រៀបរាប់សង្ខេបពីវិធី Configuration Iptables ធ្វើជា Firewall សំរាប់ CentOS / Redhat

រៀបរាប់សង្ខេបពីវិធី Configuration Iptables ធ្វើជា Firewall សំរាប់ CentOS / Redhat
តើខ្ញុំអាចធ្វើការ configure firewall នៅលើ host-based ឬហៅថា Netfilter (iptables) សំរាប់ប្រព្ធ័ CentOS/RHEL / Fedora / Redhat Enterprise Linuxដោយវិធីណា ?

Netfilter គឺជា firewall នៅលើ host-based សំរាប់ប្រពន្ធ័ដំណើរការ Linux ។ វារួមមានគ្រប់ជំនាន់របស់ Linux ហើយជាធម្មតា វាបានដំណើរការ ។​ Firewall នេះត្រូវបាន ត្រួតពិនិត្យ ដោយកម្មវិធីមួយ ឈ្មោះថា Iptables ។ ចំពោះ Netfilter filtering បានធ្វើការជំនួសកន្លែង ជាមួយ kernel level មុនពេល ដែលកម្មវិធី ដំណើរការ ជាមួយ data ពី network packet ។

Iptables Config File
ជាធម្មតា files config សំរាប់ RHEL / CentOS / FedoraLinux មាន ៖
/etc/sysconfig/iptables - គឺជា system scripts ដែលអាចធ្វើការ activate firewall ដោយ reading ពី files ទាំងនេះ ។

ធ្វើការបង្ហាញពីច្បាប់ (Rules)
ប្រើប្រាស់ command ដូចតទៅនេះ ៖

iptables --line-numbers -n –L

លទ្ធផលជាឧទាហរណ៍ ៖

Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
5 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
6 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
8 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

បើកដំណើរការFirewall
ប្រើប្រាស់command ពីរដូចខាងក្រោមនេះ ដើម្បី turn on firewall ៖

chkconfig iptables on
service iptables start
# restart the firewall
service iptables restart
# stop the firewall
service iptables stop

ស្វែងយល់ពី firewall
វាមាន ៤ ចំណង (chains) គឺ ៖
១. INPUT - ជាចំណងដំបូង ដែលប្រើសំរាប់ធ្វើជា អាសយ័ដ្ឋានកញ្ចប់ របស់ system ។ ប្រើចំណងនេះ ដើម្បីបើកឬក៍បិទ incoming ports ដូចជា 80, 25, និង 110 ជាដើម និង ip addresses / subnet ដូចជា 202.54.1.20/29 ។
២. OUTPUT - ក៍ជាចំណងដំបូងដែរ ដែលប្រើ នូវពេល packets បានកើតចេញពី system ។ ប្រើចំណងនេះ ដើម្បីបើកឬបិទ ចំពោះ outgoing ports និង ip addresses / subnets ។
៣. FORWARD - វាក៍ជាចំណងដំបូងដែរ ដែលប្រើនូវពេល packets ត្រូវបានបញ្ជូនឆ្លងកាត់ពី interface ផ្សេងទៀត ។ ជាធម្មតាពេល អ្នក setup linux ធ្វើជា router មួយ ។ ជាឧទាហរណ៍ eth0 ធ្វើការភ្ជាប់ទៅកាន់ ADSL/Cable modem និង eth1 ធ្វើការភ្ជាប់ទៅកាន់ local LAN ។ ប្រើ FORWARD ដើម្បីធ្វើការ send និង receive traffic ពី LAN ទៅកាន់ internet ។
៤. RH-Firewall-1-INPUT - នេះគឺជាច្បាប់ដែលអ្នកប្រើប្រាស់បានកំណត់ ។​ វាប្រើជាមួយចំណង INPUT , OUTPUT និង FORWARD ។
Packet ត្រូវដូចគ្នានិង rules
១. រាល់ packet start ជាមួយ rule ដំបង នៅក្នុងចំណង (chain)។
២. Packet មួយអាចដំណើរការបាន ទាល់តែវាដូចគ្នានៅក្នុងច្បាប់នោះ ។
៣. បើសិន ជាវាបានរកឃើញដូចគ្នា នោះការត្រួតពិនិត្យ វានិង មានលក្ខណៈពិសេសដូចជា REJECT, ACCEPT, និង DROP ។
អត្ថន័យនៃពាក្យ REJECT, ACCEPT, និង DROP
១. ពាក្យ ACCEPT មានន័យថា អនុញ្ញាតអោយ packet ដំណើរការ ។
២. ពាក្យ REJECT មានន័យថា ទប់ស្កាត់ packet និង បញ្ជូន error massage ទៅកាន់ remote host ។
៣. ពាក្យ DROP មានន័យថា ទប់ស្កាត់ packet និង មិនបញ្ជូន error massage ទៅកាន់ remote host ឬក៍ sending host ។
/etc/sysconfig/iptables
ធ្វើការ edit file /etc/sysconfig/iptables និងប្រើ enter ៖

# vi /etc/sysconfig/iptables

អ្នកនិងទទួលបានលទ្ធផលដូខាងក្រោមនេះ ៖

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

ទប់ស្កាត់រាល់ Traffic ទាំងអស់
ស្វែងរកបន្ទាត់ ៖

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

ធ្វើការផ្លាស់ប្ដូរនួវច្បាប់ពី ACCEPT ទៅកាន់ DROP សំរាប់ INPUT និង FORWARD នៅក្នុងចំណង ៖

:INPUT DROP [0:0]
:FORWARD DROP [0:0]

Log និងdrop Spoofing Source Addresses

បន្ថែមបន្ទាត់ទាំងអស់នេះ មុនពេល បន្ទាត់ចុងក្រោយ COMMIT ៖

-A INPUT -i eth0 -s 10.0.0.0/8 -j LOG --log-prefix "IP DROP SPOOF "
-A INPUT -i eth0 -s 172.16.0.0/12 -j LOG --log-prefix "IP DROP SPOOF "
-A INPUT -i eth0 -s 192.168.0.0/16 -j LOG --log-prefix "IP DROP SPOOF "
-A INPUT -i eth0 -s 224.0.0.0/4 -j LOG --log-prefix "IP DROP MULTICAST "
-A INPUT -i eth0 -s 240.0.0.0/5 -j LOG --log-prefix "IP DROP SPOOF "
-A INPUT -i eth0 -d 127.0.0.0/8 -j LOG --log-prefix "IP DROP LOOPBACK "
-A INPUT -i eth0 -s 169.254.0.0/16 -j LOG --log-prefix "IP DROP MULTICAST "
-A INPUT -i eth0 -s 0.0.0.0/8 -j LOG --log-prefix "IP DROP "
-A INPUT -i eth0 -s 240.0.0.0/4 -j LOG --log-prefix "IP DROP "
-A INPUT -i eth0 -s 255.255.255.255/32 -j LOG --log-prefix "IP DROP "
-A INPUT -i eth0 -s 168.254.0.0/16 -j LOG --log-prefix "IP DROP "
-A INPUT -i eth0 -s 248.0.0.0/5 -j LOG --log-prefix "IP DROP "

Log និង Drop រាល់ Traffic

ស្វែងរកបន្ទាត់ ៖

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

ធ្វើការបន្ថែមដូចខាងក្រោមនេះ ៖

-A RH-Firewall-1-INPUT -j LOG
-A RH-Firewall-1-INPUT -j DROP
COMMIT

បើក portដើម្បីបើក port 80 (Http server) គឺត្រូវបន្ថែមមុនបន្ទាត់ COMMIT ៖

-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 80 -j ACCEPT

ដើម្បីបើក port 53 (DNS server) គឺត្រូវបន្ថែមមុនបន្ទាត់ COMMIT ៖

-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p tcp --dport 53 -j ACCEPT

ដើម្បីបើក port 443 (Https server) គឺត្រូវបន្ថែមមុនបន្ទាត់ COMMIT ៖

-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 443 -j ACCEPT

ដើម្បីបើក port 25 (smtp server) គឺត្រូវបន្ថែមមុនបន្ទាត់ COMMIT ៖

-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 25 -j ACCEPT

អ​នុញ្ញាតត្រឹមតែ SSH traffic ពី 192.168.0.1/24 ៖

-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

Enable Printing Access សំរាប់ 192.168.1.0/24

-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT

ផ្ដល់សិទ្ធិ អោយ NTP client access ទៅកាន់ Server

-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT

បើក FTP port 21 (ftp)

-A RH-Firewall-1-INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT

ធ្វើការរក្សាទុកនិងបិទ file រួចហើយធ្វើការ edit /etc/sysconfig/iptables-config និងប្រើ enter ៖

# vi /etc/sysconfig/iptables-config

ត្រួតពិនិត្យ ftp module គឺ Load ជាមួយ space-separated list នៃ modules ៖

IPTABLES_MODULES="ip_conntrack_ftp"

ដើម្បី restart firewall ប្រើ command ដូចតទៅនេះ ៖

# service iptables restart
# iptables -vnL --line-numbers

ធ្វើការ edit /etc/sysctl.conf សំរាប់ DoS និង Synprotection
Edit /etc/sysctl.conf ដើម្បីការពាររាល់ពេល update ៖

net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
#net.ipv4.icmp_ignore_bogus_error_messages = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

ជំរើសនៃការ configuration
អ្នកអាច skip /etc/sysconfig/iptables ដោយមិនប្រើ និងបង្កើត shell script ដូចតទៅនេះ ៖

#!/bin/bash
# A sample firewall shell script
IPT="/sbin/iptables"
SPAMLIST="blockedip"
SPAMDROPMSG="BLOCKED IP DROP"
SYSCTL="/sbin/sysctl"
BLOCKEDIPS="/root/scripts/blocked.ips.txt"

# Stop certain attacks
echo"Setting sysctl IPv4 settings..."
$SYSCTL net.ipv4.ip_forward=0
$SYSCTL net.ipv4.conf.all.send_redirects=0
$SYSCTL net.ipv4.conf.default.send_redirects=0
$SYSCTL net.ipv4.conf.all.accept_source_route=0
$SYSCTL net.ipv4.conf.all.accept_redirects=0
$SYSCTL net.ipv4.conf.all.secure_redirects=0
$SYSCTL net.ipv4.conf.all.log_martians=1
$SYSCTL net.ipv4.conf.default.accept_source_route=0
$SYSCTL net.ipv4.conf.default.accept_redirects=0
$SYSCTL net.ipv4.conf.default.secure_redirects=0
$SYSCTL net.ipv4.icmp_echo_ignore_broadcasts=1
#$SYSCTL net.ipv4.icmp_ignore_bogus_error_messages=1
$SYSCTL net.ipv4.tcp_syncookies=1
$SYSCTL net.ipv4.conf.all.rp_filter=1
$SYSCTL net.ipv4.conf.default.rp_filter=1
$SYSCTL kernel.exec-shield=1
$SYSCTL kernel.randomize_va_space=1

echo"Starting IPv4 Firewall..."
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X

# load modules
modprobe ip_conntrack

[ -f "$BLOCKEDIPS"] && BADIPS=$(egrep -v -E "^#|^$""${BLOCKEDIPS}")

# interface connected to the Internet
PUB_IF="eth0"

#Unlimited traffic for loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# DROP all incomming traffic
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

if[ -f "${BLOCKEDIPS}"];
then
# create a new iptables list
$IPT -N $SPAMLIST

for ipblock in$BADIPS
do
$IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG "
$IPT -A $SPAMLIST -s $ipblock -j DROP
done

$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST
fi

# Block sync
$IPT -A INPUT -i ${PUB_IF} -p tcp ! --syn -m state --state NEW -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Drop Sync"
$IPT -A INPUT -i ${PUB_IF} -p tcp ! --syn -m state --state NEW -j DROP

# Block Fragments
$IPT -A INPUT -i ${PUB_IF} -f -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Fragments Packets"
$IPT -A INPUT -i ${PUB_IF} -f -j DROP

# Block bad stuff
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL ALL -j DROP

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL NONE -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "NULL Packets"
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL NONE -j DROP # NULL packets

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "XMAS Packets"
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP #XMAS

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Fin Packets Scan"
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags FIN,ACK FIN -j DROP # FIN packet scans

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

# Allow full outgoing connection but no incomming stuff
$IPT -A INPUT -i ${PUB_IF} -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -o ${PUB_IF} -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Allow ssh
$IPT -A INPUT -i ${PUB_IF} -p tcp --destination-port 22 -j ACCEPT

# Allow http / https (open port 80 / 443)
$IPT -A INPUT -i ${PUB_IF} -p tcp --destination-port 80 -j ACCEPT
#$IPT -A INPUT -o ${PUB_IF} -p tcp --destination-port 443 -j ACCEPT

# allow incomming ICMP ping pong stuff
$IPT -A INPUT -i ${PUB_IF} -p icmp --icmp-type8 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#$IPT -A OUTPUT -o ${PUB_IF} -p icmp --icmp-type0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow port 53 tcp/udp (DNS Server)
$IPT -A INPUT -i ${PUB_IF} -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#$IPT -A OUTPUT -o ${PUB_IF} -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A INPUT -i ${PUB_IF} -p tcp --destination-port 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#$IPT -A OUTPUT -o ${PUB_IF} -p tcp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open port 110(pop3) / 143
$IPT -A INPUT -i ${PUB_IF} -p tcp --destination-port 110 -j ACCEPT
$IPT -A INPUT -i ${PUB_IF} -p tcp --destination-port 143 -j ACCEPT

##### Add your rules below ######
#
#
##### END your rules ############

# Do not log smb/windows sharing packets - too much logging
$IPT -A INPUT -p tcp -i ${PUB_IF} --dport 137:139 -j REJECT
$IPT -A INPUT -p udp -i ${PUB_IF} --dport 137:139 -j REJECT

# log everything else and drop
$IPT -A INPUT -j LOG
$IPT -A FORWARD -j LOG
$IPT -A INPUT -j DROP

exit0