web-dev-qa-db-ja.com

iptablesと潜在的に不可能なトラフィックのブロック

私はいくつかのiptablesファイアウォールルールに取り組んでおり、ルーティング不可能なIPアドレス空間からの潜在的に不可能なトラフィックをブロックすることの重要性を示唆する多くの例を見てきました。これには、RFC 1918、RFC 1700、RFC 5735、RFC 3927、RFC 3068、RFC 2544、RFC 5737、RFC 3171、およびRFC919の項目が含まれます。いくつかの例には次のものが含まれます。

  • $ CURRENT_IP
  • 0.0.0.0/8
  • 10.0.0.0/8
  • 127.0.0.0/8
  • 169.254.0.0/16
  • 172.16.0.0/12
  • 192.0.0.0/24
  • 192.0.2.0/24
  • 192.88.99.0/24
  • 192.168.0.0/16
  • 198.18.0.0/15
  • 198.51.100.0/24
  • 203.0.113.0/24
  • 224.0.0.0/4
  • 240.0.0.0/4
  • 255.255.255.255

いくつかの例は、このトラフィックがトラフィックのソースである場合にのみ、このトラフィックのチェックについて心配する必要があることを示しています。の例:

$IPT -A ANTISPOOF -s 0.0.0.0/8 -m limit --limit 5/min --limit-burst 5 -j LOG --log-prefix "Denied Spoofed Source IP Address: "
$IPT -A ANTISPOOF -s 0.0.0.0/8 -j DROP

他の例では、入力と出力の両方のソースと宛先をチェックする、より積極的なスタンスが取られています。例は次のとおりです。

iptables -A INPUT -d 172.0.0.0/8 -j DROP
iptables -A INPUT -s 172.0.0.0/8 -j DROP
iptables -A OUTPUT -d 172.0.0.0/8 -j DROP
iptables -A OUTPUT -s 172.0.0.0/8 -j DROP

私は次の質問に残ります:

  • 上記の箇条書きに記載されているIP範囲の送信元アドレスを確認する必要がありますか?
  • 上記の箇条書きに記載されているIP範囲の宛先アドレスを確認する必要がありますか?
  • INPUTチェーンとOUTPUTチェーンの両方を含む上記のIP範囲のルールを作成することは重要ですか?
  • 上記の箇条書きにない、確認するのを忘れたIP範囲はありますか?

これを手伝ってくれてありがとう。

linuxsecurityfirewalliptables
4
John

上記のルールセットのほとんどは、通常、ボゴンフィルタリングと呼ばれるものを扱います。 http://en.wikipedia.org/wiki/Bogon_filtering -これらは、アドレス空間の未割り当て領域との間で送受信されるパケットです。

ただし、これらの範囲のうち3つはRFC1918プライベートネットワークです。 http://en.wikipedia.org/wiki/Private_networks -これらからのパケットは引き続きBogonとして分類できますが、正当でない場合に限ります。 。 (駐車場の真ん中で成長している場合、バラでさえ雑草です...)

これが使用しているルーターである場合は、次のことを考慮してください。

  • INPUTチェーンとOUTPUTチェーンは、ファイアウォール自体のローカルプロセスとの間で送受信されるトラフィックを処理します。ほとんどのルーティングされたトラフィックは、これらのチェーンに接触しません。
  • FORWARDチェーンは、マシンを介して他の宛先にルーティングされるトラフィックを処理します。
  • 通常、これらのソースネットワークからのインバウンドトラフィックをブロックする必要がありますおよびoutboundトラフィックからそれらのdestinationネットワークへ。 iptablesの-iフラグを見てください。これにより、特定のネットワークアダプターへの一致を制限できます。
    • ただし、このようなアウトバウンドトラフィックをトラップする必要はおそらくないという点で、私は2番目のトップドッグです。サーバーの場合は、送信内容を制御する必要があります。
  • 内部LANはおそらくプライベートアドレス範囲の1つを使用することに注意してください。あなたはおそらくまだそのトラフィックを通過させたいでしょう。
3
SmallClanger
* Do I need to check for the source address of the IP ranges listed above in the bulleted list?

はい、isp/nspがパケットを破棄する必要がある場合でも、サーバーがリストされたアドレスにパケットを応答/送信しようとしないようにします。

* Do I need to check for the destination address of the IP ranges listed above in the bulleted list?

はい、着信パケットはオペレーティングシステムに渡されませんが、システム/ネットワークのエッジの近くで試行をブロックする必要があります。

* Is is important to create rules for the IP ranges listed above that would include both the INPUT and OUTPUT chains?

はい、リストされたアドレスにパケットを送信したくありません。

* Are there any IP ranges that I have forgotten to check from that are missing from the bulleted list above?

はい、あなたのIPアドレスはあなたへの着信を拒否されるべきです。 ( http://www.team-cymru.org/Services/Bogons/ )を使用すると、より積極的になることができますが、残りのipv4アドレスが割り当てられるため、正当なソースをブロックする可能性があります。

Iptablesのヒット数は、どのルールが機能しているかを判断するのに役立ち、ロギングは、拒否されたか受け入れられたかにかかわらず接続を識別するのに役立ちます。

1
wrmine