Назад | Перейти на главную страницу

iptables и блокировка потенциально невозможного трафика

Я работаю над некоторыми правилами брандмауэра iptables и видел много примеров, свидетельствующих о важности блокировки потенциально невозможного трафика из немаршрутизируемых пространств IP-адресов. Сюда входят элементы из RFC 1918, RFC 1700, RFC 5735, RFC 3927, RFC 3068, RFC 2544, RFC 5737, RFC 3171 и RFC 919. Некоторые примеры включают следующее:

Некоторые из примеров показывают, что вам нужно беспокоиться о проверке этого трафика только в том случае, если он является источником трафика. Пример:

$IPT -A ANTISPOOF -s 0.0.0.0/8 -m limit --limit 5/min --limit-burst 5 -j LOG --log-prefix "Denied Spoofed Source IP Address: "
$IPT -A ANTISPOOF -s 0.0.0.0/8 -j DROP

В других примерах используется более агрессивная позиция, когда они проверяют источник и место назначения как для ввода, так и для вывода. Примеры включают:

iptables -A INPUT -d 172.0.0.0/8 -j DROP
iptables -A INPUT -s 172.0.0.0/8 -j DROP
iptables -A OUTPUT -d 172.0.0.0/8 -j DROP
iptables -A OUTPUT -s 172.0.0.0/8 -j DROP

Я остаюсь со следующими вопросами:

Заранее благодарим за помощь в этом.

Большая часть приведенного выше набора правил связана с тем, что обычно называется фильтрацией Богона: http://en.wikipedia.org/wiki/Bogon_filtering - Это пакеты, которые поступают в / из нераспределенных областей адресного пространства.

Однако 3 из этих диапазонов относятся к частным сетям RFC1918: http://en.wikipedia.org/wiki/Private_networks - Пакеты от них все еще могут классифицироваться как Bogons, но только если они нелегитимны. (Даже роза - это сорняк, если она растет посреди автостоянки ...)

Если вы работаете с маршрутизатором, примите во внимание следующее:

  • Цепочки INPUT и OUTPUT имеют дело с трафиком, предназначенным / от (соответственно) некоторому локальному процессу на самом межсетевом экране. Большая часть маршрутизируемого трафика не касается этих цепочек.
  • Цепочка FORWARD обрабатывает трафик, маршрутизируемый через машину в другое место назначения.
  • Как правило, вам нужно заблокировать входящий трафик от тех источник сети и исходящий трафик к тем место назначения сети. Взгляните на -i флаг для iptables, который позволяет ограничить соответствие заданному сетевому адаптеру.
    • Однако я второй «пёс», в таком перехвате исходящего трафика, вероятно, нет необходимости. Если это ваш сервер, вы должны контролировать, что он отправляет.
  • Помните, что ваша внутренняя LAN, вероятно, использует один из диапазонов частных адресов. Вы, вероятно, все еще хотите разрешить этот трафик. 
* Do I need to check for the source address of the IP ranges listed above in the bulleted list?

Да, вы не хотите, чтобы ваш сервер пытался отвечать / отправлять пакеты на указанные адреса, даже если ваш провайдер / провайдер должен их отбрасывать.

* Do I need to check for the destination address of the IP ranges listed above in the bulleted list?

Да, входящие пакеты не будут передаваться в операционную систему, но вы хотите заблокировать попытки как можно ближе к краю вашей системы / сети.

* Is is important to create rules for the IP ranges listed above that would include both the INPUT and OUTPUT chains?

Да, вы не хотите отправлять пакеты на указанные адреса. 

* Are there any IP ranges that I have forgotten to check from that are missing from the bulleted list above?

Да, ваш IP-адрес должен быть запрещен к вам. Вы можете стать более агрессивным, используя ( http://www.team-cymru.org/Services/Bogons/ ), но вы можете заблокировать законные источники, поскольку оставшийся адрес ipv4 выделен.

Счетчик попаданий iptables поможет вам определить, какие правила работают, а ведение журнала поможет идентифицировать соединения, отклоненные или принятые.