Ejemplos iptables. Planificación y gestión de redes de ordenadores. Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2012

Transcripción

1 Ejemplos iptables Planificación y gestión de redes de ordenadores Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2012 GSyC Ejemplos iptables 1

2 c 2011 Grupo de Sistemas y Comunicaciones. Algunos derechos reservados. Este trabajo se distribuye bajo la licencia Creative Commons Attribution Share-Alike disponible en GSyC Ejemplos iptables 2

3 Contenidos 1 Configuración de un router NAT 2 Clasificación de tráfico con iptables 3 Marcado DSCP de tráfico con iptables 4 Referencias GSyC Ejemplos iptables 3

4 Contenidos Configuración de un router NAT 1 Configuración de un router NAT 2 Clasificación de tráfico con iptables 3 Marcado DSCP de tráfico con iptables 4 Referencias GSyC Ejemplos iptables 4

5 Configuración de un router NAT El comportamiento de un router NAT se configura con iptables como una colección de reglas de: Reglas de traducción de direcciones y puertos: tabla nat Red privada /24 eth0 eth Internet GSyC Ejemplos iptables 5

6 Contenidos Configuración de un router NAT 1 Configuración de un router NAT Reglas de traducción de direcciones y puertos: tabla nat 2 Clasificación de tráfico con iptables 3 Marcado DSCP de tráfico con iptables 4 Referencias GSyC Ejemplos iptables 6

7 Ejemplos de configuración de filtrado con iptables (I) 1 Inicialización Borrar las reglas y reiniciar los contadores: iptables -t filter -F iptables -t filter -Z Definir las poĺıticas por defecto: Descartar cualquier cosa salvo paquetes de salida: iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT ACCEPT GSyC Ejemplos iptables 7

8 Ejemplos de configuración de filtrado con iptables (II) 2 Filtrado: permitir cualquier tráfico saliente de la red privada y el tráfico entrante de respuesta Permitir el reenvío de todos los paquetes que se reciben en un router a través de una interfaz (eth0) para que se envíen a través de otra interfaz (eth1) (por ejemplo, permitir tráfico saliente de una organización): iptables -t filter -A FORWARD -i eth0 -o eth1 -j ACCEPT Permitir el reenvío paquetes entrantes que pertenezcan a conexiones ya existentes: iptables -t filter -A FORWARD -i eth1 -o eth0 -m state\ --state RELATED,ESTABLISHED -j ACCEPT Paso%1% Red privada /24 eth0 eth Internet Paso%2% GSyC Ejemplos iptables 8

9 Ejemplos de configuración de filtrado con iptables (III) Guardar en un fichero de log el contenido de los paquetes que se reenvían Para entender el funcionamiento de cómo se aplican las reglas, vamos a almacenar en el fichero de log el contenido de los paquetes a los cuáles se les aplican las reglas que permiten el reenvío del tráfico saliente y las posibles respuestas a dicho tráfico. Regla&1& Regla&2& Regla&3& Regla&4& Mostrar la información de una configuración Se ha enviado un paquete ICMP echo request desde la red privada a Internet y se ha recibido respuesta. La información muestra la cantidad de paquetes a los que se les ha aplicado cada regla. Regla&1& Regla&2& Regla&3& Regla&4& GSyC Ejemplos iptables 9

10 Ejemplos de configuración de filtrado con iptables (IV) Mostrat el fichero de log Los mensajes generados por la configuración previa de LOG en iptables pueden consultarse al fina del fichero /var/log/messages. En este caso el LOG debe contener el paquete ICMP echo request y el ICMP echo reply: r1:~# less /var/log/messages Nov 4 19:07:00 r1 kernel: Regla 2 accept IN=eth0 OUT=eth1 SRC= DST= \ LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=32522 SEQ=1 Nov 4 19:07:00 r1 kernel: Regla 4 accept IN=eth1 OUT=eth0 SRC= DST= \ LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=20573 PROTO=ICMP TYPE=0 CODE=0 ID=32522 SEQ= Red privada /24 Paso%1:% inicio% eth0 Regla&4& Regla&2& eth Internet Paso%2:% Respuesta% GSyC Ejemplos iptables 10

11 Ejemplos de configuración de filtrado con iptables (V) Consultar el sistema de seguimiento ip conntrack El sistema de seguimiento no muestra ninguna información porque hay una anotación del paquete ICMP echo request pero en cuanto se recibe el paquete ICMP echo reply se borra la información de dicha conexión. Por tanto, el siguiente comando no muestra ninguna información. r1:~# watch -n 1 cat /proc/net/ip_conntrack Nótese que si la máquina a la que se dirige el paquete ICMP echo request no responde, el sistema de seguimiento tendría anotado durante un tiempo el paquete ICMP echo request: r1:~# watch -n 1 cat /proc/net/ip_conntrack icmp 1 28 src= dst= type=8 code=0 id=11023 packets=1 bytes=84 [UNREPLIED] src= dst= type=0 code=0 id=11023 packets=0 bytes=0 mark=0 use=2 GSyC Ejemplos iptables 11

12 Ejemplos de configuración de filtrado con iptables (VI) 3 Filtrado: permitir tráfico tcp entrante en la red privada Permitir el paso de segmentos TCP de establecimiento de conexión de entrada dirigidos a una dirección IP de la red interna ( ) y a un puerto (8888). iptables -t filter -A FORWARD -p tcp -d \ --dport syn -j ACCEPT Servidor(TCP( Puerto=8888( Red privada /24 eth0 Paso%2:% Respuesta% Paso%1:% Inicio% eth Internet GSyC Ejemplos iptables 12

13 Ejemplos de configuración de filtrado con iptables (VII) Si añadimos esta regla a las anteriores y configuramos iptables para almacenar los paquetes que cumplan la regla en el fichero de log: Regla&1& Regla&2& Regla&3& Regla&4& Regla&5& Regla&6& GSyC Ejemplos iptables 13

14 Ejemplos de configuración de filtrado con iptables (VIII) Se abre una conexión TCP desde una máquina externa (SYN, SYN+ACK, ACK). Al mostrar el fichero de log: r1:~# less /var/log/messages Nov 5 00:31:04 r1 kernel: Regla 6 accept IN=eth1 OUT=eth0 SRC= DST= LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=11521 DF PROTO=TCP SPT=58228 DPT=8888 WINDOW=5840 RES=0x00 SYN URGP=0 Nov 5 00:31:04 r1 kernel: Regla 2 accept IN=eth0 OUT=eth1 SRC= DST= LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=8888 DPT=58228 WINDOW=5792 RES=0x00 ACK SYN URGP=0 Nov 5 00:31:04 r1 kernel: Regla 4 accept IN=eth1 OUT=eth0 SRC= DST= LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=11522 DF PROTO=TCP SPT=58228 DPT=8888 WINDOW=2920 RES=0x00 ACK URGP=0 Servidor(TCP( Puerto=8888( Paso(1:(SYN( Regla(6( Paso(3:( (ACK(y(datos( Regla(4( Red privada /24 eth0 Paso(2:(( SYN+ACK( Regla(2( eth Internet GSyC Ejemplos iptables 14

15 Ejemplos de configuración de filtrado con iptables (IX) Al mostrar el sistema de seguimiento ip conntrack después del establecimiento de la conexión: r1:~# watch -n 1 cat /proc/net/ip_conntrack tcp ESTABLISHED src= dst= sport=58228 dport=8888 packets=2 bytes=112 src= dst= sport=8888 dport=58228 packets=1 bytes=60 [ASSURED] mark=0 use=1 GSyC Ejemplos iptables 15

16 Ejemplos de configuración de filtrado con iptables (X) 4 Filtrado: permitir tráfico UDP entrante en la red privada Permitir el paso de datagramas UDP de entrada dirigidos a una dirección IP de la red interna ( ) y a un puerto (8888). iptables -t filter -A FORWARD -p udp -d \ --dport j ACCEPT Servidor(UDP( Puerto=8888( Red privada /24 eth0 Paso%2:% Respuesta% Paso%1:% Inicio% eth Internet GSyC Ejemplos iptables 16

17 Ejemplos de configuración de filtrado con iptables (XI) Si añadimos esta regla a las anteriores y configuramos iptables para almacenar los paquetes que cumplan la regla en el fichero de log: Regla&1& Regla&2& Regla&3& Regla&4& Regla&5& Regla&6& Regla&7& Regla&8& GSyC Ejemplos iptables 17

18 Ejemplos de configuración de filtrado con iptables (XII) Se envía un paquete de datos UDP desde una máquina externa. Al mostrar el fichero de log: r1:~# less /var/log/messages Nov 5 00:32:04 r1 kernel: Regla accept 8 IN=eth1 OUT=eth0 SRC= DST= LEN=34 TOS=0x00 PREC=0x00 TTL=63 ID=2916 DF PROTO=UDP SPT=33666 DPT=8888 LEN=14 Servidor(UDP( Puerto=8888( Regla(8( Paso(1:(datos( desde(inicio( Red privada /24 eth0 eth Paso(2:(( respuesta( Regla(2( Internet Al mostrar el sistema de seguimiento ip conntrack: r1:~# watch -n 1 cat /proc/net/ip_conntrack udp src= dst= sport=58300 dport=8888 packets=1 bytes=34 [UNREPLIED] src= dst= sport=8888 dport=58300 packets=0 bytes=0 mark=0 use=1 GSyC Ejemplos iptables 18

19 Contenidos Configuración de un router NAT Reglas de traducción de direcciones y puertos: tabla nat 1 Configuración de un router NAT Reglas de traducción de direcciones y puertos: tabla nat 2 Clasificación de tráfico con iptables 3 Marcado DSCP de tráfico con iptables 4 Referencias GSyC Ejemplos iptables 19

20 Reglas de traducción de direcciones y puertos: tabla nat Ejemplos de traducción de direcciones IP y puertos con iptables (I) Inicialización Borrar las reglas y reiniciar los contadores: iptables -t nat -F iptables -t nat -Z Source NAT Modificar la dirección IP origen de los datagramas IP al salir de una red privada ( /24) a través de la interfaz de salida (eth1) de un router NAT. Todos los datagramas llevarán la dirección IP pública del router NAT ( ): iptables -t nat -A POSTROUTING -s /24 -o eth1 -j SNAT --to-source Aplicación) Cliente) Red privada /24 eth0 eth SNAT 1 DNAT 2 automático Internet GSyC Ejemplos iptables 20

21 Reglas de traducción de direcciones y puertos: tabla nat Ejemplos de traducción de direcciones IP y puertos con iptables (II) Destination NAT Modificar la dirección IP destino y puerto destino de los segmentos TCP al entrar dentro de una red privada ( /24). Los segmentos van dirigidos inicialmente a la dirección IP del router NAT ( ) y puerto 8080, recibiéndose en su interfaz (eth0). Antes de comprobar la tabla de encaminamiento (PREROUTING) se modificará su dirección IP destino a y puerto destino 80. iptables -t nat -A PREROUTING -p tcp -i eth0 -d dport j DNAT --to-destination :80 Servidor(TCP(( puerto(80( Red privada /24 eth0 eth DNAT 1 SNAT 2 automático Internet GSyC Ejemplos iptables 21

22 Reglas de traducción de direcciones y puertos: tabla nat Ejemplos de traducción de direcciones IP y puertos con iptables (III) Al consultar las reglas de todas las cadenas de la tabla nat: r1:~# iptables -t nat -L -v Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DNAT tcp -- eth0 any anywhere tcp dpt:http-alt to: :80 Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all -- any eth /24 anywhere to: Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination GSyC Ejemplos iptables 22

23 Clasificación de tráfico con iptables Contenidos 1 Configuración de un router NAT 2 Clasificación de tráfico con iptables 3 Marcado DSCP de tráfico con iptables 4 Referencias GSyC Ejemplos iptables 23

24 Clasificación de tráfico con iptables Ejemplos de clasificación de tráfico con iptables Algunos de las reglas de clasificación que se podían expresar utilizando las reglas filter de la herramienta Traffic Control, pueden reescribirse a través de iptables. Ejemplo: clasificar todo el tráfico TCP de salida de la interfaz eth0 cuyo puerto destino sea 80 dentro de la clase de tráfico 1:10. tc filter add dev eth0 parent 1:0 protocol ip u32 \ match ip protocol 0x6 0xff \ match ip dport 80 0xffff classid 1:10 Esta regla se puede expresar de otras 2 formas diferentes con iptables: 1 A través de la acción CLASSIFY de iptables. 2 A través de la acción MARK de iptables y el filtro fw de tc que comprueba la marca insertada por iptables. GSyC Ejemplos iptables 24

25 Clasificación de tráfico con iptables Clasificación de tráfico con iptables: CLASSIFY 1 A través de la acción CLASSIFY de iptables. Si un paquete cumple la condición de una regla cuya acción es CLASSIFY, el paquete se clasifica pero no abandona la cadena a la cuál pertenece la regla. Por tanto, si desea que abandone la cadena se debe especificar expĺıcitamente. iptables -t mangle -A POSTROUTING \ -o eth0 -p tcp --dport 80 -j CLASSIFY --set-class 1:10 iptables -t mangle -A POSTROUTING \ -o eth0 -p tcp --dport 80 -j RETURN La acción RETURN hace que se ejecute la poĺıtica por defecto para esa cadena. Al consultar las reglas de la tabla mangle y cadena POSTROUTING: r1:~# iptables -t mangle -L POSTROUTING -v -n --line-numbers Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 1 0 CLASIFFY tcp -- any eth anywhere tcp dpt:80 CLASSIFY set 1: RETURN tcp -- any eth anywhere tcp dpt:80 GSyC Ejemplos iptables 25

26 Clasificación de tráfico con iptables Clasificación de tráfico con iptables: MARK y filtro fw de tc 2 A través de la acción MARK de iptables y el filtro fw de tc que comprueba la marca insertada por iptables. Si un paquete cumple la condición de una regla cuya acción es MARK, el paquete se clasifica pero no abandona la cadena a la cuál pertenece la regla. Por tanto, si desea que abandone la cadena se debe especificar expĺıcitamente. La acción MARK inserta una marca en el buffer que almacena el paquete dentro del kernel de Linux. Los filtros de las disciplinas de cola de salida pueden consultar esta marca a través del filtro fw: iptables -t mangle -A POSTROUTING -o eth0 -p tcp --dport 80 -j MARK --set-mark 1 iptables -t mangle -A POSTROUTING -o eth0 -p tcp --dport 80 -j ACCEPT... tc filter add dev eth0 protocol ip parent 1:0 prio 1 \ handle 1 fw classid 1:10 Al consultar las reglas de la tabla mangle y cadena POSTROUTING: r1:~# iptables -t mangle -L POSTROUTING -v -n --line-numbers Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 1 0 MARK tcp -- any eth anywhere tcp dpt:80 MARK xset 0x1/0xffffffff 2 0 ACCEPT tcp -- any eth anywhere tcp dpt:80 GSyC Ejemplos iptables 26

27 Marcado DSCP de tráfico con iptables Contenidos 1 Configuración de un router NAT 2 Clasificación de tráfico con iptables 3 Marcado DSCP de tráfico con iptables 4 Referencias GSyC Ejemplos iptables 27

28 Marcado DSCP de tráfico con iptables Ejemplos de marcado DSCP con iptables La disciplina de cola DSMARK de Traffic Control se utiliza para el marcado de paquetes: tc qdisc dev eth1 root handle 1:0 dsmark indices 64 tc class change dev eth1 classic 1:1 dsmark mask 0x3 value 0x88 tc class change dev eth1 classic 1:2 dsmark mask 0x3 value 0x90 tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 \ match ip src \ match ip sport 80 0xffff \ match ip protocol 0x6 0xff classid 1:1 tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 \ match ip protocol 0x6 0xff classid 1:2 Para el marcado del campo DSCP de paquetes puede reescribirse con iptables: iptables -t mangle -A POSTROUTING -s sport 80 -p tcp -j DSCP --set-dscp 0x88 iptables -t mangle -A POSTROUTING -s sport 80 -p tcp -j RETURN iptables -t mangle -A POSTROUTING -s p tcp -j DSCP --set-dscp 0x90 O también usando el nombre de la clase (AF41=0x88, AF42=0x90): iptables -t mangle -A POSTROUTING -s sport 80 -p tcp -j DSCP --set-dscp-class AF41 iptables -t mangle -A POSTROUTING -s sport 80 -p tcp -j RETURN iptables -t mangle -A POSTROUTING -s p tcp -j DSCP --set-dscp-class AF42 GSyC Ejemplos iptables 28

29 Marcado DSCP de tráfico con iptables Ejemplos de marcado DSCP con iptables Al consultar las reglas de todas las cadenas de la tabla mangle: r1:~# iptables -t mangle -L -v -n --line-numbers Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 1 0 DSCP tcp -- any any anywhere tcp spt:80 DSCP set 0x RETURN tcp -- any any anywhere tcp spt:80 DSCP set 0x DSCP tcp -- any any anywhere anywhere tcp DSCP set 0x90 GSyC Ejemplos iptables 29

30 Contenidos Referencias 1 Configuración de un router NAT 2 Clasificación de tráfico con iptables 3 Marcado DSCP de tráfico con iptables 4 Referencias GSyC Ejemplos iptables 30

31 Referencias Referencias Iptables Tutorial: Linux Advanced Routing & Traffic Control: GSyC Ejemplos iptables 31