Iptables su moćna stvar, ali je rukovanje s velikim brojem pravila je nespretno, jer morate paziti na njihov poredak koji je jako bitan.

Dobro, a po čemu je to bolje od standardnog načina, to sve mogu i preko " običnih " iptables pravila, pitate se.

U ovoj e-knjizi ćemo vas naučiti radu s iptables/Netfilter sustavom.

Netfilter i iptables su sučelje prema linuxovoj jezgri koje omogućava stateful i stateless filtriranje mrežnog prometa, translaciju mrežnih i port adresa (NAT).

Iako se iptables instaliraju pri instalaciji sustava i automatski konfiguriraju tako da se startaju prilikom pokretanja poslužitelja na kojem su instalirane, bez dodatne konfiguracije ne pružaju nikakvu zaštitu.

U idućem članku biti će predstavljena konfiguracija iptables-a za zaštitu produkcijskih poslužitelja.

Postoje 4 osnovne tablice u iptables konfiguraciji: filter, nat, mangle i raw.

Tu su još radionice: Licem u lice sa Iptables, FreeBSD - napravi sam svoj port, AJAX - Asynchronous Javascript and XML, CMS II. dio i Drupal i XOOPS.

Isto tako, ove godine ugošćujemo mnogo poznatih imena: Alan Cox iz Walesa (poznat kao jedan od glavnih razvijatelja Linux jezgre), Harald Welte iz Njemačke (poznat kao jedan od autora iptables/netfilter dijela Linuxa, OpenMoko glavni razvijatelj, autor OpenRFID, te dobitnik FSF nagrade za 2007. godinu), Machtelt Garrels iz Belgije (autorica TLDP Linux priručnika), Wim Vandeputte iz Belgije (poznat po OpenBSD aktivizmu, BSD certifikaciji, te predstavnik euroBSD-a), Marino Marcich iz SAD-a (managing director ODF alliancea), Andrew Shitov iz Rusije (poznat po Perl aktivnostima i jedan od voditelja Moskovskih Perl Mongera), Toni Prug iz Londona (poznat po teorijama hakerstva) i mnogi drugi.

- ako vam poslužitelj odbija konekciju nakon par provjera u kratkom vremenu, provjerite imate li uključen fail2ban ili neki drugi vid aktivne zaštite (iptables ipt_recent modul)

Objasnimo ukratko kako se konfigurira iptables.

Ok, zemlja smo znanja ali nisam siguran da idemo u pravom smjeru, tome u prilog idu i ova dva linka: http://www.slobodnadalmacija.hr/Hrvatska/tabid/66/articleType/ArticleView/articleId/108422/Default.aspx i ovaj http://www.business.hr/hr/Naslovnica/B.IT/Digitalni-marketing/WINDAYS-2011-Pavuna-Treba-izvesti-mentalni-drzavni-udar te ona druga strana " izdvajanja za znanost u indiji npr. " http://www.indija.hr/index.php?p=articles&id=43 Imam i jedno pitanje u vezi ljetne škole informatike u Slavonskom Brodu, da li to uopće postoji i da li je to ikada postojalo, ako ne, bilo bi lijepo da netko to pokrene da se nauči djecu barem nekim stvarima npr. o Linuxu i njegovoj sigurnosti, neke osnovne stvari kao što su (NMAP, XinetD, SSH MD5SUM, GPG-u, AIDE, Rootkits, NPING, Nikto, Ethereal (Wireshark), Squid Proxy pa malo o netfilter/IPTables, SELinuxu, Snort IDS/IPS, TCPDump/LIBPCAP, PAM, OpenSSHv2, OpenPGP, SFTP pa možda čak i BPF-u) a usput i da ih se nauči malo i o etičkom hakiranju (razlika između White Hat i Black Hat) te malo o zakonima o informacijskoj sigurnosti da se klinci ne bi zaigrali previše pa završili iza rešetaka.

Zadnje što trebate provjeriti na samom poslužitelju je vatrozid, odnosno je li u vašim iptables pravilima propušten port 3306. Ovo ćete najlakše provjeriti tako da se probate spojiti na port 3306 s nekog računala izvan vaše lokalne mreže (možete i od kuće):

To je, složit ćete se, priličan sigurnosni propust, pogotovo ako na računalu nemamo instalirani neki sustav za obranu od brute-force napada (primjerice, iptables).

U međuvremenu, probaj se upoznati s iptables:

Koristit će se najpopularniji alati u Linux okruženju - iptables, ulogd, tcp-wrappers, AIDE, nmap, a bit će pokazani i primjeri zaštite servisa poput Apache web servera.

/ sbin/iptables - I INPUT - s % IP % - p tcp - - dport 22 - j ACCEPT

iptables - A INPUT - m set - - set moja_pravila src - j DROP

Osim toga, novost je i IPtables-sustav za filtriranje paketa " Statefull Inspection ", koji navodno dopušta prilagođavanje sigurnosnog sustava potrebama korisnika a istovremeno je zadužen i za upravljanje korisničkim pravima.

Pomoću ovog modula unutar iptablesa možete si olakšati način na koji rabite iptables.

Sve navedeno omogućio nam je iptables modul " recent " (ipt_recent).

Iptables je korisnički program koji se koristi za konfiguraciju pravila filtriranja paketa u Linux 2.4. x i 2.6. x jezgri (eng. kernel).

S korisničke strane iptables je osnovni firewall program većine linux distribucija te u njima dolazi kao dio osnovne instalacije.

iptables - t mangle - A POSTROUTING - m layer7 - - l7proto [ itd. ]

Od stranih predavača, ove ćemo godine ugostiti Haralda Weltea (autora iptables/netfilter dijela u Linux kernelu), Hansa Reisera (autora ReiserFS-a pod Linuxom) i Wietsea Venemu (autora Postfixa, SATAN-a i dr.).

Da bi uključili podršku za l7 filtar, potrebno je patchirati kernel source i iptables.

Iptables pravilima se nećemo u ovom članku baviti, samo ćemo reći da fail2ban prilikom starta pokreće akciju " actionstart ", prilikom gašenja " actionstop ", a i ostalim akcijama samo ime govori prilikom čega se pokreću.

Ovo čini uporabom iptables pravila, te tako blokira sve IP adrese s kojih dolaze napadi.

DORS 2005 manifestacija u trajanju tri dana započela je prvi dan sa četiri zanimljive radionice: Netfilter/iptables firewall administration, Shell skripte za administratore, QOS i kontrola sadržaja, te Open Source Bussines Model.

Druga dva dana bila su posvećena predavanjima na kojima su uvodne govore započeli strani predavači: Hans Reiser. autor RaiserFS-a, dr. Wietse Venema, Postfix, Coroner s Toolkit, SATAN, te Harald Welte, Netfilter/iptables.