1 / 41

Hálózat menedzsment

Hálózat menedzsment. Óravázlat Készítette: Toldi Miklós. A csomagszűrés teljes menete. http://jengelh.medozas.de/images/nf-packet-flow.png. A csomagszűrés egyszerűsített menete. Láncok (chains). INPUT OTPUT FORWARD PREROUTING POSTROUTING. Tűzfal parancsok – I.

Download Presentation

Hálózat menedzsment

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Hálózat menedzsment Óravázlat Készítette: Toldi Miklós

  2. A csomagszűrés teljes menete http://jengelh.medozas.de/images/nf-packet-flow.png

  3. A csomagszűrés egyszerűsített menete

  4. Láncok (chains) • INPUT • OTPUT • FORWARD • PREROUTING • POSTROUTING

  5. Tűzfal parancsok – I. A tűzfal állítása mindig az iptables (vagy IPv6 esetén ip6tables) használatával történik. Ehhez root jog szükséges. • Létező szabályok listázása iptables –L Más táblák esetén iptables –t nat –L

  6. Tűzfal parancsok – II. Listázás, numerikus paraméterekkel iptables –L –n Listázás, sorszámozással iptables -L --line-numbers Listázás, csomagszám és méret információkkal iptables –L -v

  7. Tűzfal parancsok – III. • Egy lánc alapértelmezett szabályának beállítása iptables –P lánc_neve szabály Pl. iptables –P INPUT DROP

  8. Tűzfal parancsok – III. • Összes szabály törlése egy láncból iptables –F lánc_neve Pl. iptables –F INPUT

  9. Tűzfal parancsok – IV. • Lánc létrehozása iptables –N lánc_neve Pl. iptables –N myfilter • Lánc átnevezése iptables –E lánc_régi_neve lánc_új_neve Pl. iptables –E myfilter myszuro

  10. Tűzfal parancsok – V. • Lánc törlése iptables –X lánc_neve Pl. iptables –X myszuro • Lánc csomag és forgalomszámláló nullázása iptables –Z lánc_neve Pl. iptables –Z INPUT

  11. Tűzfal szabályok hozzáadása – I. iptables [-t tábla_neve] –A lánc_neve opciók -j cél Pl. iptables –A INPUT –i eth0 –j ACCEPT iptables –t nat –A PREROUTING –s 127.0.0.1 –j DROP

  12. Tűzfal szabályok hozzáadása – II. Lehetséges táblák: - filter (alapértelmezett) - nat - mangle - raw

  13. Tűzfal szabályok hozzáadása – III. Lehetséges célok, alapértelmezetten - ACCEPT – csomag elfogadása - DROP – csomag eldobása, visszajelzés nélkül - REJECT - csomag eldobása, és visszajelzés küldése - QUEUE – csomag elküldése egy programhoz - lánc_neve – csomag átküldése egy másik láncba - RETURN – csomag visszatér egy adott láncból, annak szülő láncához

  14. Tűzfal szabályok hozzáadása – IV. • Lehetséges opciók - -s forrás IP cím - -d cél IP cím - -p protokoll - -i hálókártya, ahonnan a csomag érkezett - -o hálókártya, ahol a csomag távozni fog A felsorolt opcióknál a paraméter elé rakott felkiáltójel, annak negálást jelzi.

  15. Tűzfal szabályok beszúrása Az újonnan hozzáadott szabály mindig a lánc végére kerül. Van arra azonban lehetőség, hogy az új szabály a lánc egy adott pozíciójára kerüljön. iptables –I lánc_neve [szabály_szám] opciók -j cél Pl. iptables –I INPUT 12 –i eth0 –j ACCEPT

  16. Tűzfal szabály törlése A törlés kétféle módon történhet. A törlendő szabály teljes megadásával. vagy a törlendő szabály számával. iptables –D szabály_definiciója iptables –D lánc_neve szabály_száma Pl. iptables –D INPUT –i eth0 –j ACCEPT iptables –D INPUT 12

  17. Tűzfal szabály cseréje Van arra is lehetőség, hogy egy létező tűzfal szabályt lecseréljünk egy másikra. Ehhez ismerni kell a cserélendő szabály számát. iptables –R lánc_neve szabály_száma szabály_definiciója Pl. iptables –R INPUT 12 –s 127.0.0.1 –j ACCEPT

  18. Kiterjesztések – I. Mind az opciók, mind a célok bővíthetőek kiterjesztések használatával. Ha egy használni kívánt kiterjesztés nincs a kernelbe befordítva, akkor külön be kell tölteni, hogy használni lehessen. Pl. modprobe xt_connlimit

  19. Kiterjesztések – II. A kiterjesztések használata általában az opciók közt -m kiterjesztés_neve kiterjesztés_opciói formában lehetséges. Pl. iptables –A INPUT -m connbytes --connbytes 10000:100000 --connbytes-dir both ……

  20. Kiterjesztések – III. • comment Megjegyzést (max. 256 db karakter) írhatunk vele bármelyik szabályhoz. Pl. iptables -A INPUT -s 192.168.0.0/16 -m comment --comment „Belso IP cim blokkolasa"

  21. Kiterjesztések – IV. • tcp Ezt a modult a –p tcp opció használatával lehet elérni. A tcp csomagok kezeléséhez ad pár lehetőséget. --sport – a tcp csomag forrás portja --dport – a tcp csomag cél portja --tcp-flags a tcp csomag jelzőbitjeit lehet ezzel vizsgálni. --syn – a tcp csomag syn csomag jellegét lehet szűrni ezzel.

  22. Kiterjesztések – V. • udp Ezt a modult a –p udp opció használatával lehet elérni. Az udp csomagok kezeléséhez ad kettő lehetőséget. --sport – az udp csomag forrás portja --dport – az udp csomag cél portja

  23. Kiterjesztések – VI. • icmp Ezt a modult a –p icmp opció használatával lehet elérni. Az icmp csomagok szűréséhez lehet használni. --icmp-type icmp_csomag_típusa Pl. echo-reply (pong) echo-request (ping) time-exceeded destination-unreachable

  24. Kiterjesztések – VII. • connlimit Lehetővé teszi, hogy korlátozzuk a párhuzamos kapcsolatok számát. --connlimit-above - párhuzamos kapcsolatok száma --connlimit-mask – az érkező címek netmaskja iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 3 -j DROP

  25. Kiterjesztések – VIII. • state Ez a kiterjesztés teszi állapottartóvá a tűzfalat. --state állapot Lehetséges állapotok: • INVALID – nem lehet megállapítani az állapotát a csomagnak • NEW – új kapcsolathoz tartozó csomag • ESHTABLSHED – már létező kapcsolathoz tartozó csomag • RELATED – új kapcsolathoz tartozó csomag, de az új kapcsolat már összefügg egy már létező kapcsolattal.

  26. Kiterjesztések – IX. • iprange Lehetővé teszi, hogy IP cím tartományokat kezeljünk a szűrési szabályokban. --src-range kezdet[-veg] – az IP csomag forrás címéből alkothatunk tartományt. --dst-range kezdet[-veg] – az IP csomag céljának címéből alkothatunk tartományt.

  27. Kiterjesztések – X. • limit A kiterjesztés használata lehetővé teszi, hogy a szűrési szabályokban kezeljük, hogy egy adott típusú csomagból mekkora darabszámú érkezik be adott idő alatt. --limit rate – az időtartam, amely alatt a mérés történik. --limit-burst – a határszám, amely meghaladása esetén a mérés kezdődik.

  28. Kiterjesztések – XI. • mac Ez a kiterjesztés lehetővé teszi, hogy a MAC címeket is használhassuk a szűrési szabályokban.

  29. Kiterjesztések – XII. • owner Lehetővé teszi ez a kiterjesztés, hogy a szűrési szabályokban felhasználhassuk opcióként, hogy egy – egy csomag milyen felhasználónévvel vagy UID –al, csoportnévvel vagy GID rendelkezik. --uid-owner – felhasználónevet, vagy user azonosítót, esetleg user azonosító tartományt adhatunk meg --gid-owner – ugyanaz, mint az előző opció, csak csoportra vonatkoztatva.

  30. Kiterjesztések – XIII. • time Eme kiterjesztés arra szolgál, hogy a csomagok szűrését időbeliségük alapján is lehessen szabályozni.

  31. Kiterjesztések – XIV. • DNAT Eme cél arra szolgál, hogy a kimenő csomag cél IP címét, vagy az ahhoz tartozó portot módosítsa. Csak a nat táblában, OTPUT vagy PREROUTING láncban használható. --to-destination – itt lehet megadni a cél címet, és portot, kettősponttal elválasztva.

  32. Kiterjesztések – XV. • SNAT Eme cél az előző párja, lehetővé teszi, hogy a csomag forrás IP címét, vagy porját módosítsuk. Csak a nat táblában, a PREROUTING láncban használható ! --to-source – itt lehet megadni a forrás IP címet és portot, kettősponttal elválasztva.

  33. Kiterjesztések – XVI. • MASQUERADE A MASQUERADE cél a címfordítást végzi el. Csak a nat táblában, és a POSTROUTING láncban használható ez a cél. --to-ports – itt lehet megadni a publikus IP címet, amelyre a címfordítás történik. --random – a forrásport randomizálásra kerül.

  34. Kiterjesztések – XVII. • REDIRECT Ez a cél lehetővé teszi, hogy lokálisan az egy adott portra érkező csomagot, egy másik portra irányítsunk. --to-ports – itt lehet megadni a cél portot, vagy port tartományt. --to-ports

  35. Kiterjesztések – XVIII. • LOG Ez a cél arra szolgál, hogy az adott gép rendszer logállományába bejegyzés kerüljön egy szabályra illeszkedő csomagról.

  36. Otthoni tűzfal • Alapvetően maszkolás történik, mivel nincs fix IP cím • Általában csak belső hálózatról fogad el bármilyen csatlakozási kérelmet • A kimenő forgalom esetlegesen loggolásra kerül.

  37. Otthoni tűzfal - példa iptables –F iptables –P INPUT DROP iptables –P FORWARD DROP iptables –P OUTPUT ACCEPT iptables -A OUTPUT -i eth0 –j LOG iptables -A INPUT -i lo -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT

  38. Vállalti tűzfal • Fix IP címmel rendelkezik • A kimenő forgalom erősen szabályozva van, (IP cím vagy MAC address alapján) • A http és az FTP proxyn keresztül érhető el. • A forgalom loggolva van • Kívülről történő csatlakozás a védett hálózatba lehetséges, de csak szigorú feltételek mellett.

  39. Vállalti tűzfal - példa iptables –F iptables –P INPUT DROP iptables –P FORWARD DROP iptables –P OUTPUT ACCEPT iptables -A OUTPUT -i eth1 –j LOG iptables -A INPUT -i lo -j ACCEPT iptables –A INPUT –i eth1 –p tcp –dport 22 –j ACCEPT iptables –A INPUT –m mac 00:1F:D0:C2:A3:1D –i eth0 –p tcp –dport 3128 -j ACCEPT iptables –A INPUT –m mac 00:1F:D0:C2:A3:1D –i eth0 –p udp –dport 53 -j ACCEPT iptables –A INPUT –m mac 03:DF:C5:B8:AD:5A –i eth0 –j ACCEPT

  40. Tűzfal beállítások mentése és visszatöltése • iptables-save • iptables-restore

  41. További lehetőségek a tűzfalakkal • Forgalom mérés • Sávszélesség korlátozás

More Related