Seleziona una pagina
All’interno del Kernel di Linux esiste un componente chiamato Netfilter che permette di intercettare e manipolare i pacchetti di rete. Lo strumento che utilizzeremo per interagire con Netfilter si chiama Iptables. Questa pagina serve solo come spunto per configurare velocemente un firewall sotto GNU/Linux. Prima di tutto se non è presente installiamo il pacchetto:

aptitude install iptables

Alcuni comandi utili

Questo è il comando per visualizzare le regole in vigore di Iptables, utile per vedere quanti pacchetti sono stati filtrati.

iptables -L -v

Con questo comando resettiamo la configurazione (ATTENZIONE: non si resettano però le policy, quindi c’è la possibilità di “chiudersi fuori”)

iptables -F

Abbiamo bisogno di questo comando per “vuotare” le policy:

iptables -X

Esempi di regole

Con questo comando accettiamo solo le connessioni sulla porta 22 (ssh) dalla rete 192.168.1.*.

iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

Se vogliamo bloccare l’accesso ad una sottorete possiamo usare questo comando:

iptables -A INPUT -p tcp --dport 80 -s 220.181.108.0/24 -j DROP

In questo caso blocchiamo l’accesso delle connessioni TCP sulla porta 80 agli indirizzi della rete 220.181.108.* (alcuni dei crawler di Google). Il /24 sta ad indicare la netmask 255.255.255.0 infatti avremmo potuto anche scrivere 220.181.108.0/255.255.255.0.

Con questo comando invece blocchiamo l’accesso delle connessioni TCP sulla porta 80 ad un determinato range di IP.

iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 65.52.0.0-65.55.255.255 -j DROP

In questo caso abbiamo “chiuso fuori” alcuni dei crawler di MSN, esattamente tutti quelli tra 65.52.0.0 e 65.55.255.255 (compresi).

Esempi di firewall

Vediamo uno script bash che può essere usato per eseguire alcune regole iptables:

#!/bin/sh

case "$1" in
'start')
 
        echo "Carico le regole di iptales..."
       
        #CONFIGURAZIONE DELLE POLICY

        ####################################
        #BLOCCA TUTTO IL TRAFFICO IN ENTRATA
        ####################################
        iptables -P INPUT DROP

        #######################################################       
        #BLOCCA TUTTO IL TRAFFICO REDIRETTO DAL NOSTRO COMPUTER
        ####################################################### 
        iptables -P FORWARD DROP

        #################################
        #ACCETTA TUTTO IL TRAFFICO LOCALE
        #################################
        iptables -A INPUT -i lo -j ACCEPT

        ###########################################
        #ACCETTA IL TRAFFICO CHE E' STATO RICHIESTO
        ###########################################
        iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

        ###############################################################################
        #BLOCCA LE RICHIESTE SSH DOPO 2 TENTATIVI DI CONNESSIONE FALLITI PER 60 SECONDI
        ###############################################################################
        iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
        iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
        iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 --rttl --name SSH -j DROP
        iptables -A INPUT -p tcp --dport 22 -j ACCEPT

        ;;
'stop')
        ################################
        #RIPRISTINA LE REGOLE DI DEFAULT
        ################################

        iptables -F
        iptables -P INPUT ACCEPT
        iptables -P OUTPUT ACCEPT
        iptables -P FORWARD ACCEPT

        ;;
*)
        echo "Usage: $0 { start | stop }"
        ;;
esac
exit 0

Un altro esempio di firewall:

#!/bin/sh
### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: firewall
# Description:       firewall 
### END INIT INFO

case "$1" in
'start')

	echo " Loading iptables rules..."
	iptables -P INPUT DROP
	iptables -P FORWARD DROP
	iptables -A INPUT -i lo -j ACCEPT
	iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH SERVER
##############

	iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
	iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
	iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --rttl --name SSH -j DROP
	iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
	iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT
	iptables -A INPUT -p tcp --dport 22 -j DROP

# BOT
###################

        #GOOGLE BOT
        iptables -A INPUT -p tcp --dport 80 -s 64.233.160.0/19 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 66.102.0.0/20 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 66.249.64.0/19 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 66.249.72.193 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 72.14.192.0/18 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 74.125.0.0/16 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 209.85.128.0/17 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 216.239.32.0/19 -j DROP
        #BAIDUSPIDER
        iptables -A INPUT -p tcp --dport 80 -s 220.181.108.0/24 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 180.76.0.0/16 -j DROP
        #MSN BOT
        iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 64.4.0.0-64.4.63.255 -j DROP
        iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 65.52.0.0-65.55.255.255 -j DROP
        iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 157.54.0.0-157.60.255.255 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 207.46.0.0/16 -j DROP
        iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 207.68.128.0-207.68.207.255 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 209.19.0.0/16 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 206.80.0.0/16 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 173.44.37.0/24 -j DROP
        #SPAMMER
        iptables -A INPUT -p tcp --dport 80 -s 96.44.143.0/24 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 96.44.144.0/24 -j DROP
        iptables -A INPUT -p tcp --dport 80 -s 96.47.0.0/16 -j DROP

# WEB SERVER
##################
# NOTA: questa regola va inserita DOPO i BOT che sono sulla stessa porta, altrimenti non vengono fermati
# perché questa regola accetta tutti: con iptables le limitazioni vanno PRIMA della regola generale

	iptables -A INPUT -p tcp --dport 80 -j ACCEPT
	iptables -A INPUT -p tcp --dport 443 -j ACCEPT
;;

'stop')
        iptables -F
        iptables -P INPUT ACCEPT
        iptables -P OUTPUT ACCEPT
        iptables -P FORWARD ACCEPT

        ;;
*)
        echo "Usage: $0 { start | stop }"
        ;;
esac
exit 0

Un ulteriore esempio di firewall per il controllo di SSH, più performante che usa le funzioni per evitare di ripetere le varie sezioni. Attenzione al #!/bin/bash iniziale, necessario per function: utilizzando #!/bin/sh non funzionerebbe. Nell’opzione start è appositamente inserito un purge all’inizio per evitare di ricaricare più regole uguali involontariamente.

#!/bin/bash

### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    
# Required-Stop:     
# Should-Start:      
# Should-Stop:       
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Starts firewall
# Description:       Start firewall
#                    transport.
### END INIT INFO

function firewallstart {
        echo " Purge iptables rules..."
        iptables -F
        iptables -P INPUT ACCEPT
        iptables -P OUTPUT ACCEPT
        iptables -P FORWARD ACCEPT
        echo " Loading iptables rules..."
        iptables -P INPUT DROP
        iptables -P FORWARD DROP
        iptables -A INPUT -i lo -j ACCEPT
        iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

        ###############################################################################
        #BLOCCA LE RICHIESTE SSH DOPO 3 TENTATIVI DI CONNESSIONE FALLITI PER 60 SECONDI
        ###############################################################################
        iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
        iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
        iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
        iptables -A INPUT -p tcp --dport 22 -j ACCEPT
        }

function firewallstop {
        echo " Purge iptables rules..."
        iptables -F
        iptables -P INPUT ACCEPT
        iptables -P OUTPUT ACCEPT
        iptables -P FORWARD ACCEPT
        }

case "$1" in
'start')
        firewallstart ;
        ;;

'stop')
        firewallstop ;
        ;;

'restart')
        firewallstart ;
        ;;

*)
        echo "Usage: $0 { start | stop | restart }"
        ;;
esac
exit 0