https://linupedia.org/wiki/mediawiki/api.php?action=feedcontributions&feedformat=atom&user=GawLinupedia.org - Benutzerbeiträge [de]2026-04-03T19:08:32ZBenutzerbeiträgeMediaWiki 1.31.0https://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=17147IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-06-03T16:25:58Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|487px|left]][[Bild:Dreiwegehandshake2.jpg|thumb|519px|right]]<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wikepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|600px|left]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code>#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
Hier ein Code-Auschnitt aus dem Skript:<br />
<br />
<code>#Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
Genaugenommen ist iptables also nur das Werkzeug mit der sich Paketfilter erstellen lassen. Was wie gefiltert wird, liegt daran, wie wir iptables konkret einsetzen. Nach den oben beschriebenen Skript wird zunächst alles verboten. Dann beginnt man einzelne Pakte zu erlauben. Dabei muss man berücksichtigen, dass auch auf dem Rechner selbst Programme ablaufen die über eine Netzwerkschnittstelle kommunizieren, selbst dann wenn der Rechner keinen Netzanschluß besitzt. Der Grund ist einfach, Programmentwickler müssen keine Fallunterschiede zwischen Programmteilen vornehmen, die auf entweder auf verteilten Rechnern oder alle auf den gleichen Rechner laufen. Läuft der Dienst auf dem gleichen Rechner so kann er über die lokale Schnittstelle mit der IP-Adresse 127.0.0.1 angesprochen werden. Um Prozesse, die auf dem lokalen Rechner laufen ungestört über diese lokale Schnittstelle kommunizieren zu lassen, können folgende einfache iptables Befehle verwendet werden, wobei wir der Vollständigkeithalber die Zuweisung der itables Programmdatei stehen lassen.<br />
<br />
<code><br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
$IPTABLES -A OUTPUT -o lo -j ACCEPT<br />
$IPTABLES -A INPUT -i lo -j ACCEPT<br />
<br />
</code><br />
<br />
Die Bedeutung der einzelnen Parameter:<br />
<code><br />
-A bedeutet wir hängen einer Regel an eine existierende Chain (OUTPUT, INPUT, FORWARD etc.)<br />
-o die Schnittstelle zu der das Paket gesendet wird<br />
-i die Schnittstelle von der ein Paket empfangen wird<br />
-j das Target (Ziel) was mit dem Paket geschehen soll, zum Beispiel ACCEPT (akzeptiere das Paket) oder DENY (Lehne es ab)<br />
</code><br />
<br />
So betrachtet sagt die erste Regel:<br />
Hänge diese Regel an den Regelsatz ausgehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle gesendet werden<br />
<br />
und die zweite<br />
Hänge diese Regel an den Regelsatz eingehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle empfangen werden<br />
<br />
Mit anderen Worten sagen beide Regeln, erlauben allen lokalen Programmen die lokale Schnittstelle zu benutzen.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=17146IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-06-03T16:25:32Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|487px|left]][[Bild:Dreiwegehandshake2.jpg|thumb|519px|right]]<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wikepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|600px|left]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code>#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
Hier ein Code-Auschnitt aus dem Skript:<br />
<br />
<code>#Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
Genaugenommen ist iptables also nur das Werkzeug mit der sich Paketfilter erstellen lassen. Was wie gefiltert wird, liegt daran, wie wir iptables konkret einsetzen. Nach den oben beschriebenen Skript wird zunächst alles verboten. Dann beginnt man einzelne Pakte zu erlauben. Dabei muss man berücksichtigen, dass auch auf dem Rechner selbst Programme ablaufen die über eine Netzwerkschnittstelle kommunizieren, selbst dann wenn der Rechner keinen Netzanschluß besitzt. Der Grund ist einfach, Programmentwickler müssen keine Fallunterschiede zwischen Programmteilen vornehmen, die auf entweder auf verteilten Rechnern oder alle auf den gleichen Rechner laufen. Läuft der Dienst auf dem gleichen Rechner so kann er über die lokale Schnittstelle mit der IP-Adresse 127.0.0.1 angesprochen werden. Um Prozesse, die auf dem lokalen Rechner laufen ungestört über diese lokale Schnittstelle kommunizieren zu lassen, können folgende einfache iptables Befehle verwendet werden, wobei wir der Vollständigkeithalber die Zuweisung der itables Programmdatei stehen lassen.<br />
<br />
<code><br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
$IPTABLES -A OUTPUT -o lo -j ACCEPT<br />
$IPTABLES -A INPUT -i lo -j ACCEPT<br />
<br />
</code><br />
<br />
Die Bedeutung der einzelnen Parameter:<br />
<code><br />
-A bedeutet wir hängen einer Regel an eine existierende Chain (OUTPUT, INPUT, FORWARD etc.)<br />
-o die Schnittstelle zu der das Paket gesendet wird<br />
-i die Schnittstelle von der ein Paket empfangen wird<br />
-j das Target (Ziel) was mit dem Paket geschehen soll, zum Beispiel ACCEPT (akzeptiere das Paket) oder DENY (Lehne es ab)<br />
</code><br />
<br />
So betrachtet sagt die erste Regel:<br />
Hänge diese Regel an den Regelsatz ausgehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle gesendet werden<br />
<br />
und die zweite<br />
Hänge diese Regel an den Regelsatz eingehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle empfangen werden<br />
<br />
Mit anderen Worten sagen beide Regeln, erlauben allen lokalen Programmen die lokale Schnittstelle zu benutzen.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=17145IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-06-03T16:25:23Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|487px|left]][[Bild:Dreiwegehandshake2.jpg|thumb|519px|right]]<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wikepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|600px|left]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code>#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
Hier ein Code-Auschnitt aus dem Skript:<br />
<br />
<code>#Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
Genaugenommen ist iptables also nur das Werkzeug mit der sich Paketfilter erstellen lassen. Was wie gefiltert wird, liegt daran, wie wir iptables konkret einsetzen. Nach den oben beschriebenen Skript wird zunächst alles verboten. Dann beginnt man einzelne Pakte zu erlauben. Dabei muss man berücksichtigen, dass auch auf dem Rechner selbst Programme ablaufen die über eine Netzwerkschnittstelle kommunizieren, selbst dann wenn der Rechner keinen Netzanschluß besitzt. Der Grund ist einfach, Programmentwickler müssen keine Fallunterschiede zwischen Programmteilen vornehmen, die auf entweder auf verteilten Rechnern oder alle auf den gleichen Rechner laufen. Läuft der Dienst auf dem gleichen Rechner so kann er über die lokale Schnittstelle mit der IP-Adresse 127.0.0.1 angesprochen werden. Um Prozesse, die auf dem lokalen Rechner laufen ungestört über diese lokale Schnittstelle kommunizieren zu lassen, können folgende einfache iptables Befehle verwendet werden, wobei wir der Vollständigkeithalber die Zuweisung der itables Programmdatei stehen lassen.<br />
<br />
<code><br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
$IPTABLES -A OUTPUT -o lo -j ACCEPT<br />
$IPTABLES -A INPUT -i lo -j ACCEPT<br />
<br />
</code><br />
<br />
Die Bedeutung der einzelnen Parameter:<br />
<code><br />
-A bedeutet wir hängen einer Regel an eine existierende Chain (OUTPUT, INPUT, FORWARD etc.)<br />
-o die Schnittstelle zu der das Paket gesendet wird<br />
-i die Schnittstelle von der ein Paket empfangen wird</nowiki><br />
-j das Target (Ziel) was mit dem Paket geschehen soll, zum Beispiel ACCEPT (akzeptiere das Paket) oder DENY (Lehne es ab)<br />
</code><br />
<br />
So betrachtet sagt die erste Regel:<br />
Hänge diese Regel an den Regelsatz ausgehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle gesendet werden<br />
<br />
und die zweite<br />
Hänge diese Regel an den Regelsatz eingehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle empfangen werden<br />
<br />
Mit anderen Worten sagen beide Regeln, erlauben allen lokalen Programmen die lokale Schnittstelle zu benutzen.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=17144IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-06-03T16:24:37Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|487px|left]][[Bild:Dreiwegehandshake2.jpg|thumb|519px|right]]<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wikepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|600px|left]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code>#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
Hier ein Code-Auschnitt aus dem Skript:<br />
<br />
<code>#Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
Genaugenommen ist iptables also nur das Werkzeug mit der sich Paketfilter erstellen lassen. Was wie gefiltert wird, liegt daran, wie wir iptables konkret einsetzen. Nach den oben beschriebenen Skript wird zunächst alles verboten. Dann beginnt man einzelne Pakte zu erlauben. Dabei muss man berücksichtigen, dass auch auf dem Rechner selbst Programme ablaufen die über eine Netzwerkschnittstelle kommunizieren, selbst dann wenn der Rechner keinen Netzanschluß besitzt. Der Grund ist einfach, Programmentwickler müssen keine Fallunterschiede zwischen Programmteilen vornehmen, die auf entweder auf verteilten Rechnern oder alle auf den gleichen Rechner laufen. Läuft der Dienst auf dem gleichen Rechner so kann er über die lokale Schnittstelle mit der IP-Adresse 127.0.0.1 angesprochen werden. Um Prozesse, die auf dem lokalen Rechner laufen ungestört über diese lokale Schnittstelle kommunizieren zu lassen, können folgende einfache iptables Befehle verwendet werden, wobei wir der Vollständigkeithalber die Zuweisung der itables Programmdatei stehen lassen.<br />
<br />
<code><br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
$IPTABLES -A OUTPUT -o lo -j ACCEPT<br />
$IPTABLES -A INPUT -i lo -j ACCEPT<br />
<br />
</code><br />
<br />
Die Bedeutung der einzelnen Parameter:<br />
<nowiki><br />
-A bedeutet wir hängen einer Regel an eine existierende Chain (OUTPUT, INPUT, FORWARD etc.)<br />
-o die Schnittstelle zu der das Paket gesendet wird<br />
-i die Schnittstelle von der ein Paket empfangen wird</nowiki><br />
-j das Target (Ziel) was mit dem Paket geschehen soll, zum Beispiel ACCEPT (akzeptiere das Paket) oder DENY (Lehne es ab)<br />
</nowiki><br />
<br />
So betrachtet sagt die erste Regel:<br />
Hänge diese Regel an den Regelsatz ausgehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle gesendet werden<br />
<br />
und die zweite<br />
Hänge diese Regel an den Regelsatz eingehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle empfangen werden<br />
<br />
Mit anderen Worten sagen beide Regeln, erlauben allen lokalen Programmen die lokale Schnittstelle zu benutzen.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=17143IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-06-03T16:23:50Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|487px|left]][[Bild:Dreiwegehandshake2.jpg|thumb|519px|right]]<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wikepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|600px|left]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code>#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
Hier ein Code-Auschnitt aus dem Skript:<br />
<br />
<code>#Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
Genaugenommen ist iptables also nur das Werkzeug mit der sich Paketfilter erstellen lassen. Was wie gefiltert wird, liegt daran, wie wir iptables konkret einsetzen. Nach den oben beschriebenen Skript wird zunächst alles verboten. Dann beginnt man einzelne Pakte zu erlauben. Dabei muss man berücksichtigen, dass auch auf dem Rechner selbst Programme ablaufen die über eine Netzwerkschnittstelle kommunizieren, selbst dann wenn der Rechner keinen Netzanschluß besitzt. Der Grund ist einfach, Programmentwickler müssen keine Fallunterschiede zwischen Programmteilen vornehmen, die auf entweder auf verteilten Rechnern oder alle auf den gleichen Rechner laufen. Läuft der Dienst auf dem gleichen Rechner so kann er über die lokale Schnittstelle mit der IP-Adresse 127.0.0.1 angesprochen werden. Um Prozesse, die auf dem lokalen Rechner laufen ungestört über diese lokale Schnittstelle kommunizieren zu lassen, können folgende einfache iptables Befehle verwendet werden, wobei wir der Vollständigkeithalber die Zuweisung der itables Programmdatei stehen lassen.<br />
<br />
<code><br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
$IPTABLES -A OUTPUT -o lo -j ACCEPT<br />
$IPTABLES -A INPUT -i lo -j ACCEPT<br />
<br />
</code><br />
<br />
Die Bedeutung der einzelnen Parameter:<br />
<nowiki><br />
-A bedeutet wir hängen einer Regel an eine existierende Chain (OUTPUT, INPUT, FORWARD etc.)<br />
-o die Schnittstelle zu der das Paket gesendet wird<br />
-i die Schnittstelle von der ein Paket empfangen wird</nowiki><br />
-j das Target (Ziel) was mit dem Paket geschehen soll, zum Beispiel ACCEPT (akzeptiere das Paket) oder DENY (Lehne es ab)<br />
</nowiki><br />
So betrachtet sagt die erste Regel:<br />
Hänge diese Regel an den Regelsatz ausgehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle gesendet werden<br />
<br />
und die zweite<br />
Hänge diese Regel an den Regelsatz eingehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle empfangen werden<br />
<br />
Mit anderen Worten sagen beide Regeln, erlauben allen lokalen Programmen die lokale Schnittstelle zu benutzen.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=17142IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-06-03T16:22:14Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|487px|left]][[Bild:Dreiwegehandshake2.jpg|thumb|519px|right]]<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wikepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|600px|left]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code>#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
Hier ein Code-Auschnitt aus dem Skript:<br />
<br />
<code>#Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
Genaugenommen ist iptables also nur das Werkzeug mit der sich Paketfilter erstellen lassen. Was wie gefiltert wird, liegt daran, wie wir iptables konkret einsetzen. Nach den oben beschriebenen Skript wird zunächst alles verboten. Dann beginnt man einzelne Pakte zu erlauben. Dabei muss man berücksichtigen, dass auch auf dem Rechner selbst Programme ablaufen die über eine Netzwerkschnittstelle kommunizieren, selbst dann wenn der Rechner keinen Netzanschluß besitzt. Der Grund ist einfach, Programmentwickler müssen keine Fallunterschiede zwischen Programmteilen vornehmen, die auf entweder auf verteilten Rechnern oder alle auf den gleichen Rechner laufen. Läuft der Dienst auf dem gleichen Rechner so kann er über die lokale Schnittstelle mit der IP-Adresse 127.0.0.1 angesprochen werden. Um Prozesse, die auf dem lokalen Rechner laufen ungestört über diese lokale Schnittstelle kommunizieren zu lassen, können folgende einfache iptables Befehle verwendet werden, wobei wir der Vollständigkeithalber die Zuweisung der itables Programmdatei stehen lassen.<br />
<br />
<code><br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
$IPTABLES -A OUTPUT -o lo -j ACCEPT<br />
$IPTABLES -A INPUT -i lo -j ACCEPT<br />
<br />
</code><br />
<br />
Die Bedeutung der einzelnen Parameter:<br />
<br />
-A bedeutet wir hängen einer Regel an eine existierende Chain (OUTPUT, INPUT, FORWARD etc.)<br />
-o die Schnittstelle zu der das Paket gesendet wird<br />
-i die Schnittstelle von der ein Paket empfangen wird<br />
-j das Target (Ziel) was mit dem Paket geschehen soll, zum Beispiel ACCEPT (akzeptiere das Paket) oder DENY (Lehne es ab)<br />
<br />
So betrachtet sagt die erste Regel:<br />
Hänge diese Regel an den Regelsatz ausgehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle gesendet werden<br />
<br />
und die zweite<br />
Hänge diese Regel an den Regelsatz eingehende Pakete, die Regel lautet: Akzeptiere alle Pakete die über die lokale Schnittstelle empfangen werden<br />
<br />
Mit anderen Worten, erlauben allen lokalen Programmen die lokale Schnittstelle zu benutzen.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=17141IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-06-03T16:03:37Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|487px|left]][[Bild:Dreiwegehandshake2.jpg|thumb|519px|right]]<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wikepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|600px|left]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code>#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
Hier ein Code-Auschnitt aus dem Skript:<br />
<br />
<code>#Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]<br />
<br />
<br />
Genaugenommen ist iptables also nur das Werkzeug mit der sich Paketfilter erstellen lassen. Was wie gefiltert wird, liegt daran, wie wir iptables konkret einsetzen.</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16655IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T17:02:08Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|487px|left]][[Bild:Dreiwegehandshake2.jpg|thumb|519px|right]]<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|600px|left]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code>#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
Hier ein Code-Auschnitt aus dem Skript:<br />
<br />
<code>#Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16654IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T16:53:37Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|510px|left]][[Bild:Dreiwegehandshake2.jpg|thumb|510px|right]]<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|600px|left]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code>#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
Hier ein Code-Auschnitt aus dem Skript:<br />
<br />
<code>#Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16651IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T15:16:41Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|300px|center]][[Bild:dreiwegehandshake2.jpg|thumb|300px|center]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|300px|center]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code>#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
Hier ein Code-Auschnitt aus dem Skript:<br />
<br />
<code>#Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16650IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T15:12:51Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|300px|center]][[Bild:dreiwegehandshake2.jpg|thumb|300px|center]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|300px|center]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code>#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
<br />
<nowiki>#</nowiki> Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16649IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T15:11:30Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg|thumb|300px|center]][[Bild:dreiwegehandshake2.jpg|thumb|300px|center]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg|thumb|300px|center]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<code><br />
#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
<br />
<nowiki>#</nowiki> Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
== Quellen und weiterführende Links ==<br />
<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16621IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T11:37:12Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<code><br />
#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
<code><br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile angepasst werden. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16620IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T11:36:11Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptables- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor aber die unterschiedlichen Strategien an einem Beispiel gezeigt werden können, sollte der Umgang mit iptables betrachtet werden. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<code><br />
#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. Wie in solchen Bash-Skripten üblich, wird hier das Programm iptables nicht direkt aufgerufen, sondern es wird eine Variable gesetzt. <br />
<code><br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
</code><br />
Das ist sehr vernünftig, wenn man das Skript in Umgebungen einsetzen will, in denen das Programm iptables aus Sicherheitsgründen umbenannt oder in ein anderes Verzeichnis gesetzt worden ist. Dann muss nur diese eine Zeile anpassen. Außerdem erlaubt das auch Variablen auszulagern. Dazu aber später mehr.<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16619IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T11:29:56Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptable- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor wir aber die unterschiedlichen Strategien erörten, sollten wir den Umgang mit iptables betrachten. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<code><br />
#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. <br />
<br />
Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16618IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T11:24:57Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptable- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor wir aber die unterschiedlichen Strategien erörten, sollten wir den Umgang mit iptables betrachten. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<code><br />
#!/sbin/sh<br />
################## Firewall die alles verbietet<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
################## Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
################## Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. <br />
<br />
Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der folgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16617IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T11:23:23Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptable- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor wir aber die unterschiedlichen Strategien erörten, sollten wir den Umgang mit iptables betrachten. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<code><br />
#!/sbin/sh<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
# Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
# Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. <br />
<br />
Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der folgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16616IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T11:22:03Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptable- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor wir aber die unterschiedlichen Strategien erörten, sollten wir den Umgang mit iptables betrachten. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<code><br />
#!/sbin/sh<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
# Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
<br />
<br />
# Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. <br />
<br />
Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der folgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16615IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T11:17:18Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptable- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor wir aber die unterschiedlichen Strategien erörten, sollten wir den Umgang mit iptables betrachten. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<code>#!/sbin/sh<br />
<br />
# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
# Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
<br />
<br />
# Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. <br />
<br />
Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der folgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16614IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T11:16:35Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptable- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor wir aber die unterschiedlichen Strategien erörten, sollten wir den Umgang mit iptables betrachten. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<code>#!/sbin/sh<br />
<br />
############ Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
############# Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
<br />
<br />
############# Alle eventuell noch vorhandenen Regeln werden gel\uffffscht<br />
<br />
Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. <br />
<br />
Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der folgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16613IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T11:15:50Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptable- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor wir aber die unterschiedlichen Strategien erörten, sollten wir den Umgang mit iptables betrachten. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<code><br />
#!/sbin/sh<br />
<br />
############ Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
############# Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
<br />
<br />
############# Alle eventuell noch vorhandenen Regeln werden gel\uffffscht<br />
<br />
# L\uffffsche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# L\uffffsche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# L\uffffsche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
<br />
<br />
<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. <br />
<br />
Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der folgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16612IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T11:10:05Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptable- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor wir aber die unterschiedlichen Strategien erörten, sollten wir den Umgang mit iptables betrachten. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<code><br />
#!/sbin/sh<br />
<br />
############ Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
############# Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
<br />
<br />
############# Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
<br />
<br />
<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. <br />
<br />
Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der folgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16611IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T10:58:35Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptable- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor wir aber die unterschiedlichen Strategien erörten, sollten wir den Umgang mit iptables betrachten. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<code><br />
############# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
############# Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
<br />
<br />
############# Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
<br />
</code><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. <br />
<br />
Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der folgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16610IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T10:47:55Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptable- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Bevor wir aber die unterschiedlichen Strategien erörten, sollten wir den Umgang mit iptables betrachten. Dazu formulieren wir ein einfaches Skript, das einen Paketfilter einrichtet, der alles verbietet, ganz nach dem Prinzip '''Verbiete zunächst alles und dann erlaube bestimmen Paketen den Verkehr''':<br />
<br />
<nowiki><br />
############# Programm<br />
IPTABLES="/usr/sbin/iptables"<br />
<br />
############# Alle Pakete der Grundeinstellung werden verworfen<br />
<br />
<br />
$IPTABLES -P INPUT DROP<br />
$IPTABLES -P FORWARD DROP<br />
$IPTABLES -P OUTPUT DROP<br />
<br />
<br />
<br />
############# Alle eventuell noch vorhandenen Regeln werden gelöscht<br />
<br />
# Lösche alle Regeln aus der Filter Tabelle<br />
$IPTABLES -F<br />
<br />
# Lösche aller Regeln aus der NAT Tabelle<br />
$IPTABLES -t nat -F<br />
<br />
# Lösche alle selbstdefinierte Regeln<br />
$IPTABLES -X<br />
<br />
</nowiki><br />
<br />
<br />
Ein solches Skript könnte man als Art ultimiativen Paketfilter betrachten, der alles dicht macht. Beim Testen sollte man sicher sein, dass man ein solches Skript nicht remote von einem anderen Rechner ausführt, denn dann sperrt man sich selber aus. <br />
<br />
<br />
<br />
<br />
<br />
Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der folgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16608IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T10:32:26Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das '''SYN''' Bit (steht für synchronize). Unter Synchronozise wird das Senden der Anfangsnummer des TCP-Segmentes verstanden, das aus Sicherheitsgründen nicht mit 1 beginnt, sondern mit einer zufällig ausgewählten laufenden Nummer. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte '''ACK'''-Bit (ACK=Acknowledgement=Bestätigung) und ebenfalls ein '''SYN''' BIT, für die andere Richtung werden also andere Nummern verianbart. Emfängt der erste Rechner diese Bestätigung sendet er zum Abschluß nur das '''ACK'''-Bit und beginnt mit der Übertragung. Das ganze kann noch etwas komplexer sein, aber für unsere Zwecke reichen diese Informationen, siehe Abbildung.<br />
<br />
Wenn man iptable- Regeln formuliert, muss man sich über diesen 3-Wegehandshake immer im Klaren sein. Für eine Neu-Anfrage ist also das SYN-Bit ohne ACK-Bit gesetzt, dass kann ein Pakerfilter feststellen und so zwischen Paketen unterscheiden die eine Verbindung neu aufbauen, oder die zu einer bestehenden Verbindung gehören. Wichtig ist immer das man die Richtung und die Portnummern richtig intepretiert, dort werden die meisten Fehler begannen. Der Client also zum Beispiel ein Webbrowser trägt als Zielport in seine Pakete den Well-Known Port ein, in diesem Fall 80 für http, als Quellport wird ein beliebiger Portonkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Wir betrachten zunächst das einfache Konzept am Bespiel von http. Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der ffolgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16607IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-25T10:18:19Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. <br />
Dazu ist es unerläßlich sich den 3 Wegehandshake unter TCP zu betrachten:<br />
<br />
[[Bild:Dreiwegehandshake1.jpg]][[Bild:dreiwegehandshake2.jpg]]<br />
<br />
<br />
<br />
Wir wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das syn Bit. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte ack-Bit ist gesetzt (ack=Acknowledgement=Bestätigung). Emfängt der erste Rechner diese Bestätigung beginnt er mit der Übertragung. Das ist ganze ist noch etwas komplexer aber für unsere Zwecke reichen diese Informationen. <br />
<br />
Man erkennt, dass für einen Dienst wie http also der Transport in zwei Richtungen notwendig ist. Von einem Client zu einem Server und vom Server zurpck zum Client. In den IP-Headern stehen Quell- und Zieladresse in den UDP- bzw. TCP-Headern die Portnummern und zwar auch 2. Die eine, die Zielportnummer ist meist eine sogenannte well-known Nummer die einen konkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Dabei sind diese Informationen davon abhängig ob das Paket vom Client zum Server oder vom Server zum Client geschickt wird. Betrachten wir das in einem Beispiel. Ein Webbrowser verbindet sich mit einem Webserver um eine Website abzurufen. In dem Paket vom Client mit dem Webbrowser ist die Quell-IP die IP des Client, die Ziel-IP die des Webservers (DNS löst dabei die URL in eine IP auf), die Quell-Portnummer irgendeine Nummer zwischen 1023 und 65525, zum Beispiel 15222 und die Zielportnummer 80. Umgekehrt enthalten dann die Pakete vom Webserver zum Browser als Quell-IP die IP des Webservers, als Ziel-IP die des Webbrowsers, als Quellport den Port 80 und als Zielportnummer in unserem Fall die 15222.<br />
Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Wir betrachten zunächst das einfache Konzept am Bespiel von http. Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der ffolgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=Datei:Dreiwegehandshake2.jpg&diff=16606Datei:Dreiwegehandshake2.jpg2007-05-25T10:17:19Z<p>Gaw: </p>
<hr />
<div></div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=Datei:Dreiwegehandshake1.jpg&diff=16605Datei:Dreiwegehandshake1.jpg2007-05-25T10:16:49Z<p>Gaw: </p>
<hr />
<div></div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16571IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-23T16:24:25Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. Wirr wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das syn Bit. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte ack-Bit ist gesetzt (ack=Acknowledgement=Bestätigung). Emfängt der erste Rechner diese Bestätigung beginnt er mit der Übertragung. Das ist ganze ist noch etwas komplexer aber für unsere Zwecke reichen diese Informationen. <br />
<br />
Man erkennt, dass für einen Dienst wie http also der Transport in zwei Richtungen notwendig ist. Von einem Client zu einem Server und vom Server zurpck zum Client. In den IP-Headern stehen Quell- und Zieladresse in den UDP- bzw. TCP-Headern die Portnummern und zwar auch 2. Die eine, die Zielportnummer ist meist eine sogenannte well-known Nummer die einen konkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Dabei sind diese Informationen davon abhängig ob das Paket vom Client zum Server oder vom Server zum Client geschickt wird. Betrachten wir das in einem Beispiel. Ein Webbrowser verbindet sich mit einem Webserver um eine Website abzurufen. In dem Paket vom Client mit dem Webbrowser ist die Quell-IP die IP des Client, die Ziel-IP die des Webservers (DNS löst dabei die URL in eine IP auf), die Quell-Portnummer irgendeine Nummer zwischen 1023 und 65525, zum Beispiel 15222 und die Zielportnummer 80. Umgekehrt enthalten dann die Pakete vom Webserver zum Browser als Quell-IP die IP des Webservers, als Ziel-IP die des Webbrowsers, als Quellport den Port 80 und als Zielportnummer in unserem Fall die 15222.<br />
Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, Diese Chains sind in der Abbildiung schraffiert. Zu den Chans gehören: PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält dabei alle Tabellen. Die Table Mangle ist dafür zuständig Pakete zu markieren, die Table Filter dient dazu Pakete zu filtern, dass bedeutet abzulehnen (deny) oder zu akzeptieren (accept). Die Table Nat schreibt die Ziel oder Quelladressen (und/oder Ports) um, ist also für das Network Adress Translation, das Masquerading (verallgemeinertes Source-NAT: überschrieben privater Pakete mit der zugwiesenen Adresse ders Providers), das Portforwarding (Portumleitung, z. B bei transparenten Proxies) und das Destination NAT (umschreiben der Pakete aus dem Internet, die an einen Server im Netz gedacht sind). Da NAT entweder vor oder nach den eigentlichen Filter einen Sinn ergibt ist auch nur eine NAT Tabl in den Chains PREROUTUNG und POSTROUTING sinnvoll. <br />
Die INPUT Chain ist für Pakete gedacht, die als Ziel lokale Prozessen auf dem Firewallrechner ansteuern, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain für Pakte deren Uraprung lokale Prozesse des Firewallrechner sind. Die FORWARD Chain ist im Grunde die wichtigste Chain, denn sie ist für die Weiterleitung der Pakete aus dem lokalen Netz ins Internet bzw. umgekeht zuständig. <br />
<br />
Durch Regeln (rules), die in ene Chain eingefügt, angehängt oder gelöscht werden, kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor. Der Filter Iptables ist also genaugenommen ein Werkzeug, mit dem sich ein Paketfilter einrichten lässt. Dabei gibt es ganz verschiedene Strategien. <br />
<br />
Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Wir betrachten zunächst das einfache Konzept am Bespiel von http. Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben. <br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Anhand dieser Regel lassen sich Gundprinzipien erläutern. Zunächst wird das Programm iptables hier nicht direkt, sondern über eine Variable ($IPTABLES) angesprochen. Damit lassen sich solche Skripte unabhöngig von dem genauen Location erstellen. Man kann dann am Anfang eines solchen Skriptes das Programm zuordnen (z.B: <nowiki>IPTABLES=/sbin/siptable</nowiki>s)und muss nicht alle Regeln korrigieren. Das -A bedeutet appand, also hänge diese Regel an den bestehenden Regelkatalog an und zwar in der Chain FORWARD. Die weiteren bestandteile der Regel lassen sich wie folgt beschreiben: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>), ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen oder in Contrackkingmodulen zugeordneten Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung, weil dazu muss ein Verbindunsgaufbau ermögliocht werden. Mit der ffolgenden Regel wird der Verbindungsaufbau und die Verbindungen von einem Client zu einem Webserver zugelassen:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören, oder einer zugeordnet sind (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>), einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Erst beide Regeln erlauben einen Rechner im lokalen Netz eine Website im Internet aufzurufen. In dieser einfachen Strategie wird allen rückläufigen Paketen, das Forwarding mit der ersten Regel erlaubt. Der Zugang wird über über die Erlaubnis geregelt eine neue Verbindung einzugehen.<br />
<br />
<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16479IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-21T00:56:17Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. Wirr wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das syn Bit. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte ack-Bit ist gesetzt (ack=Acknowledgement=Bestätigung). Emfängt der erste Rechner diese Bestätigung beginnt er mit der Übertragung. Das ist ganze ist noch etwas komplexer aber für unsere Zwecke reichen diese Informationen. <br />
<br />
Man erkennt, dass für einen Dienst wie http also der Transport in zwei Richtungen notwendig ist. Von einem Client zu einem Server und vom Server zurpck zum Client. In den IP-Headern stehen Quell- und Zieladresse in den UDP- bzw. TCP-Headern die Portnummern und zwar auch 2. Die eine, die Zielportnummer ist meist eine sogenannte well-known Nummer die einen konkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Dabei sind diese Informationen davon abhängig ob das Paket vom Client zum Server oder vom Server zum Client geschickt wird. Betrachten wir das in einem Beispiel. Ein Webbrowser verbindet sich mit einem Webserver um eine Website abzurufen. In dem Paket vom Client mit dem Webbrowser ist die Quell-IP die IP des Client, die Ziel-IP die des Webservers (DNS löst dabei die URL in eine IP auf), die Quell-Portnummer irgendeine Nummer zwischen 1023 und 65525, zum Beispiel 15222 und die Zielportnummer 80. Umgekehrt enthalten dann die Pakete vom Webserver zum Browser als Quell-IP die IP des Webservers, als Ziel-IP die des Webbrowsers, als Quellport den Port 80 und als Zielportnummer in unserem Fall die 15222.<br />
Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält alle Tabellen. <br />
<br />
INPUT ist die Chain, von Paketen die als Ziel lokalen Prozessen auf dem Firewallrechner besitzen, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain deren Urprung lokale Prozesse sind. Die FORWARD Chain ist die Chain die für die Weiterleitung der Pakete zuständig ist. Die verbleibenden Chains PREROUTING und POSTROUTING sind die verbleibenden Ketten die die beide eine Tabelle Nat enthalten. <br />
<br />
Mit diesen Kerninformationen arbeitet der Paketfilter iptables. Durch Regeln (rules) kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor, es bietet einfach eine Reihe von Möglichkeiten an. Dabei gibt es verschiedene Strategien, die nebeneinander existieren. Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. <br />
<br />
Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Wir betrachten zunächst das einfache Konzept am Bespiel von http. Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben<br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>) und ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung. Jetzt muss auch noch der Verbindungsaufbau und die Verbindungen vom Client zum Server zugelassen werden:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>) und einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
<br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
----<br />
<br />
[[Netzwerk|zurück zum Netzwerk]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16139IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-19T18:00:16Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. Wirr wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das syn Bit. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte ack-Bit ist gesetzt (ack=Acknowledgement=Bestätigung). Emfängt der erste Rechner diese Bestätigung beginnt er mit der Übertragung. Das ist ganze ist noch etwas komplexer aber für unsere Zwecke reichen diese Informationen. <br />
<br />
Man erkennt, dass für einen Dienst wie http also der Transport in zwei Richtungen notwendig ist. Von einem Client zu einem Server und vom Server zurpck zum Client. In den IP-Headern stehen Quell- und Zieladresse in den UDP- bzw. TCP-Headern die Portnummern und zwar auch 2. Die eine, die Zielportnummer ist meist eine sogenannte well-known Nummer die einen konkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Dabei sind diese Informationen davon abhängig ob das Paket vom Client zum Server oder vom Server zum Client geschickt wird. Betrachten wir das in einem Beispiel. Ein Webbrowser verbindet sich mit einem Webserver um eine Website abzurufen. In dem Paket vom Client mit dem Webbrowser ist die Quell-IP die IP des Client, die Ziel-IP die des Webservers (DNS löst dabei die URL in eine IP auf), die Quell-Portnummer irgendeine Nummer zwischen 1023 und 65525, zum Beispiel 15222 und die Zielportnummer 80. Umgekehrt enthalten dann die Pakete vom Webserver zum Browser als Quell-IP die IP des Webservers, als Ziel-IP die des Webbrowsers, als Quellport den Port 80 und als Zielportnummer in unserem Fall die 15222.<br />
Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
Mit diesen Kerninformationen arbeitet der Paketfilter iptables. Durch Regeln (rules) kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor, es bietet einfach eine Reihe von Möglichkeiten an. Dabei gibt es verschiedene Strategien, die nebeneinander existieren. Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. <br />
<br />
Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Wir betrachten zunächst das einfache Konzept am Bespiel von http. Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben<br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>) und ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung. Jetzt muss auch noch der Verbindungsaufbau und die Verbindungen vom Client zum Server zugelassen werden:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>) und einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält alle Tabellen. <br />
<br />
INPUT ist die Chain, von Paketen die als Ziel lokalen Prozessen auf dem Firewallrechner besitzen, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain deren Urprung lokale Prozesse sind. Die FORWARD Chain ist die Chain die für die Weiterleitung der Pakete zuständig ist. Die verbleibenden Chains PREROUTING und POSTROUTING sind die verbleibenden Ketten die die beide eine Tabelle Nat enthalten. <br />
<br />
Wenn ich wieder etwas Zeit habe gehts weiter....<br />
<br />
----<br />
<br />
<br />
<br />
<br />
<br />
[[TCP/IP-Netzwerke und Internetzugang]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16138IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-19T17:59:15Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. Wirr wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das syn Bit. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte ack-Bit ist gesetzt (ack=Acknowledgement=Bestätigung). Emfängt der erste Rechner diese Bestätigung beginnt er mit der Übertragung. Das ist ganze ist noch etwas komplexer aber für unsere Zwecke reichen diese Informationen. <br />
<br />
Man erkennt, dass für einen Dienst wie http also der Transport in zwei Richtungen notwendig ist. Von einem Client zu einem Server und vom Server zurpck zum Client. In den IP-Headern stehen Quell- und Zieladresse in den UDP- bzw. TCP-Headern die Portnummern und zwar auch 2. Die eine, die Zielportnummer ist meist eine sogenannte well-known Nummer die einen konkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Dabei sind diese Informationen davon abhängig ob das Paket vom Client zum Server oder vom Server zum Client geschickt wird. Betrachten wir das in einem Beispiel. Ein Webbrowser verbindet sich mit einem Webserver um eine Website abzurufen. In dem Paket vom Client mit dem Webbrowser ist die Quell-IP die IP des Client, die Ziel-IP die des Webservers (DNS löst dabei die URL in eine IP auf), die Quell-Portnummer irgendeine Nummer zwischen 1023 und 65525, zum Beispiel 15222 und die Zielportnummer 80. Umgekehrt enthalten dann die Pakete vom Webserver zum Browser als Quell-IP die IP des Webservers, als Ziel-IP die des Webbrowsers, als Quellport den Port 80 und als Zielportnummer in unserem Fall die 15222.<br />
Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
Mit diesen Kerninformationen arbeitet der Paketfilter iptables. Durch Regeln (rules) kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor, es bietet einfach eine Reihe von Möglichkeiten an. Dabei gibt es verschiedene Strategien, die nebeneinander existieren. Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. <br />
<br />
Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Wir betrachten zunächst das einfache Konzept am Bespiel von http. Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben<br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>) und ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung. Jetzt muss auch noch der Verbindungsaufbau und die Verbindungen vom Client zum Server zugelassen werden:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>) und einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält alle Tabellen. <br />
<br />
INPUT ist die Chain, von Paketen die als Ziel lokalen Prozessen auf dem Firewallrechner besitzen, das können zum Beispiel Pakete sein, die zu ssh Verbindungen oder zu DNS-Anfragen gehören. OUTPUT ist die Chain deren Urprung lokale Prozesse sind. Die FORWARD Chain ist die Chain die für die Weiterleitung der Pakete zuständig ist. Die verbleibenden Chains PREROUTING und POSTROUTING sind die verbleibenden Ketten die die beide eine Tabelle Nat enthalten. <br />
<br />
<br />
<br />
----<br />
<br />
<br />
<br />
<br />
<br />
[[TCP/IP-Netzwerke und Internetzugang]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16131IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-19T17:39:09Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. Wirr wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das syn Bit. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte ack-Bit ist gesetzt (ack=Acknowledgement=Bestätigung). Emfängt der erste Rechner diese Bestätigung beginnt er mit der Übertragung. Das ist ganze ist noch etwas komplexer aber für unsere Zwecke reichen diese Informationen. <br />
<br />
Man erkennt, dass für einen Dienst wie http also der Transport in zwei Richtungen notwendig ist. Von einem Client zu einem Server und vom Server zurpck zum Client. In den IP-Headern stehen Quell- und Zieladresse in den UDP- bzw. TCP-Headern die Portnummern und zwar auch 2. Die eine, die Zielportnummer ist meist eine sogenannte well-known Nummer die einen konkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Dabei sind diese Informationen davon abhängig ob das Paket vom Client zum Server oder vom Server zum Client geschickt wird. Betrachten wir das in einem Beispiel. Ein Webbrowser verbindet sich mit einem Webserver um eine Website abzurufen. In dem Paket vom Client mit dem Webbrowser ist die Quell-IP die IP des Client, die Ziel-IP die des Webservers (DNS löst dabei die URL in eine IP auf), die Quell-Portnummer irgendeine Nummer zwischen 1023 und 65525, zum Beispiel 15222 und die Zielportnummer 80. Umgekehrt enthalten dann die Pakete vom Webserver zum Browser als Quell-IP die IP des Webservers, als Ziel-IP die des Webbrowsers, als Quellport den Port 80 und als Zielportnummer in unserem Fall die 15222.<br />
Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
Mit diesen Kerninformationen arbeitet der Paketfilter iptables. Durch Regeln (rules) kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor, es bietet einfach eine Reihe von Möglichkeiten an. Dabei gibt es verschiedene Strategien, die nebeneinander existieren. Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. <br />
<br />
Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Wir betrachten zunächst das einfache Konzept am Bespiel von http. Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben<br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>) und ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung. Jetzt muss auch noch der Verbindungsaufbau und die Verbindungen vom Client zum Server zugelassen werden:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>) und einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Außennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Außennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
Man erkennt dass der Paketfilter iptables in sogenannten Chains (Ketten) aufgeteilt ist, PREROUTUNG, INPUT, OUTPUT, FORWARD und POSTROUTING. Diese Chains enthalten verschiedene Tables (Tabellen) die iptables ihren Namen geben. Nicht jede Kette enthält alle Tabellen. <br />
<br />
<br />
<br />
<br />
<br />
----<br />
<br />
<br />
<br />
<br />
<br />
[[TCP/IP-Netzwerke und Internetzugang]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16126IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-19T17:19:08Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. Wirr wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das syn Bit. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte ack-Bit ist gesetzt (ack=Acknowledgement=Bestätigung). Emfängt der erste Rechner diese Bestätigung beginnt er mit der Übertragung. Das ist ganze ist noch etwas komplexer aber für unsere Zwecke reichen diese Informationen. <br />
<br />
Man erkennt, dass für einen Dienst wie http also der Transport in zwei Richtungen notwendig ist. Von einem Client zu einem Server und vom Server zurpck zum Client. In den IP-Headern stehen Quell- und Zieladresse in den UDP- bzw. TCP-Headern die Portnummern und zwar auch 2. Die eine, die Zielportnummer ist meist eine sogenannte well-known Nummer die einen konkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Dabei sind diese Informationen davon abhängig ob das Paket vom Client zum Server oder vom Server zum Client geschickt wird. Betrachten wir das in einem Beispiel. Ein Webbrowser verbindet sich mit einem Webserver um eine Website abzurufen. In dem Paket vom Client mit dem Webbrowser ist die Quell-IP die IP des Client, die Ziel-IP die des Webservers (DNS löst dabei die URL in eine IP auf), die Quell-Portnummer irgendeine Nummer zwischen 1023 und 65525, zum Beispiel 15222 und die Zielportnummer 80. Umgekehrt enthalten dann die Pakete vom Webserver zum Browser als Quell-IP die IP des Webservers, als Ziel-IP die des Webbrowsers, als Quellport den Port 80 und als Zielportnummer in unserem Fall die 15222.<br />
Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
Mit diesen Kerninformationen arbeitet der Paketfilter iptables. Durch Regeln (rules) kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor, es bietet einfach eine Reihe von Möglichkeiten an. Dabei gibt es verschiedene Strategien, die nebeneinander existieren. Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. <br />
<br />
Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Wir betrachten zunächst das einfache Konzept am Bespiel von http. Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben<br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>) und ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung. Jetzt muss auch noch der Verbindungsaufbau und die Verbindungen vom Client zum Server zugelassen werden:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>) und einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten. In der Abbildung ist der Weg durch den Paketfilter im Linuxkernel vorgezeichnet, im linken Bild Pakete die ins LAN gelangen, entweder aus dem Aussennetz (oft das Internet) oder von dem Firewallrechner selbst, im rechten Bild ist der Weg vom LAN ins Aussennetz dargestellt<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
<br />
<br />
<br />
----<br />
<br />
[[TCP/IP-Netzwerke und Internetzugang]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=IP-Tables_Skripte_fuer_Single_Host,_SMB-Server_und_Router&diff=16125IP-Tables Skripte fuer Single Host, SMB-Server und Router2007-05-19T17:16:01Z<p>Gaw: </p>
<hr />
<div>Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. Wirr wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das syn Bit. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte ack-Bit ist gesetzt (ack=Acknowledgement=Bestätigung). Emfängt der erste Rechner diese Bestätigung beginnt er mit der Übertragung. Das ist ganze ist noch etwas komplexer aber für unsere Zwecke reichen diese Informationen. <br />
<br />
Man erkennt, dass für einen Dienst wie http also der Transport in zwei Richtungen notwendig ist. Von einem Client zu einem Server und vom Server zurpck zum Client. In den IP-Headern stehen Quell- und Zieladresse in den UDP- bzw. TCP-Headern die Portnummern und zwar auch 2. Die eine, die Zielportnummer ist meist eine sogenannte well-known Nummer die einen konkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Dabei sind diese Informationen davon abhängig ob das Paket vom Client zum Server oder vom Server zum Client geschickt wird. Betrachten wir das in einem Beispiel. Ein Webbrowser verbindet sich mit einem Webserver um eine Website abzurufen. In dem Paket vom Client mit dem Webbrowser ist die Quell-IP die IP des Client, die Ziel-IP die des Webservers (DNS löst dabei die URL in eine IP auf), die Quell-Portnummer irgendeine Nummer zwischen 1023 und 65525, zum Beispiel 15222 und die Zielportnummer 80. Umgekehrt enthalten dann die Pakete vom Webserver zum Browser als Quell-IP die IP des Webservers, als Ziel-IP die des Webbrowsers, als Quellport den Port 80 und als Zielportnummer in unserem Fall die 15222.<br />
Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
Mit diesen Kerninformationen arbeitet der Paketfilter iptables. Durch Regeln (rules) kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor, es bietet einfach eine Reihe von Möglichkeiten an. Dabei gibt es verschiedene Strategien, die nebeneinander existieren. Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. <br />
<br />
Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Wir betrachten zunächst das einfache Konzept am Bespiel von http. Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben<br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>) und ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung. Jetzt muss auch noch der Verbindungsaufbau und die Verbindungen vom Client zum Server zugelassen werden:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>) und einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
<br />
Bevor wir nun in media res gehen (Für Nichtlateiner zum Pudels Kern vorstoßen) müssen wir uns die grundsätzlichen Verlauf der Pakete in iptables betrachten.<br />
<br />
[[Bild:iptables.jpg]]<br />
<br />
----<br />
<br />
[[TCP/IP-Netzwerke und Internetzugang]]<br />
<br />
[[Category:TCP/IP]]</div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=Datei:Iptables.jpg&diff=16124Datei:Iptables.jpg2007-05-19T17:13:18Z<p>Gaw: </p>
<hr />
<div></div>Gawhttps://linupedia.org/wiki/mediawiki/index.php?title=Netzwerk&diff=16035Netzwerk2007-05-19T03:07:00Z<p>Gaw: /* IP-Tables Skripte für Single Host, SMB-Server und Router */</p>
<hr />
<div>== Grundlagen ==<br />
<br />
* [[TCP/IP und Routing Grundwissen]]<br />
Beschreibt Aufzucht und Hege von TCP/IP-Subnetzen. Wer einen Router konfigurieren will, sollte wissen, was ein Subnetz ist.<br />
<br />
* [[Wie wählt man sich ins Internet ein]]<br />
Anleitung für Newbies<br />
<br />
== Netzwerkgeräte ==<br />
<br />
* [[Netzwerkkarte]]<br />
* [[DSL]]<br />
<br />
== Router ==<br />
<br />
* [[Internetzugang mit Linux-Rechner als Router]] Beschreibt wie man Linux konfiguriert sodass mehrere Rechner die Internetverbindung eines Linux-Rechners nutzen können.<br />
* [[Internet-Zugang über Router]] Beschreibt wie man Linux konfiguriert, um über einen Router ins Internet zu gehen.<br />
* [[Linux-Firewall hinter Hardware-Router]] Beschreibt wie man Linux konfiguriert sodass mehrere Rechner die Internetverbindung eines Linux-Rechners nutzen können. Dabei geht der Linux-Rechner selbst via Router ins Internet, d.h. es sind zwei Router hintereinandergeschaltet.<br />
<br />
== Probleme ==<br />
=== [[Tests bei Problemen mit der Internetverbindung]] ===<br />
Beschreibt wie man bei Problemen mit der Internetverbindung jene einkreisen kann.<br />
<br />
=== [[Internetverbindungsprobleme - IPv6 MTU DNS]] ===<br />
Auch wenn man eigentlich alles richtig gemacht hat, klappt's manchmal einfach nicht mit dem Internet. Hier werden die üblichen Verdächtigen beschrieben:<br />
* ipv6 ist aktiviert, wird aber sonst nicht verwendet<br />
* die MTU ist zu groß<br />
* DNS-Weiterleitung im Router funktioniert nicht richtig<br />
<br />
=== [[Probleme bei WLAN mit zweiter Netzwerkkarte]] ===<br />
<br />
Wenn man zwei Netzwerkkarten hat, kann man bestimmte Probleme bekommen (z.B. dass eine davon nicht angeschlossen ist, Linux aber versucht darüber zu kommunizieren).<br />
<br />
=== [[DNS Problem SuSE 9.1 und mit .local Domänen / MDNS]] ===<br />
[http://www.linux-club.de/ftopic6067.html DNS Problem SuSE 9.1+ mit .local Domänen / MDNS]<br />
<br />
Seit SuSE Linux 9.1 ist standardmäßig Multicast DNS aktiviert was zu Problemen mit der <code>*.local</code> DNS-Zone führt. Leider schlägt Microsoft diese bei der Einrichtung von Active Directory gerne vor.<br />
<br />
=== [[Zugangsdaten für verschiedene Internet-Provider]] ===<br />
<br />
== Allgemeine Tips ==<br />
<br />
=== [[Nützliche Links zum Thema]] ===<br />
<br />
=== [[Windows-Tools zur Kommunikation mit Linux]] ===<br />
<br />
=== [[Wie etwas posten wenn's Netz nicht geht|Wie etwas posten wenn's Netz nicht geht?]] ===<br />
<br />
== Spezielle Hardware und Treiber ==<br />
<br />
=== [[T-Sinusdata unter Linux]] ===<br />
http://www.linux-club.de/ftopic40729.html<br />
<br />
=== [[USB-Modem, CDC-Ethernet und SuSE . Problem]] ===<br />
http://www.linux-club.de/ftopic45256.html<br />
<br />
=== [[Infos zu Win Modems]] ===<br />
<br />
=== [[Installation des dsl-Zugangsprogram rp-pppoe]] ===<br />
http://www.linux-club.de/ftopic19565.html<br />
<br />
=== [[Verbindungsabbrüche bei diversen Webseiten]] ===<br />
http://www.linux-club.de/ftopic28540.html<br />
beschreibt ein Problem mit 'TCP window scaling and broken routers'<br />
<br />
Alternativ empfiehlt es sich, bei Problemen mal zu versuchen, TCP S-ACK (nicht das gleiche wie Window Scaling) auszuschalten<br />
<br />
echo 0 >/proc/sys/net/ipv4/tcp_sack<br />
<br />
== Firewall im Eigenbau ==<br />
<br />
=== [[Firewall-Eigenbau-Mini-Howto]] ===<br />
<br />
[[IP-Tables Skripte für Single Host, SMB-Server und Router]]<br />
<br />
<br />
Der Paketfilter iptables ist ein sehr komplexer Paketfilter der viele Möglichkeiten bietet.<br />
Ein Paketfilter wie iptables arbeitet grundsätzlich auf der 3. und 4. OSI-Schicht, die auch als Vermittlunsschicht (auch Netzwerkschicht, englisch network layer) und der Transportschicht (eng. transport layer) arbeitet.<br />
<br />
Was kann man mit diesen Informationen anfangen? Nun zum einen muss man wissen, dass der gesamte Internetverkehr wie wir ihn kennen über Datenpakete organisiert wird. Ein solches Datenpaket ist einfach ein Folge von Bits die hintereinander gesendet werden und bevor die eigentlichen Daten folgen Steuerindormationen in einem Header besitzt. Auf Grund der Komplexität der im Internet eingestzten Technologien werden dabei diese Datenpakete ineinander geschachtelt wie die russischen Matruschkas, die ineinander verschachtelten Puppen. Das bedeutet einfach das in einem Datenpaket das man empfängt Datenpakete ineinander verschachtelt liegen, in einem typischen Fall sind das von außen nach innen Ethernet-Frame, IP-Datagramm, TCP-Segment, HTTP-Request.<br />
Der Paketfilter untersucht also ein IP-Datagramm (oder auch ein ICMP-Datagramm) und das dazugehörige UDP-Datagramme oder TCP-Segment in denen Informationen wie Ziel- und Quell IP-Adresse, die Portnummern und der Zustand einer TCP-Verbindung. <br />
<br />
Die Portnummer sagen einem Rechner an welchen lauschenden Dienst er ein TCP-Segment schicken soll, so bedeutet beispielsweise der Port 80 dass eine Anfrage an einen Webserver gestellt wurde. Bevor wir uns aber genau anschauen wie IP-Tables arbeitet müssen wir uns noch den Drei-Wege Handshake betrachten. Wirr wollen dabei nicht zu sehr in die technischen Einzelheiten gehen, das kann man sich in entsprechenden Wickepediaartikeln selbst durchlesen, wichtig ist, das zunöchst eine Anfrage für einen Verbindungsaufbau erfolgt, das entsprechende Bit im TCP-Header ist das syn Bit. Wenn der anderer Rechner diesen Port freigeschaltet hat und ein Dienst an ihm horcht dann sendet dieser Rechner ein TCP-Segment mit einer Bestätigung zurück das sogenannte ack-Bit ist gesetzt (ack=Acknowledgement=Bestätigung). Emfängt der erste Rechner diese Bestätigung beginnt er mit der Übertragung. Das ist ganze ist noch etwas komplexer aber für unsere Zwecke reichen diese Informationen. <br />
<br />
Man erkennt, dass für einen Dienst wie http also der Transport in zwei Richtungen notwendig ist. Von einem Client zu einem Server und vom Server zurpck zum Client. In den IP-Headern stehen Quell- und Zieladresse in den UDP- bzw. TCP-Headern die Portnummern und zwar auch 2. Die eine, die Zielportnummer ist meist eine sogenannte well-known Nummer die einen konkreten Dienst wie http, pop3 oder smtp anspricht. Die andere ist mit einem konkreten Prozeß auf dem Client verbunden, zum Beispiel einen Webbrowser. <br />
<br />
Es gehören also 4 relevante Informationen zu einem Paket, die Rechner und Prozess adressieren, die Quell-IP, die Ziel-IP, die Quellportnummer und die Zielportnummer. Dabei sind diese Informationen davon abhängig ob das Paket vom Client zum Server oder vom Server zum Client geschickt wird. Betrachten wir das in einem Beispiel. Ein Webbrowser verbindet sich mit einem Webserver um eine Website abzurufen. In dem Paket vom Client mit dem Webbrowser ist die Quell-IP die IP des Client, die Ziel-IP die des Webservers (DNS löst dabei die URL in eine IP auf), die Quell-Portnummer irgendeine Nummer zwischen 1023 und 65525, zum Beispiel 15222 und die Zielportnummer 80. Umgekehrt enthalten dann die Pakete vom Webserver zum Browser als Quell-IP die IP des Webservers, als Ziel-IP die des Webbrowsers, als Quellport den Port 80 und als Zielportnummer in unserem Fall die 15222.<br />
Zusätzlich enthält der TCP-Header den Status der Verbindung, ist es eine Anfrage, eine Bestätigung oder ein normales Paket das zu einer aufgebauten Verbindung gehört.<br />
<br />
Mit diesen Kerninformationen arbeitet der Paketfilter iptables. Durch Regeln (rules) kann der Anwender definieren welche Pakete durchgelassen werden. Wie man diese Regeln erstellt, das schreibt iptables nicht vor, es bietet einfach eine Reihe von Möglichkeiten an. Dabei gibt es verschiedene Strategien, die nebeneinander existieren. Der Vorläufer von iptables, das ipchain untersuchte nur die IP-Adressen und Portnummern. Man musste also stets in beiden Richtungen sperren, um in inserem Beispiel zu bleiben, sowohl die Pakete vom Client zum Server als auch visa verce. <br />
<br />
Mit iptables lassen sich aber auch die Zustände von Verbindungen betrachten. Durch die gesetzten Bits kann man nämlich Neuanfragen von Paketen die zu bestehenden Verbindungen gehören unterscheiden. Diese Fähigkeit wird als stateful inspection (Betrachtung des Zustandes) bezeichnet. Dadurch ist es möglich alle rückwärtigen Pakete, die also zu bestehenden Verbindungen gehören zu erlauben und den Paketfilter so zu betreiben, indem man sich auf die Pakete konzentriert, die einen Verbindungsaufbau initieren. Dieser einfachen Strategie steht auch eine komplexere Strategie gegenüber die auch die zu einer bestehenden Verbindung gehörenden Pakete nicht generell sondern gezielt erlaubt. Diese etwas sichere aber aufwendige Strategie erwartet pro Dienst zwei Regelsätze, die einfache Strategie ein Regelsatz.<br />
<br />
Wir betrachten zunächst das einfache Konzept am Bespiel von http. Irgendwo müssen wir die zu bestehenden Verbindungen gehörende Pakete erlauben<br />
<br />
<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp state --state ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j accept</nowiki>) alle Paketen den Transport, die über diese Firewall laufen (<nowiki>FORWARD</nowiki>) und ins lokale Netz wollen (<nowiki>-s $LOCAL_NET</nowiki>) und zu bestehenden Verbindungen gehören (<nowiki>--state STABLISHED,RELATED</nowiki>)<br />
<br />
<br />
Die rückwärtigen Verbindungen alleine erlauben jedoch noch keine Verbindung. Jetzt muss auch noch der Verbindungsaufbau und die Verbindungen vom Client zum Server zugelassen werden:<br />
<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki> <br />
<br />
Hier steht also: Erlaube (<nowiki>-j Accept</nowiki>) alle Pakete den Transport, die aus dem lokalen Netz stammen (<nowiki>-s $LOCAL_NET</nowiki>) die einem neuen Verbundungsaufbau einleiten oder zu einer Verbindung gehören (<nowiki> --state NEW,ESTABLISHED,RELATED</nowiki>) und einen Webserver kontaktieren (<nowiki>--dport http</nowiki> ) und deren Quellportnummern über 1024 liegen (<nowiki> --sport $PORTS_HIGH</nowiki>).<br />
<br />
Dagegen sieht die doppelte Strategie so aus, wobei natürlich klar ist das zu jedem erlaubten Port zwei Regeln notwendig sind:<br />
<br />
Verbindungen vom Client zum Server:<br />
<nowiki>$IPTABLES -A FORWARD -s $LOCAL_NET -p tcp --sport $PORTS_HIGH --dport http -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
Verbindungen vom Server zum Client:<br />
<nowiki>$IPTABLES -A FORWARD -d $LOCAL_NET -p tcp --dport $PORTS_HIGH --sport http -m state --state ESTABLISHED,RELATED -j ACCEPT</nowiki><br />
<br />
<br />
In der zweiten Regel werden also explizit nur die Pakete erlaubt die zu bestehenden http Verbindungen gehören, während bei der ersten Methode alle zu bestehenden Verbindungen gehörende Pakete erlaubt sind.<br />
<br />
Für heute mache ich Schluss, den Rest erläutere ich später.<br />
<br />
== Diverses ==<br />
<br />
=== [[Internet routen zu Windowsrechner]] ===<br />
http://www.linux-club.de/viewtopic.php?t=9460 zusammenfassen<br />
<br />
=== [[Kanalbündelung ISDN - permanent!]] ===<br />
http://www.linux-club.de/viewtopic.php?t=39732 zusammenfassen<br />
<br />
=== [[eth0 und eth1 Tauschen]] ===<br />
Siehe <code>/etc/udev/rules.d/30-net_persistent_names.rules</code><br />
<br />
=== [[Router und 9.1]] ===<br />
http://www.linux-club.de/viewtopic.php?t=9440 zusammenfassen<br />
<br />
=== Active FTP vs. Passive FTP, a Definitive Explanation ===<br />
http://slacksite.com/other/ftp.html<br />
<br />
<br />
=== [[UDP]] ===<br />
Das User Datagram Protocol (Abk. UDP) ist ein minimales, verbindungsloses Netzprotokoll, das zur Transportschicht der Internetprotokollfamilie gehört. <br />
----<br />
[[Netzwerkprotokoll|Zurück zu Netzwerkprotokol]]<br />
[[Kategorie:Netzwerkgrundlagen]]<br />
[[Category:TCP/IP]]<br />
[[Kategorie:Übersicht]]</div>Gaw