IPTABLES Un Firewall Linux Netgroup 23 aprile 2002 Claudio Soprano - LNF Computing Service.

Slides:



Advertisements
Presentazioni simili
Cache Memory Prof. G. Nicosia University of Catania
Advertisements

Teoria e Tecniche del Riconoscimento
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Relaunching eLene Who are we now and which are our interests.
Dott. Marco Trivelli SNORT: Intrusion Detection System Politiche delle Reti e Sicurezza.
WSDL (Web Services Description Language) Laurea Magistrale in Informatica Reti 2 (2006/07) dott. Federico Paoloni
Programmazione con socket
1 Processi e Thread Processi Thread Meccanismi di comunicazione fra processi (IPC) Problemi classici di IPC Scheduling Processi e thread in Unix Processi.
Sequential Statements. – Il VHDL simula lo svolgersi in parallelo di varie operazioni – Loggetto fondamentale e il PROCESS – Un PROCESS contiene una serie.
4-1 Routing Gerarchico Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
5-1 Link Wireless Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
5-1 Point to Point Data Link Control Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (©
Il firewall di Linux: IPTables 19 Settembre 2005.
Raffaele Cirullo Head of New Media Seconda Giornata italiana della statistica Aziende e bigdata.
J0 1 Marco Ronchetti Java Threads & Sincronizzazione.
prompt> java SumAverage
Biometry to enhance smart card security (MOC using TOC protocol)
Netgroup 23 Aprile 2002 Angelo Veloce – LNF Computing Service
Comunicazione on-line, reti e virtualità Matteo Cristani.
1. Conoscere luso delle collezioni in Java Comprendere le principali caratteristiche nelle varie classi di Collection disponibili Saper individuare quali.
Internetworking livello III Prof. Alfio Lombardo.
Citrix Metaframe. Metaframe è la soluzione client-server prodotta dalla Citrix in grado di rendere disponibili applicazioni e desktop a qualsiasi dispositivo.
Citrix Presentation Server Client In questo Tutorial descriviamo come accedere al ENEA Grid dal proprio computer.
Intrusion Detection System
2000 Prentice Hall, Inc. All rights reserved. 1 Capitolo 6: Classi e astrazione dati 1.Introduzione 2.Definizione delle strutture 3.Accedere ai membri.
Introduzione Grid1 Introduzione ai Sistemi Grid. Introduzione Grid2 Generalità Un sistema Grid permette allutente di richiedere lesecuzione di un servizio.
FONDAMENTI DI INFORMATICA III WfMC-1. FONDAMENTI DI INFORMATICA III WfMC-2 WFMC Cose WfMC Workflow Management Coalition (WfMC), Brussels, è unorganizzazione.
Linux firewalls Massimo Ianigro - CNR Area di Ricerca - Bari
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Players: 3 to 10, or teams. Aim of the game: find a name, starting with a specific letter, for each category. You need: internet connection laptop.
Sequence. CREARE UNA SEQUENCE CREATE SEQUENCE nome [INCREMENT BY n] [START WITH n] [MAXVALUE n | NOMAXVALUE] [MINVALUE n | NOMINVALUE] [CYCLE | NOCYCLE]
Componenti dell’architettura Oracle
Tiziana FerrariSperimentazioni geografiche su infratruttura JAMES della task-force tf-ten1 RSVP Resource Reservation Setup Protocol
Sistemi di elaborazione dellinformazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 7 -Instradamento dinamico Ernesto Damiani Lezione 1 – Richiami.
OR5 – Rete di trasmissione
INTERNET Internet è una rete a livello mondiale che permette alle persone di comunicare ed ad accedere a banca dati da qualunque parte del mondo e su qualunque.
TCP/IP.
Andrea Petricca Problematiche di rete nella sperimentazione di file-system distribuiti su WAN per applicazioni di GRID-Computing Rapporto trimestrale attività
INTERNET Antonio Papa Classe 2^ beat I.S.I.S. G. Meroni a.s. 2007/2008.
LE RETI E IL DDNS.
Project Review byNight byNight December 6th, 2011.
Servizi di Rete e Unix Stage estivo 2005 Laboratorio Nazionale Frascati Roberto Reale (ITIS CANNIZZARO, Colleferro) Francesco Ronchi (ITIS E. Fermi, Roma)
Gestione Informatica dei Dati Aziendali
Fabio Cozzolino Vito Arconzo
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
Controllo remoto di dispositivi tecnologici via TCP/IP.
Visual Studio Tools for Office: Developer Solutions Platform Fulvio Giaccari MCSD.NET / MCT Responsabile Usergroup ShareOffice Blog:
Project Review Novembrer 17th, Project Review Agenda: Project goals User stories – use cases – scenarios Project plan summary Status as of November.
Project Review byNight byNight December 21th, 2011.
Project Review Novembrer 17th, Project Review Agenda: Project goals User stories – use cases – scenarios Project plan summary Status as of November.
Project Review byNight byNight December 5th, 2011.
RPC units for BOS chambers - Sector 2 BBBBBBBBBBBDBBBBBBBBBBBD Z= 0 Side ASide C PAD Splitter Wired_or hole Version RO-MDT HV-MDT Chambers are.
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Project Work Realizzato da: Vittorio Randazzo Angelo Ligorio Giuseppe ContinoGianluca Bellu.
TCP/IP.
Negli ultimi anni, la richiesta di poter controllare in remoto la strumentazione e cresciuta rapidamente I miglioramenti nell’hardware e nel software insieme.
Collection & Generics in Java
Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 4 - Protocolli del Web Ernesto Damiani Lezione 3 – Esempi HTTP.
Distributed System ( )7 TCP/IP four-layer model.
Workshop sulle problematiche di calcolo e reti nell'INFN
Come comunicano i processi ?
Greco Rodolfo 2002 Application Trasport Network Phisic HTTP IP UDPTCP DNS SNAP MAC ARP L’utente fa una richiesta di pagina.
1 Luigi Vetrano Esercitazione di Reti di Calcolatori A.A
Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
Prof. G.Mastronardi1 IL PROBLEMA DEL “DENIAL of SERVICE” Politecnico di Bari – Sicurezza dei Sistemi Informatici -
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Slide #: 1/232 Internet - Architettura, principali protocolli e linee evolutive Nicola Blefari Melazzi Copyright © 2005 – The McGraw-Hill Companies srl.
Giordano Scuderi Unico SRL - Messina,
Firewalling.
Transcript della presentazione:

IPTABLES Un Firewall Linux Netgroup 23 aprile 2002 Claudio Soprano - LNF Computing Service

23 aprile 2002LNF - Computing Service2 Cenno su NETFILTER netfilter è un framework per il manipolamento dei pacchetti, esterno alla normale interfaccia socket Berkeley. Consta dei seguenti punti: 1.ogni protocollo definisce degli "hook" (IPv4 ne definisce 5) i quali sono punti ben definiti in una traversata dei pacchetti nel protocol stack. In ciascuno di questi punti, il protocollo richiamerà il framework netfilter fornendo il pacchetto e il numero dell'hook. 2.porzioni del kernel possono registrarsi per "ascoltare", per ogni protocollo, differenti hook. Perciò quando un pacchetto è passato al framework netfilter, esso controlla se qualcuno si è registrato per quel determinato protocollo e hook; se sì, a ciascuno di essi è data, in ordine, una chance per esaminare (ed eventualmente alterare) il pacchetto, per scartarlo, per lasciarlo proseguire, o per chiedere a netfilter di accodarlo per lo userspace (spazio utente).

23 aprile 2002LNF - Computing Service3 Cenno su NETFILTER 3.i pacchetti che sono stati accodati sono sistemati per essere inviati allo userspace; questi pacchetti sono gestiti in modo asincrono. 4.La parte finale consiste di splendidi commenti sul codice e di una ottima documentazione Pacchetto che attraversa il sistema netfilter Netfilter Iptables / NAT

23 aprile 2002LNF - Computing Service4 Cenno su NETFILTER –In aggiunta a questo framework grezzo sono stati realizzati vari moduli che forniscono funzionalità simili ai kernel precedenti (pre- netfilter), in particolare un sistema NAT e uno di filtraggio dei pacchetti (iptables) entrambi estendibili.

23 aprile 2002LNF - Computing Service5 IPTABLES Iptables e linterfaccia utente per limpostazione di filtri eseguiti da netfilter a livello di Kernel (disponibile in tutte le versioni di Linux) E levoluzione di ipchains, entrambi sviluppati da Rusty Russell Attualmente la versione disponibile e la 1.2.6a da implementare sulla versione Kernel >= 2.4.x (raccomandata ) In grado di effettuare filtering su protocolli IPv4, IPv6, Decnet, etc.

23 aprile 2002LNF - Computing Service6 Tipologie di filtri Controlla e verifica 3 tipi diversi di flussi attraverso la definizione di altrettante tabelle o chains: –Input –Output –Forward Oltre alle 3 tabelle citate se ne possono creare altre personalizzate per scopi specifici E in grado di effettuare i LOG

23 aprile 2002LNF - Computing Service7 Tipologie di filtri All interno di ciascuna tabella effettua il controllo su: –Input e Output Interface –Source MAC Address –Source e destination IP Address –Invalid Packets (CRC error, frammenti, etc) –Protocol (IP, TCP, UDP, ICMP, etc.) –Source e destination port (TCP e UDP) –Flag TCP (SYN, FIN, ACK, RST, URG, PSH, ALL, NONE) –Rate limit –Etc.

23 aprile 2002LNF - Computing Service8 Politiche applicabili Per ogni pacchetto analizzato iptables e in grado di applicare le seguenti politiche: –ACCEPT (accetta il pacchetto) –DROP e REJECT (scarta il pacchetto) –QUEUE (passa il pacchetto allo userspace) –RETURN (esce dalla access list della attuale tabella e passa il controllo alla successiva tabella) La sintassi e di tipo command line per la costruzione di ACL sequenziali (per ciascun pacchetto lesecuzione termina al primo match).

23 aprile 2002LNF - Computing Service9 Implementazione ai LNF Ai LNF iptables e stato utilizzato sulle macchine Linux RedHat 7.2 gestite dal Servizio di Calcolo Queste sono quasi tutte con Kernel v La versione di Iptables installata e la v di cui esiste il kit rpm Iptables viene usato per proteggere i client intesi come end nodes (ne per il forwarding, ne per il NAT) Ovvero viene effettuato il controllo solo sulla tabella di INPUT e su una appositamente creata (SYN Table)

23 aprile 2002LNF - Computing Service10 Iptables.acl (1) #!/bin/sh # # FIREWALL SETTINGS FOR LINUX PC IN LNF # # Flush and Reset all filters # iptables -F -t filter iptables -X # # Initialize the INPUT, OUTPUT, FORWARD tables, all FORWARD packets are dropped iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # # Build and Flush a new table for SYN packets for better filtering # iptables -N SYN iptables -F SYN

23 aprile 2002LNF - Computing Service11 Iptables.acl (2) # # Accept all from loopback # iptables -A INPUT -i lo -j ACCEPT # # FILTERS Global # Put here all filters u want to DROP always # # Drop all invalid packets # iptables -A INPUT -i eth0 -m state --state INVALID -j LOG --log-prefix "INVALID PACKETS: " iptables -A INPUT -i eth0 -m state --state INVALID -j DROP # Drop all fragments of packets # iptables -A INPUT -i eth0 -f -j LOG --log-prefix "FRAGMENTS PACKETS: " iptables -A INPUT -i eth0 -f -j DROP # # Drop all packets coming from suspicious nets (spoofing) iptables -A INPUT -i eth0 -s /8 -j DROP iptables -A INPUT -i eth0 -s 224.0/8 -j DROP iptables -A INPUT -i eth0 -s /16 -j DROP iptables -A INPUT -i eth0 -s /8 -j DROP

23 aprile 2002LNF - Computing Service12 Iptables.acl (3) # We have these private networks on our LAN so they are disabled # # iptables -A INPUT -i eth0 -s /16 -j LOG --log-prefix SPOOFING # iptables -A INPUT -i eth0 -s /16 -j DROP # # Reject all packets from outside claiming to be the loopback (quence source attack) # iptables -A INPUT -i eth0 -d /8 -j DROP # Reject all NEW connections not beginning with a SYN packet # iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j REJECT # FILTERS FOR ICMP protocol # # Accept every rate pings from internal LANs (Network xxx.xxx.xxx.0/21) and 2/s pings for external WANs and Drop all the rest # iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -s xxx.xxx.xxx.0/21 -j ACCEPT iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -m limit --limit 2/s -s ! xxx.xxx.xxx.0/21 -j ACCEPT # iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j DROP (redundant) # # END ICMP

23 aprile 2002LNF - Computing Service13 Iptables.acl (4) # FILTERS # Accept all tcp connections ESTABLISHED # iptables -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT # Accept all udp connections if ESTABLISHED # iptables -A INPUT -i eth0 -p udp -m state --state ESTABLISHED -j ACCEPT # Accept all new tcp connections and send them to the SYN table to filter them # iptables -A INPUT -i eth0 -p tcp --syn -j SYN # Feautures of the SYN table: # Accept all new connections to port 22 only from internal LAN with the limit above 3/s # Accept all new connections to port 80 from all and accept all new connections to port 3128 from internal LAN # iptables -A SYN -p tcp --destination-port 80 -j ACCEPT iptables -A SYN -p tcp --destination-port s xxx.xxx.xxx.0/21 -j ACCEPT iptables -A SYN -p tcp --destination-port 22 -s xxx.xxx.xxx.0/21 -m limit --limit 3/s --limit-burst 2 -j ACCEPT # and then reject all the rest # iptables -A SYN -j REJECT

23 aprile 2002LNF - Computing Service14 Iptables.acl (5) # Reject all on tcp # iptables -A INPUT -i eth0 -p tcp -j REJECT # Accept all udp packets to port 7001 (afs3-callback) # iptables -A INPUT -i eth0 -p udp --destination-port j ACCEPT # Reject all udp packets # iptables -A INPUT -i eth0 -p udp -j REJECT # # END FILTERS # Save all the configuration to the file /etc/sysconfig/iptables # iptables-save -c > /etc/sysconfig/iptables # Restart the iptable service # /etc/rc.d/init.d/iptables stop && /etc/rc.d/init.d/iptables start

23 aprile 2002LNF - Computing Service15 Domande ? Riferimenti: –

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.