Eine einfache stateful Firewall mit iptables

Mit iptables kann man unter Linux eine Firewall konfigurieren. In diesem Artikel zeige ich die wichtigsten Befehle und Arbeitsschritte um eine Firewall für IPv4 und IPv6 einzurichten.

Hilfsvariabeln und Hilfsfunktionen

Folgende Hilfsvariabeln vereinfachen einem die kontrolle über de einzelnen Befehle und Konfigurationsdateien:

Die Hilfsfunktion ip64tables verwende ich, um Befehle gleichzeitig mit iptables und ip6tables auszuführen. Somit verhindert man den Fehler, dass man Regeln nur für IPv4 und nicht für IPv6 erstellt:

Firewall initialisieren

Zuerst werden alle bestehenden Regeln gelöscht:

Als restriktive Firewall sollen standarsmässig alle Pakete verworfen (Target DROP) werden:

Der gesamte lokale Verkehr soll akzeptiert werden (z. B. für den X-Server oder lokale Sockets).

Stateful Firewall

Folgende zwei Regeln helfen einem eine stateful Firewall zu erstellen. Dabei werden mit dem Modul conntrack die Verbindungen beobachtet. Falls eine Verbindung zustande kommt, werden auch alle weiteren Pakete dieser Verbindung zugelassen.

Verbindungen nach Aussen zulassen

Für jeden Service, den man nutzen will, erstellt man eine Regel, welche den ausgehenden Verkehr auf dem gewünschten Port zulässt. Hier am Beispiel whois, welches den Port 43 über TCP verwendet. Damit die stateful Regeln funktionieren, verwendet man das Modul conntrack um die Verbindung zu tracken. Die Antwortpakete auf die ausgehende Verbindung werden somit über die zuvor definierten Regeln der stateful Firewall zugelassen.

Verbindungen nach Innen zulassen

Will man selber einen Service anbieten, muss man den gewünschten Port von aussen nach innen zulassen. Wichtig ist auch hier, dass man das Modul conntrack verwendet, damit die Antwortpakete auch gesendet werden können.

Spezielle IPv4 Konfiguration

Diese Regel lässt eingehende ICMP Echo Requests (ping) zu. Dies Regel gilt nur für IPv4, da IPv6 die Option icmpv6 verwendet. Dabei ist zu beachten, dass jetzt $IPTABLES statt $IP46TABLES verwendet wird.

Spezielle IPv6 Konfiguration

Damit man sich eine IPv6 Adresse generieren kann, muss man zuerst den Präfix vom Router erhalten. Dies geschieht über die Router Advertisments und Router Solicitations.

Die Namensauflösung der IPv6 Adressen in MAC-Adressen geschieht über die Neighbor Discovery mittels Neighbor Solicitations und Neighbor Advertisements.

Kernelmodule

Damit FTP funktioniert, muss das Kernelmodul nf_conntrack_ftp geladen sein. Das kann man manuell mit modprobe machen:

Oder mit der Datei /etc/modules-load.d/iptables.conf:

Firewall Skript

Das ganze kann man jetzt schön in ein Skript packen, damit man iptables gut kontrollieren kann. Ich verwende diese Firewall unter Arch Linux. Mein Firewall-Skript sieht folgendermassen aus:

IPTABLES=”/sbin/iptables”
IPTABLES_SAVE=”/sbin/iptables-save”
IPTABLESCONFIG=”/etc/iptables/iptables.rules”
IP6TABLES=”/sbin/ip6tables”
IP6TABLES_SAVE=”/sbin/ip6tables-save”
IP6TABLESCONFIG=”/etc/iptables/ip6tables.rules”
IP46TABLES=”ip46tables”
SYSCTL=”/sbin/sysctl”

help(){
cat << EOI Usage: firewall (start|stop|status|save|help) EOI } ip46tables(){ $IPTABLES $@ $IP6TABLES $@ } start(){ echo “[+] Starting firewall… ” $IP46TABLES -F INPUT $IP46TABLES -F OUTPUT $IP46TABLES -F FORWARD $IP46TABLES -P INPUT DROP $IP46TABLES -P OUTPUT DROP $IP46TABLES -P FORWARD DROP $IP46TABLES -A INPUT -i lo -j ACCEPT $IP46TABLES -A OUTPUT -o lo -j ACCEPT hardening output_chain input_chain echo “[+] Firewall started” } stop(){ echo -n “[+] Stopping firewall… ” $IP46TABLES -F INPUT $IP46TABLES -F OUTPUT $IP46TABLES -F FORWARD $IP46TABLES -P INPUT ACCEPT $IP46TABLES -P OUTPUT ACCEPT $IP46TABLES -P FORWARD ACCEPT echo “Done.” } status(){ $IP46TABLES –version $IP46TABLES -vnL –line-numbers } save(){ echo -n “[+] Saving iptables rules… ” $IPTABLES_SAVE > “$IPTABLESCONFIG”
echo “Done. (`wc -l $IPTABLESCONFIG | cut -d’ ‘ -f1` Lines saved.)”
echo -n “[+] Saving ip6tables rules… ”
$IP6TABLES_SAVE > “$IP6TABLESCONFIG”
echo “Done. (`wc -l $IP6TABLESCONFIG | cut -d’ ‘ -f1` Lines saved.)”
}

input_chain(){
echo -n “[+] Applying input rules… ”

$IP46TABLES -A INPUT -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT -m comment –comment “Stateful_INPUT”

$IPTABLES -A INPUT -p icmp –icmp-type echo-request -m state –state NEW -j ACCEPT -m comment –comment “ICMP_echo-request”
$IP6TABLES -A INPUT -p icmpv6 –icmpv6-type router-advertisement -j ACCEPT -m comment –comment “ICMPv6_router-advertisement”
$IP6TABLES -A INPUT -p icmpv6 –icmpv6-type router-solicitation -j ACCEPT -m comment –comment “ICMPv6_router-solicitation”
$IP6TABLES -A INPUT -p icmpv6 –icmpv6-type neighbour-advertisement -j ACCEPT -m comment –comment “ICMPv6_neighbour-advertisement”
$IP6TABLES -A INPUT -p icmpv6 –icmpv6-type neighbour-solicitation -j ACCEPT -m comment –comment “ICMPv6_neighbour-solicitation”
$IP6TABLES -A INPUT -p icmpv6 –icmpv6-type echo-request -j ACCEPT -m comment –comment “ICMPv6_echo-request”
$IP6TABLES -A INPUT -p icmpv6 –icmpv6-type echo-reply -j ACCEPT -m comment –comment “ICMPv6_echo-reply”

$IP46TABLES -A INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -m recent –set –name SSH –rsource -m comment –comment “SSH”
$IP46TABLES -A INPUT -p tcp –dport 22 -m recent –rcheck –seconds 60 –hitcount 4 –rttl –name SSH –rsource -m limit –limit 1/min –limit-burst 1 -j LOG –log-prefix “SSH_Brute-Force”
$IP46TABLES -A INPUT -p tcp –dport 22 -m recent –update –seconds 60 –hitcount 4 –rttl –name SSH –rsource -j REJECT –reject-with tcp-reset -m comment –comment “Accept_SSH_IN”
$IP46TABLES -A INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -j LOG –log-prefix “Accept_SSH_IN”
$IP46TABLES -A INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Accept_SSH_IN”

PHONE=”5C:0A:5B:93:3B:CB”
$IP46TABLES -A INPUT -p tcp –dport 6600 -m conntrack –ctstate NEW -m mac –mac-source $PHONE -m limit –limit 1/min –limit-burst 1 -j LOG –log-prefix “Accept_MPD_IN” -m comment –comment “MPD_Phone”
$IP46TABLES -A INPUT -p tcp –dport 6600 -m conntrack –ctstate NEW -m mac –mac-source $PHONE -j ACCEPT -m comment –comment “MPD_Phone”

# Drop
$IP46TABLES -A INPUT -p tcp –dport 23 -m conntrack –ctstate NEW -m limit –limit 1/min –limit-burst 1 -j LOG –log-prefix “Drop_Telnet_IN ” -m comment –comment “Telnet”
$IP46TABLES -A INPUT -p tcp –dport 23 -m conntrack –ctstate NEW -j DROP
$IPTABLES -A INPUT -m addrtype –dst-type BROADCAST -j DROP
$IPTABLES -A INPUT -m addrtype –dst-type MULTICAST -j DROP

# Log
$IP46TABLES -A INPUT ! -i lo -m limit –limit 1/min –limit-burst 1 -j LOG –log-prefix “DROP_IN ” –log-ip-options –log-tcp-options # Log all other packages

echo “Done.”
}

output_chain(){
echo -n “[+] Applying output rules… ”

$IP46TABLES -A OUTPUT -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT -m comment –comment “Stateful_OUTPUT”

$IPTABLES -A OUTPUT -p icmp –icmp-type echo-request -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “ICMP_echo-request”
$IP6TABLES -A OUTPUT -p icmpv6 –icmpv6-type router-advertisement -j ACCEPT -m comment –comment “ICMPv6_router-advertisement”
$IP6TABLES -A OUTPUT -p icmpv6 –icmpv6-type router-solicitation -j ACCEPT -m comment –comment “ICMPv6_router-solicitation”
$IP6TABLES -A OUTPUT -p icmpv6 –icmpv6-type neighbour-advertisement -j ACCEPT -m comment –comment “ICMPv6_neighbour-advertisement”
$IP6TABLES -A OUTPUT -p icmpv6 –icmpv6-type neighbour-solicitation -j ACCEPT -m comment –comment “ICMPv6_neighbour-solicitation”
$IP6TABLES -A OUTPUT -p icmpv6 –icmpv6-type echo-request -j ACCEPT -m comment –comment “ICMPv6_echo-request”
$IP6TABLES -A OUTPUT -p icmpv6 –icmpv6-type echo-reply -j ACCEPT -m comment –comment “ICMPv6_echo-reply”

$IP46TABLES -A OUTPUT -p tcp –dport 21 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “FTP” # (nf_conntrack_ftp muss geladen sein)
$IP46TABLES -A OUTPUT -p tcp –dport 22 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “SSH”
$IP46TABLES -A OUTPUT -p tcp –dport 23 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Telnet”
$IP46TABLES -A OUTPUT -p tcp –dport 43 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Whois”
$IP46TABLES -A OUTPUT -p udp –dport 53 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “DNS_TCP”
$IP46TABLES -A OUTPUT -p tcp –dport 53 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “DNS_UDP”
$IP46TABLES -I OUTPUT -p udp –dport 67:68 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “DHCP”
$IP46TABLES -A OUTPUT -p tcp –dport 80 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “HTTP”
$IP46TABLES -A OUTPUT -p udp –dport 123 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “NTP”
$IP46TABLES -A OUTPUT -p udp –dport 137 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Samba_NETBIOS_Name_Service”
$IP46TABLES -A OUTPUT -p udp –dport 138 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Samba_NETBIOS_Datagram_Service”
$IP46TABLES -A OUTPUT -p tcp –dport 139 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Samba_NETBIOS_Session_Service”
$IP46TABLES -A OUTPUT -p tcp –dport 143 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “IMAP”
$IP46TABLES -A OUTPUT -p tcp –dport 443 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “HTTPS”
$IP46TABLES -A OUTPUT -p tcp –dport 445 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Samba_Microsoft-DS”
$IP46TABLES -A OUTPUT -p tcp –dport 465 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “SMTP_Gmail”
$IP46TABLES -A OUTPUT -p tcp –dport 587 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “SMTP_submission”
$IP46TABLES -A OUTPUT -p udp –dport 500 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “VPN_ISAKMP”
$IP46TABLES -A OUTPUT -p tcp –dport 993 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “IMAPS”
$IP46TABLES -A OUTPUT -p udp –dport 1194 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “OpenVPN”
$IP46TABLES -A OUTPUT -p tcp –dport 2305 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “SSH_2305”
$IP46TABLES -A OUTPUT -p tcp –dport 3690 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “SVN”
$IP46TABLES -A OUTPUT -p udp –dport 4500 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “VPN_IPSEC-NAT”
$IP46TABLES -A OUTPUT -p tcp –dport 5222 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “XMPP_TCP”
$IP46TABLES -A OUTPUT -p udp –dport 5222 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “XMPP_UDP”
$IP46TABLES -A OUTPUT -p tcp –dport 6667 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “IRC”
$IP46TABLES -A OUTPUT -p tcp –dport 6697 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “IRC”
$IP46TABLES -A OUTPUT -p udp –dport 80 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Bittorrent_Tracker”
$IP46TABLES -A OUTPUT -p udp –dport 1337 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Bittorrent_Tracker”
$IP46TABLES -A OUTPUT -p tcp –dport 6969 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Bittorrent_Tracker”
$IP46TABLES -A OUTPUT -p udp –dport 6969 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Bittorrent_Tracker”
$IP46TABLES -A OUTPUT -p tcp –dport 1337 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Bittorrent_Tracker”
$IP46TABLES -A OUTPUT -p udp –dport 1337 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Bittorrent_Tracker”
$IP46TABLES -A OUTPUT -p tcp –dport 6881:6889 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Bittorrent_Clients”
$IP46TABLES -A OUTPUT -p udp –dport 6881:6889 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “Bittorrent_Clients”
$IP46TABLES -A OUTPUT -p tcp –dport 8080 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “HTTP-Alt”
$IP46TABLES -A OUTPUT -p tcp –dport 9418 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “GIT”
$IP46TABLES -A OUTPUT -p tcp –dport 9418 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “GIT”
$IP46TABLES -A OUTPUT -p tcp –dport 11371 -m conntrack –ctstate NEW -j ACCEPT -m comment –comment “PGP_Keyserver_Communication”

echo “Done.”
}

hardening(){
echo -n “[+] Hardening…”

$SYSCTL -q -w net.ipv4.tcp_syncookies=1 # SYN-Flood Attack
$SYSCTL -q -w net.ipv4.icmp_echo_ignore_broadcasts=1 # Smurf-Attack

# (D)DOS
# $IP46TABLES -A INPUT -p tcp –syn -m limit –limit 1/s -j ACCEPT # SYN-Flood
# $IP46TABLES -A INPUT -p tcp –syn -m limit –limit 1/s -j LOG –log-level warning –log-tcp-options –log-ip-options –log-prefix “SYNFLOOD” # SYN

# Portscans
$IP46TABLES -A INPUT -p tcp –tcp-flags ALL NONE -m limit –limit 1/min –limit-burst 1 -j LOG –log-level warning –log-tcp-options –log-ip-options –log-prefix “NULL-Scan” -m comment –comment “NULL-Scan”
$IP46TABLES -A INPUT -p tcp –tcp-flags ALL NONE -j DROP -m comment –comment “NULL-Scan”

$IP46TABLES -A INPUT -p tcp –tcp-flags ALL FIN -m limit –limit 1/min –limit-burst 1 -j LOG –log-level warning –log-tcp-options –log-ip-options –log-prefix “FIN-Scan” -m comment –comment “FIN-Scan”
$IP46TABLES -A INPUT -p tcp –tcp-flags ALL FIN -j DROP -m comment –comment “FIN-Scan”

$IP46TABLES -A INPUT -p tcp –tcp-flags ALL FIN,PSH,URG -m limit –limit 1/min –limit-burst 1 -j LOG –log-level warning –log-tcp-options –log-ip-options –log-prefix “XMAS-SCAN” -m comment –comment “XMAS-Scan”
$IP46TABLES -A INPUT -p tcp –tcp-flags ALL FIN,PSH,URG -j DROP -m comment –comment “XMAS-Scan”
$IP46TABLES -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit –limit 1/min –limit-burst 1 -j LOG –log-level warning –log-tcp-options –log-ip-options –log-prefix “XMAS-PSH-Scan” -m comment –comment “XMAS-PSH-Scan”
$IP46TABLES -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP -m comment –comment “XMAS-PSH-Scan”
$IP46TABLES -A INPUT -p tcp –tcp-flags ALL ALL -m limit –limit 1/min –limit-burst 1 -j LOG –log-level warning –log-tcp-options –log-ip-options –log-prefix “XMAS-All-Scan” -m comment –comment “XMAS-All-Scan”
$IP46TABLES -A INPUT -p tcp –tcp-flags ALL ALL -j DROP -m comment –comment “XMAS-All-Scan”

$IP46TABLES -A INPUT -p udp -m limit –limit 1/min –limit-burst 1 -m length –length 0:28 -j LOG –log-prefix “UDP-Scan_Empty_Package” -m comment –comment “UDP-Scan_Empty_UDP_Package”
$IP46TABLES -A INPUT -p udp -m length –length 0:28 -j DROP -m comment –comment “UDP-Scan_Empty_UDP_Package”

$IP46TABLES -A INPUT -p tcp ! –syn -m conntrack –ctstate NEW -m limit –limit 1/min –limit-burst 1 -j LOG –log-ip-options –log-tcp-options –log-prefix “New_connection_not_SYN” -m comment –comment “New_connection_not_SYN ”
$IP46TABLES -A INPUT -p tcp ! –syn -m conntrack –ctstate NEW -j DROP -m comment –comment “New_connection_not_SYN ”

$IP46TABLES -A INPUT -p tcp -m multiport –dports 23,5900 –tcp-flags ALL SYN -m limit –limit 1/m –limit-burst 1 -j LOG –log-prefix “SYN-Scan_Trap” -m comment –comment “SYN-Scan_Trap”
$IP46TABLES -A INPUT -p tcp -m multiport –dports 23,5900 –tcp-flags ALL SYN -j DROP -m comment –comment “SYN-Scan_Trap”

# $IP46TABLES -A INPUT -m conntrack –ctstate INVALID -m limit –limit 1/h –limit-burst 1 -j LOG –log-ip-options –log-tcp-options –log-prefix “DROP_INVALID ”
$IP46TABLES -A INPUT -m conntrack –ctstate INVALID -j DROP -m comment –comment “Invalid_Packets ”

# DOS Attacks (Denial of service)

echo “Done.”
}

if [ “$UID” -ne “0” ]
then
echo “[!] Only root can run this script.”
exit 1
fi

Firewall kontrollieren

So startet man die Firewall:

Und wieder stoppen:

Firewall als Service aktivieren

Nach einem Reboot sind die Regeln wieder weg. Deshalb kann man den iptables Service aktivieren und gleich starten:

Regeln speichern

Dieser Service liest die iptables Regeln von der Datei /etc/iptables/iptables.rules bzw. /etc/iptables/ip6tables.rules. Damit diese Dateien die iptables Regeln erhalten, speichert man diese so:

Regeln anschauen

Die Regeln kann man in diesen Dateien oder direkt mit dem firewall Script anschauen:

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination

Log betrachten

Die Logs kann man normal mit journalctl verfolgen:

Download

Die Firewall gibt es auch auf GitHub in meinem Scripts Repository. Die Firewall wurde noch etwas erweitert. Link: firewall.

Links und weitere Informationen

• Webseite von iptables: http://www.netfilter.org/
• ArchLinux Wiki über iptables: https://wiki.archlinux.org/index.php/iptables
• Anfrage im ArchLinux Forum bzgl. conntrack: https://bbs.archlinux.org/viewtopic.php?id=174503
• OpenBook von O’Reilly: Linux-Firewalls – Ein praktischer Einstieg: http://www.oreilly.de/german/freebooks/linuxfire2ger/toc.html