- Book mode https://hackmd.io/@ncnu-opensource/book [TOC] # 什麼是防火牆? :::info - 在學校內就相當於警衛的角色 - 確認只有學生或是教職人員可以進入學校 :::   - 讓使用者設定規則/策略，保護自己的網路環境 主要的功能有: - **阻擋**不要的封包 - **放行**需要的封包 - **轉發**封包 :::danger ## 如果沒有防火牆  - 任何使用者都能直接連線到我的主機 ::: :::success ## 如果有防火牆  - 確定只有合法的使用者能夠連線進來 ::: # Netfilter ## 介紹 - Linux 內建的封包過濾框架 - 由 Rusty Russell 在 1998 年開始主導開發 - Linux 2.4 版本時，正式取代舊的 ipchains - 目前 Linux 上主流的防火牆軟體，都是基於此框架去實作 - 主要提供以下功能 - 封包選擇跟過濾 - 網路位址轉譯 (NAT, Network Address Translation) - Packet mangling - Connection tracking ## Hooks :::info 在系統設計中，Hook 是一種機制，用來在特定的事件發生時啟動額外的自訂的行為。防火牆的規則，就是透過在以下這些 Hooks 上註冊一些檢查以及相對應的行為去達成的 ::: ```mermaid flowchart TB A((封包進入)) --> B[NF_INET_PRE_ROUTING] B --> C{路由判斷} C -->|封包送往本機| D[NF_INET_LOCAL_IN] C -->|轉發封包| E[NF_INET_FORWARD] D --> |交給需要的本機資源| F[[本機 process]] E --> |發送封包| I[NF_INET_POST_ROUTING] G[[本機 process]] --> |產生封包| H[NF_INET_LOCAL_OUT] H -->|發送封包| I I --> J((封包傳出)) ``` 當封包進到 Linux 的網路系統中時，會按照一定的順序去觸發這些 Hooks，Netfilter 主要提供以下 5 種 Hook 點: ### `NF_INET_PRE_ROUTING` 接收到的封包第一個會碰到的 Hook，會在進行路由判斷 (routing decision) 之前觸發 ### `NF_INET_LOCAL_IN` 經過路由判斷後，若目的地是本機，就會觸發這個 Hook ### `NF_INET_FORWARD` 經過路由判斷後，若是需要轉發出去的封包(目的地不是本機)，就會觸發這個 Hook ### `NF_INET_LOCAL_OUT` 本機產生並要送往外部的封包，會觸發這個 Hook ### `NF_INET_POST_ROUTING` 任何送往外部的封包 (包含轉發) 最終都會觸發的 Hook # iptables ## 介紹 - iptables 是 Linux 的一種防火牆軟體 - 透過使用 iptables 提供的指令可以操作 Netfilter，進而實現防火牆的功能 - 都需要超級使用者權限 (`sudo`) 才能使用 ## 架構  - 由 **table**、**chain**、**rule** 組成 - iptable"s"/nftable"s"，可知有多個 table - 一個 table 內會有多個 chain - 一個 chain 內會有多個 rule ## Tables 根據**用途** iptables 有**預先定義**幾個 Table:  ### `raw` - **不常用**的 table - 主要用於控制哪些封包需要進行連線追蹤 (connection tracking) ### `filter` - **常用**的 table - 專門用於封包過濾，根據定義的規則來允許、阻擋封包，是防火牆功能的核心 ### `nat` - **常用**的 table - 專門用於網路位址轉譯 (NAT) 的 table。主要是修改封包的來源或目的地 IP 地址和通訊埠號 (port)，以便在內外網之間進行網路通訊 ### `mangle` - **不常用**的 table - 主要用來修改封包的標頭或屬性 ### `security` - **不常用**的 table - 專門與 SELinux (Security-Enhanced Linux) 或 AppArmor 等 Linux 安全模組 (Linux Security Modules, LSM) 配合使用，進行更細粒度的封包控制 > 接下來的內容會聚焦在 `filter` 跟 `nat` 這兩個**常用**的 table 上 ## Chains  iptables 中有五個預先定義好的 chain: - `PREROUTING` - `INPUT` - `FORWARD` - `OUTPUT` - `POSTROUTING` :::warning Q&A 聰明的你有發現可以直接對應到之前講的什麼東西嗎? ::: ### `filter` table 的 chains  | chain | 用途 | |:--------- |:------------------ | | `INPUT` | 過濾**進入**的封包 | | `OUTPUT` | 過濾**送出**的封包 | | `FORWARD` | 過濾要轉送的封包 | ### `nat` table 的 chains  | chain | 用途 | |:------------- |:------------------------------------------------------------------------------------- | | `PREROUTING` | 在封包進入 routing decision 之前，對其進行目的地位址轉譯 (DNAT) | | `INPUT` | 因為已經過了 routing decision，所以僅能對封包進行本機的 port 轉發，僅在特殊情況使用 | | `OUTPUT` | 特殊情況下，修改本機生成封包的目的地位址 (DNAT)，可用來做透明代理 (transparent proxy) | | `POSTROUTING` | 在封包離開系統後、發送到網路之前，對其進行來源地位址轉譯 (SNAT) | ## Rules - 使用者使用 iptables 設定的規則，若符合規則就會對封包執行對應的行為 - rule 是以**有序的**方式進行判斷 - rule 在判斷的時候是短路 (short circuit) 的，意即只要有一條規則被匹配到就不會繼續往接下來的規則進行判斷 ### Policy 封包預設的處理方式，若沒有 rule 被匹配到的時候，就會執行 policy 設定的行為 ### Target 符合規則的時候，要對封包執行的操作，以下是常見的 target: | Target | 用途 | |:------------ |:---------------------------------------------------------------------------------------------------------- | | `ACCEPT` | 允許封包 | | `REJECT` | 拒絕封包，且會透過回傳 RST 封包通知發送封包的人連線被拒絕，也因為會有回應所以發送者會知道主機存在 | | `DROP` | 丟棄封包，不會對發送封包的人有任何回應，會讓連線自己 timeout，因為沒有回應所以發送者也無法判定主機是否存在 | | `DNAT` | 修改封包的目的地位址 | | `SNAT` | 修改封包的來源地位址 | | `REDIRECT` | 修改封包目的地的 port | | `MASQUERADE` | 動態的 SNAT | | `LOG` | 記錄到 `syslog` | :::warning Q&A 覺得哪些 target 跟 `filter` table 相關? 哪些跟 `nat` table 相關? ::: :::success 好文分享 - [DROP vs. REJECT](https://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject) ([中文翻譯](https://www.jyh.im/2024/11/01/Drop-versus-Reject/)) - [iptables REDIRECT vs. DNAT vs. TPROXY](https://gsoc-blog.ecklm.com/iptables-redirect-vs.-dnat-vs.-tproxy/) ::: ## 運作流程 ```mermaid flowchart TB subgraph NF_INET_PRE_ROUTING nat_PREROUTING[nat: PREROUTING] end subgraph NF_INET_LOCAL_IN direction TB nat_INPUT[nat: INPUT] --> filter_INPUT[filter: INPUT] end subgraph NF_INET_FORWARD filter_FORWARD[filter: FORWARD] end subgraph NF_INET_LOCAL_OUT direction TB nat_OUTPUT[nat: OUTPUT] --> filter_OUTPUT[filter: OUTPUT] end subgraph NF_INET_POST_ROUTING nat_POSTROUTING[nat: POSTROUTING] end routing_decision_1{路由判斷} routing_decision_2{路由判斷} routing_decision_3{路由判斷} packet_in((封包進入)) local_process_1[[本機 process]] local_process_2[[本機 process]] packet_out((封包傳出)) packet_in --> NF_INET_PRE_ROUTING NF_INET_PRE_ROUTING --> routing_decision_1 routing_decision_1 -->|封包送往本機| NF_INET_LOCAL_IN routing_decision_1 -->|轉發封包| NF_INET_FORWARD NF_INET_LOCAL_IN --> |交給需要的本機資源| local_process_1 NF_INET_FORWARD --> |發送封包| NF_INET_POST_ROUTING local_process_2 --> |產生封包| routing_decision_2 routing_decision_2 --> NF_INET_LOCAL_OUT NF_INET_LOCAL_OUT --> routing_decision_3 routing_decision_3 --> |發送封包| NF_INET_POST_ROUTING NF_INET_POST_ROUTING --> packet_out ``` :::info 這邊主要在基於 Netfilter hooks 再加上 `filter` 跟 `nat` table 的流程，涉及到更多 table 可以看[這邊](https://www.frozentux.net/iptables-tutorial/chunkyhtml/images/tables_traverse.jpg) ::: ### `NF_INET_PRE_ROUTING` 1. `nat` table `PREROUTING` chain 修改封包的目的位址 (e.g. IP, port)，來達到**轉送封包**的功能 (DNAT) ### 路由判斷 (routing decisions) 根據 routing table 設定的規則，決定封包要**進入系統**還是要**轉發出去** :::warning Q&A 可以使用什麼命令查看 routing table ::: ### `NF_INET_LOCAL_IN` > 路由判斷後，若封包要**進入本機**就會進到這個 hook 1. `nat` table 的 `INPUT` chain 是否針對進入本機的流量進行 port 轉發 2. `filter` table 的 `INPUT` chain 判斷是否要允許封包進入本機 ### `NF_INET_FORWARD` > 路由判斷後，若封包要**轉發出去**就會進到這個 hook 1. `filter` table 的 `FORWARD` chain 判斷封包是否要允許封包轉發出去 ### `NF_INET_LOCAL_OUT` > 本機產生的封包要從本機送出時會到這個 hook 1. `nat` table 的 `OUTPUT` chain 修改封包的目的地，但不常用 2. `filter` table 的 `OUTPUT` chain 判斷封包是否可以送出 ### `NF_INET_POST_ROUTING` > 只要是要從本機送出的封包，最終都會碰到這個 hook 1. `nat` table 的 `POSTROUTING` chain 修改封包的來源地位址 (SNAT)，來讓外部網路回傳的封包能夠正確找到系統的對外位址 ## 指令操作 `iptables [-t table] {-A|-C|-D...} chain rule [options...]` ### 查看 `filter` table 內有哪些 chains 跟 rules `sudo iptables -t filter -L` :::info 補充一些好用的選項 - `-n` 不嘗試把 IP 位址解析成域名，執行速度會較快 - `-v` 列出更多資訊 - `--line-numbers` 顯示 rule 的編號，在新增或是刪除時可能需要 :::   :::warning Q&A 查看 `mangle` table 的 `PREROUTING` chain 內的規則的指令 ::: ### 修改 `filter` table `INPUT` chain 的 policy `sudo iptables -t filter -P INPUT DROP`  :::danger 某些情況為了系統安全，會將 policy 設為 DROP，設定的 rule 就會變成哪些封包是能夠被允許的，變成像是**白名單**，但會建議說在 rule 都確定沒問題之後，在規則的最下方再加上一 DROP 的規則，可以有效的避免一些操作失誤 像是在 ssh 到遠端主機進行 iptables 設定時，要是手殘 flush 了所有規則，此時若 policy 為 DROP，ssh 的 connection 也會直接被切斷 ::: :::warning Q&A 把 policy 改回 `ACCEPT` 的指令 ::: ### 設定 rule `sudo iptables [-t table] {-A|-I} chain -j target` - `-A, --append`: 會將規則加在舊有規則的**後面** - `-I, --insert`: 會將規則加在舊有規則的**前面** - `-D, --delete`: 刪除指定的 rule - `-R, --replace`: 取代指定的 rule - `-F, --flush`: 刪除指定的 chain 或是 table 內的所有 rules - `-j, --jump`: 指定符合規則時會執行哪個 target #### 針對網路介面卡設定規則 :::warning Q&A 用什麼指令可以列出電腦網卡跟 IP 的資訊 ::: - `-i, --in-interface`: 封包進入系統時經過的網卡名稱 `sudo iptables -t filter -I INPUT -i eth0 -j ACCEPT` - `-o, --out-interface`: 封包傳出系統時經過的網卡名稱 `sudo iptables -t filter -I OUTPUT -o eth0 -j ACCEPT` #### 針對 IP 位址設定規則 - `-s, --source`: 封包的來源 IP 位址 `sudo iptables -t filter -I INPUT -s 192.168.56.11 -j DROP` :::warning Q&A 想想為什麼我這邊擋了 INPUT 但我嘗試去 `ping 192.168.56.11` 的時候也是會沒有反應 ::: - `-d, --destination`: 封包的目的 IP 位址 `sudo iptables -t filter -I OUTPUT -d 192.168.56.11 -j DROP` - `!`: 用在 `-s` 跟 `-d` 之前，指不是這個 IP 的時候 `sudo iptables -t filter -I INPUT ! -d 192.168.56.11 -j DROP` #### 針對協定設定規則 - `-p, --protocol`: 封包使用的協定 `sudo iptables -t filter -I INPUT -p ICMP -j DROP` #### 針對 port 設定規則 > 在 `-p` 指定是 `tcp` 或是 `udp` 時可以使用 - `--sport`: 封包來源的 port `sudo iptables -I OUTPUT -p tcp --sport 80 -j ACCEPT` - `--dport`: 封包目的的 port `sudo iptables -I INPUT -p tcp --dport 80 -j ACCEPT` #### 刪除 rule - 刪除 `filter` table `OUTPUT` chain 的第 1 個 rule `sudo iptables -t filter -D OUTPUT 1` - 清空 `filter` table `INPUT` chain 所有的 rule `sudo iptables -t filter -F INPUT` > 若後面不加 chain 會清空整張 table 內的所有規則 :::info **conntrack** 內建在 netfilter subsystem 用於**記錄連線狀態**的模組，有以下幾種狀態 | 名稱 | 記錄的狀態 | | ------------- |:----------------------------------- | | `NEW` | 新建立的連線 | | `ESTABLISHED` | 已建立的連線、NEW 封包的回應封包 | | `RELATED` | 新的連線，但與已建立的連線相關 | | `INVALID` | 無效，無法識別狀態的封包 | | `UNTRACKED` | 在 `raw` table 被標示關閉追蹤的封包 |  但因為需要載入額外的模組，以及儲存這些連線的狀態，所以會有額外的記憶體開銷 **demo** 情境: 我們想阻止來自特定 IP(192.168.56.11) 的所有請求，但希望主機還是能夠對它發送請求，並成功接收到它的回應  如之前所述，可以先使用這個 iptables 規則擋住來自 192.168.56.11 的所有流量 `sudo iptables -t filter -I INPUT -s 192.168.56.11 -j DROP` 但這樣也會同時阻擋掉 192.168.56.11 的回應，這個情況就可以利用 conntrack 的狀態追蹤功能，單獨允許回應的封包 `sudo iptables -t filter -I INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT` 封包的流程如下: 1. 當我們向 192.168.56.11 發送 ping 時，conntrack 會記錄這條連線的狀態。 2. 當 192.168.56.11 回應我們的 ping 時，回應流量會被標記為 `ESTABLISHED` 狀態 3. 防火牆會檢查這個狀態，發現回應是我們允許的 `ESTABLISHED` 狀態，因此允許其通過 :::warning Q&A 若是不想用 conntrack，我們可以使用 `sudo iptables -t filter -I INPUT -s 192.168.56.11 -p icmp --icmp-type 0 -j ACCEPT` 這條規則去允許 192.168.56.11 對於 ping 的回覆，但這樣會有什麼樣的問題? ::: :::info Stateful Firewall vs. Stateless Firewall Stateless Firewall 無狀態防火牆，**不會記錄封包的狀態**，就會造成前面 QA 關於 ping 的狀況 而 Stateful Firewall 有狀態防火牆，就是**會記錄封包狀態**的防火牆，可以根據連線的狀態設定更靈活的防火牆規則 ::: ### 儲存 iptables 的設定 直接使用 `iptables` 的指令不會自動儲存在系統中，關機後就會消失，`iptables` 有提供幾個工具可以使用 #### `iptables-save` 儲存目前的 `iptables` 的設定 `iptables-save > 檔案路徑` #### `iptables-restore` 使用設定檔恢復 `iptables` 的設定 `iptables-restore < 檔案路徑` #### `iptables-apply` 用來測試新的 iptables 規則，套用新規則時若太長時間 (預設是 10 秒) 沒有回應就會自動恢復成舊的設定 `iptables-apply 檔案路徑` > 預設的路徑是: `/etc/network/iptables.up.rules` # Lab ## NAT  - 網路位址轉譯 (Network Address Translation) - 改變網路封包中的 IP 位址資訊，使不同網路之間能夠進行通訊 - 可以節省 IP 位置 - 主要有 **SNAT (Source Network Address Translation)** 跟 **DNAT (Destination Network Address Translation)** ### SNAT #### 情境: 內網主機 (192.168.1.100) 要連線到 yahoo.com.tw  1. 內網主機 192.168.1.100 發送封包給 Firewall (NAT 主機) 2. Firewall 尋找路由表，發現目的地不在直接連接的網路，也沒有紀錄指定該往哪裡送，所以透過路由表找到「default gateway」並使用對應的網路介面卡 3. 因目前封包的 source IP 是內網 IP，直接送出去的話會造成對方的錯亂，誤會來源位置，所以，會在 `POSTROUTING` chain 把來源 IP 修改成 Firewall 對外的 IP，這時 **NAT translation table** 把這兩個來源 IP、port 的對應關係記錄起來，之後回應封包傳回來時就能知道要傳給內網的哪台主機   4. 封包從外部網路傳回來，目的地是 Firewall 的外網 IP 5. 在 `PREROUTING` chain 根據 **NAT translation table** 的紀錄更改封包目的地 `sudo iptables -t nat -I PREROUTING -o {外網網卡} -j SNAT --to {NAT 主機的外網網卡 IP}` 6. 封包轉發給內網主機 (192.168.1.100) :::info `MASQUERADE` 有時候 Firewall 取得的外網 IP 不會是固定的 IP，可能會隨時間變動，而若是這種情況有可能會需要頻繁地去更動 SNAT 的規則，`MASQUERADE` 就是為了因應這樣的情況，他會自動找尋能連接上外網的網路介面卡，然後使用那張網卡的 IP 位置當作 SNAT 的來源 IP ::: ### DNAT #### 情境: 在內網主機架了 Web Server，要讓外網能夠連進來  1. 外網主機先向 Firewall 發送請求 2. Firewall 收到封包後，在 `PREROUTING` chain 將目的 IP 從 Firewall 的外網 IP 改成內網 Web Server 的 IP，然後也會在 **NAT translation table** 把這兩個目的 IP、port 的對應關係記錄起來 `sudo iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.210:80` 3. 封包會路由到內網網卡 (192.168.1.2)，然後再傳送到目的地 (192.168.1.210)  ### 統整 | | SNAT | DNAT | |:-------- |:---------------------- |:------------------------ | | 功用 | 更改封包的來源 IP | 更改封包的目的 IP | | 使用場景 | 讓內網主機可以連線外網 | 讓外網能主動連到內網主機 | ### Demo  #### 準備環境 **Firewall (NAT 主機)** 要先開啟 Linux 轉發封包的功能 1. `sudo vim /etc/sysctl.conf` 2. 把這行的註解取消 ``` # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1 ``` 3. `sudo sysctl -p` **Server (內網的 Web Server)** 1. `sudo ip route del default` 2. `sudo ip route add default via 10.0.0.10 dev eth1` #### iptables 規則設定 **功能要求** 1. 將內網主機要送往外網的封包，透過 Firewall 轉送到外網，且回應的封包，能夠回傳給內網主機 `sudo iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 192.168.56.21` 或使用 `MASQUERADE` `sudo iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE` 2. 將外網連線到 Firewall 80 port 的封包，轉發到內網主機 8080 port 上的 Web Server `sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.0.11:8080`  ## DMZ  **功能要求** - 外網可以直接連線 DMZ，但不能直接連線 LAN - DMZ 可以直接連線外網，但不能直接連線 LAN - LAN 可以直接連線外網，也可以直接連線 DMZ **環境** - Firewall 主機上設定防火牆 - DMZ 中有一台**對外開放**的 Web Server 主機，80 port 上有 web service - LAN 中有一台**不對外開放**的 Student 主機 - 外網透過連線到 Firewall 主機的 8080 port，可以連線到 Web Server 主機的 80 port - `INPUT`、`FORWARD`、`OUPUT` 的 policy 都是 `ACCEPT` ### 準備環境 **Firewall (NAT 主機)** 要先開啟 Linux 轉發封包的功能 1. `sudo vim /etc/sysctl.conf` 2. 把這行的註解取消 ``` # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1 ``` 3. `sudo sysctl -p` **DMZ 和 LAN 的 default gateway (設成 Firewall 主機 IP)** 1. `sudo route del default` 2. `sudo route add default gw {Firewall IP}` ### 設定規則 - 外網能透過 Firewall 連到 DMZ 的 web server ```shell sudo iptables -t nat -A PREROUTING -i {外網網卡} -p tcp --dport 8080 -j DNAT --to {Web Server IP}:80 ``` - 同意該封包轉送 ```shell sudo iptables -A FORWARD -i {外網網卡} -d {Web Server IP} -p tcp --dport 80 -j ACCEPT ``` - DMZ 能夠連到外網 ```shell sudo iptables -I FORWARD -i {DMZ 網卡} -o {外網網卡} -j ACCEPT sudo iptables -t nat -I POSTROUTING -o {外網網卡} -j MASQUERADE ``` - LAN 能夠連到外網 ```shell sudo iptables -I FORWARD -i {LAN 網卡} -o {外網網卡} -j ACCEPT # 出去的封包做 MASQUERADE 上面已經設過，這裡就不再設定 ``` - LAN 能夠連到 DMZ ```shell sudo iptables -I FORWARD -i {LAN 網卡} -o {DMZ 網卡} -j ACCEPT ``` - 允許轉送已建立或相關的連線 ```shell sudo iptables -I FORWARD -m conntrack --ctstate "ESTABLISHED,RELATED" -j ACCEPT ``` - 拒絕其他所有進入 Firewall 主機的連線 ```shell sudo iptables -A INPUT -j DROP ``` - 拒絕轉送其他所有連線 ```shell sudo iptables -A FORWARD -j DROP ``` :::warning Q&A 這裡為什麼要用 `-A` ::: <!-- # nftables :::info nftables 是作為 iptables 的替代，較新的 Linux 發行版都逐漸向 nftables 靠攏，但這學期上課使用的 Ubuntu 22.04 (Jammy Jellyfish) 還是預設使用 iptables (但到 24.04 就預設使用 nftables)，所以這次課程內容以 iptables 為準 ::: :::info nftables 補充 nftables 維持了 tables、chains、rules 的架構，但已捨棄預先定義的上述的 iptables 的資源，只依照自訂的 chain 要註冊在哪個 netfilter hook 上，還有設定的優先級來決定規則順序 ::: --> # UFW (Uncomplicated Firewall) 使用 iptables 或是 nftables 作為後端，提供比較簡單的介面 ### 安裝 (通常 Ubuntu 已經預設安裝) `sudo apt install ufw` ### 開/關 `sudo ufw enable` `sudo ufw disable` ### 查看防火牆狀態 `sudo ufw status` `sudo ufw status verbose` `sudo ufw status numbered` ### 設定預設規則 `sudo ufw default allow` `sudo ufw default deny` ### 針對服務或是 port 設定規則 `sudo ufw allow ssh` `sudo ufw deny 80` > 針對一個範圍的 port & protocol `sudo ufw allow 6000:6007/tcp` ### 針對 IP `sudo ufw allow from 192.168.11.10` > 針對網段 `sudo ufw deny from 192.168.11.0/24` > 拒絕某 IP 連到某 port `sudo ufw deny from 192.168.11.7 to any port 22` ### 刪除規則 `sudo ufw delete 3` > 重設 `sudo ufw reset`