Firewall a maškaráda pro SuSE Linux 6.4/7.0/7.1

Supportní databáze (sm_masq2)

SuSE Linux: Verze 6.4 do 7.1


Kernel: Od verze 2.2

Dotaz:

• 1. Chcete připojit počítače interní, soukromé sítě k Internetu bez filtrování.
• 2. Chcete připojit počítače interní, soukromé sítě k Internetu s jednoduchým filtrováním (od verze SuSE Linux 7.1).
• 3. Chcete firewall s filtrováním paketů.

Postup:

Poznámka:

• Konfigurace paketů pro SuSEfirewal nedoznala od verze 7.4 po 7.1 výraznějších změn. Proto je také tento dokument platný pro všechny tyto verze. Jednotlivé volby mohly být v průběhu času přidány, a proto se může stát, že nebude možné použít všechny proměnné ve všech verzích. Číslování voleb pochází z aktuální verze 4.2. U starších verzí nejsou všechny volby k dispozici a číslování může být odlišné.
• Došlo ke změně názvu balíku z firewals na SuSEfirewall.
• Pokud chcete používat SuSEfirewall s jádrem 2.4, tak je třeba nahrát modul jádra ipchains, protože od verze 2.4.x nově koncipován kód pro filtrování paketů a pro konfiguraci filtrování paketů se používá. Firewallový skript, který používá iptables se vytváří. V současnosti je ale lepší používat i SuSE Linux 7.1 s jádrem 2.2.18, pokud ho budete používat jako firewall.

1. Samotná maškaráda bez filtrování

   Upozornění: tento postup sice představuje nejméně složitý způsob přístupu na Internet pro všechny interní počítače, ale neposkytuje je jim takřka žádnou ochranu. Tzn., že byste neměli tuto variantu používat v případě, že potřebujete chránit svá data.

   Druhé upozornění: od verze 7.1 byste neměli tento postup používat. Místo toho můžete použít personal firewall pro maškarádu (viz níže).

   Z tohoto důvodu zde také není uvedeno, že od verze 7.1 je /sbin/init.d přesunut do /etc/init.d. Proto také nebudou cesty v tomto odstavci odpovídat.

   Je třeba instalovat balík ipchains (série sec).

   Proměnnou START_FW v souboru /etc/rc.config nastavte na "no".

   Vytvořte soubor /sbin/init.d/masquerade (od verze 7.1 /etc/init.d/masquerade ) s následujícím obsahem:
   Protože často dochází k chybám při cut and paste mezi prohlížečem a programem, tak nejlepší je spustit následující příkaz:

   lynx -dump http://sdb.suse.de/sdb/de/html/sm_masq2.html > masquerade
   

   Potom už stačí pouze smazat text před a za skriptem.

   
   #! /bin/sh
   
   . /etc/rc.config
   
   PROG="/sbin/ipchains"
   WORLD_DEV="ippp0"
   
   return=$rc_done
   
   if [ ! -x $PROG ]
   then
     echo -n "Starting masquerading failed- install ipchains"
     return=$rc_failed
     echo -e "$return"
     exit 1
   fi
   
   case "$1" in
    start)
      echo -n "Starting masquerading"
      echo "1" > /proc/sys/net/ipv4/ip_forward
   
      $PROG -F || return=$rc_failed
      $PROG -A forward -i $WORLD_DEV -j MASQ || return=$rc_failed
   
      echo -e "$return"
      ;;
   
   stop)
      echo -n "Shutting down masquerading"
   
      $PROG -F || return=$rc_failed
   
      test "$IP_FORWARD" = no && echo "0" > /proc/sys/net/ipv4/ip_forward
   
      echo -e "$return"
      ;;
   
   *)
   
      echo "Usage: $0 {start|stop}"
      exit 1
      ;;
   esac
   
   test "$return" = "$rc_done" || exit 1
   
   exit 0
   
   

   Je třeba nahradit "ippp0" správným názvem zařízení, pomocí kterého je zprostředkováno připojení k Internetu:
   Postup platí také pro analogové připojení a ppp0

   Označte tento soubor jako spustitelný : chmod 700 /sbin/init.d/masquerade.

   Vytvořte odpovídající odkazy pro automatické spuštění při určitém runlevelu:

      ln -s ../masquerade /sbin/init.d/rc2.d/S99masquerade
      ln -s ../masquerade /sbin/init.d/rc2.d/K51masquerade
      ln -s ../masquerade /sbin/init.d/rc3.d/S99masquerade
      ln -s ../masquerade /sbin/init.d/rc3.d/K51masquerade
   

   Při dalším startu můžete přistupovat na Internet z interní sítě, pokud určíte počítač s maškarádou jako přednastavenou bránu.

2. Maškaráda s jednoduchým filtrováním (od SuSE Linuxu 7.1)

   Od SuSE Linuxu 7.1 je lepší používat pro jednoduchou maškarádu personal-firewall. Tato možnost je také výrazně jednodušší, nabízí ale zároveň určitou ochranu interní sítě protože zakazuje všechna příchozí spojení. Je třeba pouze upravit jednu proměnnou:

   REJECT_ALL_INCOMING_CONNECTIONS v souboru /etc/rc.config.d/security.rc.config .

   Platné jsou následující hodnoty:

   • no všechna pravidla jsou smazána, maškaráda a firewall jsou vypnuty.
   • yes jsou zakázána všechna příchozí spojení.
   • zařízení pro které mají být zakázána všechna příchozí spojení, např. ippp0 pro ISDN.
   • masq pro maskování provozu v interní síti, tímto bude maskováno vše, co projde rozhraním a není blokováno.

   Tzn., pro standardní případ síťové karty eth0 a ISDN připojení ippp0 bude zápis vypadat následovně (pokud chcete veškerý provoz interní sítě přes ippp0 maskovat a blokovat všechna příchozí spojení):
   
   

   REJECT_ALL_INCOMING_CONNECTIONS="ippp0 masq"

3. Firewall s filtrováním paketů

   Zde je pouze krátký popis nastavení v souboru /etc/rc.config.d/firewall.rc.config.

   Je třeba mít nainstalovány následující balíky:

   • firewals (série sec) -> skripty pro konfiguraci a spouštění firewallu
     Nahrajte si prosím aktualizaci firewalu 2.1 (pokud používáte SuSE Linux 6.4): ftp://ftp.suse.com/pub/suse/i386/update/6.4/sec1/firewals.rpm.

   • ipchains (série sec) -> nástroj pro aktivaci pravidel v jádře

   Proměnnou START_FW= v souboru /etc/rc.config nastavte na "yes" tak, aby byl při startu spouštěny firewalové skripty.

   Pokud váš počítač s firewallem disponuje dynamickými IP adresami, je třeba přidat volání /sbin/SuSEfirewall do skriptu /etc/ppp/ip-up .
   

   • Pro ISDN nejlépe před řádek:
     test -x /etc/ppp/ip-up.local && /etc/ppp/ip-up.local $*
     
   • a při ukládání po opětovné aktivaci rozhraní, tzn. před řádek::
     test -x /etc/ppp/ip-down.local && /etc/ppp/ip-down.local $*

   • Pro modem při vytáčení z příkazové řádky:
     test -x /etc/ppp/ip-up.local && /etc/ppp/ip-up.local $*
   • A pro ukončení: test -x /etc/ppp/ip-down.local && /etc/ppp/ip-down.local $*

   Pokud používáte SuSE Linux 7.0 nebo 7.1, pak jsou již odpovídající zápisy do souboru /etc/ppp/ip-up provedeny.
   Je pouze třeba nastavit proměnnou START_FW v /etc/rc.config na hodnotu yes.
   Pokud se při startu zobrazí chybové hlášení o chybějícím zařízení, tak ho ignorujte.

   Všechna ostatní nastavení provádějte v souboru /etc/rc.config.d/firewall.rc.config.

   Věnujte obzvláštní pozornost následujícím radám:

   Pro konfiguraci vašeho firewallu vám nemůžeme poskytnout žádnou pomoc v rámci instalační podpory.

   Nezapomeňte si také přečíst dokumentaci na /usr/doc/packages/firewals pro verzi SuSE Linux 6.4, /usr/share/doc/packages/firewals pro SuSE Linux 7.0, /usr/share/doc/packages/SuSEfirewall/ pro SuSE Linux 7.1 a v manuálu.

   Pokud aplikujete pouze toto nastavení a chcete použít SuSEfirewall, není váš systém v žádném případě absolutně chráněn!
   Neexistuje žádné řešení, které jednoduše nainstalujete a jste chráněni před všemi nectnostmi sítě.

   Aby jste ještě zvýšili bezpečnost firewallu, měli by jste:
   • Minimalizovat služby pro nebezpečné sítě (např. Internet). Používat pouze programy, které jsou bezpečné (např. postfix, apop3d, ssh, atd.) a tyto potom pečlivě konfigurovat
   • Žádné služby by NEMĚLY používat "roota" a měly by běžet v "chroot" prostředí.
   • Použijte skript "harden_suse" z balíku "hardsuse", který ihned po instalaci odstaví všechny služby a potom můžete zapnout pouze ty, které nezbytně potřebujete.
   • Zkompilujte jádro, které bude používat všechny bezpečnostní volby. Použijte patch jádra openwall-linux (dříve secure-linux Patch, od Solar Designer), nebo použijte modul secumod, který je na CD.
   • Pravidelně kontrolujte integritu serveru (pomoci vám může např. tripwire a také balík seccheck).
   • Pokud budete chtít používat Firewall/Bastion server pro maškarádu, nebo ještě hůř, jako routovací server, tak by jste měli zkontrolovat, zda není možné použít proxy služby, například squid pro www, smtpd pro poštu, atd. (nezapomeňte ani zde na "chroot" a nespouštějte procesy jako root). Zrušte routování na tomto počítači.

   Konfiguraci je možné provádět podle následujících možných variant:

   • Váš počítač je připojen k síti přes jeden port:
     Je třeba upravit zvláště volbu 2 a podle potřeby 9, 11 a 17. Všechny ostatní přednastavené hodnoty jsou v pořádku.
     
   • Váš počítač je firewall, který funguje pouze jako proxy. Tzn., že by nemělo existovat přímé routování mezi síťovými porty:
     Je třeba upravit volbu 2, 3 a 9 a podle potřeby 7, 10, 11, 12 a 17. Samozřejmě je třeba konfigurovat také proxy služby.
     
   • Váš počítač funguje jako firewall, který má aktivně routovat mezi "bezpečnými" a "nebezpečnými" sítěmi:
     Je třeba upravit volby 2, 3, 5, 6 a 9 a potom podle potřeby 7, 10, 11, 12 a 17.
     
   • Pokud budete chtít k jedné z uvedených konfigurací připojit DMZ ("demilitarizovanou zónu"), pak je třeba upravit také volby 4, 9, 13 a případně 18. DMZ je počítač/síť oddělená od interní sítě přes firewall a přístupná zvenku.
   • Volby 8, 14, 15, 16, 18, 19, 20 a 21 by jste měli nechat ve standardním nastavení, případně je editovat pouze v případě, kdy jste si přesně vědomi jejich významu.

   Jednotlivé volby:

   • 2:  FW_DEV_WORLD
     Zde uveďte všechny síťové porty, které se nacházejí ve vnější, "nebezpečné" části počítače, tzn. že jsou spojeny s Internetem.
     Zápisy oddělujte mezerou.
     např.:  FW_DEV_WORLD="ippp0"

   • 3:   FW_DEV_INT
     Zde uveďte všechny síťové porty, které se nacházejí na vnitřní, "bezpečné" straně počítače, tzn. vnitřní soukromou síť. Pokud se jedná o samostatný počítač, tak nechejte tuto volbu prázdnou.
     Zápisy oddělujte mezerou.
     např.:  FW_DEV_INT="eth0"

   • 4:   FW_DEV_DMZ
     Zde uveďte síťové porty, ke kterým je připojeno vaše DMZ. Pokud žádné nepoužíváte, zanechte tuto volbu prázdnou.
     DMZ je počítač nebo síť, která je připojena k Internetu pouze přes firewall a poskytuje vnější služby jako je např. WWW, mail, ... .
     Musí mít platnou IP adresu, která je routována přes firewall.
     Abyste mohli poskytovat tyto služby, musíte také nastavit FW_ROUTE na "yes" a umožnit přeposílání (forwarding) nabízených služeb FW_FORWARD_TCP a FW_FORWARD_UDP.
     např.:  FW_DEV_INT="eth2"

   • 5:   FW_ROUTE
     Nastavte tuto volbu na "yes" v případě, když chcete povolit přímé spojení (bez proxy služeb na firewalu) mezi počítači z interní sítě, Internetu a/nebo DMZ.
     Tato volba je třeba pro vytvoření spojení mezi Internetem a DMZ, přístup přímo z Internetu do interní sítě vřele nedoporučujeme:-)
     Tato volba sama o sobě ještě nepředstavuje žádné nebezpečí - musíte ještě aktivovat buď maškarádu volbou FW_MASQUERADE nebo konfigurovat FW_FORWARD_* pro přeposílané služby.
     Tato volba má vyšší prioritu než IP_FORWARD v souboru /etc/rc.config.

   • 6:   FW_MASQUERADE, FW_MASQ_NETS a FW_MASQ_DEV
     
     • FW_MASQUERADE   nastavte tuto volbu na "yes" v případě, kdy chcete, aby váš počítač z interní sítě s privátní IP adresou (např. 192.168.x.x) měl přímý přístup na Internet bez proxy služeb.
       Tak budou privátní IP adresy při výstupu nahrazeny oficiální IP adresou, což provede firewall/router. Pro jiný počítač v síti Internet to bude vypadat tak, jako by daná služba byla požadována přímo firewallem. Zpětně budou potom adresy opět převedeny na privátní.
       Nezapomeňte prosím, že používání proxy služeb je bezpečnější než maškaráda.
       Abyste byli schopni používat maškarádu, je třeba nastavit také FW_DEV_INT, FW_MASQ_NETS, FW_MASQ_DEV a FW_ROUTE="yes".
     • FW_MASQ_NETS   zde uveďte všechny počítače/sítě, které získají prostřednictvím maškarády přístup k Intenetu.
       Tyto zápisy oddělte mezerníkem.
       
       • FW_MASQ_NETS="192.168.1.1 192.168.2.0/24" pro počítač 192.168.1.1 a síť Class C 192.168.2.x .
       • Nenastavujte volbu na 0/0 !
     • FW_MASQ_DEV   Zde uveďte výchozí port, většinou: FW_MASQ_DEV="$FW_DEV_WORLD"

   • 7:   FW_PROTECT_FROM_INTERNAL
     Zadáte "yes", přejete-li si ochránit počítač s firewallem před útokem zevnitř sítě. Pak musíte výslovně vymezit služby, povolené pro vnitřní síť.
     Pokud zadáte "no", může se každý uživatel interní sítě připojit na firewall a ten potom napadnout.
     Pro používání této volby je také třeba nastavit FW_DEV_INT.

   • 8:   FW_AUTOPROTECT_GLOBAL_SERVICES
     Tato volba zabezpečuje služby (TCP a UDP), ponechejte "yes".
     

   • 9:   FW_SERVICES_*
     Zde uveďte všechny služby firewallového počítače, které mohou být využívány odpovídajícími sítěmi.
     Pokud budete chtít otevřít "všechny" služby pro intení použití, nastavte FW_PROTECT_FROM_INTERNAL="no"
     Další možné zápisy (oddělujte mezerníkem):
     
     • jednotlivá čísla portů, např.: "123 524" pro porty 123 a 524.
     • celé oblasti, např.: "3200:3299" pro všechny porty od 3200 do čísla 3299.
     • názvy služeb, které je možné spouštět prostřednictvím /etc/services, např.: "smtp telnet".
     • můžete všechny tyto možnosti mezi sebou kombinovat.

   • 10:   FW_TRUSTED_NETS a FW_SERVICES_TRUSTED_*.
     
     • FW_TRUSTED_HOSTS: počítače/sítě z Internetu, kterým důvěřujete a které získají přístup k určitým interním službám.
       Jednotlivé zápisy se oddělují mezerou, např.:
       FW_MASQ_NETS="192.168.1.1 192.168.2.0/24" pro počítač 192.168.1.1 a síť Class C 192.168.2.x .
     • FW_SERVICES_TRUSTED_* potvrďte služby firewallu, ke kterým má tento počítač/síť přístup.
       Porty a celé oblasti jsou uváděny podle stejných pravidel jako pro volbu 9.

   • 11:   FW_ALLOW_INCOMING_HIGHPORTS_*
     Zde uveďte, jak je možné přistupovat z Internetu na neprivilegované porty firewallu (přes 1023).
     
     • Všichni "yes", žádný "no" nebo:
     • Dotazy pro určité porty jsou přístupné (je možné lehce obejít):
       Uvěďte je buď přímo nebo použijte název, který bude resolvován přes /etc/services .
       
     • FW_ALLOW_INCOMING_HIGHPORTS_UDP by měl obsahovat "dns", aby mohly být vaše dotazy v /etc/resolv.conf zodpovězeny.
     • Abyste mohli používat FTP v aktivním módu, je třeba zadat do volby FW_ALLOW_INCOMING_HIGHPORTS_TCP hodnotu "ftp-data".
       Rozvněž je možné nechat tuto volbu prázdou a používat FTP v pasivním módu
     • RPC-služby jako je showmount nebo rpcinfo nemůžete používat jako root.

   • 12:   FW_SERVICE_*
     Tuto volbu nastavte na "yes", pokud chcete nabízet nebo využívat odpovídající služby na firewallu.
     • FW_SERVICE_DNS   nastavte na yes, pokud budete chtít používat nameserver na firewallu.
       V tom přípdě musíte také v FW_SERVICES_*_* uvolnit pro odpovídající síť port 53 (nebo doménu), kam mohou být zasílány jednotlivé požadavky.
     • FW_SERVICE_DHCLIENT   nastavte na yes, když potřebujete používat DHCP klienta pro firewall.
     • FW_SERVICE_DHCPD   nastavte na yes, když budete chtít používat na firewallu DHCP server.
     • FW_SERVICE_SAMBA   nastavte na yes,pokud používáte na tomto počítači sambu (server nebo klienta). Pokud bude počítač běžet jako samba server, je třeba uvést port 139 do správné proměnné FW_SERVICES_*_TCP. Na tomto firewallu by neměl samba server běžet.

   • 13:   FW_FORWARD_*
     Zde můžete rozhodnout, zda bude možný přístup z Internetu k interním počítačům nebo DMZ.
     
     • Protože tím otevíráte přímé spojení k vaší interní síti, měla by být tato možnost používána pouze pro DMZ.
     • Interní počítač používá pro toto spojení pevnou, "ne privátní" IP adresu.
     • Toto heslo se sestává z názvu počítače/sítě, která získá přístup, IP adresy interního počítače na který bude možné přistupovat a číslo portu na tomto počítači.
     • Tyto tři části hesla jsou odděleny čárkami, následující heslo bude odděleno mezerou.
     • příklad hesla "12.12.12.0/24,13.13.13.13,25" povoluje přístup z externí sítě 12.12.12.0/24 přes port 25 interního počítače 13.13.13.13.

   • Od tohoto místa nesouhlasí číslování pro všechny verze.

   • 16:   FW_LOG_*
     Tato volba určuje, které pakety budou nalogovány.

   • 17:   FW_KERNEL_SECURITY
     Tato volba aktivuje doplňující bezpečnostní volby jádra.
     Nápověda: Nastavte tuto volbu během testovací fáze na "no" a teprve v případě, kdy je vše v pořádku změňte na "yes".

   • 18:   FW_STOP_KEEP_ROUTING_STATE
     Pokud používáte diald nebo ISDN per autodial pro vytáčení, můžete nastavit tuto volbu na "yes".
     Při přerušení nedojde k zastavení routování a tím je umožněno nové automatické připojení.
     Uvědomte si prosím, že to není příliš bezpečné. Pokud budou hesla odstraněny a přesto zůstanete připojeni, tak tím umožníte přístu do interní sítě.
     Podle způsobu konfigurace můžete tuto volbu používat také k přístupu do DMZ.
     Samozřejmě je třeba nastavit volbu FW_ROUTE=yes.

   • 19:   FW_ALLOW_PING_*
     Tato volba určuje, zda bude zodpovězen ping z Internetu firewallem a/nebo DMZ.
     "yes" nebo "no".

   Následující volby by měly být ponechány ve standardním tvaru, případně editovány pouze v případě, kdy jste si naprosto jisti jejich významem:

   • 14:   FW_FORWARD_MASQ_*
     Touto volbou můžete povolit přístup externím počítačům k maskovaným počítačům v interní síti se soukromou IP adresou. Tato možnost by neměla být použita. Je lepší přesunout počítače přístupné zvenku do DMZ zóny. Pokud se podaří hacknout webový server používající tuto metodu, tak se útočníci dostanou rovnou do interní sítě!!
     Hodnoty pro tuto volbu jsou tři a jsou odděleny čárkou (zdrojová adresa, cílová adresa a cílový port), např.:
     FW_FORWARD_MASQ_TCP="0/0,1.2.3.4,80"
     Převede webové dotazy z libovolného počítač na interní server 1.2.3.4.

   • 15:   FW_REDIRECT_*
     Zde můžete uvést, které služby budou převedeny na jiné lokální porty. Tak můžete například všechny interní uživatele přimět k tomu, aby surfovali pouze přes proxyserver, nebo všechny dotazy webových serverů z vně sítě budou přesměrovány na bezpečný interní webserver.
     
     • Heslo se skláda ze zdrojové a cílové adresy, původního portu dotazu a portu, na který bude převeden.
     • Tyto čtyři části hesla jsou odděleny čárkou a za sebou následující hesla se oddělují mezerou.

   • 20:   FW_ALLOW_FW_TRACEROUTE
     Tato volba určuje, zda firewall ICMP time-to-live-exceeded bude zasílat odpovědi.
     To je používáno traceroutery na firewallových počítačích.
     Věnujte pozornost následujícímu:
     • Unixový tracerouter potřebuje také FW_UDP_ALLOW_INCOMING_HIGHPORTS.
     • Windowsový tracerouter potřebuje FW_ALLOW_FW_PING="yes"

   • 22:   FW_MASQ_MODULES
     Zde můžete rozhodnout, které maškarádové moduly budou nahrány.
     
     • Možnosti jsou: autofw, cuseeme, ftp, irc, mfw, portfw, quake, raudio, user, vdolive
     • Názby jednotlivých modulů jsou odděleny mezerníkem.
     • Pro používání maškarády je třeba nastavit také FW_ROUTE a FW_MASQUERADE.

   • 23:   FW_CUSTOMRULES
     Zde může být uveden soubor s pravidly, která jste sami definovali (od verze 4.0).
     Popis naleznete v příkladu /etc/rc.config.d/firewall-custom.rc.config
     Tuto možnost ale použijte pouze v případě, že víte zcela přesně, co děláte a pokud rozumíte zdrojovým kódům SuSEfirewallu.
     Zjednodušeně řečeno je tento soubor tvořen jednotlivými funkcemi, které jsou v určeném čase použity. K těmto funkcím můžete přidat vlastní pravidla.