Hoi‚ hierbij een beschrijving van het bouwen van een firewall op een FreeBSD machine (co-located webserver)
In dit geval beschrijf ik een firewall die opgezet is/word op een machine met slechts 1 NIC‚ dit om het simpel te houden. mocht je meerdere nics in je systeem willen hebben dan zul je zelf even verder moeten kijken‚ maar nadat je dit verhaal heb gelezen weet je een aantal handige ipf commando’s om onverschrokken aan het testen te gaan‚ Ook op co-located machines !!!
[pagebreak]
Ik ga ervanuit dat je ssh gebruikt mocht je nog met telnet werken zoek dan eerst een howto om over te stappen naar ssh.
Firewall in de kernel bakken.
[shell]# cp /usr/local/sys/i386/conf/GENERIC /usr/local/sys/i386/conf/FIREWALL
[/shell]
Vervolgens edit je de file [i]/usr/local/sys/i386/conf/FIREWALL[/i]
en zet je overal waar GENERIC staat FIREWALL neer.
vervolgens zoek je dit blok op en zorg je dat er het volgende komt te staan.
Uiteraard moet je zelf de goede cpu instellen door de rest af te #-en
[shell]machine i386
#cpu I386_CPU
#cpu I486_CPU
cpu I586_CPU
#cpu I686_CPU
ident FIREWALL
maxusers 32
#makeoptions DEBUG=-g #Build kernel with gdb(1) debug symbols
options MATH_EMULATE #Support for x87 emulation
options INET #InterNETworking
options IPFILTER #enable the filter in general
options IPFILTER_LOG #logging enabled
#options IPFILTER_DEFAULT_BLOCK #block by default
[/shell]
LET OP dat je een # zet voor de laatste regel !!(in bovestaand stuk)
Anders kun je straks niet meer bij de co-located bak!
vervolgens compileer je de kernel.
[shell]# cd /usr/src
# make clean
# make buildkernel KERNCONF=FIREWALL
[/shell]
controleer nu of het bestand /etc/ipf.rules bestaat‚ deze mag NIET bestaan als er een staat verwijder deze dan (zorg wel voor een backup)
[shell]# cd /usr/src/
# make installkernel KERNCONF=FIREWALL
[/shell]
[shell]# reboot
[/shell]
nu maar bidden dat de machine weer overeind komt. zoniet‚ sorry je zult naar de machine toe moeten om te booten met de oude kernel (zie andere howto’s)
We gaan er dus even vanuit dat de machine weer goed overeind komt.
zet nu de volgende firewall rules in [b]ipf.rules.test[/b]
[shell]# Outside interface: rl0 -> rl0
# Outside ipno 193.173.210.132
# Netmask 255.255.255.192
#
# Default Policies
block in log all
pass out all
# accept packets comming on the loopback interface
pass in on lo0 all
# deny illegal packets from the outside
block in log quick on rl0 from 0.0.0.0/32 to any
block in log quick on rl0 from 255.255.255.255/32 to any
block in log quick on rl0 from 127.0.0.0/8 to any
block in log quick on rl0 from any to 0.0.0.0/32
block in log quick on rl0 from any to 255.255.255.255/32
block in log quick on rl0 from any to 127.0.0.0/8
# deny packets that should never be inbound
block in log quick on rl0 from 192.168.0.0/16 to any
block in log quick on rl0 from 172.16.0.0/12 to any
block in log quick on rl0 from 10.0.0.0/8 to any
# block the draft-manning-dsua091.txt nets on outside interface
block in quick on rl0 from 0.0.0.0/8 to any
block in quick on rl0 from 169.254.0.0/16 to any
block in quick on rl0 from 192.0.2.0/24 to any
block in quick on rl0 from 224.0.0.0/4 to any
block in quick on rl0 from 240.0.0.0/4 to any
block in quick on rl0 from any to 0.0.0.0/8
block in quick on rl0 from any to 169.254.0.0/16
block in quick on rl0 from any to 224.0.0.0/4
block in quick on rll0 from any to 240.0.0.0/4
block out log quick on rl0 from any to 0.0.0.0/8
block out log quick on rl0 from any to 169.254.0.0/16
block out log quick on rl0 from any to 192.0.2.0/24
block out log quick on rl0 from any to 224.0.0.0/4
block out log quick on rl0 from any to 240.0.0.0/4
# block outbound RIP (routing protocol‚ mag NOOIT naar buiten)
block out log quick on rl0 proto tcp from any to any port = 520
block out log quick on rl0 proto udp from any to any port = 520
# Allow some types of ICMP (mogelijk nog een type toestaan)
pass in quick on rl0 proto icmp all icmp-type 0
pass in quick on rl0 proto icmp all icmp-type 3
pass in quick on rl0 proto icmp all icmp-type 8
pass in quick on rl0 proto icmp all icmp-type 11
###
### Persoonlijke rules
###
# Allow connections to SSH
#pass in on rl0 proto tcp from any to 193.173.210.132/32 port = 22 flags S/SA keep state
pass in quick on rl0 proto tcp from any to any port = 22 flags S/SA keep state
# Allow connections to apache
pass in quick on rl0 proto tcp from any to 193.173.210.132/32 port = 80 flags S/SA keep state
# Allow connections to sendmail
pass in quick on rl0 proto tcp from any to 193.173.210.132/32 port = 25 flags S/SA keep state
# Allow replies to requests of bind
pass out quick on rl0 proto udp from 193.173.210.132/32 to any port = 53 keep state
# Prevent outside machines from initiating TCP connections to this machine
block in on rl0 proto tcp all flags S/SA
block out on rl0 proto tcp all flags SA/SA
# Allow return packets from connections we initiated
pass out on rl0 proto tcp all keep state
# REJECT ident request (don’t just drop them)
block return-rst in on rl0 proto tcp from any to any port = 113
[/shell]
nu gaan we overschakelen naar deze ruleset maar om er zeker van te zijn dat we niet buiten gesloten worden doen we dat met volgend commando
[shell]# ipf -FA -f /etc/ipf.rules.test && sleep 180 && ipf -FA
[/shell]
je hebt dan 3 minuten tijd om te zien of je met ssh nog naar de machine kunt connecten. (doe dat met een 2e ssh client scherm).
indien een mail/httpd server erg belangrijk is test je deze ook meteen‚ mag deze wel even offline zijn dan test je dat nog niet.
wacht de 3 minuten even af voor de zekerheid.
nu kopieren we de firewall ruleset naar ipf.rules en activeren we de rules
[shell]# cp /etc/ipf.rules.test /etc/ipf.rules.test /etc/ipf.rules
# ipf -FA -f /etc/ipf.rules
[/shell]
Ok je bent nog steeds op de machine en je firewall draait!!
nu ga ik je nog kort uitleggen hoe je nou veilig nog meer nieuwe rules kunt testen op een colocated machine. 😀
Breng de gewenste veranderingen aan in /etc/ipf.rules[b].test[/b]
vervolgens gaan we vanaf de huidige ruleset gedurende een minuut ruleset ipf.rules.test draaien en daarna weer terug naar de goede oude vertrouwde set. Dit om er zeker van te zijn dat we niet buiten gesloten worden door de nieuwe set.
Switchen van de huige rulset naar de extra set doe je met -s daarin laden we de test set en vervolgens wachten we een minuut‚ dan switchen we terug naar de originele set.
[shell]ipf -s -Fa -f /myrules && sleep 60 && ipf -s
[/shell]
Je hebt nu 1 minuut om te testen of je ruleset doet wat jij wilt.
Ben je tevreden over de ruleset dan kopieer je de ruleset naar /etc/ipf.rules en vertel je ipf om alles te flushen (= leeggooien -FA) en de nieuwe set te laden vanuit file /etc/ipf.rules ( -f /etc/ipf.rules)
[shell]#ipf -FA -f /etc/ipf.rules
[/shell]
Ok nog een paar korte aantekeningen
ipf -s (= switchen van ruleset‚ er kunnen 2 rulesets in het geheugen!)
ipf -FA (= [b]F[/b]lush [b]A[/b]ll‚ dat is het leeggooien van het ipf geheugen‚ je draait nu helemaal geen rules!)
ipf -FA -f /file (= -FA‚ fushen‚ en -f geeft aan vanuit welke file hij een ruleset in moet lezen.)
nu nog een laatste toegift. :))
Op het moment dat er geen ruleset geladen is is ALLES toegestaan. we hebben namelijk bij het compileren van de kernel
de regel
[shell]#options IPFILTER_DEFAULT_BLOCK #block by default
[/shell]
als commentaar neergezet.
bij het opstarten zijn er een aantal secondes dat ipf [b]wel[/b] geladen is maar de ruleset nog niet ! Ook als de machine om een of andere reden /etc/ipf.rules niet kan lezen dan is alles toegestaan. dit erg handig (je kunt namelijk nog bij de machine met ssh) maar tevens onveilig!
als je het # voor de regel weghaald en de kernel opnieuw compileerd en installeerd weet je zeker dat je firewall dicht zit als er geen rules in het geheugen zitten.
Ik ga hier nu niet verder op in omdat het een erg gevaarlijke optie is. als je veel ervaring hebt met FreeBSD kun je deze regel meecompileren op eigen risico‚ doe dit echter pas als er een goede ipf.rules bestaat !!!!
Veel success.
XychiX
Zeer goede howto
Zal mijn ipf ruleset ook ff posten:
[shell]###########
# Outside Interface
###########
#—————————————————————-
# Allow out all TCP, UDP, and ICMP traffic & keep state on it
# so that it’s allowed back in.
#—————————————————————-
pass out quick on fxp0 proto tcp from any to any keep state
pass out quick on fxp0 proto udp from any to any keep state
pass out quick on fxp0 proto icmp from any to any keep state
block out quick on fxp0 all
# loopback pakets left unmolested
pass in quick on lo0 all
pass out quick on lo0 all
# nooit dicht zetten deze!!!
pass in quick on fxp0 proto tcp from any to any port = 22 flags S keep state
#dns server
pass in quick on fxp0 proto udp from any to 213.239.132.24/32 port = 53 keep state
pass in quick on fxp0 proto tcp from any to 213.239.132.24/32 port = 53 flags S keep state
# Apache Webserver
pass in quick on fxp0 proto tcp from any to any port = 80
# Pop3 server
pass in quick on fxp0 proto tcp from any to any port = 110
pass in quick on fxp0 proto tcp from any to any port = 995 flags S keep state
# SMTP
pass in quick on fxp0 proto tcp from any to any port = 25
# FTP Server
pass in quick proto tcp from any to x.x.x.x/32 port = 21 flags S keep state
pass out proto tcp all keep state
# To receive traceroute replies
#pass in quick on fxp0 proto icmp from any to any icmp-type timex keep state
#pass in quick on fxp0 proto icmp from any to 213.239.132.24/24 icmp-type 0
#pass in quick on fxp0 proto icmp from any to 213.239.132.24/24 icmp-type 11
#pass in quick on fxp0 proto icmp from any to 213.239.132.32/24 icmp-type echo
#pass in quick on fxp0 proto icmp from any to 213.239.132.32/24 icmp-type echorep
# Outbound traffic from our own IPs is allowed
# Could be made more strict for icmp
pass out quick on fxp0 proto tcp/udp from X.X.X.X/32 to any keep state
pass out quick on fxp0 proto icmp from X.X.X.X/32 to any keep state
# Block and log all remaining traffic coming into the firewall
# – Block TCP with a RST (to make it appear as if the service
# isn’t listening)
# – Block UDP with an ICMP Port Unreachable (to make it appear
# as if the service isn’t listening)
# – Block all remaining traffic the good ‘ol fashioned way
#—————————————————————-
block in quick on fxp0 from any to any port 134 >< 140 block in quick on fxp0 from 213.239.132.255/32 to any block in quick on fxp0 from 213.239.131.255/32 to any block in quick on fxp0 from any to 213.239.132.255/32 block in quick on fxp0 from any to 213.239.131.255/32 block in quick on fxp0 from any to 224.0.0.1/32 block return-rst in log quick on fxp0 proto tcp from any to any block return-icmp-as-dest(port-unr) in log quick on fxp0 proto udp from any to any block in log on fxp0 all
Voor de mensen die samba draaien:
pass in quick on fxp0 proto udp from any to any port = 137 keep state
pass in quick on fxp0 proto udp from any to any port = 138 keep state
grapjas… 😛
Ik heb de rules van inferno over genomen.
Inloggen op ftp lukt, maar zodra ik iets wil gaan uploaden:
ftp: connect: Connection refused
En toen ?
probeer je ftpclient eens in passive mode te zetten dat zou het moeten doen !
Heb je onder FreeBSD niet zoiets als ftp_conntrack zoals onder linux? Dan heb je geen Passive nodig, sommige FTP srever negeren dat namelijk
>>Heb je onder FreeBSD niet zoiets als ftp_conntrack zoals onder linux? Dan heb je geen Passive nodig‚ sommige FTP srever negeren dat namelijk
Ja, kan je instellen in je ipnat.rules. Zie ook deze howto: http://www.bsdfreaks.nl/index.php/front_howto/53/740
en de IPFilter documentatie/manpages.
vraag: hoe werken die ipranges???
Als reply op Laagje:
Zet poort 20 ook open, dit is ftp-data, voorkomt een hoop gezeik. (zie /etc/services)
How can i get the English Version of this site 🙂
Kijk hier voor poorten.
http://www.si.hhs.nl/~wijnandr/cs22/literatuur/poort.html
a English site about IP Filter :
http://coombs.anu.edu.au/~avalon/
thx Zaleo,
Can you give me a Detailed Howto Co-located Servers which cover each and ever thing….
thx in advance… mail me : f4fahmed@hotmail.com
hoe activeert je firewall?