Konfigurimi baze i Iptables ne nje Sistem Linux

Iptables eshte nje program shume i njohur dhe popullor per te gjithe perdoruesit e sistemeve Linux, ai eshte nje firewall goxha i mire dhe ne baze te tij jane ndertuar dhe shume te tjere.
Ne kete “mini-guide” te vogel do te shohim konfigurimin e tij te thjeshte.
Supozohet qe ky firewall te perdoret nga nje kompiuter personal, nese deshironi qe te perdorni firewallin nga ndonje server atehere normalisht duhet te lejoni sherbime te caktuara psh (httpd), (ssh), (ftp)(mysql)(dns) etj .
INSTALIMI

Shume i thjesht, ne shumicen e distribucioneve Linux e keni te instaluar, keshtu qe mund ta instaloni direkt nga package manageri.

KONFIGURIMI

Perpara kesaj duhet te fiksojm disa gjera te vogla shpejt e shpejt, Iptables ka disa “zinxhir” apo fronte ne te cilat kalojn paketat (sepse eshte thjesht nje software qe analizon paketat qe hyjn nga skeda ethernet apo wireless).
Kemi 3 tabela:
FILTER  : ka 3 fronte /INPUT/FORWARD/OUTPUT
NAT : nuk do merremi kesaj rradhe
MANGLE : nuk do merremi kesaj radhe

Ne kete here perderisa po behet fjale per nje konfigurim baze do te shohim vetem tabelen e pare, ate FILTER e cila na ndihmon te konfigurojm firewallin tone me ane te 3 fonteve, Input, forward [perdoret per te kaluar paketa nga makina jote tek nje makine tjeter, pra makina jote eshte thjesht nje “ure” dhe ti zgjedh ti kaloj apo jo]  output [kontrollon paketa qe gjenerohen nga sistemi e ne kete rast ti mund te kontrollosh psh nese dikush (user) nga makina jote kerkon te lidhet me ssh ti mund ta bllokosh duke percaktuar rregulla tek output] .
Ne rastin tone, do te shohim se ç’fare mund te bejm me Input i cili percakton se ç’fare duhet te bejm me paketat qe vijn ne kete zinxhir (pasi eshte kontakti i pare). Pra fronti i pare i “luftes” ku hyjn paketat nga jashte.
Kemi 3 rregulla te ndertuara ne kete front, kemi DROP, ACCEPT dhe REJECT.
ACCEPT – kemi kur paketa pranohet dhe kalon permes firewallit dhe ne kete rast pra eshte kur kemi nje port te hapur dhe nje server httpd. Koneksioni krijohet pa problem.
DROP –  i njohur ndryshe dhe si “blackhole” i cili thjesht injoron paketen duke mos derguar paket pergjigje per tek hosti origjinar.
REJECT – ndalon paketen te kaloj duke derguar nje paket pergjigje ICMP si “destinacioni eshte i paaritshem” duke lene te kuptoje se hosti eshte offline.

DROP versus REJECT
Kemi ndryshim midis ketyre 2 opcioneve qe na ofron iptables, ku secili ka te mirat dhe te keqiat e veta, psh ne aspektin e koneksionit, DROP do i thoshte klientit, ose atij qe kerkon te lidhet apo te sulmoj qe paketa ka humbur dhe ne baze te ligjeve te rrjetit automatikisht do te bente ritransmetimin e kerkeses derisa te perfundonte kurse Reject do ti thoshte qe ne fillim me nje paket “destination unreachable” ICMP keshtu qe do te thote kursim kohe dhe kursim rrjeti.

Per me shume info, provoni firewallin tuaj me netcat ,hping dhe nmap per te testuar keto 2 opcione.
Si fillim:
iptables -A INPUT -p icmp -j REJECT  #Blloko ç’do lloj ICMP-je qe vjen tek kompiuteri yt, gjithmon nese nuk ke ndonje sherbim (server\ftp etj) kjo do te kthej kompiuterin ne nje fare “fantazme” per skanerat qe nuk perdorin opcionin (no-ping)  te nmap.

iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT #Per te garantuar qe koneksionet qe jane te fiksuara te mos mbyllen.

Bllokojm lidhjet udp dhe tcp

iptables -A INPUT -p tcp -j REJECT –reject-with tcp-reset
iptables -A INPUT -p udp -j REJECT –reject-with icmp-port-unreachable
Bllokojm trafikun qe mund te kaloj nepermjet kompiuterit tone, ne kete rast psh evitohet qe kompiuteri te shnderrohet ne nje zombie:
iptables -P FORWARD DROP
Tani na ngelet te kontrollojm trafikun qe del nga kompiuteri yne, dhe nese duam qe te lejojm ç’do gje (eshte diçka normale nese nuk doni te kufizoni ndonje perdorues) atehere:
iptables -P OUTPUT ACCEPT

Krijojm 2 zinxhir te ri te personalizuar si:

iptables -N hapur
iptables -N interface

Persa i perket zinxhirit apo frontit interface do e perdorim per te lejuar komunikimet e brendshme te kompiuterit (loopback) qe mund te perdorin shume aplikacione keshtu qe :
iptables -A interface -i lo -j ACCEPT
KUJDES: nese japim psh iptables -A interface -i eth0 -j ACCEPT dhe eth0 perdoret per tu lidhur me internetin atehere kjo do te mbishkruaj rregullat e mesiperme dhe nuk do jet me firewall lol.
Kalojm tek zinxhiri “hapur” qe sapo krijuam.
Ketu mund te shtojm portat qe ne do i leme te hapura, psh per sherbime te ndryshme qe mund te ofrojm si web-server, ftp-server, mail-server, ssh e keshtu me radhe.
Keshtu qe:

iptables -A hapur -p tcp –dport 80 -j ACCEPT #kjo do te lejonte lidhjet e jashtme per tek porta 80, pra ne rastin tone me web-serverin.
Nese duam qe serverin ta vizitoj vetem ndonje miku yne qe psh ka ip 192.168.1.140 atehere japim ne vend te asaj qe shkruajtem:
iptables -A hapur -p tcp -d 192.168.1.140 –dport 80 -j ACCEPT

Kunder sulmeve te ndryshme

Te kujdesemi qe te gjitha paketat ne hyrje te jen kerkesa per sinkronizim, ne te kundert DROP IT!!

iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP
Kjo do te evitonte nje sere sulmesh me nmap.
Kunder sulmeve te tipit “Fragmentation”
iptables -A INPUT -f -j DROP
Kunder XMAS scan
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
Kunder FIN scan

iptables -A INPUT -p tcp –tcp-flags FIN ALL -j DROP

iptables -A INPUT -p tcp –tcp-flags ACK,FIN FIN -j DROP
Kunder NULL Scan

iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
Mbrojtje e pergjithshme:

iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT
Kunder “pingut te vdekjes”
iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT
Kunder sulmeve syn fload dhe DoS
iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
Kunder skanimeve SYN\RST
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j DROP

Per sulme te personalizuara, personalizoni iptables, psh kunder nje sulmi FIN,SYN mbrojtja do te ishte:
iptables -A INPUT -p tcp –tcp-flags FIN,SYN FIN,SYN -j DROP

Kunder spoofing:

iptables -A INPUT -d 224.0.0.0/4 -j DROP
iptables -I INPUT -i eth0 -s 10.0.0.0/8 -j DROP
iptables -I INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables -I INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -I INPUT -i eth0 -s 127.0.0.0/8 -j DROP

Thame qe ishte nje konfigurim i thjeshte, ky konfigurim firewalli mund te modifikohet shume here me shume, por shpresoj se do kem kohe dhe do e shkruajm ndonje skript ne bash :)
PS, te gjithe kesaj duhet ti shtoni psad dhe fwsnort.

Leave a Reply

Your email address will not be published. Required fields are marked *