ដំឡើង Firewall ដោយប្រើ Iptables

វិធី Configuration Iptables ធ្វើជា Firewall សំរាប់ CentOS / Redhat តើខ្ញុំអាច ធ្វើការ configure firewall នៅលើ host-based ឬហៅថា Netfilter (iptables) សំរាប់ប្រព្ធ័ CentOS/RHEL / Fedora / Redhat Enterprise Linuxដោយវិធីណា ?
Netfilter គឺជា firewall នៅលើ host-based សំរាប់ប្រពន្ធ័ដំណើរការ Linux ។ វារួមមានគ្រប់ជំនាន់របស់ Linux ហើយជាធម្មតា វាបានដំណើរការ ។​ Firewall នេះត្រូវបាន ត្រួតពិនិត្យ ដោយកម្មវិធីមួយ ឈ្មោះថា Iptables ។ ចំពោះ Netfilter filtering បានធ្វើការជំនួសកន្លែង ជាមួយ kernel level មុនពេល ដែលកម្មវិធី ដំណើរការ ជាមួយ data ពី network packet ។
Iptables Config File
ជាធម្មតា files config សំរាប់ RHEL / CentOS / FedoraLinux មាន ៖
/etc/sysconfig/iptables – គឺជា system scripts ដែលអាចធ្វើការ activate firewall ដោយ reading ពី files ទាំងនេះ ។
ធ្វើការបង្ហាញពីច្បាប់ (Rules)
ប្រើប្រាស់ command ដូចតទៅនេះ ៖
iptables –line-numbers -n –L
លទ្ធផលជាឧទាហរណ៍ ៖
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all — 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all — 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all — 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp — 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT udp — 0.0.0.0/0 224.0.0.251 udp dpt:5353
4 ACCEPT udp — 0.0.0.0/0 0.0.0.0/0 udp dpt:53
5 ACCEPT all — 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
6 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
7 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
8 REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
បើកដំណើរការFirewall
ប្រើប្រាស់command ពីរដូចខាងក្រោមនេះ ដើម្បី turn on firewall ៖
chkconfig iptables on
service iptables start
# restart the firewall
service iptables restart
# stop the firewall
service iptables stop
ស្វែងយល់ពី firewall
វាមាន ៤ ចំណង (chains) គឺ ៖
១. INPUT – ជាចំណងដំបូង ដែលប្រើសំរាប់ធ្វើជា អាសយ័ដ្ឋានកញ្ចប់ របស់ system ។ ប្រើចំណងនេះ ដើម្បីបើកឬក៍បិទ incoming ports ដូចជា 80, 25, និង 110 ជាដើម និង ip addresses / subnet ដូចជា 202.54.1.20/29 ។
២. OUTPUT – ក៍ជាចំណងដំបូងដែរ ដែលប្រើ នូវពេល packets បានកើតចេញពី system ។ ប្រើចំណងនេះ ដើម្បីបើកឬបិទ ចំពោះ outgoing ports និង ip addresses / subnets ។
៣. FORWARD – វាក៍ជាចំណងដំបូងដែរ ដែលប្រើនូវពេល packets ត្រូវបានបញ្ជូនឆ្លងកាត់ពី interface ផ្សេងទៀត ។ ជាធម្មតាពេល អ្នក setup linux ធ្វើជា router មួយ ។ ជាឧទាហរណ៍ eth0 ធ្វើការភ្ជាប់ទៅកាន់ ADSL/Cable modem និង eth1 ធ្វើការភ្ជាប់ទៅកាន់ local LAN ។ ប្រើ FORWARD ដើម្បីធ្វើការ send និង receive traffic ពី LAN ទៅកាន់ internet ។
៤. RH-Firewall-1-INPUT – នេះគឺជាច្បាប់ដែលអ្នកប្រើប្រាស់បានកំណត់ ។​ វាប្រើជាមួយចំណង INPUT , OUTPUT និង FORWARD ។
Packet ត្រូវដូចគ្នានិង rules
១. រាល់ packet start ជាមួយ rule ដំបង នៅក្នុងចំណង (chain)។
២. Packet មួយអាចដំណើរការបាន ទាល់តែវាដូចគ្នានៅក្នុងច្បាប់នោះ ។
៣. បើសិន ជាវាបានរកឃើញដូចគ្នា នោះការត្រួតពិនិត្យ វានិង មានលក្ខណៈពិសេសដូចជា REJECT, ACCEPT, និង DROP ។
អត្ថន័យនៃពាក្យ REJECT, ACCEPT, និង DROP
១. ពាក្យ ACCEPT មានន័យថា អនុញ្ញាតអោយ packet ដំណើរការ ។
២. ពាក្យ REJECT មានន័យថា ទប់ស្កាត់ packet និង បញ្ជូន error massage ទៅកាន់ remote host ។
៣. ពាក្យ DROP មានន័យថា ទប់ស្កាត់ packet និង មិនបញ្ជូន error massage ទៅកាន់ remote host ឬក៍ sending host ។
/etc/sysconfig/iptables
ធ្វើការ edit file /etc/sysconfig/iptables និងប្រើ enter ៖
# vi /etc/sysconfig/iptables
អ្នកនិងទទួលបានលទ្ធផលដូខាងក្រោមនេះ ៖
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT – [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p udp –dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp –dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited
COMMIT
ទប់ស្កាត់រាល់ Traffic ទាំងអស់
ស្វែងរកបន្ទាត់ ៖
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
ធ្វើការផ្លាស់ប្ដូរនួវច្បាប់ពី ACCEPT ទៅកាន់ DROP សំរាប់ INPUT និង FORWARD នៅក្នុងចំណង ៖
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
Log និងdrop Spoofing Source Addresses
បន្ថែមបន្ទាត់ទាំងអស់នេះ មុនពេល បន្ទាត់ចុងក្រោយ COMMIT ៖
-A INPUT -i eth0 -s 10.0.0.0/8 -j LOG –log-prefix “IP DROP SPOOF ”
-A INPUT -i eth0 -s 172.16.0.0/12 -j LOG –log-prefix “IP DROP SPOOF ”
-A INPUT -i eth0 -s 192.168.0.0/16 -j LOG –log-prefix “IP DROP SPOOF ”
-A INPUT -i eth0 -s 224.0.0.0/4 -j LOG –log-prefix “IP DROP MULTICAST ”
-A INPUT -i eth0 -s 240.0.0.0/5 -j LOG –log-prefix “IP DROP SPOOF ”
-A INPUT -i eth0 -d 127.0.0.0/8 -j LOG –log-prefix “IP DROP LOOPBACK ”
-A INPUT -i eth0 -s 169.254.0.0/16 -j LOG –log-prefix “IP DROP MULTICAST ”
-A INPUT -i eth0 -s 0.0.0.0/8 -j LOG –log-prefix “IP DROP ”
-A INPUT -i eth0 -s 240.0.0.0/4 -j LOG –log-prefix “IP DROP ”
-A INPUT -i eth0 -s 255.255.255.255/32 -j LOG –log-prefix “IP DROP ”
-A INPUT -i eth0 -s 168.254.0.0/16 -j LOG –log-prefix “IP DROP ”
-A INPUT -i eth0 -s 248.0.0.0/5 -j LOG –log-prefix “IP DROP ”
Log និង Drop រាល់ Traffic
ស្វែងរកបន្ទាត់ ៖
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited
COMMIT
ធ្វើការបន្ថែមដូចខាងក្រោមនេះ ៖
-A RH-Firewall-1-INPUT -j LOG
-A RH-Firewall-1-INPUT -j DROP
COMMIT
បើក portដើម្បីបើក port 80 (Http server) គឺត្រូវបន្ថែមមុនបន្ទាត់ COMMIT ៖
-A RH-Firewall-1-INPUT -m tcp -p tcp –dport 80 -j ACCEPT
ដើម្បីបើក port 53 (DNS server) គឺត្រូវបន្ថែមមុនបន្ទាត់ COMMIT ៖
-A RH-Firewall-1-INPUT -m tcp -p tcp –dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p tcp –dport 53 -j ACCEPT
ដើម្បីបើក port 443 (Https server) គឺត្រូវបន្ថែមមុនបន្ទាត់ COMMIT ៖
-A RH-Firewall-1-INPUT -m tcp -p tcp –dport 443 -j ACCEPT
ដើម្បីបើក port 25 (smtp server) គឺត្រូវបន្ថែមមុនបន្ទាត់ COMMIT ៖
-A RH-Firewall-1-INPUT -m tcp -p tcp –dport 25 -j ACCEPT
អ​នុញ្ញាតត្រឹមតែ SSH traffic ពី 192.168.0.1/24 ៖
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state –state NEW -p tcp –dport 22 -j ACCEPT
Enable Printing Access សំរាប់ 192.168.1.0/24
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -p udp -m udp –dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -p tcp -m tcp –dport 631 -j ACCEPT
ផ្ដល់សិទ្ធិ អោយ NTP client access ទៅកាន់ Server
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state –state NEW -p udp –dport 123 -j ACCEPT
បើក FTP port 21 (ftp)
-A RH-Firewall-1-INPUT -m state –state NEW -p tcp –dport 21 -j ACCEPT
ធ្វើការរក្សាទុកនិងបិទ file រួចហើយធ្វើការ edit /etc/sysconfig/iptables-config និងប្រើ enter ៖
# vi /etc/sysconfig/iptables-config
ត្រួតពិនិត្យ ftp module គឺ Load ជាមួយ space-separated list នៃ modules ៖
IPTABLES_MODULES=”ip_conntrack_ftp”
ដើម្បី restart firewall ប្រើ command ដូចតទៅនេះ ៖
# service iptables restart
# iptables -vnL –line-numbers
ធ្វើការ edit /etc/sysctl.conf សំរាប់ DoS និង Synprotection
Edit /etc/sysctl.conf ដើម្បីការពាររាល់ពេល update ៖
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
#net.ipv4.icmp_ignore_bogus_error_messages = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
ជំរើសនៃការ configuration
អ្នកអាច skip /etc/sysconfig/iptables ដោយមិនប្រើ និងបង្កើត shell script ដូចតទៅនេះ ៖
#!/bin/bash
# A sample firewall shell script
IPT=”/sbin/iptables”
SPAMLIST=”blockedip”
SPAMDROPMSG=”BLOCKED IP DROP”
SYSCTL=”/sbin/sysctl”
BLOCKEDIPS=”/root/scripts/blocked.ips.txt”
# Stop certain attacks
echo“Setting sysctl IPv4 settings…”
$SYSCTL net.ipv4.ip_forward=0
$SYSCTL net.ipv4.conf.all.send_redirects=0
$SYSCTL net.ipv4.conf.default.send_redirects=0
$SYSCTL net.ipv4.conf.all.accept_source_route=0
$SYSCTL net.ipv4.conf.all.accept_redirects=0
$SYSCTL net.ipv4.conf.all.secure_redirects=0
$SYSCTL net.ipv4.conf.all.log_martians=1
$SYSCTL net.ipv4.conf.default.accept_source_route=0
$SYSCTL net.ipv4.conf.default.accept_redirects=0
$SYSCTL net.ipv4.conf.default.secure_redirects=0
$SYSCTL net.ipv4.icmp_echo_ignore_broadcasts=1
#$SYSCTL net.ipv4.icmp_ignore_bogus_error_messages=1
$SYSCTL net.ipv4.tcp_syncookies=1
$SYSCTL net.ipv4.conf.all.rp_filter=1
$SYSCTL net.ipv4.conf.default.rp_filter=1
$SYSCTL kernel.exec-shield=1
$SYSCTL kernel.randomize_va_space=1
echo“Starting IPv4 Firewall…”
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
# load modules
modprobe ip_conntrack
[ -f "$BLOCKEDIPS"] && BADIPS=$(egrep -v -E “^#|^$”"${BLOCKEDIPS}”)
# interface connected to the Internet
PUB_IF=”eth0″
#Unlimited traffic for loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# DROP all incomming traffic
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
if[ -f "${BLOCKEDIPS}"];
then
# create a new iptables list
$IPT -N $SPAMLIST
for ipblock in$BADIPS
do
$IPT -A $SPAMLIST -s $ipblock -j LOG –log-prefix “$SPAMDROPMSG ”
$IPT -A $SPAMLIST -s $ipblock -j DROP
done
$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST
fi
# Block sync
$IPT -A INPUT -i ${PUB_IF} -p tcp ! –syn -m state –state NEW -m limit –limit 5/m –limit-burst 7 -j LOG –log-level 4 –log-prefix “Drop Sync”
$IPT -A INPUT -i ${PUB_IF} -p tcp ! –syn -m state –state NEW -j DROP
# Block Fragments
$IPT -A INPUT -i ${PUB_IF} -f -m limit –limit 5/m –limit-burst 7 -j LOG –log-level 4 –log-prefix “Fragments Packets”
$IPT -A INPUT -i ${PUB_IF} -f -j DROP
# Block bad stuff
$IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL FIN,URG,PSH -j DROP
$IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL ALL -j DROP
$IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL NONE -m limit –limit 5/m –limit-burst 7 -j LOG –log-level 4 –log-prefix “NULL Packets”
$IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL NONE -j DROP # NULL packets
$IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags SYN,FIN SYN,FIN -m limit –limit 5/m –limit-burst 7 -j LOG –log-level 4 –log-prefix “XMAS Packets”
$IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP #XMAS
$IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags FIN,ACK FIN -m limit –limit 5/m –limit-burst 7 -j LOG –log-level 4 –log-prefix “Fin Packets Scan”
$IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags FIN,ACK FIN -j DROP # FIN packet scans
$IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
# Allow full outgoing connection but no incomming stuff
$IPT -A INPUT -i ${PUB_IF} -m state –state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -o ${PUB_IF} -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
# Allow ssh
$IPT -A INPUT -i ${PUB_IF} -p tcp –destination-port 22 -j ACCEPT
# Allow http / https (open port 80 / 443)
$IPT -A INPUT -i ${PUB_IF} -p tcp –destination-port 80 -j ACCEPT
#$IPT -A INPUT -o ${PUB_IF} -p tcp –destination-port 443 -j ACCEPT
# allow incomming ICMP ping pong stuff
$IPT -A INPUT -i ${PUB_IF} -p icmp –icmp-type8 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
#$IPT -A OUTPUT -o ${PUB_IF} -p icmp –icmp-type0 -m state –state ESTABLISHED,RELATED -j ACCEPT
# Allow port 53 tcp/udp (DNS Server)
$IPT -A INPUT -i ${PUB_IF} -p udp –dport 53 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
#$IPT -A OUTPUT -o ${PUB_IF} -p udp –sport 53 -m state –state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i ${PUB_IF} -p tcp –destination-port 53 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
#$IPT -A OUTPUT -o ${PUB_IF} -p tcp –sport 53 -m state –state ESTABLISHED,RELATED -j ACCEPT
# Open port 110(pop3) / 143
$IPT -A INPUT -i ${PUB_IF} -p tcp –destination-port 110 -j ACCEPT
$IPT -A INPUT -i ${PUB_IF} -p tcp –destination-port 143 -j ACCEPT
##### Add your rules below ######
#
#
##### END your rules ############
# Do not log smb/windows sharing packets – too much logging
$IPT -A INPUT -p tcp -i ${PUB_IF} –dport 137:139 -j REJECT
$IPT -A INPUT -p udp -i ${PUB_IF} –dport 137:139 -j REJECT
# log everything else and drop
$IPT -A INPUT -j LOG
$IPT -A FORWARD -j LOG
$IPT -A INPUT -j DROP
exit0