Netfilter-rules


> netfiler-rules

Toutes nos machines son connectées à Internet avec tous les dangers que cela comprend : scan de ports, scan de failles, tentative de brute force SSH… Et avec IPv6, en particulier, par définition vos ordinateurs possèdent une adresse publique donc vous êtes directement sur internet sans filtrage sauf si votre firewall/box est correctement configuré et s’en occupe.

La première chose à faire consiste à filtrer un minimum nos machines avec Iptables.

Configuration du noyau

Genkernel

Si votre noyau est compilé avec genkernel vous pouvez aller directement aux parties iptables et ip6tables.

Manuelle

Dans un premier temps, il vous faudra modifier la configuration du noyau afin d’y activer les supports nécéssaires au bon fonctionement iptables.

IPv4

Networking  --->
  [*] Networking support
    Networking options  --->
      <*> Packet socket
      [*]   Packet socket: mmapped IO
      [*]   IP: multicasting
        QoS and/or fair queueing  --->
          [*] QoS and/or fair queueing
             Hierarchical Token Bucket (HTB)
             Ingress Qdisc
       [*] Network packet filtering framework (Netfilter)  --->
          Core Netfilter Configuration  --->
           <*> Netfilter netlink interface
           <*> Netfilter NFQUEUE over NFNETLINK interface
           <*> Netfilter LOG over NFNETLINK interface
           <*> Netfilter connection tracking support
          Netfilter connection tracking support (Layer 3 Independent Connection tracking)  --->
           [*] Connection tracking flow accounting
           [*] Connection mark tracking support
           [*] Connection tracking events (EXPERIMENTAL)
            FTP protocol support
            IRC protocol support
           <*> Connection tracking netlink interface (EXPERIMENTAL)
           --- Netfilter Xtables support (required for ip_tables)
              Multiple port match support
              "state" match support
        IP: Netfilter Configuration  --->
          <*> Connection tracking (required for masq/NAT)
          [*]   Connection tracking flow accounting
          [*]   Connection mark tracking support
          <*> IPv4 connection tracking support (required for NAT)
          [*]   proc/sysctl compatibility with old connection tracking
          <*> IP tables support (required for filtering/masq/NAT)
             IP range match support
             Owner match support
             address type match support
          <*>   Packet filtering
               REJECT target support
             LOG target support
          <*>   Full NAT
               MASQUERADE target support
               REDIRECT target support
          <*>   Packet mangling

IPv6

[*] Networking support  --->
  Networking options  --->
    [*] Network packet filtering framework (Netfilter)  --->
      IPv6: Netfilter Configuration  --->
        <*> IPv6 connection tracking support
        <*> IP6 tables support (required for filtering)
           "ipv6header" IPv6 Extension Headers Match
           "rt" Routing header match support
           LOG target support
        <*>   Packet filtering
             REJECT target support
        <*>   Packet mangling

Recompilez et installez ce noyau et redemarez le système.

Iptables

Tout d’abord, installons le paquet net-firewall/iptables:

emerge -av net-firewall/iptables

Je vous propose une gestion simplifiée iptables avec :

un script netfilter-rules et un fichier de configuration netfilter-rules.conf.

cp netfilter-rules /etc/init.d
chmod +x /etc/init.dnetfilter-rules
cp netfilter-rules.conf /etc

Editez le fichier de configuration /etc/netfilter-rules.conf:

### configuration generale
# on autorise tout sur ces interfaces
# (laissez toujours la boucle locale)
all="lo"
# on autorise le ping sur ces interfaces
ping="eth0 eth1"
# mais plus specifiquement par protocole, par interface et par port
interfaces_TCP="eth0+21+22+25+53+80+443+873+993+4080 eth1+22+25+873+993"
interfaces_UDP="eth0+53+68"
# a l'exception de tout ce qui vient de ces reseaux
exceptions="192.168.0.0/24"
# log t'on les packets droppés ?
logdrop="false"


### configuration passerelle
gateway="true"
# interface externe 
extif="eth1"
# interface interne 
intif="eth0"

### Dr : exemples interdictions specifiques par IP source (a destination du port 25)
#iptables -A INPUT -p tcp --dport 25 -j LOGDROP -s x.x.x.x
#iptables -A INPUT -p tcp --dport 25 -j LOGDROP -s x.x.x.x/x

Ce dernier me parait suffisament bien renseigné pour ne rien avoir à y ajouter… Une fois les modifications faites selon vos besoins, éxecutez le script:

/etc/init.d/netfilter-rules restart

S’il n’y a aucun message, c’est que le script s’est bien déroulé.

Démarrez le firewall:

/etc/init.d/iptables save 
/etc/init.d/iptables start
rc-update add iptables default

Vérifiez que vos règles ont bien été appliquées:

iptables -L -v -n

Après chaque modification dans le fichier /etc/netfilter-rules.conf, n’oubliez pas de relancer le script netfilter-rules

Il ne reste plus qu’à s’assurer que le script se lance automatiquement au démarrage du système. Pour ce faire, éditez le fichier /etc/conf.d/local.start et mettez la ligne correspondante au chemin du script netfilter-rules, ex:

/etc/init.d/netfilter-rules start

Ip6tables

Récupérez le script net6filter-rules et le fichier de configuration net6filter-rules.conf.

Ensuite toutes les manipulations sont rigoureusement les mêmes que pour le script IPv4 hormis ip6tables et net6filter-rules…

Options

Fail2ban

Cette partie est optionnelle.

dim. juin 5 20:30:30 CEST 2011 : Fail2ban ne supporte pas IPv6.

Si comme moi vous aimez pouvoir vous connecter sur votre passerelle depuis n’importe où, vous laisserez probablement l’accés SSH ouvert. Dans ce cas, vous vous retrouverez vite avec des logs pleins de tentatives de connexion d’utilisateurs pour le moins farfelus… Alors, fail2ban va ajouter une chaine dans iptables afin de bloquer une adresse IP après 5 tentavives ratées et ce pendant 600 secondes. Bien sûr, ces valeurs sont paramétrables.

echo "net-analyzer/fail2ban" >> /etc/portage/package.keywords
emerge -av net-analyzer/fail2ban

Editez le fichier de configuration /etc/fail2ban/jail.conf en modifiant le chemin de vos fichiers de logs:

[sshd]
enabled = true
logfile = /var/log/auth.log
[...]

Lancez le service:

/etc/init.d/fail2ban start
rc-update add fail2ban default

Remerciements

Je remercie en particulier Didier Rebeix pour le script de gestion simplifiée d’ iptables fort pratique, et qui m’a permis de comprendre le fonctionement d’ iptables

Liens


ipv6  ip  iptable