iptables

[ping_Win]

[size="3"]Разработчики Netfilter представили замену Iptables[/size]

Вниманию общественности представлен первый публичный выпуск проекта nftables, новой реализации пакетного фильтра для Linux, идущего на смену iptables, как в свое время iptables пришел на смену ipchains, а ipchains заменил собой ipfwadm. Главным отличием nftables, является не только изменившийся синтаксис задания правил, но и совершенно новый подход в их трансляции: определенные пользователем правила теперь преобразуются в специальный упрощенный псевдокод, который используется для принятия решения по дальнейшим действиям с пакетом через специальный интерфейс внутри ядра.

Nftables состоит из трех частей: кода фильтрации, работающего внутри ядра, связующей интерфейсной библиотеки libnl, работающей с ядром через netlink, и фронтэнда, работающего на уровне пользователя. Для формирования правил фильтрации в nftables представлена утилита nft , которая проверяет корректность правил и транслирует их в псевдокод. Правила теперь могут добавляться не только инкрементально, но и загружаться целиком из файла на диске, как это сделано, например, в пакетном фильтре PF.

Код фильтра, работающий на уровне ядра избавлен от блокировок и значительно сокращен, все операции по определению условий и связанных с ними действий выполняются на уровне пользователя, в ядре производится только базовый набор операций, таких как чтение данных из пакета, сравнение данных и т.п. В пакетный фильтр интегрирована поддержка словарного маппинга и поиска по наборам правил (sets), работа которых реализована через хеши и rb-деревья. При этом элементы наборов могут быть заданы в виде диапазонов значений (можно определять подсети). Фильтр более не зависит от типа протокола, поддерживая IPv4, IPv6 и бриджинг. По умолчанию не производится учет пакетов и байт трафика, подпадающих под правила, их учет нужно включать отдельно.

Новый синтаксис правил в корне не похож на то, что было раньше и больше напоминает сценарий, в котором можно задавать условия, создавать переменные, выполнять математические операции. Язык классификации правил основан на реальной грамматике, при обработке которой используется сгенерированный в bison парсер. Например, типичный набор правил:

Код [Выделить] Expand

include "ipv4-filter"

 chain filter output {
 ct state established,related accept
 tcp dport 22 accept
 counter drop
 }По заявлению разработчиков, код nftables еще находится на стадии альфа тестирования и не подходит для использовании в промышленной эксплуатации, тем не менее в процессе регулярного тестирования последний крах ядра из-за сбоя nftables был зафиксирован несколько месяцев назад.

http://www.opennet.r...shtml?num=20843

[ping_Win]

[size="3"]Вышло обновление пакетного фильтра Iptables 1.4.3[/size]

Вышло обновление пакетного фильтра iptables 1.4.3, в котором отмечено более 120 изменений. Некоторые новшества:

 * Задействованы некоторые новые возможности Linux ядра 2.6.29,
 * Улучшена поддержка IPv6,
 * В число возможных действий с пакетами (targets) добавлена возможность перенаправления в прозрачный прокси (TPROXY),
 * Добавлена поддержка протоколов SCTP/DCCP для NAT правил;
 * В iptables теперь можно фильтровать пакеты, основываясь на принадлежности к определенному сетевому сокету (socket match).

http://www.opennet.r...shtml?num=20899

[ping_Win]

[size="3"]Модуль к Netfilter для пассивного определения типа ОС[/size]

Евгений Поляков выпустил обновление netfilter-модуля xt_osf для определения типа операционной системы отправителя, на основе пассивного анализа транзитного трафика. Модуль можно использовать для учета операционной системы в правилах iptables.

Пример настройки можно посмотреть здесь.

http://www.opennet.r...shtml?num=20961

[turbo]

[size="3"]В состав netfilter включен модуль для пассивного определения типа ОС[/size]

Модуль для определения типа операционной системы на основе пассивного анализа транзитного трафика, созданный Евгением Поляковым, включен в основное дерево исходных текстов netfilter. Модуль позволяет учитывать в правилах iptables тип операционной системы, пример настройки можно найти здесь.

http://www.opennet.r...shtml?num=22093

[turbo]

[size="3"]Ограничение доступа к веб-сайту для определенных стран[/size]

В статье описаны два различных метода для ограничения трафика из указанных стран на web-сайт. Первый метод основан на использовании .htaccess и позволяет управлять трафиком для каждого сайта отдельно. Второй метод работает через iptables.

http://www.opennet.r...shtml?num=22390

[turbo]

[size="3"]Стабильный релиз проекта Flex-fw - гибкой надстройки над Iptables[/size]

Вышел стабильный релиз flex-fw, небольшой и быстрой надстройки (front-end) для Linux утилиты iptables с простым синтаксисом команд, напоминающем ipfw из FreeBSD или pf из OpenBSD.

Возможности:

 * Сервис-ориентированная конфигурация, позволяет стартовать или останавливать доступ к каждому сервису раздельно и независимо, без остановки всей системы flex-fw целиком;
 * Поддержка сетевых профилей /etc/net. Можно работать с различным сетевым окружением без какой либо перенастройки flex-fw;
 * Поддержка макросов. Макрос - это переменная, определяемая пользователем, которая может хранить IP-адрес, номер порта, имя интерфейса и т.п.
 * Простая миграция - достаточно переопределить макросы для переноса на другой хост, в другое сетевое окружение;
 * Тиражирование. Описывая сервисы с использованием макросов можно легко перенести сервисы на все обслуживаемые хосты без каких либо изменений;
 * Простая отладка. Поддержка вывода через syslog исполняемых команд iptables, ошибок, или информации об отброшенных пакетах;
 * Интерактивный режим работы (интерфейс командной строки) для ручного конфигурирования пакетного фильтра "на лету";
 * Командный режим работы (batch mode) для запуска из скриптов shell;
 * Библиотечный режим работы для использования напрямую команд flex-fw, как функций для shell-скриптов.

http://www.opennet.r...shtml?num=22605

[turbo]

[size="3"]Обход правил межсетевого экрана с использованием модулей трекинга FTP-соединений[/size]

В рассылке netfilter-devel опубликован способ обхода правил фильтрации iptables с использованием модуля nf_conntrack_ftp. Злоумышленник может получить доступ к любому порту на атакуемой машине как только пользователь откроет специально сформированную веб-страницу. Весь процесс происходит совершенно незаметно для пользователя и не требует каких-то особых разрешений для веб-браузера. Вкупе с модулем nf_nat_ftp, метод позволяет также получать доступ к произвольным портам хостов локальной сети, находящимися за NAT.

Продемонстрированный эффект не вызван ошибкой разработчиков, а является проблемой слабо защищенной, но довольно распространенной конфигурации. Для эксплуатации уязвимости могут быть также использованы также и другие способы с другими хелперами conntrack. Рекомендуется проверить конфигурацию и/или временно отключить модули nf_conntrack_ftp, sip и подобные.

Например, при использовании модуля nf_conntrack_ftp в сочетании с набором правил:

Код [Выделить] Expand

iptables -A INPUT -i lo -j ACCEPT
 iptables -A INPUT -p icmp -j ACCEPT
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 iptables -P INPUT DROP
 iptables -P OUTPUT -j ACCEPTили

Код [Выделить] Expand

iptables -A FORWARD -s 192.168.0.0/24 -o eth1 -j ACCEPT
 iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -j ACCEPT
 iptables -P FORWARD DROP

 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT
--to-source x.x.x.x
 sysctl -w net.ipv4.conf.all.forwarding=1Несмотря на ограничения, пользователь может подсоединиться к внешнему ftp серверу в активном режиме и выполнить реконнект на произвольный локальный порт, даже если он закрыт пакетным фильтром от внешней сети:

Код [Выделить] Expand

USER anonymous
 PASS test@example.com
 PORT x,x,x,x,y,zСоздав на удаленном сервере специальный скрипт на Flash, Java или Javascript (XMLHTTPRequest), злоумышленник может сэмулировать сессию с conntack-модулем, выступая в роли фиктивного FTP-сервера.

http://www.opennet.r...shtml?num=24832

[Zhek@Ch]

[size="3"]Релиз iptables 1.4.10[/size]

Вышло очередное обновление iptables, набора userspace-утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов netfilter.

В новом релизе обеспечена полная совместимость с недавно вышедшим ядром 2.6.36, включая поддержку таких возможностей, как:

   * Критерий cpu, позволяющий выделять пакеты по привязке к процессорному ядру, на котором они в данный момент обрабатываются. В частности, этот критерий можно использовать для максимизации использования кэша CPU, обеспечив полную обработку каждого пакета в пределах одного процессорного ядра. Привязав серверный обработчик к конкретному ядру и заданному порту, можно отправлять на этот порт все пакеты, обрабатываемые данным ядром. Так, например, будет выглядеть набор правил при наличии четырех процессорных ядер, по одному серверному процессу на каждое ядро:

Код [Выделить] Expand

iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 0 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 1 -j REDIRECT --to-port 8081
iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 2 -j REDIRECT --to-port 8082
iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 3 -j REDIRECT --to-port 8083
   * Критерий ipvs, предоставляющий возможность классифицировать пакеты по параметрам IPVS (развивающегося в рамках проекта Linux Virtual Server инструмента для балансировки соединений между несколькими серверами). В частности, к таким параметрам относятся привязанные к текущему соединению виртуальный адрес и/или виртуальный порт (виртуальные адрес-порт представляют кластеризованный средствами IPVS сервис «снаружи», так, что поступающие на них соединения автоматически балансируются между нодами кластера), что позволяет разделять пакеты на основании принадлежности к тому или иному кластерному сервису.
   * Действие IDLETIMER, предоставляющее механизм для отслеживания моментов простоя сетевого интерфейса. Оно обеспечивает отправку уведомления в userspace, если в течение заданного периода времени через выбранный интерфейс не прошло ни одного пакета. Таким образом можно, например, автоматически отключать бездействующие сетевые карты для уменьшения энергопотребления.
   * Действие CHECKSUM, предоставляющее workaround для приложений, некорректно работающих в сочетании с аппаратными реализациями сверки контрольных сумм пакетов. С помощью данного действия можно обеспечить принудительный пересчет контрольных сумм для конкретного класса пакетов, что позволяет избежать необходимости полного отключения checksum offload.

Кроме того, добавлена возможность удаления правил с заданным значением счетчика квоты (критерий quota), а также улучшена документация.

# opennet.ru

[B@F]

[size="3"]Релиз xtables-addons 1.32 с поддержкой ipset 5 [/size]

Вышел очередной релиз проекта xtables-addons, предоставляющего набор расширений для фреймворка netfilter. Данный релиз xtables-addons особо примечателен тем, что в него, помимо старой стабильной версии ipset 4, включена и представленная недавно версия ipset 5.

Проект xtables-addons представляет собой набор модулей-расширений для входящего в ядро Linux фреймворка фильтрации и преобразования пакетов netfilter. В этот набор включаются расширения, которые по тем или иным причинам пока не были приняты в основную ветку разработки ядра Linux. Таким образом, данный проект является альтернативой устаревшему patch-o-matic(-ng). Ключевое отличие xtables-addons от предшественника состоит в отсутствии необходимости в наложении патчей на ядро и iptables, что значительно упрощает процесс сопровождения и установки расширений. Во времена patch-o-matic часто бывало сложно найти версию патча, совместимую с нужной версией ядра и/или iptables, в то время как для работы xtables-addons достаточно наличия ядра версии >=2.6.17 и iptables >= 1.4.3 (впрочем, в случае использования ipset 5 требования становятся несколько более жесткими -- версия ядра не менее 2.6.35, дополнительно требуется библиотека libmnl). В числе других преимуществ xtables-addons над patch-o-matic(-ng) можно упомянуть расширенную поддержку IPv6 и более высокое качество кода. Подробнее эти вопросы рассмотрены в презентации разработчика xtables-addons Яна Энгельгардта, представленной на конференции Netfilter Workshop 2010.

Стоит особо подчеркнуть, что версия ipset 5, распространяемая в составе xtables-addons, не требует наложения патчей на ядро, в отличие от стандартной версии ipset 5. Это было достигнуто путем внесения некоторых изменений в код, в частности, заменой специализированного протокола взаимодействия ядро-userspace nfnetlink на genetlink. Таким образом, установка ipset 5 становится столь же простой, как и установка ipset 4.

Помимо уже упомянутых выше двух версий ipset, в состав xtables-addons входит множество других полезных модулей (критериев и действий iptables/netfilter), в частности,

• TARPIT -- широко известный в узких кругах инструмент для активного противодействия (D)DoS-атакам и сканированиям TCP-портов, способный в определенный обстоятельствах неплохо проучить атакующего. Суть его работы сводится к следующему: он подтверждает открытие входящего TCP-соединения, после чего устанавливает размер окна TCP равным нулю, что блокирует возможность корректного закрытия соединения. В результате система атакующего получает очередное «повисшее» соединение, в то время как ваша система ничего не замечает (хуки netfilter отрабатывают раньше, чем стандартный сетевой стек ядра, дополнительно может потребоваться отключение трекинга соединений в conntrack через действие NOTRACK). При агрессивной атаке подобная тактика может вызвать у атакующего серьезные проблемы. Особенно сильно такому воздействию подвержены системы сеймейства Windows, на которых, как правило, и работают атакующие ботнеты.
• DELUDE -- не столь опасный, но тем не менее тоже полезный инструмент противодействия сканированию TCP-портов. Работает он следующим образом: на SYN-пакеты он отвечает SYN,ACK-пакетами, создавая видимость открытого порта, на все остальные пакеты он отвечает RST (чтобы не создавать лишних проблем). Таким образом, DELUDE позволяет ввести атакующего в заблуждение, создав у него неверное впечатление о состоянии ваших портов.
• CHAOS -- еще один инструмент, позволяющий поставить атакующего в глупое положение. С заданной вероятностью он применяет к входящему пакету операцию TARPIT или DELUDE (в зависимости от настроек), либо стандартную операцию REJECT (отправка ICMP-уведомления о недоступности порта), либо операцию DROP (блокирование пакета без уведомления отправляющей стороны). По умолчанию вероятности применения TARPIT/DELUDE и REJECT составляют порядка одного процента, к остальному трафику применяется DROP.

Подробное описание принципов работы трех вышеприведенных действий можно найти в работе Detecting and deceiving network scans with Chaostables (автором документа является разработчик xtables-addons Ян Энгельгардт).

• IPMARK -- действие, позволяющее присвоить пакету маркировку, определенную в результате арифметических операций над его исходным адресом (либо адресом назначения). Таким образом, грамотная организация адресного пространства в сочетании с элементарными арифметическими и побитовыми операциями могут заменить монструозные таблицы соответствия «адрес -- маркировка», поиск по которым может отнимать значительную долю системных ресурсов. Особенно полезна данная операция при организации гибких систем шейпинга, когда несколькими командами можно настроить работу многих тысяч очередей.
• LOGMARK -- действие, дополняющее набор данных, выводимых стандартной операцией LOG, такими сведениями, как маркировка, идентификатор, состояние и статус соединения в системе conntrack, маркировка SELinux и классификационный код шейпера для данного пакета, имя родительского хука, внутренний код интерфейса и т.п.
• RAWDNAT/RAWSNAT -- операции «сырой» трансляции адресов, не использующие трекинг соединений. Могут быть использованы для увеличения гибкости стандартного NAT либо при ограниченности ресурсов в сочетании с большим количеством соединений, когда трекинг становится чересчур накладным.
• ACCOUNT -- простая, высокопроизводительная система учета трафика, поддерживающая работу с клиентскими сетями большого размера (вплоть до /8).
• SYSRQ -- инструмент, позволяющий при получении специальным образом сформированных (защищенных паролем) пакетов обращаться к системному триггеру. В частности, можно удаленно инициировать сброс кэша (sync) или даже выполнить ту самую последовательность REISUB, вне зависимости от работоспособности userspace.
• DHCPMAC/dhcpmac -- сочетание одноименных критерия и действия позволяет выделять и подменять MAC-адреса, фигурирующие в запросах и ответах DHCP.
• condition -- критерий, срабатывающий в зависимости от значения соответствующей булевой переменной, которое может быть задано из userspace (через procfs). Таким образом, работой правил netfilter можно управлять, не вмешиваясь в их структуру.
• fuzzy -- критерий, выделяющий пакеты на основании нечеткой логики (при скорости поступления пакетов ниже пороговой величины a, вероятность соответствия пакета критерию равна нулю, в диапазоне скоростей от a до b вероятность плавно возрастает до единицы, и при скорости выше b пакеты всегда соответствуют критерию).
• geoip -- критерий, позволяющий выделять пакеты на основании принадлежности их исходного адреса или адреса назначения заданному государству. Можно использовать базы данных от MaxMind или WIPmania.
• iface -- критерий, срабатывающий в зависимости от состояния заданного сетевого интерфейса. В частности, с его помощью можно организовывать отказоустойчивый доступ в интернет при наличии нескольких независимых каналов, с автоматическим исключением неработающих каналов.
• ipp2p -- критерий, позволяющий выделять трафик различных P2P-сетей, в частности, BitTorrent, eDonkey/eMule, DC, Gnutella, AppleJuice, WinMX, SoulSeek, Ares, KaZaA. Чрезвычайно удобен при организации эффективного шейпинга трафика. Является эффективной альтернативой критерию l7filter, который требует наложения патчей на ядро и поэтому не включен в проект xtables-addons.
• lscan -- разработанный Яном Энгельгардтом инструмент для выявления скрытных операций по сканированию TCP-портов. Подробное описание принципов его работы можно найти в уже упомянутом документе Detecting and deceiving network scans with Chaostables.
• psd -- более простой инструмент для выявления массовых сканирований TCP- и UDP-портов, основанный на принципе взвешенной суммы. С подробное обсуждением этого принципа можно познакомиться в статье Solar Designer'а Designing and Attacking Port Scan Detection Tools.
• pknock -- позволяет организовать защиту портов посредством технологии port knocking. Возможно дополнительное усиление защиты за счет использования HMAC256-шифрования отправляемых пакетов.
• quota2, length2 -- расширяют возможности стандартных критериев netfilter quota и length.

В заключение, хотелось бы упомянуть написанное все тем же Энгельгардтом руководство Writing your own Netfilter modules. В предисловии автор подчеркивает, что netfilter/iptables являются не только и не сколько законченным и замкнутым на себя продуктом, но и гибким фреймворком, позволяющим создавать и интегрировать модули, которые могут решать самые различные задачи по фильтрации и преобразованию трафика -- и все это без каких-либо модификаций других компонентов ядра. «In fact, you can do almost everything you want in this world» -- отмечает Энгельгардт.

Проект xtables-addons может выступать в качестве накопителя для тех модулей, у авторов которых не хватает духу отослать свои творения непосредственно в основную ветку разработки ядра Linux. В частности, недавно принятые в ядро модули TEE и CHECKSUM начинали свой путь в xtables-addons.

opennet.ru

[Zhek@Ch]

[size="3"]Релиз iptables 1.4.11 и conntrack-tools 1.0.0 [/size]

Вышло обновление iptables 1.4.11, набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter. В новой версии реализована полная совместимость с Linux-ядром 2.6.39 и внесено около 300 изменений, среди которых:

• Переход на новый управляемый парсер опций ("guided option parser"), который заменил собой большое число отдельных блоков кода, привязанных к обработке отдельных опций;
• Поддержка действия "SET", добавленного в Linux-ядро 2.6.39 в связи с интеграцией в ядро ipset;
• Поддержка критерия devgroup, проверяющего совпадение с группой устройств, определенных через iproute2;
• Реализация нового действия AUDIT для записи в лог всей информации о действиях, связанных с определенным типом операций;
• Поддержка опции NFQUEUE, позволяющей миновать прохождение пакета через очередь в случае отсутствия принимающего соединения процесса в пространстве пользователя;
• Для проверки существования правила в iptables добавлена опция "-C";
• Поддержка в connlimit опции "--connlimit-upto" и возможности установки лимита соединений для заданного адреса назначения (ранее поддерживалась установка лимита только для исходных адресов);
• Добавлен исполняемый файл xtables-multi, поддерживающий одновременно работу с IPv4 и IPv6.

Одновременно представлен релиз пакета conntrack-tools 1.0.0, содержащего набор средств для управления таблицами установленных соединений (conntrack). Кроме утилиты для выполнения таких задач, как просмотр, отслеживание изменений и модификация содержимого conntrack-таблицы, в состав пакета входит фоновый процесс, дающий возможность обеспечить централизованное накопление статистики или организовать синхронизацию conntrack-таблиц между несколькими серверами, что может быть использовано для построения кластеров высокой доступности.

В новой версии:

• Улучшена инфраструктура сборки, расширена документация;
• В утилите conntrack добавлена поддержка состояния SYN_SENT2 (поддерживается Linux-ядром начиная с версии 2.6.31)
• Возможность обновления или отмены событий, ожидаемых слушающим сокетом (поддерживается Linux-ядром начиная с версии 2.6.37);
• Поддержка временных меток в conntrack-таблице "-o ktimestamp"(поддерживается Linux-ядром начиная с версии 2.6.38).

# opennet.ru

[Zhek@Ch]

[size="3"]Вышел Iptadmin 1.0.0 - web-интерфейс для Iptables[/size]
 
Тихо и незаметно был выпущен Iptadmin 1.0.0.

Это простой веб-интерфейс для Iptables, который поддерживает пока только несколько опций. Отличительная особенность - подробные сообщения об ошибках.

Iptadmin запускается в режиме демона. Программа не хранит в системе никакие промежуточные файлы, информация берётся прямо из iptables-save. Правила редактируются с помощью вызова iptables и сохраняются командой /etc/init.d/iptables save. Для таких дистрибутивов, как debian, сохранение правил настраивается дополнительно.

Авторизация осуществляется с помощью PAM. Доступ разрешён пользователю root и любому другому пользователю из группы iptadmin.

Iptadmin не поддерживает работу по https. Чтобы исключить передачу системных паролей по сети в открытом виде, web-интерфейс работает только на локальном сетевом интерфейсе. Для удалённого доступа необходимо настроить работу по https с помощью стороннего web-сервера.

Программа задумывалась в помощь системным администраторам и аутсорсерам. С помощью неё и нескольких простых инструкций неквалифицированный пользователь сможет управлять сетевым экраном в Linux.

>>> Подробности

# linux.org.ru

[Zhek@Ch]

[size="3"]Релиз iptables 1.4.12[/size]

Доступно обновление iptables 1.4.12, набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter. В новой версии реализована полная совместимость с Linux-ядром 3.0 и внесено около 40 изменений, среди которых:

• Устранение регрессивного изменения в модуле libxt_state, появившегося в выпуске 1.4.11.1 и приводившего к инвертированию параметров базовых настроек;
• Модуль libxt_RATEEST переведен на использование управляемого парсера опций ("guided option parser"), который в прошлом выпуске iptables заменил собой большое число отдельных блоков кода, привязанных к обработке отдельных опций;
• Устранены проблемы, выявленные в результате автоматизированного сканирования кода системой Сoverity;
• Обновлена документация;
• В iptables объединён вызов кода инициализации для действий и критериев (target/match);
• Изменен подход к использованию глобальных переменных, каждое расширение теперь имеет своё пространство глобальных переменных;
• Предпринята попытка устранения проблем со сборкой при использовании Linux-ядра 2.4.x;
• В libxtables реализовано игнорирование пробелов при разборе опций, подразумевающих наличие нескольких адресов.

# opennet.ru