Filtrage IP sous Linux - Netfilter

Christophe PREMEL / Hervé Schauer Consultants

1. Introduction

Cette présentation va aborder plusieurs points distincts :

• Mise en place de Netfilter

• Au démarrage

• Possibilités de Netfilter (filtrage, masquage d'adresse, comptage)

• Qu'est-ce que le "StateFul" ?

• Différences entre ACCEPT, DROP et REJECT

• Différences entre IPchains et Netfilter

• Comment un paquet traverse les filtres ?

• Les chaînes

• Etat d'avancement

• Références

2. Mise en place de Netfilter

• Compilation du noyau

• Compilation/Installation de Netfilter

2.1 Compilation du noyau

• Le filtrage de paquets s'effectue au niveau noyau

• Configuration du noyau

  $ cd /usr/src/linux
  $ make [config|menuconfig|xconfig]
  

• Intégrer les fonctionnalitées :
  • Network packet filtering (replaces IPchains)

    CONFIG_NETFILTER=y

  • Network packet filtering debugging

    CONFIG_NETFILTER_DEBUG=y

  • Socket Filtering

    CONFIG_FILTER=y

• Compiler le noyau

  $ make dep
  $ make clean
  $ make [zImage|bzimage]
  $ make modules
  # make modules_install
  

2.2 Compilation/Installation de Netfilter

• Récupération sur le site officiel

  $ cd /usr/src/archives
  $ wget -m http://www.samba.org/netfilter/netfilter-0.1.17.tar.bz2
  $ md5sum netfilter-0.1.17.tar.bz2
  85aefbdf845b520cf316e37ae92d6501  netfilter-0.1.17.tar.bz2
  

• On compare les deux sommes MD5

  Somme MD5 sur le site officiel : md5sum 85aefbdf845b520cf316e37ae92d6501

• Désarchivage et compilation de Netfilter

  $ cd /usr/src
  $ bzip2 -dc /usr/src/archives/netfilter-0.1.17.tar.bz2 | tar xvf -
  $ cd /usr/src/netfilter-0.1.17
  $ make
  # make install
  

3. Au démarrage

• Chargement des modules

• Lancement à chaque démarrage

3.1 Chargement des modules

Pour que le filtrage soit pris en compte, puisque Netfilter fonctionne à base de modules, il est nécessaire de les charger.

• # /sbin/modprobe netfilter_dev
  

  Permet le chargement du module de gestion du filtrage de paquets.

• # /sbin/modprobe iptables
  

  Permet de charger le module admettant l'interaction entre le module de filtrage et iptables (outil supportant la gestion du filtrage).

• # /sbin/modprobe ipt_state
  

  Permet de charger le module gérant la table d'états des connexions.

• # /sbin/modprobe ipt_tcp
  

  Permet de charger le module régissant les connexions TCP.

• # /sbin/modprobe ipt_udp
  

  Permet de charger le module gérant les connexions UDP.

• # /sbin/modprobe ipt_LOG
  

  Permet de charger le module fournissant la journalisation.

• # /sbin/modprobe ipt_defrag
  

  Permet de charger le module admettant le ré-assemblage des paquets fragmentés.

• # /sbin/modprobe ip_conntrack
  

  Permet de charger le module gérant la mise en mémoire des demandes de connexions.

• # /sbin/modprobe ip_conntrack_ftp
  

  Permet de charger le module gérant la mise en mémoire des demandes de connexions pour le cas du FTP.

• # /sbin/modprobe ip_nat
  

  Permet de charger le module gérant la table des masquages d'adresses.

• # /sbin/modprobe ip_nat_ftp
  

  Permet de charger le module gérant la table des masquages d'adresses pour le cas du FTP.

3.2 Lancement à chaque démarrage

Pour que le filtrage soit en place à chaque démarrage, il est nécessaire de charger les modules à chaque 'boot', puis de lancer les règles de filtrage/masquage.

# cd /etc/init.d
# cat filtres.sh
   #!/bin/sh
   #
   modprobe=/sbin/modprobe
   iptables=/sbin/iptables
   #
   $modprobe iptables || exit 1
   $modprobe ipt_state || exit 1
   $modprobe ipt_tcp || exit 1
   $modprobe ipt_udp || exit 1
   $modprobe ipt_LOG || exit 1
   $modprobe ipt_defrag || exit 1
   $modprobe ip_conntrack || exit 1
   $modprobe ip_conntrack_ftp || exit 1
   $modprobe ip_nat || exit 1
   $modprobe ip_nat_ftp || exit 1
   #
   $iptables -F
   $iptables -P INPUT DROP
   $iptables -P OUTPUT DROP
   $iptables -P FORWARD DROP
   #
   [... règles de filtrage ...]
   #

# ln -s /etc/init.d/filtres.sh /etc/rc2.d/S10filtres

4. Possibilités de Netfilter

• Filtrage IP avec contrôle des tables d'états (vérification du fait que les paquets retour correspondent bien aux fenêtres et au numéro de séquences)

• Permet de faire du masquage d'adresses (masquer tout son réseau interne en RFC1918, par l'adresse de la patte externe du firewall). Il s'agit de l'outil ipnatctl, et non de iptables qui lui gère les filtres. ipnatctl est disponible à l'URL : http://www.samba.org/netfilter/ipnatctl-HOWTO.html
  • redirection de ports (port-forwarding)
  • relayage transparent (transparent proxying)

• Permet de faire de l'accounting (comptage des paquets pour d'éventuelle re-facturation en interne ;-(

5. Qu'est-ce que le "StateFul" ?

Le 'stateful' est la possibilité de garder en mémoire, dans une table d'états, les connexions en cours. Cela permet d'associer que tel client (adresse IP cliente) vers tel serveur (adresse IP serveur) est en train de faire telle chose (connexion du port source x vers le port destination y).

On ne filtre plus simplement maintenant, sur le filtrage TCP/UDP, mais sur l'état en cours des connexions. La fenêtre du paquet retour correspond bien à la transaction en cours, et aux numéros de séquence associés.

6. Différences entre ACCEPT, DROP et REJECT

• Fonction ACCEPT

  La fonction ACCEPT permet, lorsqu'elle est appliquée à une règle, d'accepter les paquets qui correspondent à cette règle

• Fonction DROP

  La fonction DROP permet, lorsqu'elle est appliquée à une règle, de refuser un paquet, mais sans avertir le demandeur que sa demande de connexion lui a été refusée.

• Fonction REJECT

  La fonction REJECT permet, lorsqu'elle est appliquée à une règle, de refuser un paquet, mais en avertissant le demandeur que sa demande de connexion lui a été refusée en lui envoyant un paquet RESET (RST).

6.1 Fonction ACCEPT

6.2 Fonction DROP

6.3 Fonction REJECT

7. Différences entre IPchains et Netfilter

• La syntaxe
  • Option "-i" et "-o" pour les chaînes INPUT et OUTPUT
    • Pour IPchains :
      • '-i interface'. La chaine s'applique à une interface
    • Pour Netfilter :
      • '-i' == en entrée de l'interface
      • '-o' == en sortie de l'interface

    IMPORTANT :

    • Une règle input associée en '-o' ne sera jamais consultée
    • Une règle output associée en '-i' ne sera jamais consultée
    • Une règle forward peut être associée en '-i' et '-o'

  • Option "-y" -> "--syn" (filtre simplement sur les bits SYN, sans les bits ACK et FIN)

  • L'action "DENY" est maintenant nommé "DROP", ce qui est plus clair.

• Le filtrage est maintenant séparé, et effectué par des modules ;-(

• Les noms de chaînes peuvent être constitués de plus de 16 caractères.

• Pour l'instant NetFilter n'est utilisable qu'avec les noyaux de développement (risques d'instabilités).

8. Comment un paquet traverse les filtres ?

Il y a par défaut, trois chaînes. Ces chaînes sont :

• INPUT

  Les paquets sont filtrés par la chaîne INPUT lorsqu'ils arrivent sur l'interface sur laquelle ils sont appliqués (en entrée d'interface et à destination de la machine sur laquelle les filtres sont appliqués).

• OUTPUT

  Les paquets sont filtrés par la chaîne OUTPUT lorsqu'ils sortent de l'interface sur laquelle ils sont appliqués (en sortie d'interface de la machine sur laquelle les filtres sont appliqués).

• FORWARD

  Les paquets sont filtrés par la chaîne FORWARD lorsqu'ils traversent la machine (il peut s'agir de filtre en entrée d'interface, comme en sortie d'interface).

8.1 Chaîne INPUT

8.2 Chaîne OUTPUT

8.3 Chaîne FORWARD

9. Les chaînes

• Qu'est-ce qu'une chaîne ?

• Comment créer une chaîne ?
  • Filtrage : les flux

  • Filtrage : les règles

9.1 Qu'est-ce qu'une chaîne ?

Une chaîne peut être assimilée à une 'politique' de sécurité par rapport à des services prédéfinis faisant partie de cette politique. Ces chaînes ou 'politiques' sont decidées et définies par l'administrateur du garde barrière (service sécurité et direction).

Exemples :

• la chaîne INTERNET (tous les flux venant d'Internet seront matchés par cette chaîne).

• la chaîne COMPTA (tous les flux venant des machines faisant partie du service comptabilité, seront matchés par cette politique).

• la chaîne DIRECT (tous les flux venant des machines faisant partie de la direction, seront matchés par cette politique).

9.2 Comment créer une chaîne ?

• Création de la chaîne sur laquelle les filtres seront appliqués ;

  # iptables -N internet
  

• Ensuite, on associe la chaîne 'internet' à la chaîne INPUT, c'est à dire en entrée sur l'interface 'eth0' ;

  # iptables -A INPUT -i eth0 -j internet
  

• Permet :
  • ESTABLISHED : permet d'avoir le mode 'stateful', c'est à dire qui regarde la validité des paquets retour par rapport aux fenêtres ;

  • RELATED : permet d'accepter les paquets ICMP d'erreur concernant la transaction.

  # iptables -A internet -m state --state ESTABLISHED,RELATED -j ACCEPT
  

• Tout ce qui arrive sur cette interface, matché par cette chaîne, est journalisé.

  # iptables -A internet -p all -s any/0 -d any/0 -j LOG
  

• Il est nécessaire maintenant d'autorisé les flux (dans notre cas, le service SSH de 'any 0/0' vers 'rainman 10.0.0.1/32') ;

  # iptables -A internet -i eth0 -p tcp -s 0/0 -d 10.0.0.1/32 --source-port 1023: --destination-port 22 -j ACCEPT
  

• On interdit tout.

  # iptables -A internet -i eth0 -p all -s any/0 -d any/0 -j DROP
  

9.3 Filtrage : les flux

9.4 Filtrage : les règles

 iptables -F
 iptables -P INPUT DROP
 iptables -P OUTPUT DROP
 iptables -P FORWARD DROP
 iptables -A INPUT -s 0/0 -d 0/0 -p icmp --icmp-type 3 -j ACCEPT
 iptables -A OUTPUT -s 0/0 -d 0/0 -p icmp --icmp-type 3 -j ACCEPT
 iptables -A FORWARD -s 0/0 -d 0/0 -p icmp --icmp-type 3 -j ACCEPT
 iptables -N internet_vers_web_local
 iptables -A FORWARD -i eth0 -j internet_vers_web_local
 iptables -A internet_vers_web_local -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A internet_vers_web_local -i eth0 -p tcp -s 0/0 -d 192.70.106.71/32 --source-port 1023: --destination-port 80 -j ACCEPT
 iptables -A internet_vers_web_local -p all -s any/0 -d any/0 -j LOG
 iptables -A internet_vers_web_local -i eth0 -p all -s any/0 -d any/0 -j DROP
 iptables -N interne_vers_internet 
 iptables -A FORWARD -o eth0 -j interne_vers_internet
 iptables -A interne_vers_internet -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A interne_vers_internet -o eth0 -p tcp -s 192.70.106.0/0 -d 0/0 --dport 53 -j ACCEPT
 iptables -A interne_vers_internet -o eth0 -p udp -s 192.70.106.0/0 -d 0/0 --dport 53 -j ACCEPT
 iptables -A interne_vers_internet -o eth0 -p tcp -s 192.70.106.0/0 -d 0/0 --sport 1023: --dport 80 -j ACCEPT
 iptables -A interne_vers_internet -o eth0 -p all -s 192.70.106.0/0 -d 0/0 --sport 1023: --dport 137:139 -j DROP
 iptables -A interne_vers_internet -p all -s any/0 -d any/0 -j LOG
 iptables -A interne_vers_internet -o eth0 -p tcp -s 192.70.106.0/0 -d 0/0 --dport 22 -j ACCEPT
 iptables -A interne_vers_internet -o eth0 -p all -s any/0 -d any/0 -j DROP

10. Etat d'avancement

• Limitations

• Problèmes

10.1 Limitations de Netfilter

• N'intègre pas des fonctionnalités de limitation de bande passante (pipe dans ipfw sur *BSD)

• N'intègre pas des fonctionnalités d'introduction d'un pourcentage d'erreur dans les communications (pipe dans ipfw sur *BSD)

10.2 Problèmes dans Netfilter

• Pour le moment en BETA version, c'est à dire instable

• Ne résiste pas au SYN Flooding (en 2.3.39 la machine crash)

11. Références

• Site de référence : http://www.samba.org/netfilter/
  • Documentation d'installation : http://www.samba.org/netfilter/QUICKSTART
  • FAQ sur iptable : http://www.samba.org/netfilter/iptables-HOWTO.html
  • FAQ sur ipnatctl : http://www.samba.org/netfilter/ipnatctl-HOWTO.html

• IPfilter pour *BSD et Linux en 2.0.x : http://cheops.anu.edu.au/ avalon/ip-filter.html

® © Hervé Schauer Consultants 2000 - 4 bis, rue de la gare - 92300 Levallois-Perret
Téléphone : +33 141 409 700 - Télécopie : +33 141 409 709 - E-mail : <secretariat@hsc.fr>