Frank Nussbächer. IP-Tables. Was sind IP-Tables? Unterschied zwischen IP-Tables und IP-Chains

Transkript

1 IP-Tables Was sind IP-Tables? Unterschied zwischen IP-Tables und IP-Chains Auf den ersten Blick scheinen ipchains und IP-Tables fast ähnlich. Beide Methoden verwenden für die Paketfilterung Regelketten, die im Linux-Kernel arbeiten, nicht nur um zu entscheiden, welche Pakete hinein- oder hinausgelassen werden sollen, sondern auch wie mit diesen Paketen, die bestimmten Regeln entsprechen, verfahren werden soll. Trotzdem bietet IP-Tables eine verbesserte Weise der Paketfilterung, da sie dem Administrator mehr Kontrolle gibt, ohne dass das gesamte System zu kompliziert wird. Mit IP-Tables wird jedes gefilterte Paket nur durch Anwendung der Regeln einer Kette anstatt mehrfacher Ketten verarbeitet. In anderen Worten, ein FORWARD-Paket, das ein System betritt würde mit ipchains den INPUT-, FORWARD- und OUTPUT-Ketten unterliegen, um sein Ziel zu erreichen. Trotzdem sendet IP-Tables nur Pakete an die INPUT-Kette, wenn diese für das lokale System bestimmt sind und sendet diese nur an die OUTPUT-Kette, wenn das lokale System die Pakete erzeugt hat. Aus diesem Grund müssen Sie sicherstellen, dass sich die Regel für das Abfangen eines bestimmten Pakets in der richtigen Kette befindet, die das Paket auch wirklich sieht. Der Vorteil ist, dass Sie nun fingerspitzenfeine Kontrolle über die Ausrichtung jedes Pakets haben. Wenn Sie versuchen, den Zugriff auf eine bestimmte Website zu blockieren, ist es nun unmöglich, den Zugriff von Clients zu blockieren, die auf Host-Rechnern laufen, die Ihren Host als Gateway verwenden. Eine den Zugriff verweigernde OUTPUT-Regel vermeidet nicht mehr den Zugriff für Host-Rechner, die Ihren Host-Rechner als Gateway verwenden. DENY-Ziel wurde auf DROP geändert. In ipchains können Pakete, die einer Regeln in einer Kette entsprachen, an das DENY-Ziel weitergeleitet werden, welches unbemerkt das Paket ausgelassen hat. Dieses Ziel muss in IP- Tables auf DROP geändert werden, damit dieselbe Wirkung erzielt wird. Die Reihenfolge ist wichtig, wenn Optionen in eine Kettenregel einfügt werden. Bisher war in ipchains die Reihenfolge der Optionen bei der Eingabe einer Regel nicht so wichtig. Der IP-Tables-Befehl ist ein wenig empfindlicher dafür, wo Optionen eingefügt werden. Sie müssen nun zum Beispiel den Ursprungsoder den Ziel-Port nach dem in einer Kettenregel zu verwendenen Protokoll (ICMP, TCP oder UDP) spezifizieren. Wenn Sie Netzwerkschnittstellen spezifizieren, die mit einer bestimmten Regel verwendet werden sollen, müssen Sie nur Eingangsschnittstellen (-i-option) mit INPUT- oder FORWARD-Ketten und Ausgangsschnittstellen (-o-option) mit FORWARD- oder OUTPUT-Ketten verwenden. Dies ist notwendig, da OUTPUT-Ketten nicht mehr für Eingangsschnittstellen verwendet weren und INPUT-Ketten für Pakete, die durch eine Schnittstelle treten, nicht sichtbar sind.

2 Dies ist auf keinen Fall eine vollständige Liste der %Auml;derungen, da IP-Tables grundsätzlich ein neu geschriebener Netzwerkfilter ist, der mit dem Kernel verwendet wird. Genauere Informationen finden Sie in Linux 2.4 Packet Filtering HOWTO und in den in Abschnitt namens Zusätzliche Ressourcen angegebenen Quellen. Struktur und Beispiele erklären)) ((begriffe wie post/prerouting, nat, masquerade Linux wird mit erweiterten Tools für die Paket- Filterung geliefert, den Prozess zur Kontrolle von Netzwerkpaketen, mit Zugang zu, durch und aus dem Netzwerkstack des Kernels. Die Kernelversionen vor 2.4 konnten Pakete mit ipchains manipulieren und verwendeten Regellisten für jedes Paket in jeder Phase des Filterungsprozesses. Die Einführung des 2.4-Kernels hat IP-Tables mit sich gebracht (auch netfilter genannt), die den ipchains ähnlich sind, deren Wirkungsbereich und Kontrollmöglichkeiten bei der Filterung aber erweitern. In diesem Kapitel werden die Grundlagen der Paketfilterung beschrieben, wobei die Unterschiede zwischen ipchains und IP-Tables definiert und die verschiedenen, mit den IP-Tables-Befehlen zur Verfügung stehenden Optionen erklärt. Es wird außerdem gezeigt, wie Filterungsregeln zwischen den Bootvorgängen des Systems erhalten bleiben. Wenn Sie Anweisungen für das Erstellen von IP-Tables-Regeln oder das Einrichten einer Firewall auf Grundlage dieser Regeln benötigen, finden Sie weitere Informationen unter Abschnitt namens Zusätzliche Informationsquellen. Achtung Der standardmäßige Firewall-Mechanismus im 2.4-Kernel ist zwar IP-Tables, IP- Tables kann aber nicht benutzt werden, wenn die ipchains schon laufen. Wenn also beim Booten ipchains vorhanden sind, gibt der Kernel eine Fehlermeldung und kann IP-Tables nicht starten. Diese Bootfehler-Meldungen haben keinerlei Auswirkung auf das Funktionieren der ipchains. Paket-Filterung Die Daten werden über ein Netzwerk als Pakete übertragen. Ein Netzwerkpaket ist eine Sammlung von Daten einer bestimmten Größe und Format. Der sendende Computer teilt eine Datei in Pakete auf, die unter Verwendung bestimmter Netzwerkprotokolle über das Netzwerk gesendet werden. Jedes Paket enthält einen kleinen Teil der Dateidaten. Der andere Computer empfängt die Pakete und fügt sie wieder zu einer Datei zusammen. Jedes Paket enthält Informationen, mit deren Hilfe es sich durch das Netzwerk zu seinem Bestimmungsort bewegt. Das Paket kann den Computern, die es passiert als auch dem Computer, der sein Ziel ist, unter anderem mitteilen, woher es kam und wohin es geht und welche Paketart es ist. Die meisten Pakete sind dazu bestimmt, Daten zu transportieren, eine Protokolle verwenden Pakete jedoch auf ganz besondere Weise. Das Transmission Control Protocol (TCP) verwendet z.b. ein

3 SYN-Paket, das keine Daten enthält, um eine Kommunikation zwischen zwei Systemen zu starten. Der Linux-Kernel enthält die integrierte Fähigkeit, Pakete zu filtern und ermöglicht einigen von ihnen den Zugang zum System, während anderen dieser verwehrt wird. Der Netzfilter des 2.4-Kernels enthält integrierte Tabellen oder Regellisten. Dabei handelt es sich um folgende: filter Die Standardtabelle zum Verwalten von Netzwerkpaketen. nat Mithilfe dieser Tabelle werden Pakete geändert, die eine neue Verbindung herstellen. mangle Diese Tabelle wird für spezielle Arten der Paketänderung verwendet. Alle diese Tabellen verfügen über eine Gruppe integrierter Chains (Ketten), die den Aktionen entsprechen, die vom Netzfilter für das Paket durchgeführt werden. Die für die filter-tabelle integrierten Chains sind folgende: INPUT Diese Chain gilt für über eine Netzwerkschnittstelle empfangene Pakete. OUTPUT Diese Chain gilt für Pakete, die über dieselbe Netzwerkschnittstelle versendet werden, die die Pakete empfing. FORWARD Diese Chain gilt für Pakete, die auf einer Netzwerkschnittstelle empfangen, aber über eine andere versendet werden. Die für die nat-tabelle integrierten Chains sind folgende: PREROUTING Diese Chain ändert über eine Netzwerkschnittstelle empfangene Pakete beim Empfang. OUTPUT Diese Chain ändert lokal generierte Pakete, ehe sie über eine Netzwerkschnittstelle geleitet werden. POSTROUTING Diese Chain ändert Pakete vor dem Senden über eine Netzwerkschnittstelle. Die für die mangle-tabelle integrierten Chains sind folgende: PREROUTING Diese Chain ändert über eine Netzwerkschnittstelle empfangene Pakete vor dem Routen. OUTPUT Diese Chain ändert lokal generierte Pakete, ehe sie über eine Netzwerkschnittstelle geleitet werden. Jedes von einem Linux-System empfangene oder gesendete Paket gehört zu mindestens einer Tabelle. Ein Paket kann in allen Regellisten auf viele Regeln hin überprüft werden, bevor es am Ende der Chain austritt. Struktur und Zweck dieser Regeln können unterschiedlich sein, sie versuchen jedoch normalerweise ein Paket, das von einer oder an eine IP-Adresse bzw. mehrere IP-Adressen gesendet wurde, zu identifizieren, wenn dieses ein bestimmtes Protokoll und einen bestimmten Netzwerkdienst benutzt.

4 Unabhängig von ihrem Ziel sind Pakete, sobald sie einer bestimmten Regel einer Tabelle entsprechen, für ein bestimmtes Ziel bzw. für eine auf sie anzuwendende Aktion bestimmt. Wenn in der Regel für das Ziel eines entsprechenden Pakets ein ACCEPT-Ziel (AKZEPTIEREN) spezifiziert ist, überspringt das Paket die restlichen Regelkontrollen und darf somit seinen Weg in Zielrichtung fortsetzen. Wenn aber in einer Regel für das Ziel DROP (AUSLASSEN) spezifiziert ist, wird das Paket "ausgelassen", d.h. das Paket erhält keinen Zugriff auf das System, und es wird nichts an den Host-Rechner zurückgesendet, von dem das Paket stammt. Wenn in einer Regel für das Ziel REJECT (ABLEHNEN) speziziert ist, wird das Paket ausgelassen und als Fehlerpaket wieder zu seinem Ursprungsort zurückgeschickt. Jede Chain hat eine standardmäßige Policy für ACCEPT-, DROP-, REJECT-, oder QUEUE-Optionen für den Weg des Pakets über die verschiedenen Systeme und Rechner der Benutzer. Wenn das Paket keiner der Regeln in der Chain entspricht, wird auf dieses Paket die standardmäßige Policy angewandt. Der IP-Tables-Befehl ermöglicht Ihnen die Konfiguration dieser Regellisten und die Erstellung neuer Tabellen, die Sie für Ihre speziellen Bedingungen anwenden können. Wie startet man IP-Tables, service? Die Firewallregeln werden nur aktiviert, wenn der Befehl IP-Tables ausgeführt wird. Verwenden Sie folgenden Befehl, um den Dienst manuell zu starten: /sbin/service IP-Tables restart Führen Sie den folgenden Befehl aus, um sicherzustellen, dass der Dienst beim Booten des Systems gestartet wird: /sbin/chkconfig --level 345 IP-Tables on Sie können den ipchains-dienst nicht gleichzeitig mit dem Befehl IP-Tables ausführen. Um sicherzustellen, dass der ipchains-dienst deaktiviert ist, führen Sie folgenden Befehl aus: /sbin/chkconfig --level 345 ipchains off Das Services-Konfigurationstool kann zum Konfigurieren der Dienste IP-Tables und ipchains verwendet werden. Weitere Informationen finden Sie unter Abschnitt Firewalling mit IP-Tables ( wichtigsten commands ) Der Linux-Kernel enthält erweiterte Tools für die Paket-Filterung, den Prozeß für die Kontrolle von Netzwerkpaketen, die Zugang zu, durch und aus Ihrem System suchen. Die Kernelversionen vor 2.4 konnten Pakete mit ipchains manipulieren und

5 verwendeten Regellisten für jedes Paket in jeder Phase des Filterungsprozesses. Die Einführung des 2.4-Kernels hat IP-Tables mit sich gebracht, die den ipchains ähnlich sind, deren Wirkungsbereich und Kontrollmöglichkeiten bei der Filterung aber erweitern. In diesem Kapitel werden die Grundlagen der Paketfilterung beschrieben, wobei die Unterschiede zwischen ipchains und IP-Tables definiert und die verschiedenen, mit den IP-Tables-Befehlen zur Verfügung stehenden Optionen erklärt. Es wird außerdem gezeigt, wie Filterungsregeln zwischen den Bootvorgängen des Systems erhalten bleiben. Achtung! Der standardmäßige Firewall-Mechanismus im 2.4-Kernel ist zwar IP-Tables, IP- Tables kann aber nicht benutzt werden, wenn die ipchains schon laufen. Wenn also beim Booten ipchains vorhanden sind, gibt der Kernel eine Fehlermeldung und kann IP-Tables nicht starten. Diese Bootfehler-Meldungen haben keinerlei Auswirkung auf das Funktionieren der ipchains. Anleitung zur Erstellung von IP-Tables-Regeln oder zur Einrichtung einer auf diesen Regeln beruhenden Firewall finden Sie unter Abschnitt namens Zusätzliche Informationsquellen. Paket-Filterung Die Datenübermittlung innerhalb eines Systems geschieht mittels von Paketen, die jeweils eine Sammlung von Daten bestimmter Größe sind. Eine Datei, die über ein Netzwerk von einem Computer zum nächsten gesendet wird, kann aus vielen Paketen bestehen, wobei jedes Paket jeweils aus einem kleinen Teil der Dateidaten besteht. Der sendende Computer teilt die Datei in Pakete auf, die unter Verwendung bestimmter Netzwerkprotokolle über das Netzwerk gesendet werden. Der andere Computer empfängt die Pakete und fügt sie mit Hilfe der vom Protokoll festgelegten Methode wieder zu einer Datei zusammen. Jedes Paket enthält Informationen, mit deren Hilfe es sich durch das Netzwerk zu seinem Bestimmungsort bewegt. Das Paket kann den Computern, die es passiert als auch dem Computer, der sein Ziel ist, unter anderem mitteilen, woher es kam und wohin es geht und welche Paketart es ist. Die meisten Pakete sind dazu bestimmt, Daten zu transportieren, einige Protokolle verwenden Pakete jedoch auf ganz besondere Weise. Most packets are designed to carry data, although some protocols Das Transmission Control Protocol (TCP) verwendet z.b. ein SYN-Paket, das keine Daten enthält, um eine Kommunikation zwischen zwei Systemen zu starten. Der Linux-Kernel enthält die integrierte Fähigkeit, Pakete zu filtern und ermöglicht einigen von ihnen den Zugang zum System, während anderen dieser verwehrt wird. Der 2.4-Kernel enthält drei Kettentabellen, die auch Regellisten genannt werden. Standardmäßig enthält diese Tabelle drei Sätze von Regellisten: EINGABE-, AUSGABE-, und WEITERLEITUNG. Jedes Paket, daß zu oder von einem Rechner verschickt wird, gehört zu einer dieser Regellisten. Wenn ein Paket über eine Netzwerkschnittstelle in das System eindringt, entscheidet der Kernel, ob dieses für

6 das lokale System (EINGABE) oder ein anderes Ziel (WEITERLEITEN) bestimmt ist, um die entsprechene Regelliste auf dieses Paket anzuwenden. Auf die gleiche Art prüft der Kernel ein Paket mit der AUSGABE-Liste, wenn wenn es aus dem System stammt und dieses verlassen will. Jedes Paket kann auf viele Regeln hin überprüft werden, bevor es am Ende der Kette austritt. Struktur und Zweck dieser Regeln können unterschiedlich sein, sie versuchen jedoch normalerweise ein Paket, das von einer oder an eine IP-Adresse bzw. mehrere IP-Adressen gesendet wurde, zu identifizieren, wenn dieses ein bestimmtes Protokoll und einen bestimmten Netzwerkdienst benutzt. Unabhängig von ihrem Ziel sind Pakete, sobald sie einer bestimmten Regel einer Regelliste entsprechen, für ein bestimmtes Ziel bestimmt bzw. für eine auf sie anzuwendende Aktion bestimmt. Wenn in der Regel für das Ziel eines entsprechenden Pakets ein ACCEPT-Ziel (AKZEPTIEREN) spezifiziert ist, überspringt das Paket die restlichen Regelkontrollen und darf somit seinen Weg in Zielrichtung fortsetzen. Wenn aber in einer Regel fr das Ziel DROP (AUSLASSEN) spezifiziert ist, wird das Paket "ausgelassen", d.h. das Paket erhält keinen Zugriff auf das System und es wird nichts an den Host-Rechner zurückgesendet, von dem das Paket stammt. Wenn in einer Regel für das Ziel REJECT (ABLEHNEN) speziziert ist, wird das Paket ausgelassen und als Fehlerpaket wieder zu seinem Ursprungsort zurückgeschickt. Jede Kette hat eine standardmäßige Politik für ACCEPT-, DROP-, REJECT-, oder QUEUE-Optionen für den Weg des Pakets über die verschiedenen Systeme und Rechner der Benutzer. Wenn das Paket keiner der Regeln in der Kette entspricht, wird auf dieses Paket die standardmäßige Politik angewandt. Der IP-Tables-Befehl ermöglicht Ihnen die Konfiguration diser Regellisten und die Erstellung neuer Tabellen, die Sie für Ihre speziellen Bedingungen anwenden können. IP-Tables speichern Regeln, die mit dem IP-Tables-Befehl erstellt wurden, werden nur im RAM-Speicher gespeichert. Wenn das System neu gestartet wird gehen diese verloren. Wenn Sie wollen, dass bestimmte Regeln bei jedem Booten des Systems wirksam sind, müssen Sie diese in der Datei in /etc/sysconfig/ip-tables speichern. Dazu müssen Sie die Tabellen, Ketten und Regeln so anordnen, wie sie beim nächsten System-Boot oder erneutem Starten von IP-Tables sein sollen, und den Befehl /sbin/service IP-Tables save als Root-Benutzer eingeben. Dadurch wird das /sbin/ip-tables-save-programm vom IP-Tables-init-Skript ausgeführt und die aktuelle IP-Tables-Konfiguration in die /etc/sysconfig/ip-tables-datei geschrieben. Auf diese Datei sollte nur Root schreibgeschützten Zugriff haben, so dass Ihre genauen Paketfilterungsregeln nicht für normale Benutzer sichtbar sind. Beim nächsten Booten des Systems wendet das IP-Tables-init-Skript die in /etc/sysconfig/ip-tables gespeicherten Regeln erneut durch Verwendung des Befehls /sbin/ip-tables-restore an.