Введение в межсетевые экраны

МЭ — обработка сетевого трафика (вообще говоря, на всех уровнях):

• ограничение
• перенаправление
• преобразование
• учёт (в первую очередь для последующего анализа)

МЭ интерфейсного уровня

в Linux:

• ebtables

• nftables bridge family

TODO пример, если останется время

МЭ сетевого и транспортного уровней

Обычно оба уровня, потому что задачи МЭ общие.

В Linux:

• iptables

• nftables (хорошая статья на Арчевики и её перевод)

Попробуем nftables.

nftables

Принцип: https://wiki.nftables.org/wiki-nftables/index.php/Netfilter_hooks:

• 

• «Local Process» наверху — это процесс нашей ОС, который пользуется сетью (получатель и/или отправитель), «RX path» и «TX path» по бокам — это входящие и исходящие из неё фреймы
• Стрелочки — это путь пакета сквозь nftables

Ничего страшного, нам нужна только зелёненькая часть ☺

• Обратите внимание на то, что она называется «IP Layer», но она же и транспортная

Правила, хуки, цепочки, таблицы

0. Следуя стрелочкам, пакет, в зависимости от принятия решений (обозначены ромбами), проходит контрольные точки (обозначены огурцами)

   • Огурцы называются «Hook» (термин из подсистемы Netfilter ядра Linux)

1. В процессе прохождения пакет обрабатывается правилами

2. Однотипные правила, решающие общую подзадачу, объединяются в цепочки

   • Типы цепочек: filter (фильтрация), nat (преобразование), route (перенаправление)

   • Цепочка может быть «закреплена» на какой-нибудь контрольной точке (или «зацеплена за крюк») — это базовая цепочка.
   • Проходя через контрольную точку, пакет «перепрыгивает» на базовую цепочку: по очереди обрабатывается правилами из неё.
   • Если при контрольной точке имеется несколько цепочек, сравнивается их приоритет
   • Пакет из цепочки может не выйти — если его выбросят или попросят уйти (goto) на конкретную цепочку, указанную в правиле
   • В противном случае пакет доходит до конца цепочки (или правила «покинуть цепочку»), и обработка пакета продолжается в том месте, откуда он перепрыгнул на неё.
     • …например, переход в следующую базовую цепочку или по стрелочке на следующую контрольную точку

3. Цепочки и данные к ним группируются в таблицы — наборы правил для решения определённых пользовательских задач. Единственная роль таблицы, помимо информационной — её можно целиком удалить или заменить.

Имена таблиц и цепочек могут быть любыми.

Типы данных

В справочнике:

• Типы данных

• Структуры данных

Работа nftables — это интерпретация некоторого байт-кода, в который компилируются правила

• Простая арифметика

• Множества, в том числе IP-адресов с диапазонами и с исключением элементов по тайм-ауту (например, для временной блокировки)

• Словари (map) вида «данные:данные»

• Словари вердиктов (vmap) вида «данные:команда»

• Счётчики статистики

• …

Наборы данных можно изменять без изменения правил в цепочке (а ещё в них логарифмический поиск)

Высокоуровневые оболочки

Это необъятная тема, со спецификой каждого инструмента

• «Оболочки» типа Ufw (как правило, реализуют отдельные use cases)

• Firewalld — в т. ч. интерактив с пользователем а-ля windows

• Shorewall — планирование целой сети

• …

Использование NFTables

Площадка: client[12] → router → srv

• для простоты запустим avahi

Примеры из Арчевики

• Команды утилиты nft sudo cancer detected

Просмотр номеров «ручек» (handle)

• nft -a list ruleset

Фильтрация портов

Разрешим принимать TCP только на определённые порты, остальное запретим

• nft add chain inet filter restrict "{ type filter hook input priority filter; policy drop; }"

  • цепочка привязана к input, находится в (имеющейся в системах ALT по умолчанию) таблице filter

  • всё сдохло

• nft add rule inet filter restrict "tcp dport ssh accept"

  • mDNS не работает, ssh работает

• nft add rule inet filter restrict "udp dport 5353 accept"

  • mDNS работает

• Посмотрим: nft -a list ruleset

• Удалим правило: nft delete rule inet filter restrict handle №

• Удалим всю цепочку nft delete chain inet filter restrict

Ограничение частоты соединений

Отказ при превышении лимитов по частоте подключения ( это не шейпинг)

Простой вариант: собственно ограничение частоты соединений

• В цепочку, привязанную к input, вставим правило «сбрасывать пакеты tcp соединения на 22-й порт, если их больше. чем 15 в минуту»

  [root@srv ~]# nft add table inet limiter
  [root@srv ~]# nft add chain inet limiter sshstop '{ type filter hook input priority filter; }'
  [root@srv ~]# nft add rule inet limiter sshstop 'tcp dport ssh ct state new limit rate over 15/minute drop'

• На другом хосте запустим флудилку:

  [root@client ~]# for i in `seq 50`; do echo $i; netcat srv.local 22 < /dev/null; done

• Попытки ssh-соединений будут подвисать, пока среднее не опустится ниже ограничения, потом ещё сколько-то происходить, потом опять подвисать, и т. д.

Сложный вариант со списком временно забаненных хостов. Таблицу создавать не будем (хотя бы для того, чтобы показать, как это неудобно ☺): впишем всё прямо в имеющиеся таблицу filter, а правила — в её цепочку input (которая висит на контрольной точке input)

• Зададим множество IP-адресов:

  • nft add set inet filter over1234 "{type ipv6_addr; flags timeout;}"

• Напишем правило: «если conntrack отследил установление соединения на порт 1234, и этих соединений более 5 в секунду, добавим адрес отправителя в множество over1234 на срок 6 секунд»:

  • nft add rule inet filter input "ct state new tcp dport 1234 meter flood { ip saddr limit rate over 5/second } add @over1234 { ip saddr timeout 6s }"

• Добавим счётчик stat (по умолчанию он считает пакеты и байты)

  • nft add counter inet filter stat

• Напишем правило: «все пакеты от хостов из over1234 выбрасывать, но считать их в stat»

  • nft add rule inet filter input "ip saddr @over1234 counter name stat drop"

• Запустим на этом хосте вот такой сетевой сервис (он слушает на 1234 порту и выводит клиенту содержимое счётчика stat)

  • socat TCP-LISTEN:1234,reuseaddr,fork EXEC:"nft list counter inet filter stat"

• На другом хосте запустим флудилку:

  • for n in `seq 10`; do echo $n; netcat адрес_хоста 1234 < /dev/null; done

• Она довольно быстро зависнет, а через 6 секунд продолжится. Если её прибить, даже ping не заработает (выбрасываются любые пакеты).

• Посмотрим, что вышло: nft list ruleset

• Удалять придётся через handle (так бы удалили таблицу и дело с концом)

Вывод: пользуйтесь таблицами!

Для того, чтобы настройки стали постоянными, их надо складывать в /etc/nftables/nftables.nft, или include-ить оттуда файлы из того же каталога, куда скопипастить фрагменты выдачи nft list ruleset.

МЭ прикладного уровня

Это какого? ☺

• Для каждого протокола правила свои
• Например, антиспам, DPI, родительский контроль и т. п.

• Пример проекта Layer 7 firewall: Netify

  • формально OpenSource, но… найдите на сайте ссылку на исходники

  • Спойлер: вот они

• Пример комплексного МЭ с упором на безопасность: CrowdSec

  • Та же история с лицензией/исходниками: CrowdSec

…тысячи их

И кстати, важное правило:

Д/З

образ

TODO Снова ☺ проявляется бага с mDNS из-под root resolver из-под root запускается в chroot-е /var/resolv. Раньше проблема была в библиотеках, которые не доползали до /var/resolv

Задание 10

Воспроизвести (модифицированный) пример из лекции:

0. client → router → server

• Все сетевые настройки выполняются перманентно с помощью systemd-networkd

  • (должна быть маршрутизация с srv на client и обратно)

• Настроить на router перманентно с помощью /etc/nftables/nftables.nft (руками вводить не надо):

  • Ограничение по количеству входящих TCP-соединений к server по ssh за определённый период времени с записью нарушителей в счётчик

    • как в «сложном примере» из лекции,

    • но поскольку обрабатываются не принятые, а пересылаемые пакеты, точка привязки (hook) должна быть другая

• IP-адрес машины client — 2a00:f480:8:3::1b/64 на интерфейсе к router

• Настройка в отчёт не входит.

1. Отчёт (вместо курсива могут быть числа, IP-адреса и т. п.):

   1. report 10 server:

      • networkctl status eth1

      • nft list ruleset

      • ssh клиент (должен привести к подключению на client и логину!)

        • (2025-04-28) Для того, чтобы login сработал, надо на клиенте в /etc/openssh/sshd_config вписать строку PermitRootLogin yes и перезапустить сервис

        • выполнить там ip a

   2. report 10 router:

      • networkctl status eth1

      • networkctl status eth2

      • nft list ruleset

   3. report 10 client:

      • for i in $(seq число ); do date | netcat server 22; done

        • Должен отработать в рамках ограничения (сколько положено по квоте), а дальше зависнуть

   4. router (продолжение)

      • Посмотреть множество нарушителей квоты по подключениям (там должен быть 2a00:f480:8:3::1b)

   5. Остановить зависшие команды на 2a00:f480:8:3::1b и server

2. Три отчёта (названия сохранить, должно быть: report.10.server, report.10.router и report.10.client) переслать одним письмом в качестве приложений на uneexlectures@cs.msu.ru

   • В теме письма должно встречаться слово LinuxNetwork2026