Οδηγός ρύθμισης Iptables (Firewall)

[linuxman]

Τότε στη έκδοση ubuntu που υπήρχε όλες οι πόρτες ήταν κλειστές από default... Τώρα (από την 8.04 και μετά) όλες οι πόρτες από default είναι ανοιχτές... Άρα λογικό είναι να σου τρέχουν τα πάντα (torrents κλπ) χωρίς να κάνεις τίποτα... Αλλά η μόνη ασφάλεια που έχεις στη δική σου περίπτωση είναι το firewall router που έχεις.

Τώρα εάν γράφτηκε τότε εγώ με διάφορες δοκιμές που έχω κάνει μέχρι τώρα βλέπω ότι και τώρα έτσι είναι .

Τον οδηγό μου δεν τον δοκίμασες ποτέ, γιατί ξέρω ότι από την αρχή ήσουν κατά αυτής της λύσης... Εγώ όμως που το έχω δουλέψει μπορώ να σου επιβεβαιώσω πως όταν ρύθμισα το iptables με τον συγκεκριμένο οδηγό και χρειαζόμουν να τρέξω torrent, οι πόρτες που χρειαζόντουσαν ήταν κλειστές (πχ 6881). Μόλις έκλεινα το iptables (sudo /etc/init.d/iptables stop) το torrent λειτουργούσε... Μόλις άνοιγα το iptables (sudo /etc/init.d/iptables start) το torrent δεν λειτουργούσε γιατί δεν είχε ανοιχτή την πόρτα που ήθελε. Μόλις πρόσθεσα τον κανόνα για torrent (δες την πρώτη σελίδα με τον οδηγό) όλα ήταν εντάξει...

Ναι δεν το δοκίμασα , μιας και εδώ και χρόνια έχω ένα έτοιμο script βασισμένο σε iptables από ένα sysadmin και διαβάζοντας και βλέποντας αυτά που έχει δώσει εκεί κατάλαβα την λειτουργία αυτή , άλλα διάβασα και πολλά άλλα .
Το Firewall αυτό το έχω εφαρμόσει σε 2-3 Server http://www.thelug.gr and econlab.uom.gr και λειτουργεί έτσι εδώ και 2-3 χρόνια .

Το αν χρειάζεται αυτός ο οδηγός και η ρύθμιση των iptables είναι ζήτημα φιλοσοφικό... Εάν έχεις firewall router τότε δεν χρειάζεται να κάνεις τίποτα... Εάν δεν τρέχεις τίποτα σοβαρές υπηρεσίες (web, ssh, ftp) πάλι δεν τον χρειάζεσαι... Απλώς δείτε τον ως έναν οδηγό εκμάθησης στο πως ρυθμίζουμε το iptables... Καλό είναι ένας καλός geek linux user να το γνωρίζει... Και ποτέ δεν ξέρεις εάν σου χρειαστεί ποτέ...

Εδώ συμφωνώ μπορεί να είναι σαν οδηγός εκμάθησης .

Μην ξεχνάτε ότι ανέφερα πως ο οδηγός γράφτηκε από σημειώσεις που είχα όταν έστηνα ubuntu server 6.06... Σε αυτή τη έκδοση όπως προείπα, οι πόρτες από default ήταν κλειστές και δεν περνούσε τίποτα... Άρα η ρύθμιση των iptables ήταν επιτακτική... Στην πορεία όμως με πρόλαβαν οι εξελίξεις και ο οδηγός έχει πλέον περισσότερο φιλοσοφικό χαρακτήρα...

Ναι έτσι είναι , άλλα και ότι είναι προτιμότερος κατά την γνώμη μου κυρίως για Server και όχι για Desktop PC .

Υπάρχουν όμως και κατηγορίες ανθρώπων που έχουν τρέλα με την ασφάλεια... Θέλουν εκτός του firewall router και ένα ακόμη "κάστρο" πριν κατακτηθεί το σύστημα από τον επίδοξο χάκερ... Ένας από αυτούς που έχουν τρέλα με την ασφάλεια είμαι και εγώ... Γι' αυτό σκέφτηκα ότι παρ' όλο που δεν είναι απαραίτητη πλέον η ρύθμιση των iptables, καλό είναι να μοιραστώ τις γνώσεις/εμπειρίες μου σε αυτό το θέμα μαζί σας...

Ναι υπάρχουν και αυτή , και συμφωνώ ότι ας το πάρουν σαν ένα βήμα να καταλάβουν το πως λειτουργεί άλλα μετά θα βρούνε και απλό γραφικό τρόπο να το κάνουν .
Εγώ πάντως και σήμερα έχω κάνει δοκιμή και σε 9.04 και σε 8.04 και σε 8.10 (εγώ τα αποτελέσματα που έδωσα είναι από 8.10 ) και σας λέω ότι δεν υπάρχουν ανοικτές πόρτες στο σύστημα .
Δεν μπορώ να καταλάβω πως το βλέπατε ότι υπάρχουν .
Και δεν υπάρχει πρόβλημα σε καμία λειτουργία .
Παρακάτω είναι αποτελέσματα σήμερα από ένα 9.04 σε φορητό στο εσωτερικό δίκτυο :

Κώδικας: Επιλογή όλων


sudo nmap -P0 -sS ubuntu_9.04

Starting Nmap 4.62 ( http://nmap.org ) at 2009-07-01 13:14 EEST
All 1715 scanned ports on ubuntu_9.04 are closed
MAC Address: 00:1B:24:3F:CD:EC (Quanta Computer)
Nmap done: 1 IP address (1 host up) scanned in 0.156 seconds


Εδώ είναι από ένα 8.04 πάλη στο ίδιο δίκτυο

Κώδικας: Επιλογή όλων


sudo nmap -P0 -sS 195.251.210.175

Starting Nmap 4.62 ( http://nmap.org ) at 2009-07-01 13:28 EEST
All 1715 scanned ports on 195.251.210.175 are closed
Nmap done: 1 IP address (1 host up) scanned in 1.150 seconds


Και εδώ scan το δικό μου Η/Υ Ubuntu 8.10 από ένα άλλο στο ίδιο δίκτυο , που το δικό μου τρέχει Vuze = Azureus upload , pidgin , stream radio , Firefox , ssh , και πολλά άλλα , δεν τρέχω samba .

Κώδικας: Επιλογή όλων


sudo nmap -P0 -sS Ubuntu 8.10

Starting Nmap 4.76 ( http://nmap.org ) at 2009-07-01 13:31 EEST
Interesting ports on Ubuntu 8.10:
Not shown: 999 closed ports
PORT STATE SERVICE
22/tcp open ssh
MAC Address: 00:1A:4D:47:D2:B7 (Giga-byte Technology Co.)
Nmap done: 1 IP address (1 host up) scanned in 1.35 seconds


Και από χτεσινά τεστ και σήμερα εγώ λέω ότι δεν έχει ανοικτές πόρτες στο σύστημα από default και αν θέλετε ανοίξτε ένα νέο τόπικ να το δούμε ποιο βαθία με διάφορα τεστ που μπορούμε να κάνουμε με εσωτερικό και εξωτερικό δίκτυο μέσα στο σπίτι μας και εκτός από το σπίτι μας άλλα εάν θέλετε μπορώ να σας δώσω μερικά IP να κάνετε scan να δείτε ότι ότι λέω δεν είναι μπούρδες και δεν τα έχω μπερδέψει τίποτα .

Υ.Γ. Σε όλα τα PC που το έκανα έχω σταματήσει την λειτουργία ipv6 .

[baker]

@linuxman
Δε λες να το καταλάβεις... το scan δε σου δειχνει τιποτα γιατι εισαι πισω απο router!!

PORT STATE SERVICE
22/tcp open ssh

αυτη στην δείχνει ανοικτή γιατί προφανώς έχεις κάνει forward την 22 στο ip του pc σου...
Αν με το ίδιο pc συνδεθείς στο internet μέσω dial up modem και οχι μέσω router, θα δεις ότι το port scan θα σου δείξει άλλα αποτελέσματα!
Τότε θα δεις ότι ολες είναι ανοικτές!

[pros]

Θα ήθελα να μάθω το εξής:

Σε default εγκατάσταση,
τι αποτέλεσμα παίρνουμε από την εντολή

Κώδικας: Επιλογή όλων

sudo iptables -L

και τι συμπεράσματα μπορούμε να βγάλουμε;

[baker]

Κώδικας: Επιλογή όλων

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


ότι δεν έχουμε θέσει κανέναν κανόνα! ότι όλες οι ports είναι ελεύθερες...

[linuxman]

@linuxman
Δε λες να το καταλάβεις... το scan δε σου δειχνει τιποτα γιατι εισαι πισω απο router!!

PORT STATE SERVICE
22/tcp open ssh

αυτη στην δείχνει ανοικτή γιατί προφανώς έχεις κάνει forward την 22 στο ip του pc σου...
Αν με το ίδιο pc συνδεθείς στο internet μέσω dial up modem και οχι μέσω router, θα δεις ότι το port scan θα σου δείξει άλλα αποτελέσματα!
Τότε θα δεις ότι ολες είναι ανοικτές!

Και εγώ σου λέω δεν είμαι πίσω από το ρούτερ , απλό switch του ορόφου είναι , ναι έχουμε εδώ ένα Gigabit Ruter άλλα όλα βγαίνουν άμεσα στο δίκτυο χωρίς περιορισμούς ,και δεν προστατεύει .
Και μιας και νομίζεις ότι λέω ότι θέλω το επιβεβαίωσα και από το Υπεύθυνο του Δικτύου μας , απάντηση του είναι απλά εάν σκανάρεις το Η/Υ από ένα IP σε ένα άλλο και είναι στο ίδιο subnet δεν περνά από το ρούτερ πότε τα αποτελέσματα στο PC μου είναι σωστά και στο 8.04 και στο 8.10 και στο 9.04 πόρτες είναι κλειστές .
Νομίζω ότι βλέπεις το IP μου στο όνομα χρήστη κάνε scan και δώσε τα αποτελέσματα να δούμε τι βλέπεις .

[baker]

Και στις δυό περιπτώσεις το deluge δουλεύει κανονικά! και δεν έχω κάνει καμία ρύθμιση σε iptables
Αν οι πόρτες του ubuntu ήταν κλείστες απο default, τότε στην 1η περίπτωση έπρεπε να μου πει ITS NOT RESPONDING
δε ξέρω τι άλλο να κάνω για να το καταλάβεις! παραιτούμαι!

[ftso]

@linuxman
To scan που κάνεις δεν ελέγχει όλα τα ports καθώς στα ψηλά ports υποτίθεται δεν τρέχουν services...

Vuze = Azureus upload -> την ώρα που κάνει upload εκτέλεσε από άλλο pc στο τοπικό δίκτυο :

Κώδικας: Επιλογή όλων

nmap -p1-65535 ip_sou

pidgin , stream radio , Firefox -> δεν είναι services


ssh-> όντως φαίνεται ανοιχτή όπως θα έπρεπε απο την στιγμή που τρέχεις τον daemon


Και κατάλαβε επιτέλους ότι closed ports σημαίνει ports στα οποία δεν τρέχει service και όχι απαραίτητα ports που προστατεύονται.
Μέχρι την 1024 τα services θέλουν su
Τα υπόλοιπα όχι.

[ftso]

Και στις δυό περιπτώσεις το deluge δουλεύει κανονικά!

Μα έχεις το UPnP ενεργοποιημένο στον deluge. Αν το έχεις και στον router τότε μια χαρά παίζει.

[baker]

@ftso
αυτό που θελω να τονίσω είναι πως αν με το iptables κλείσω όλες τις ports το deluge θα σταματήσει να δουλευει, ανεξάρτητα αν έχω UPnP ή port forwarding στο router... γεγονός το οποίο δείχνει οτι απο default το "firewall" του ubuntu, αφήνει κάθε κυκλοφορία! σωστά:

[pros]

Ορίστε και κάποιες δοκιμές από εμένα πίσω από router (εσωτερικό δίκτυο)

1. Με gufw ρυθμισμένο σε deny, εκτός από την θύρα 22
   
   

   Κώδικας: Επιλογή όλων

   [root@localhost user]# nmap -P0 -sS 192.168.1.64

Starting Nmap 4.52 ( http://insecure.org ) at 2009-07-01 14:33 EEST
Interesting ports on 192.168.1.64:
Not shown: 1713 filtered ports
PORT STATE SERVICE
22/tcp open ssh
MAC Address: 00:90:F5:67:DE:85 (Clevo CO.)

Nmap done: 1 IP address (1 host up) scanned in 9.329 seconds

   
   Βλέπω τις θύρες filtered.
   
   
2. Με τις default ρυθμίσεις του 8.04.3
   
   Spoiler: show

   sterios@sterios-laptop:~$ sudo iptables -L
   Chain INPUT (policy ACCEPT)
   target prot opt source destination
   
   Chain FORWARD (policy ACCEPT)
   target prot opt source destination
   
   Chain OUTPUT (policy ACCEPT)
   target prot opt source destination
   
   

   Κώδικας: Επιλογή όλων

   Starting Nmap 4.52 ( http://insecure.org ) at 2009-07-01 15:04 EEST
Interesting ports on 192.168.1.64:
Not shown: 1712 closed ports
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
MAC Address: 00:90:F5:67:DE:85 (Clevo CO.)

Nmap done: 1 IP address (1 host up) scanned in 5.672 seconds

   
   Αναφέρει τις θύρες closed, αλλά δείχνει και μία που δεν ήξερα ότι την έχω ανοίξει
   (γιατί να το κρύψωμεν άλλωστε, πειράματα και ζαβολιές κάνω καμμιά φορά... )
   και από ότι κατάλαβα είναι ένα σημείο αδυναμίας, γενικά σε συστήματα unix.
   (Port 111 is a security vulnerability for UNIX systems due to the number
   of vulnerabilities discovered for the portmapper and related RPC services.)

Παρότι οι default ρυθμίσεις του iptables είναι Accept All, το nmap αναφέρει τις θύρες closed.

closed ports σημαίνει ports στα οποία δεν τρέχει service και όχι απαραίτητα ports που προστατεύονται.

Πρακτικά, για να υπάρχει όφελος και για κάποιον που θα διαβάσει αυτό το νήμα στο μέλλον,
αν δεν βρισκόμαστε πίσω από router με δικό του firewall, που είμαστε σίγουροι, ότι λειτουργεί,
κάτι που με την διάδοση των συνδέσεων 3g, δεν είναι τόσο σπάνιο, καλό είναι να χρησιμοποιούμε το gufw.
Εναλλακτικά το firestarter, αν και παλιό, έχει πληρέστερο GUI και προσφέρει περισσότερες
δυνατότητες ρύθμισης και παρακολούθησης της σύνδεσης.

Για πληρότητα, κάνοντας την ίδια δοκιμή προς τον δεύτερο υπολογιστή που χρησιμοποίησα
(linpus-fedora) που από ότι καταλαβαίνω δεν έχει τo iptables και με το ssh ενεργοποιημένο
και σε σύνδεση, παίρνω σαν αποτέλεσμα

Κώδικας: Επιλογή όλων

sterios@sterios-laptop:~$ sudo nmap -P0 -sS 192.168.1.66

Starting Nmap 4.53 ( http://insecure.org ) at 2009-07-01 16:14 EEST
Nmap done: 1 IP address (0 hosts up) scanned in 0.342 seconds


Αλλά αυτό είναι, άλλο επεισόδιο...
Αν κάτι από ότι αναφέρω θα μπορούσε να κατευθύνει σε λάθος κατεύθυνση κάποιον άπειρο χρήστη,
παρακαλώ διορθώστε με.