largo soporte del subsistema de redes, desde sus principios. ● ipfw de BSD, primer Firewall, construido por Alan Cox en ● Kernel de GNU/Linux 2.0.x trae ipfw. ● Kernel de GNU/Linux 2.2.x trae ipchains. ● Kernel de GNU/Linux 2.4.x trae netfilter, asociado con iptables.

Netfilter ● Framework de filtrado de paquetes. ● Presente en kernel 2.4.x y 2.6.x ● Rediseñado y reescrito totalmente, no hereda nada de sus predecesores. ● Conjunto de hooks que através de modulos, recibe respuestas de los paquetes que cruzan el network stack.

Características(1/2) ● Soporta filtrado de paquetes stateless para IPv4 e IPv6. ● Soporta filtrado de paquetes stateful para IPv4 e IPv6. ● Soporta todos los tipos de direcciones de red y puertos de comunicación solo para IPv4.(NAT/NAPT)

Características(2/2) ● API de múltiples capas. ● Largo número de plug-ins y módulos. ● Infraestructura flexible y extensible.

Filtrado ● Filtro se realiza basado en las cabeceras de los paquetes. ● Opciones para hacer MATCH. – dirección src/dst. – puerto src/dst. – MAC address. – owner(uid,guid,..)

Filtrado ● Opciones para definir una regla. – DROP. – REJECT. – LOG. – ACCEPT. ● CHAIN's de reglas. – Relacionadas con la parte del stack donde se aplica. – Se pueden crear chains propios.

Filtrado ● Connection tracking o stateful firewall. – Permiten crear un filtrado más inteligente.

NAT/NAPT ● Implementa una estructura completa de NAT/NAPT. – src/dst NAT. – ports/hosts NAPT. – MASQUERADING. ● Soporta NAT de procolos complicados. – FTP. – IRC.

Network Stack ● Cada paquete de información proveniente de la red se almacena en la estructura de datos sk_buf. ● sk_buf contiene información de: – Información de capa de enlace (IEEE 802.3). – Información de capa de red (IP, y todos sus headers; src,dst, etc.). – Información extra, como el dueño o quien creo el paquete. – Además de todos los DATOS.

Estructura Netfilter ● Fases por las que atraviesa un paquete en IPv4.

Estructura Netfilter ● Puede mira sk_buf, alterarlo y decidir el futuro del paquete. – NF_ACCEPT: continúa. – NF_DROP: desaparece. – NF_STOLEN: roba el paquete (desaparece). – NF_QUEUE: encolar el paquete. – NF_REPEAT: llamar al hook nuevamente.

Estructura Netfilter + iptables ● Netfilter solo provee los hooks. ● iptables provee la estructura de Firewall/NAT/NAPT. ● Los hooks, son llamados en orden. ● Filter y NAT no estan en todos los hooks. ● Connection tracking.

Administración de iptables ● Componentes de iptables. – Tables. ● Filter, nat, mangle. – Chains. ● Para cada una de las tablas. ● Indican en que parte de la estructura esta el paquete. – Matchs. ● Identifican ciertos paquetes en una regla. – Targets. ● Deciden el futuro de un paquete en una regla.

iptables : tables + chains ● ¿ Por qué iptables? – ip(tables), implementación de firewall/NAT ha sido separada en tablas. ● iptables define 3 tablas de contexto. – filter: todas las reglas de filtraje. – nat: todas las reglas de nat. – mangle: reglas de manejo especial de alteración de paquetes.

iptables : tables + chains ● Cada tabla tiene sus chains predefinidos. – filter ● INPUT, FORWARD,OUTPUT. – nat ● PREROUTING, POSTROUTING, OUTPUT. – mangle ● POSTROUTING, OUTPUT.

iptables : matchs y targets ● Matchs. – Se realizan mediante la observación de uno o más headers de sk_buf. ● Targets. – Decidir que hacer con el paquete si cumple la regla. – Targets predefinidos. ● ACCEPT. ● DROP. ● QUEUE. ● RETURN.

iptables : matchs y targets ● Extensiones. – Generalmente ya viene incluidos cuando se configura e instala netfilter. – Ejemplos de extensiones. ● match state: stateful firewall. ● target REJECT: DROP, con un ICMP de vuelta.

Creando un Firewall con iptables Ejemplo: Desde la Red 1 ( /24) negar el acceso al host iptables -A FORWARD -s /24 -d j DROP iptables -L

Preguntas y Respuestas