На конференции Netfilter Workshop разработчики сетевой подсистемы ядра Linux объявили о скором переходе ставших традиционными утилит конфигурирования netfilter (iptables, ebtables, arptables) с ядерной подсистемы ip_tables на Berkeley Packet Filter/x_tables, предоставляющей более гибкие возможности по управлению обработкой проходящих через Linux сетевых пакетов и возможно большей производительностью обработки за счёт использования JIT-компилятора.

Устаревшим утилитам будет присвоен постфикс "-legacy".

Также доступен транслятор для перевода правил iptables в синтаксис «родной» утилиты новой подсистемы ядра (nft): iptables-translate.

>>> Подробности

Представлен проект OpenSnitch, в рамках которого подготовлен свободный аналог проприетарного сетевого экрана Little Snitch.

( читать дальше... )

>>> Подробности

В статье рассмотрено решение, требующееся при объединении прозрачного брандмауэра с маршрутизатором, используя утилиту ebtables и создание тестовой лаборатории на микродистрибутиве Linux, используя qemu и initrd на основе моей сборки busybox, включающей в себя ebtables, iptables, ssh(d), рекурсивного DNS и др.

>>> Статья полностью

Предыдущая значительная ветка 1.4 вышла 8 лет назад, в декабре 2007.

Введён слой совместимости iptables-compat (утилиты iptables-compat, iptables-compat-save, ...), позволяющий мигрировать на nftables, не ломая обратной совместимости. Много мелких исправлений и улучшений. Нарушения совместимости:

• удалены targets MIRROR и SAME;
• удалён match «unclean».

Nftables — замена для {ip | ip6 | arp | eb}tables, доступна начиная с ядра 3.13.

( Основные отличия от iptables )

>>> Анонс в рассылке на netfilter.org

Представляю на обозрение сообщества первую публичную версию своего проекта.
Основные возможности системы:

• Управление доступом пользователей ЛВС к сети Интернет через NAT (iptables+ipset) без прокси сервера.
• Возможность авторизации по IP или прозрачной авторизации пользователей Active Directory при помощи клиента авторизации.
• Возможность ограничивать пользователей по объему потребленного трафика и максимальной скорости.
• Ведение статистики потребления трафика пользователями с сохранением списка посещенных узлов.

>>> Домашняя страница проекта

В ветку linux-next, на базе которой будет сформировано ядро версии 3.13, добавлена новая реализация подсистемы пакетной фильтрации nftables. Разработка системы ведётся с 2009 года, её целью является замена подсистем iptables, ip6table, arptables и ebtables. Результата разработчики желают добиться путём сокращения количества (и дублей) кода уровня ядра, упрощения взаимодействия ядра и userspace-приложений, а также использования байт-кода для компилирования правил фильтрации и исполнения их в ядре.

Представленный для включения в ядро код подразумевает сосуществование старых и новой подсистем, поскольку nftables ещё требует доработки и тестирования.

( читать дальше... )

>>> Подробности

Совсем недавно вышла новая версия Gufw — графической утилиты для управления iptables.

Список изменений таков:

• Поддержка профилей, созданных пользователем.
• 230 заранее настроенных правил: используя это, вы можете добавить правило для файерволла, просто выбрав из списка известных приложений (в новом релизе 230 приложений).
• Редактируемые правила.
• Импорт/экспорт правил.
• Удобочитаемые имена для правил.
• Новое поведение журнала.
• В главном окне теперь отображается руководство по началу работы.

>>> Подробности

Сегодня вышел очередной релиз fail2ban под номером 0.8.7.

Напомню, что fail2ban является демоном, который сканирует определенные пользователем log-файлы и автоматически добавляет правила в iptables при срабатывании заданных фильтров. Например можно задать правило, что после 2-х неудачных попыток авторизоваться по smtp, IP-адрес удалённой стороны будет заблокирован на определённое количество минут.

( читать дальше... )

>>> Полный список исправлений и улучшений

>>> Подробности

Тихо и незаметно был выпущен Iptadmin 1.0.0.

Это простой веб-интерфейс для Iptables, который поддерживает пока только несколько опций. Отличительная особенность - подробные сообщения об ошибках.

Iptadmin запускается в режиме демона. Программа не хранит в системе никакие промежуточные файлы, информация берётся прямо из iptables-save. Правила редактируются с помощью вызова iptables и сохраняются командой /etc/init.d/iptables save. Для таких дистрибутивов, как debian, сохранение правил настраивается дополнительно.

Авторизация осуществляется с помощью PAM. Доступ разрешён пользователю root и любому другому пользователю из группы iptadmin.

Iptadmin не поддерживает работу по https. Чтобы исключить передачу системных паролей по сети в открытом виде, web-интерфейс работает только на локальном сетевом интерфейсе. Для удалённого доступа необходимо настроить работу по https с помощью стороннего web-сервера.

Программа задумывалась в помощь системным администраторам и аутсорсерам. С помощью неё и нескольких простых инструкций неквалифицированный пользователь сможет управлять сетевым экраном в Linux.

>>> Подробности

ferm - это инструмент для управления файерволлом в Linux , который облегчает работу с ним путём создания правил на специальном языке, с последующей трансляцией в обычный для netfilter формат. Специальный язык, используемый в нём, имеет интуитивно понятный синтаксис, легко читаем и достаточно прост, с его помощью можно формировать как уровни, так и списки в правилах.

>>> Подробности

Cостоялся релиз iptables 1.4.9, в котором реализована полная совместимость с ядром 2.6.35.

Из других улучшений:

• Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.
• Добавлена поддержка действия TEE, позволяющего выполнять дублирование определенного трафика на заданный хост. Ранее это действие было доступно только в комплекте xtables-addons.
• Добавлена возможность логического отрицания в критерии quota, что упрощает обработку пакетов, выходящих за рамки квоты.
• Улучшена поддержка протокола SCTP: добавлено распознавание типа секции (chunk) FORWARD_TSN и флага SACK-IMMEDIATELY в DATA-секции.
• Как всегда, исправлен ряд мелких ошибок в коде и документации.

Примеры применения новых возможностей можно посмотреть на opennet: http://www.opennet.ru/opennews/art.shtml?num=27513

>>> Подробности

Вышел релиз iptables 1.4.8 — интерфейса к Linux-фаерволу netfilter.

Наиболее интересным новшеством данного релиза является поддержка conntrack zones — механизма, позволяющего корректно отслеживать соединения в случае подключения хоста к двум или более сетям с одинаковыми адресными пространствами через разные сетевые интерфейсы. Такая ситуация является достаточно редкой, но тем не менее довольно неприятной, особенно в том случае, если вы не можете ничего изменить.

Стандартный Linux-фаервол netfilter использует для отслеживания соединений интегрированную в ядро подсистему conntrack. Полученная информация затем может использоваться при фильтрации и преобразовании пакетов. Например, именно на базе этой информации работают критерии conntrack (проверка состояния соединения, его устаревшая версия известна как state), connlimit (ограничение количества одновременных соединений с одного адреса или подсети), connbytes (ограничение соединений по количеству пакетов или байт, переданных в одном или в обоих направлениях), connmark (работает с маркировкой ctmark, общей для всех пакетов в соединении). Также информация conntrack автоматически используется всеми операциями преобразования адресов и портов (SNAT, MASQUERADE, DNAT, REDIRECT, SAME, NETMAP).

Эта информация хранится в специальной таблице (просмотреть ее можно, например, выполнив cat /proc/net/nf_conntrack). Каждое соединение описывается так называемым кортежем (tuple) — набором значений, в который входят адреса и порты (в случае ICMP — типы и коды ICMP) источника и назначения при передаче данных в прямом и обратном направлении. Очевидно, что при наличии нескольких подсетей с одинаковыми адресными пространствами, возможно возникновение путаницы, когда сразу нескольким соединениям ставится в соответствие одна и та же запись в таблице соединений. Чтобы избежать такой ситуации, в кортеж был добавлен идентификатор зоны conntrack — целое число, которое можно устанавливать через специальное правило в таблице raw в зависимости от входящего интерфейса (цепочку PREROUTING таблицы raw пакеты проходят еще до обработки их conntrack'ом). Кроме того, это значение можно задать для каждого интерфейса через sysfs, минуя iptables (псевдофайл /sys/class/net/имя_интерфейса/nf_ct_zone). Таким образом, сетевые администраторы получили эффективный инструмент, позволяющей изящно решить даже такую сложную задачу.

Стоит отметить, что большинство вопросов маршрутизации в описанных условиях уже давно решено средствами iproute2 (используя ip rule, можно направить пакеты с определенного интерфейса в соответствующую таблицу маршрутизации).

Операция установки значения conntrack zone реализуется в netfilter/iptables новым действием CT. Это действие используется в таблице raw и позволяет задать настройки conntrack для новых соединений. В частности, с его помощью можно:

• Отключить отслеживание соединений для данного класса пакетов (опция --notrack). Ранее это выполнялось отдельным действием NOTRACK, которое теперь, видимо, будет объявлено устаревшим.

  Отслеживание отдельных соединений имеет смысл отключать, например, в том случае, если вы находитесь под (D)DoS-атакой, локализовали ее источники и используете средства активного противодействия, такие, как TARPIT. Если вы не отключите трекинг для таких соединений, это оружие может больно ударить и вас самих.

• Установить для конкретного соединения нужный вспомогательный модуль (conntrack helper). Вспомогательные модули используются системой conntrack для отслеживания сложных протоколов, использующих несколько соединений в рамках одного сеанса (например, FTP, SIP, IRC, H.323 и т.п.). Теперь, если вы используете нестандартный порт для FTP, совсем не обязательно править конфигурацию modprobe.conf, чтобы прописать нужный параметр для соответствующего модуля ядра — достаточно выполнить привязку хелпера к порту через правило netfilter'а.
• Ограничить список событий conntrack, генерируемых для данного соединения (например, реагировать только на открытие и закрытие соединения, игнорируя изменения его состояния).

Надо заметить, что поддержка действия CT и conntrack zones была добавлена в netfilter (т.е. в ядро) еще в начале февраля, поэтому присутствовала уже в релизе 2.6.33. Однако модули netfilter сами по себе не могут быть использованы без соответствующих управляющих команд из userspace, которые обычно отдаются через утилиту iptables.

Помимо добавления поддержки действия CT, в код iptables также было внесено несколько менее значительных изменений:

• Полная поддержка ядра 2.6.34.
• Исправлена ошибка парсинга диапазона адресов в критерии iprange.
• Улучшен парсинг номеров портов для действий MASQUERADE и REDIRECT.
• В проект импортирована утилита nfnl_osf, обеспечивающая подгрузку базы сигнатур для критерия osf.
• Улучшена документация.

>>> ChangeLog

Вышел релиз iptables 1.4.6 — интерфейса к Linux-фаерволу netfilter.

Основным новшеством данного релиза является поддержка критерия osf (passive OS fingerprinting), аналогичного критерию os OpenBSD-фаервола pf. Оба этих критерия позволяют по TCP SYN-пакету определить семейство и, в некоторых случаях, даже примерную версию операционной системы, отправившей этот пакет. Детекция производится на основании анализа ряда характеристик пакета, таких как размер TCP-окна, максимальный размер сегмента (MSS), опции TCP, бит DF и т.п. Совокупность значений этих параметров, позволяющая однозначно идентифицировать систему-отправителя, называет сигнатурой. Существующий на настоящий момент список сигнатур, сопровождаемый сообществом OpenBSD, весьма обширен.

Пример использования:

iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP 

Критерий osf был реализован Евгением Поляковым (разработчиком POHMELFS и автором порта CARP под Linux) еще в 2003 году. Однако соответствующий модуль netfilter был принят в ядро лишь в июне текущего года, а интерфейс к нему на уровне iptables появился только сейчас.

Заметим, что для использования данного критерия необходима утилита nfnl_osf, обеспечивающая подгрузку базы сигнатур для модуля детекции через интерфейс nfnetlink. Будем надеяться, что мейнтейнеры соответствующих пакетов в наших любимых дистрибутивах вскоре обратят свое внимание на эту проблему. Пока же самые нетерпеливые могут собрать эту утилиту по старинке, через make bin (для сборки нужны заголовки библиотеки nfnetlink).

Среди других изменений в данном релизе iptables можно отметить поддержку ядра 2.6.32, исправление ряда мелких проблем в отдельных модулях (xt_iprange, xt_conntrack), поправки в man-страницах.

>>> ChangeLog

В минувший понедельник вышла новая версия iptables — интерфейса к Linux-файрволу netfilter.

В числе новшеств:

• Поддержка новых возможностей ядра 2.6.31.
• Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.
• Поддержка опции queue-balance для действия NFQUEUE.
• Ряд исправлений в man-страницах.

Скачать

>>> ChangeLog

18 марта был представлен первый публичный выпуск проекта nftables, новой реализации пакетного фильтра для Linux, идущего на смену iptables. Главным отличием nftables является не только изменившийся синтаксис задания правил, но и совершенно новый подход в их трансляции: определенные пользователем правила теперь преобразуются в специальный псевдокод, который используется для принятия решения по дальнейшим действиям с пакетом внутри ядра.

Nftables состоит из трех частей: кода фильтрации, работающего внутри ядра, связующей интерфейсной netlink библиотеки libnl и фронтэнда, работающего на уровне пользователя, при этом проверка корректности правил выполняется вне ядра, а ядро только выполняет фильтрацию.

Новый синтаксис правил, в котором можно задавать условия, создавать переменные, выполнять математические операции, выглядит так:

   include "ipv4-filter"

   chain filter output {
         ct state established,related accept
         tcp dport 22 accept
         counter drop
   }

Взято с opennet.ru

>>> Подробности

Вам хотелось бы иметь доступ к своему домашнему файловому серверу, при этом не открывая широко ваш пакетный фильтр для атак? Проще всего это сделать в Linux. В статье М.Вальдо рассказано как "запереть" ваш пакетный фильтр и реализовать проброс портов, который позволит вам проникать в защищаемую зону.

>>> Подробности

Эта статья поможет защитить сервер от DDOS-атак вида HTTP flood, узнать, на какой из сайтов идет DDOS-атака, научиться, как отключать атакуемый сайт и защищать свой сайт на сервере или vps.

HTTP flood — наиболее типичный вид DDOS-атаки, когда атакуемый веб-сервер переполняется запросами к главной странице. Симптомы атаки: записи о невозможности открыть новые соединения в логе веб-сервера, очень быстрый рост логов посещений с одинаковыми запросами. Число одновременных запросов к веб-серверу может быть получено в Linux при помощи команды netstat -plan | grep :80 | grep -c tcp. Обычное состояние для среднего сервера — до 200-400 запросов. В случае HTTP flood — более тысячи.

>>> Защита от DDOS Apache на Linux сервере с помощью iptables и nginx