FIREWALL IP TABLES. April 28, 2006

Transcript

1 FIREWALL IP TABLES April 28, 2006

2 Contents 1 Prefazione Disclaimer Licenza d'uso Introduzione ai rewall Che cosa sono? Tipi di rewall Stateful e Stateless Application Proxy e Proxy SOCKS Introduzione a Netlter e IP Tables Netlter IP Tables Connection Tracking Installare IP Tables Installazione Aggiornamento Nozioni di base su iptables Tabelle Punti di aggancio e catene Catene (chains) Regole Politiche (policy) Nozioni avanzate su iptables Obbiettivi (target) Indirizzi Interfacce Protocolli Frammenti !

3 CONTENTS 2 7 Estensioni dei criteri di selezione tcp udp icmp mac limit owner state tos mark ttl multiport unclean Estensioni degli obbiettivi REJECT DNAT REDIRECT SNAT MASQUERADE MARK TOS TTL LOG MIRROR Esempi d'uso Tabella Filter Tabella Nat Tabella Mangle Appendice A B C D Riferimenti 34

4 Chapter 1 Prefazione In questo manuale l'autore si pregge l'obbiettivo di scrivere una guida concisa ed il piu' possibile esaustiva, che fornisca i concetti necessari per lavorare in modo ecace con il rewall IP Tables. I concetti di base sulla rete (Three Way Handshake, formato dei pacchetti ip, tcp, udp, ecc.) sono un prerequisito. Per errori, eventuali chiarimenti ed altro potete scrivere a questo indirizzo gccdvl@gmail.com. Per approfondimenti si veda la sezione Riferimenti. Il sito di riferimento nel quale sara' pubblicato un aggiornamento o altri formati di questa guida e' sito di riferimento Per contattare l'autore scrivere al seguente indirizzo gccdvl@gmail.com. 1.1 Disclaimer L'autore declina ogni responsabilita' riguardo danni o malfunzionamenti derivati dall'utilizzo di questa guida. 1.2 Licenza d'uso Questo documento e' sottoposto alla seguente licenza d'uso: licenza d'usohttp://creativecommons. org/licenses/by-nc-sa/2.5/. 3

5 Chapter 2 Introduzione ai rewall 2.1 Che cosa sono? I rewall sono dispositivi software e/o hardware posti a protezione dei punti di interconnessione eventualmente esistenti tra una rete privata interna (ad esempio una Intranet) ed una rete pubblica esterna (ad esempio internet) oppure tra due reti dierenti. Principalmente agiscono come dei ltri controllando il traco di rete che proviene dall'esterno e dall'interno, permettendo soltanto il traco che risulta eettivamente autorizzato. Il rewall analizza tutti i pacchetti che lo attraversano in modo da prendere una decisione riguardo al passaggio o meno di questi ultimi, sulla base delle regole di rewalling denite in fase di congurazione. Le architetture dei rewall sono molteplici e si possono trovare rewall che agiscono su livelli diversi dello stack TCP/IP. Vediamone i principali tipi. 2.2 Tipi di rewall Esistono due tipologie di rewall: 1. Firewall ltranti - bloccano i pacchetti di rete selezionati. 2. Proxy Server - eettuano le connessioni di rete. I rewall ltranti (packet ltering rewall) o screen routing rappresentano un primo livello di ltraggio. Questo tipo di rewall e' presente nel kernel di Linux (chiamato Netlter o IPTables) e lavora a livello data/link, rete e trasporto della pila ISO/OSI. Le decisioni sono prese analizzando l'indirizzo di provenienza, l'indirizzo di destinazione, le porte, i ag TCP, ecc. I rewall ltranti sono trasparenti per gli utenti. L'utente non deve impostare regole nella sua applicazione per utilizzare internet. I Proxy Server sono principalmente usati per controllare, o monitorare, il traco. In particolare forniscono una connessione richiesta(host <-comunica-> Proxy Server <-comunica-> Internet), quindi l'utente non accedera' direttamente all'esterno, ma si connettera' solamente al Proxy Server e sara' quest'ultimo ad accedere eettivamente ad internet. Questi tipi di rewll proteggono la privacy e possono ltrare delle pagine in base al contenuto. 4

6 CHAPTER 2. INTRODUZIONE AI FIREWALL Stateful e Stateless Questi tipi di rewall si dividono a loro volta in due categorie: 1. Stateful. 2. Stateless. Un rewall stateful costituisce una variante di quelli stateless, ovvero i pacchetti di un usso dati vengono esaminati nel dettaglio soltanto all'inizio della connessione. Quando una nuova connessione viene considerata vericata e ammissibile, viene aggiunta una voce a una tabella di verica dello stato di connessione. I futuri pacchetti che faranno parte di questa connessione possono non essere sottoposti all'intera serie di regole di verica. Il vantaggio di un rewall stateful consiste proprio nell'oerta di tutta la sicurezza possibile di un rewall ltrante, utilizzando una frazione dei cicli di CPU della soluzione stateless, che verica ogni singolo pacchetto. IP Tables e' un rewall stateful. 2.4 Application Proxy e Proxy SOCKS Esistono due tipi di Proxy Server: 1. Application Proxy (Proxy di applicazione o Proxy Server). 2. Proxy SOCKS. Negli Application Proxy per collegarsi con l'esterno, ad esempio il client si connette automaticamente al proxy, il quale si connettera' poi al server del sito. Alcuni proxy di applicazione possono fare la cache dei dati richiesti, cio' abbassa le richieste di banda e diminuisce il tempo d'accesso per il successivo utente che vuole accedere a quegli stessi dati. Inoltre consentono di creare delle regole molto avanzate e di interagire facilmente con gli utenti. Poiche' i Proxy Server gestiscono tutte le comunicazioni, si puo' registrare qualsiasi URL che si visita e/o qualsiasi le si scarica, rispettivamente con un Proxy HTTP o web e con un Proxy FTP. E' anche possibile ltrare parole "inappropriate" dai siti visitati o controllare la presenza di virus. I Proxy Server possono autenticare gli utenti. Prima di eettuare una connessione verso l'esterno, il server puo' richiedere all'utente, per prima cosa, di eettuare il login. Ad un utilizzatore del web cio' comportera' la necessita' di un login per ogni sito che desidera visitare. Un server SOCKS ha funzioni piu' limitate rispetto a un Application Server; invece di fare da cache e' un software che si occupa soltanto di applicare restrizioni imponendo dei limiti o dando privilegi in base a regole stabilite dall'amministratore. Funziona solamente con connessioni di tipo TCP e, come i rewall ltranti, non fornisce l'autenticazione degli utenti. E' possibile comunque registrare dove si à connesso ogni utente.

7 Chapter 3 Introduzione a Netlter e IP Tables Iniziamo col denire a cosa si riferiscono Netlter e IP Tables. Netlter e' la parte del kernel che si occupa della manipolazione e del ltraggio dei pacchetti ed e' un'infrastruttura di basso livello. IP Tables e' l'infrastruttura di livello superiore che costituisce la via di comunicazione tra l'utente e Netlter. 3.1 Netlter Netlter e' supporto sviluppato per manipolare ed esaminare i pacchetti che giungono sullo stack dei protocolli di rete, in determinate fasi della gestione del pacchetto, tramite dei punti d'aggancio (hooks). Lo schema seguente illustra quali punti d'aggancio i pacchetti attraversano per giungere o lasciare la nostra macchina. 6

8 CHAPTER 3. INTRODUZIONE A NETFILTER E IP TABLES 7 I pacchetti in arrivo da una interfaccia di rete, dopo aver passato dei controlli elementari di integrita' arrivano al primo punto di aggancio: PREROUTING. Qui si devono eseguire le manipolazioni sui pacchetti che ne modicano la destinazione, ovvero il DNAT. Una volta attraversato il PREROUTING i pacchetti vengono passati al codice di gestione di instradamento, che decide se il pacchetto e' destinato ad un indirizzo locale della macchina o deve essere reinviato verso un altra rete. Se il pacchetto e' destinato ad un indirizzo locale esso proseguira' il suo percorso nel Netlter attraversando un secondo punto d'aggancio, identicato da INPUT, prima di poter essere recapitato al processo a cui e' diretto, se esso esiste, o generare un opportuno messaggio d'errore, qualora questo sia previsto. Qui si esegue il ltraggio dei pacchetti destinati alla nostra macchina. Se invece il pacchetto deve essere reinviato ad un indirizzo su una rete accessibile attraverso un altra interfaccia dovra' prima attraversare un secondo punto di aggancio, FORWARD, dove verra' eettuato il ltraggio dei pacchetti che attraversano la nostra macchina per un'altra destinazione. Il punto d'aggancio OUTPUT e' attraversato dai pacchetti inviati verso l'esterno generati dai nostri processi. Prima di arrivare sull'interfaccia di uscita vi e' ancora un'altro punto d'aggancio: POSTROUTING. POSTROUTING e' attraversato da pacchetti che transitano sulla nostra macchina (per esempio un gateway) e dai pacchetti generati internamente, per cui in questo punto agiremo sui pacchetti per modicare gli indirizzi sorgente, cioe' eseguiremo il SNAT.

9 CHAPTER 3. INTRODUZIONE A NETFILTER E IP TABLES IP Tables IP Tables e' chiamato cosi' poiche' lavora con le tabelle. Le tabelle contengono le catene e quest'ultime conteno le regole che permettono il ltraggio dei pacchetti ed altre funzionalita'. L'utente tramite IP Tables o meglio il relativo comando iptables comunica con Netlter tramite lascrittura delle regole. 3.3 Connection Tracking Il connection tracking e' una delle piu' importanti aggiunte ad IP Tables (dal kernel 2.4 in poi), rispetto alla sua versione precedente IP Chains. Esso analizza il traco per conoscere ogni connessione presente e denirne lo stato, costruendosi una tabella. Ad ogni connessione saranno associati i pacchetti. Conseguentemente e' possibile ltrare i pacchetti in base allo stato della connesione a cui appartengono ed anche eettuare il NAT (Network Address Translation). In particolare realizzare il masquerading, ossia mascherare gli host di una o piu' reti in modo che accedano ad internet con un singolo indirizzo ip (Source NAT o SNAT) e il trasparent proxing, ovvero gli utenti di una rete per richiedere dei servizi si rivolgeranno ad una macchina, deve essere il loro default gateway, la quale richiede a sua volta questi servizi e li fornira' agli host in modo trasparente (Destination NAT o DNAT). Questo meccanismo e' esteso anche a protocolli non connessi (connectionless) come l' UDP e l' ICMP, identicando la connessione in base agli indirizzi ip e alle porte. Per risolvere il problema della frammentazione dei pacchetti ip, i frammenti sono riassemblati prima di denirne o tracciarne lo stato. Tutte le operazioni di Connection Tracking sono eseguite nel punto d'aggancio PREROUTING e OUTPUT (per i pacchetti generati localmente). Comunque tutte le operazione per denire lo stato di una connessione e associarvi i pacchetti sono eseguiti sul PREROUTING. Gli stati possibili associati a una connessione e conseguentemente ai pacchetti relativi a quest'ultima sono quattro: NEW, ESTABLISHED, RELATED e INVALID. NEW si riferisce ai pacchetti inviati per instaurare una connessione. Nei protocolli connectionless, come l'udp, si considerano NEW i pacchetti nei quali l'indirizzo ip e la porta non corrispondono ad una voce esistente nella tabella delle connessioni. ESTABLISHED identica i pacchetti appartenenti ad una connessione gia' stabilita. RELATED per i pacchetti relativi a una connesione, ma che non ne fanno parte, come un pacchetto ICMP di errore. Inne INVALID si riferisce ai pacchetti contenenti intestazioni non valide, oppure nel caso in cui lo spazio a disposizione sia esaurito nella tabella delle connessioni. Una connessione di un protocollo che e' connectionless (come l'udp) viene considerata conclusa dopo tre minuti che non transitano pacchetti relativi a tale connessione. La maggior parte dei pacchetti ICMP si riferiscono a connessioni gia' esistenti e vengono considerati RELATED.

10 Chapter 4 Installare IP Tables 4.1 Installazione Si consiglia di consultare internet per trovare informazioni adatte alla vostra distrubuzione. In questa sede vedremo i moduli da attivare durante la compilazione o ricompilazione del kernel. In genrale si trattera' un installazione generale tramite sorgenti e in particolare per la distrubuzione Debian. Se non li avete procuratevi i sorgenti del kernel su sorgenti kernel se avete Debian potrete usare il comando: apt-cache search kernel-source apt-get install kernel-source-2.6.x Sostituite al posto di x la versione del kernel. L'ultima versione di IP Tables disponibile su ip tables L'ultima versione del patch-o-matic, disponibile su ftp://ftp.netlter.org/pub/patch-o-matic/. Leggete i vari readme o INSTALL per controllare di aver tutto l'occorente per la ricompilazione, quindi spostatevi in /usr/src o in una directory a vostra scelta e decomprimete tutti i vari.tar.gz o.tar.bz2 tramite comandi quali: tar -xjf le.tar.bz2 oppure tar -xzf le.tar.gz Ora ricompilate il kernel ricordando di abilitare l'opzione 'Network Packet Filtering' nella sezione Networking options. Se si fa questo apparira' nella stessa sezione il menu' 'Netlter conguration', allâinterno del quale si potranno abilitare le varie funzionalita' del Netlter. Gli utenti Debian possono usare questi comandi (in /usr/src/): apt-get install gcc make binutils libncurses5-dev apt-get install kernel-source-2.6.x apt-get build-dep kernel-source-2.6.x apt-get install kernel-package tar -xjf./kernel-source-2.6.x.tar.bz2 & apt-get source iptables apt-get build-dep iptables apt-get source iproute 9

11 CHAPTER 4. INSTALLARE IP TABLES 10 apt-get build-dep iproute 4.2 Aggiornamento Patch-o-matic e' un sistema che permette di applicare le patch all'ultima versione del kernel e/o ai sorgenti di IP Tables (per correggerne qualche bug, per aggiornare le estensione e per otterne nuove). Questo sistema non e' altro che un "repository" dove trovare tali patch di cui eetuare il download ed utilizzare durante la ricompilazione del kernel. Il sito nel quale trovare tali patch e' quello uciale, ovvero patch ip tables

12 Chapter 5 Nozioni di base su iptables IP Tables e' l'infrastuttura mentre iptables e' il comando che viene scritto sulla bash. Questo capitolo trattera' delle opzioni del comando iptables per gestire le strutture quali tabelle, catene, regole e verra' spiegato come subentrano le catene nei punti di aggancio. 5.1 Tabelle Le tabelle sono dedicate a compiti specici e sono i contenitori per le catene predenite e per quelle create dall'utente. Le tabelle disponibili sono: lter, nat, mangle. lter e' la tabella contenente le regole di ltraggio dei pacchetti, contiene le regole per lasciar passare o meno i pacchetti. Ha tre catene (chains) predenite: INPUT, OUTPUT e FORWARD. nat (Network Address Traslation) e' la tabella necessaria per modicare gli indirizzi dei pacchetti. In pratica Netlter puo' modi- care l'indirizzo IP sorgente o di destinazione dei pacchetti. Ha tre catene predenite: PREROUT- ING, POSTROUTING e OUTPUT. mangle Questa tabella e' particolare, in quanto serve a eettuare delle modiche molto specializzate ai pacchetti, inoltre viene utilizzata per evitare alcuni tipi di attacco. Ha cinque catene predefinite corrisponenti a quelle precedenti, cioe' INPUT, OUTPUT, FORWARD, PREROUTING e POSTROUTING. Se non specichiamo altre tabelle con -t utilizzeremo di default lter. 5.2 Punti di aggancio e catene Una catena non e' altro che una lista di regole. Nei punti d'aggancio e' possibile intervenire sui pacchetti (per mnodicarli e deciderne il destino). IP Tables interfaccia l'scrittore delle regole con i punti di aggancio, tramite le catene predenite contenute nelle tre tabelle. Per capire la relazione tra i vari punti d'aggancio e le catene predenite si osservi il seguente schema: 11

13 CHAPTER 5. NOZIONI DI BASE SU IPTABLES 12 Ai vari punti di aggancio corrispondono due o tre catene predenite. Le catene della tabella mangle vengono attraversate per prime, seguite da quelle della tabella nat e lter. Ad esempio un pacchetto che arriva al punto d'aggancio OUTPUT attraversera' in seguenza la catena OUTPUT della tabella mangle, poi quella della tabella nat ed inne quella della lter, prima di giungere al punto d'aggancio successivo: POSTROUTING. Le funzioni delle catene contenute nella tabella lte sono: ltrare i pacchetti in ingresso sulla macchina (attraverso la catena INPUT), quelli instradati da un'interfaccia all'altra attraverso la macchina (tramite FORWARD) e quelli generati internamente dalla macchina stessa e diretti all'esterno (catena OUTPUT). Nella tabella nat sono

14 CHAPTER 5. NOZIONI DI BASE SU IPTABLES 13 modicati gli indirizzi per i pacchetti che arrivano sulla macchina, solitamente sono modicati gli indirizzi di destinazione (DNAT), ad esempio se la macchina e' un gateway, tramite le regole nella catena PREROUTING. Con la catena OUTPUT si agisce sugli indirizzi dei pacchetti generati localmente, mentre tramite la catena POSTROUTING si agisce sugli indirizzi (generalmente quello sorgente SNAT) dei pacchetti in uscita dall'interfaccia. Inne tramite la tabella mangle si modicano i pacchetti in entrata, prima che arrivino sulla macchina (PREROUTING), quelli in entrata sulla macchina locale (INPUT), quelli generati localmente prima dell'instramento (OUTPUT), quelli instradati da un'interfaccia ad un'altra (FORWARD) ed inne quelli in uscita dall'interfaccia (POSTROUTING). 5.3 Catene (chains) I pacchetti vengono sottoposti a una lista di regole in determinati punti (di aggancio) ovvero nelle catene predenite, pero' e' possibile far si' che un pacchetto attraversando, ad esempio, la catena predenita OUTPUT sia processato in base alle regole di un'altra catena sempre della stessa tabella (ma denita dall'utente) tramite l'opzione -j che sara' descritta nel paragrafo 5.1. Questa posibilita' rende chiara l'utilita' dei comandi descritti di seguito. Per interagire con le catene si usa -N per crearne una nuova e -X per cancellarne una creata con il comando precedente. Le catene predenite non si possono cancellare. iptables -N nome_catena iptables -X [nome_catena] # iptables -N no_conn_from_eth0 # iptables -X no_conn_from_eth0 Nel caso si voglia rinominare una catena si usa -E. iptables -E vecchio_nome nuovo_nome # iptables -E no_conn_from_eth0 no_conn_from_ppp0 Per eliminare le regole di una catena si usa -F. iptables -F [nome_catena] # iptables -F no_conn_from_eth0 Attenzione! Utilizzando il comando iptables -F e iptables -X senza specicare il nome della catena verrano cancellate tutte le regole di tutte le catene della tabella selezionata nel primo caso, mentre nel secondo saranno eliminate tutte le catene denite dall'utente appartenenti alla tabella specicata. Per vedere le regole di una catena o di tutte le catene di una tabella viene utilizzata l'opzione -L. iptables -L [nome_catena]

15 CHAPTER 5. NOZIONI DI BASE SU IPTABLES 14 # iptables -L no_conn_from_eth0 # iptables -L Quest'opzione e' molto spesso utilizzata insieme a -n per visualizzare gli indirizzi in formato standard evitando i "long reverse DNS lookups." L'opzione -Z (zero) azzera i contatori dei pacchetti e dei byte in tutte le catene di una tabella (si puo' anche specicare una sola catena). iptables -Z [nome_catena] # iptables -Z no_conn_from_eth0 5.4 Regole Sara' trattata la gestione delle regole ovvero come inserirle, cancellarle, ecc. Come, a cosa applicare le regole sara' l'argomento del capitolo successivo. Per aggiungere una regola in modalita' append, cioe' in modo che sia l'ultima di una catena, si usa l'opzione -A (append). iptables -A nome_catena specicazione_regola # iptables -A FORWARD -p tcp ACCEPT L'opzione -D (delete) e' utilizzata per cancellare una regola che si trova in una determinata posizione all'interno della catena. Il numero delle regole parte da 1. iptables -D nome_catena numero_regola # iptables -D OUTPUT 3 Nel caso non si ricordi il numero della regola si puo' usare -D specicando la regola stessa: iptables -D nome_catena specicazione_regola # iptables -D INPUT -s p icmp -j DROP Le varie opzioni -s, -p e -j saranno spiegate piu' avanti. Per inserire una regola all'interno di una catena si usa l'opzione -I (insert) seguita dalla catena, dal numero indicante la posizione ove inserire la regole e dalla specicazione della regola. iptables -I nome_catena [numero_regola] specicazione_regola # iptables -I INPUT 2 -j accept Inserisco la regola nella posizione 2 della catena INPUT. Se non si specica la posizione della regola (numero_regola) di default e' 1, cioe' la regola verra' inserita in prima posizione. Per sostituire comodamente una regola con un'altra si puo' utilizzare l'opzione -R, seguita dal nome della catena, dal numero della regola da sostituire e dalla specicazione della nuova regola. iptables -R nome_catena numero_regola specicazione_regola

16 CHAPTER 5. NOZIONI DI BASE SU IPTABLES 15 # iptables -R FORWARD 4 -p tcp -j ACCEPT In questo esempio viene sostituita la quarta regola della catena FORWARD con un'altra che accetta i pacchetti tcp (-p tcp -j ACCEPT). Ricordate che l'ordine delle regole nelle catene e' di fondamentale importanza per preservare ed assicurare l'ecacia di tutte le regole contenute per cui prestate molta attenzione a dove aggiungete una regola o a quale cancellate. 5.5 Politiche (policy) Un pacchetto (o meglio la sua intestazione) viene confrontato progressivamente con le regole di una catena, se l'intestazione corrisponde al criterio di selezione viene applicata la decisione (ad esempio puo' essere scartato), altrimenti il pacchetto viene passato alla regola successiva e cosi' via per tutte le regole di una catena. Nel caso non ci siano piu regole da consultare il destino del pacchetto e' deciso dalla politica impostata per tale catena. Le tre politiche sono: DROP, ACCEPT e QUEUE; verranno trattate nel paragrafo 5.1, poiche' il funzionamento e' analogo ai rispettivi obiettivi. Per settare la politica di una catena bisogna usare il comando: iptables -P nomecatena politica # iptables -P INPUT DROP E' vivamente consigliato impostare la politica di tutte le catene a DROP e consentire il traco in maniera esplicita, in modo da rendere il sistema piu' sicuro. Se vi dimenticherete delle regole per accettare un tipo di traco ve ne accorgerete subito, al contrario non e' cosi' immediato sapere cosa bloccare, anche perche' potrebbero esserci nuovi protocolli, ecc. Si ricorda che le politiche esistono solo per le catene predenite; quando un pacchetto arriva al fondo di una catena A denita dall'utente torna ad essere confrontato con la regola successiva (di una catena B) a quella che ha passato il pacchetto alla catena A.

17 Chapter 6 Nozioni avanzate su iptables Si analizzera' come agiscono e come si scrive la parte delle regole chiamata specicazione, in modo da interagire con il pacchetto per deciderne il destino o per modicarlo. Questa parte e' costituita da un criterio di selezione (match) e da un'obbiettivo (target) o azione. In questo capitolo saranno trattati i criteri di selezione standard e gli obbiettivi comuni a tutte le catene predenite. iptables -A INPUT -s p icmp -j DROP match target specicazione Questa regola permette di scartare un pacchetto proveniente dalla nostra macchina che utilizza il protocollo icmp. 6.1 Obbiettivi (target) Tramite l'opzione '-j azione' o 'jump azione' specichiamo l'obbiettivo (target), ovvero l'azione da intraprendere se il criterio di selezione (match) e' soddisfatto. Si puo' anche specicare come obbiettivo una catena creata dall'utente appartenente alla stessa tabella. In questo caso il pacchetto verra' processato dalle regole appartenenti a quella tabella. Oltre questo vi sono quattro obbiettivi validi per tutte le catene: ACCEPT, DROP, QUEUE, RETURN. ACCEPT fa proseguire il pacchetto nelle successive catene (ovviamente predenite), DROP scarta il pacchetto, QUEUE passa il pacchetto in userspace dove verra' gestito da opportuni programmi, per funzionare ha bisogno del modulo "ip_queue" e RETURN applica la politica della catena, mentre se e' una catena creata dall'utente fa si' che il pacchetto torni ad attraversare la catena precedente. 6.2 Indirizzi In questo e nei successivi paragra di questo capitolo saranno trattati i criteri di selezione (match) piu' comuni, cioe' le condizioni che devono essere soddisfatte anche' sia intrapresa l'azione spec- 16

18 CHAPTER 6. NOZIONI AVANZATE SU IPTABLES 17 icata successivamente. Vediamo come specicare, in una regola, un indirizzo ip sorgente o destinazione di un pacchetto con rispettivamente con -s (source) e -d (destination). -s indirizzo_sorgente[/maschera] # iptables -A INPUT -s j DROP Questa regola e' stata aggiunta in append (al fondo) alla catena INPUT. Se l'indirizzo sorgente del pacchetto, cioe' il mittente e' il pacchetto sara' scartato. -d indirizzo_destinazione[/maschera] # iptables -A OUTPUT -d j DROP Anologamente l'opzione -d mi permette di decidere il destino dei pacchetti con una determinata destinazione. In questo caso i pacchetti con destinazione saranno scartati. Notate che la catena non e' piu' la INPUT, dato che l'indirizzo di destinazione di un pacchetto in quella catena e' ovviamente quello del calcolatore. Se si vuole utilizzare come criterio di selezione una rete, come destinazione o sorgente, si deve aggiungere la maschera di rete; di default e' Ci sono due notazioni standard per specicare la maschera di rete valide: o /24. # iptables -A OUTPUT -d / j DROP # iptables -A OUTPUT -d /16 -j DROP Questi due comandi sono equivalenti. I pacchetti proveniente dalla rete con maschera di rete (netmask) /16, cioe' con indirizzo ip compreso tra e saranno scartati. 6.3 Interfacce Le due opzioni utilizzate per specifare un interfaccia in un criterio di selezione sono rispettivamente -i e -o. L'opzione -i e' valida solo per i pacchetti che attraversano le tabelle INPUT, FORWARD e PREROUTING, mentre l'opzione -o per quelli che attraversano le tabelle FORWARD, OUTPUT e POSTROUTING. E' possibile specifcare un interfaccia non ancora attiva, in questo modo la regola non sara' mai soddisfatta. Si puo' usare il + per specicare tutte le intefaccie che cominciano per quelle lettere. # iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT # iptables -A INPUT -i eth+ -j DROP Nel primo esempio accetto tutti i pacchetti che hanno come interfaccia di entrata eth0 e eth1 come interfaccia di uscita. Nel secondo scarto i pacchetti in entrata su tutte le interfacce eth. 6.4 Protocolli Tramite l'opzione -p seguita dal nome del protocollo e' possibile discriminare un pacchetto in base al protocollo utilizzato e vengono attivate le estensioni relative a quel protocollo, trattate nel capitolo 6. Possiamo decidere l'azione da intraprendere per un pacchetto che utilizza quel determinato protocollo. I protocolli possibili sono TCP, UDP e ICMP. E' possibile specicarli anche tutti e tre tramite 'all'.

19 CHAPTER 6. NOZIONI AVANZATE SU IPTABLES 18 -p nome_protocollo # iptables -A INPUT -p tcp -j ACCEPT # iptables -A INPUT -p udp,icmp -j ACCEPT # iptables -A INPUT -p all -j ACCEPT Nel primo esempio sono accettati tutti i pacchetti TCP, nel secondo quelli che utilizzano sia l'udp che l'icmp, mentre nel terzo sono accettati tutti i pacchetti che utilizzino uno dei tre protocolli. Si puo'anche specicare il tipo di protocollo in maiuscolo, poiche' non e' case-sensitive. 6.5 Frammenti Se un pacchetto risulta troppo grosso per essere spedito esso sara' suddiviso in frammenti. Un pacchetto in generale e' composto da un header e dei dati. Senza scendere nei dettagli si hanno due possibilita': i frammenti sono troppo piccoli per cui l'header (del livello 4 della pila ISO/OSI) che contiene informazioni sul trasporto come il protocollo (ad esempio TCP) viene suddiviso in vari frammenti, oppure, se i frammenti sono grossi, l'header viene incapsulato solo sul primo pacchetto. Le regole che non trovano informazioni richieste non possono essere soddisfatte, quindi i frammenti, ad eccezione del primo nel secondo caso saranno scartati. Con l'opzione -f si discrimina un pacchetto in base al fatto che sia o meno un frammento. Quindi possiamo decidere di applicare un azione in base ad un criterio di selezione sui frammneti. -f specicazione_regola # iptables -A OUTPUT -f -d j ACCEPT Tramite questa regola tutti i frammenti con destinazione saranno accettati, quindi saranno inviati. 6.6! Il punto esclamativo! si puo' applicare, per esempio, agli indirizzi, alle interfacce, ai protocolli e ai frammenti, ma anche alle estensioni che verranno trattate nel successivo capitolo. E' l'equivalente di negare, ovvero non quello/quegli indirizzo/i, non quella interfaccia, non quel protocollo, non i frammenti. Rivediamo gli esempi con applicato questo operatore. # iptables -A OUTPUT -d! /16 -j DROP Tutti i pacchetti con destinazione diversa dalla rete /16 saranno scartati. # iptables -A OUTPUT! -f -d j ACCEPT In questo modo la regola non sara' applicata ai frammenti. # iptables -A OUTPUT! -f -d! j ACCEPT Accetta, cioe' invia (perche' e' sulla catena di OUTPUT) i pacchetti (non i frammenti) con destinazione diversa da

20 Chapter 7 Estensioni dei criteri di selezione Le seguenti estensioni si riferisco ai criteri di selezione. Saranno trattate quelle considerate piu' utili e comuni, si consiglia di controllare sempre le nuove estensioni nel sito uciale di Netlter, ove si puo' trovare anche una descrizione del funzionamento. 7.1 tcp Le estensioni riguardanti questo potocollo sono caricate di default tramite -p tcp. -sport (sourceport) permette di specicare la porta, ad esempio 80 (per l'http). Si puo' anche utilizzare la stringa corrispondente a quella porta specicata nel le /etc/services. Analogamente vi e' l'opzione -dport (destination-port) che testa il pacchetto in base alla porta di destinazione. E' possibile specicare un range di porte per queste due opzioni tramite ':'. -p tcp -dport numero_porta -p tcp -sport numero_porta -p tcp -dport numero_porta_minore:numero_porta_maggiore -p tcp -sport numero_porta_minore:numero_porta_maggiore # iptables -A INPUT -p tcp -s /16 -dport 80 -j ACCEPT # iptables -A INPUT -p tcp -s /16 -dport http -j ACCEPT Queste due regole sono equivalenti; accettano tutti i pacchetti con protocollo tcp provenienti dalla rete /16 destinati alla porta 80, corrispondente a http. Nella struttura del pacchetto tcp (livello 4 ISO/OSI) ci sono sei ag: SYN,ACK,PSH,URG,FIN,RST. E' possibile prendere decisioni in base a questi ag con l'opzione tcp-ags. Per capire come si lavora con questi ags si osservi il seguente esempio. -p tcp tcp-ags ag_testati ag_settati # iptables -A INPUT -p tcp --tcp-flags ALL PSH,URG -j DROP 19

21 CHAPTER 7. ESTENSIONI DEI CRITERI DI SELEZIONE 20 La regola esamina tutti i ags dei pacchetti tcp. I pacchetti che hanno i ags PSH e URG impostati sono scartati. Difatti tcp-ags deve essere seguito da una lista dei ags da esaminare e da una lista dei ags che devono risultare impostati. In questo caso ALL signica SYN,ACK,PSH,URG,FIN,RST; esiste anche NONE il cui signicato e' ovvio. Degno di nota e' syn che equivale a tcp-ags SYN,RST,ACK SYN. # iptables -A INPUT -p tcp -s syn -j DROP Tramite questa regola riutiamo i tentativi di connessione tramite pacchetti tcp provenienti dall'indirizzo Da notare che non riutiamo tutti i pacchetti tcp, ma solo quelli con SYN impostato e ACK, FIN non impostati. Evitiamo cioe' che la macchina con indirizzo possa instaturare una connessione tcp con la nostra macchina, ma al contrario noi possiamo instaurare una connesione con essa. Ultima opzione e' tcp-option che permette di vericare se il pacchetto tcp ha un'opzione corrispondente al valore numerico specicato settata. -p tcp tcp-option valore_numerico_opzione # iptables -A INPUT --protocol tcp --tcp-option 0 -j LOG Se il pacchetto ha l'opzione numero 0 settata viene loggato. Il! si puo' ovviamente appliccare a queste opzioni, in modo da negare l'opzione stessa. # iptables -A INPUT -p tcp -s ! --syn -j DROP Riutiamo i pacchetti tcp non di connessione, provenienti dall'indirizzo Questa regola di per se' non avrebbe senso, ma inserita nel contesto giusto acquista il suo vero signicato. 7.2 udp L'header del pacchetto UDP e' molto piu' semplice di quello TCP, percio' molti campi non sono presenti, come ad esempio i ags (o CodeBits). Di conseguenza le estensioni caricate con l'opzone -p udp sono solamente -dport e -sport, utilizzate in modo analogo a quanto visto per -p tcp. # iptables -A INPUT -p udp -dport 80:90 -j ACCEPT In questo esempio un pacchetto udp con porta di destinazione compresa tra 80 e 90 prosegue nel Netlter. L'uso del! e' consentito. 7.3 icmp Per il protocollo ICMP (Internet Control Message Protocol), le cui estensioni sono caricate tramite l'opzione -p icmp, si puo' scrivere un criterio di selezione in base al tipo di pacchetto grazie a icmptype seguito dal tipo di servizio, il quale puo' essere il nome (ad esempio 'network-prohibited') o il tipo numerico o il tipo numerico piã 1 il codice separati da un '/' (ad esempio '3/3') -p icmp icmp-type nome_servizio -p icmp icmp-type valore_numerico_servizio[/codice]

22 CHAPTER 7. ESTENSIONI DEI CRITERI DI SELEZIONE 21 # iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT I pacchetti icmp di tipo "destination-unreachable" vengono accettati. Per una lista completa utilizzare 'iptables -p icmp -h' o si vedano le relative tabelle nella sezione Appendice C e D. 7.4 mac Questo modulo (e i successivi) si specica con -m mac (o match mac). E' usato per confrontare i pacchetti in arrivo da una sorgente con indirizzo MAC (indirizzo livello 2 ISO/OSI ovvero il MAC), ed à utilizzato per i pacchetti che attraversano le catene PREROUTING, FORWARD e INPUT. E' presente una sola opzione mac-source seguita in notazione esadecimale classica. -m mac -mac-source indirizzo_mac # iptables -A FORWARD -m mac -mac-source 00:C7:8F:72:14 -j ACCEPT Tramite questa regola, aggiunta in modalita' append alla catena FORWARD, i pacchetti aventi indirizzo mac 00:C7:8F:72:14 saranno inoltrati. L'uso del! e' consentito 7.5 limit Questo modulo si specifa con -m limit (o match limit) ed e' utilizzato per limitare il usso dei pacchetti nell'unita' di tempo. Il meccanismo per gestire il usso di pacchetti e' quello di un buer, nel quale quale vengono accettati tutti i pacchetti nche' non si esaurisce lo spazio. Se il buer e' pieno i pacchetti vengono scartati. Il buer si svuota ad una velocita' costante, la quale corrisponde al numero di confronti nell'unita' di tempo. L'opzione per controllare la dimensione di questo buer e' limit-burst, percio' limit-burst 20 impostera' la grandezza del buer pari a 20 pacchetti. L'opzione per controllare il numero di confronti nell'unita' di tempo e' limit. Si puã 2 specicare l'unitã usando: /s (/second), /m (/minute), /h (/hour) o /d (/day), quindi 5/second (equivalente a 5/s) imposta il limite di confronti a 5 al secondo o il buer verra' svuotato di 5 pacchetti al secondo. Con i valori default si ha che i primi 5 pacchetti sono accettati e lo svuotamento di un pacchetto avviene ogni 20 minuti, cioe' di 3 all'ora. -m limit limit numero/arco_di_tempo -m limit limit-burst valore_numerico # iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT Tramite questo comando si accetta un pacchetto tcp che tenta di istaurare una nuova connessione al secondo, cioe' vengono limitati i tentativi di connessione. L'uso del! e' consentito per l'opzione limit-burst ed ha l'eetto di invertire la selezione ovvero accettare i pacchetti quando il serbatoio e' pieno.

23 CHAPTER 7. ESTENSIONI DEI CRITERI DI SELEZIONE owner Questo modulo presenta 4 opzioni e permette di confrontare alcune caratteristiche del pacchetto generato localmente e quindi valido solo nella catena OUTPUT. E' caricato tramite l'opzione -m owner. Le opzioni possibili sono uid-owner, gid-owner, pid-owner, sid-owner e cmd-owner. uid-owner seguito da un userid confronta se il pacchettto e' stato creato da un processo con lo userid indicato. gid-owner seguito da un groupid confronta se il pacchettto e' stato creato da un processo con il groupid indicato. pid-owner seguito da un processid e' vericato se il pacchettto e' stato creato da un processo con il processid (pid) indicato. sid-owner seguito da un sessionid confronta se il pacchettto e' stato creato da un processo con il sessionid specicato. cmd-owner seguito da un name à vericata dai pacchetti che sono stati creati da un processo il cui comando e' specicato da name. # iptables -I OUTPUT -p udp --dport! 53 -m owner --cmd-owner awstats -j DROP Tramite questa regola i pacchetti generati con il comando awstats non sono inoltrati all'esterno (escludendo query DNS che potrebbe fare per "reverse DNS lookup"). 7.7 state Con -m state state si puo' confrontare lo stato di un pacchetto con quello specicato. I possibili stati (NEW, ESTABLISHED, RELATED e INVALID) sono trattati nel paragrafo Connection Tracking. -m state state stato[,stato1...] # iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT Grazie a questa regola si accettano tutti i pacchetti di una connessione gia' stabilita. 7.8 tos Tramite -m tos, seguito dal valore esadecimale corrispondente al servizio o dal nominativo di quest'ultimo, Il valore del campo TOS (Type Of Service) sara' confrontato con quello specicato. Il campo TOS del pacchetto ip indica il tipo di servizio. Per una lista di valori accettati si veda la tabella A. -m tos valore # iptables -A INPUT -m tos Maximize-Throughput -j DROP I pacchetti che hanno il campo TOS pari 0x8 sono scartati.

24 CHAPTER 7. ESTENSIONI DEI CRITERI DI SELEZIONE mark L'estensione -m mark seguita da un valore numerico ed eventualmente da una maschera permette di confrontare il valore numerico specicato con quello del pacchetto nel quale sia stato settato il campo mark tramite l'apposita azione (trattata nel paragrafo 7.6). L'azione viene intrapresa se il valore specicato ccorrisponde con quello del campo mark del pacchetto. Se la maschera viene specicata e' utilizzata per eseguira una AND con il valore numerico del pacchetto in binario e il risultato sara' utilizzato per il confronto. -m mark valore[/maschera] # iptables -A INPUT -m mark 5 -j DROP Vengono scartati i pacchetti che sono stati segnati tramite l'azione -j MARK con il valore ttl Tramite -m ttl si hanno tre opzioni: ttl-eq, ttl-gt, ttl-lt. verica se il campo dell'intestazione del pacchetto ip che indica il numero di hop (di router) che il pacchetto puo' attraversare conicide con un valore specicato. ttl-e ttl-gt ttl-lt qvalore_ttl verica se il valore del campo TTL del pacchetto ip, il quale indica il numero di hop (di router) che il paccheto puo' attraversare, e' uguale al valroe specicato. valore_ttl se TTL e' maggiore del valore indicato. valore_ttl se TTL e' minore del valore inserito. # iptables -A INPUT -m ttl --ttl-gt 5 -j ACCEPT Sono accettati i pacchetti aventi il campo TTL maggiore di multiport Per specicare piu' porte (al massimo una lista di 15) si usa -m multiport source-ports per le porte sorgenti o -m multiport destination-ports per le porte di destinazione. Per utilizzare questa estensione si deve aver specicato una selezione sul protocollo tcp o udp tramite l'opzione -p. Tramite -m multiport ports si richiede che la porta di destinazione e sorgente siano uguali a una di quelle specicate nella lista. # iptables -A traffico_out -p tcp -m multiport --dport 80,443 -j log_accept 7.12 unclean Questa opzione, ancora sperimentale, seleziona i pacchetti malformati o anomali. Viene specicata con -m unclean.

25 Chapter 8 Estensioni degli obbiettivi Come per i criteri di selezione esistono delle estensioni per le azioni. In particolare grazie ad alcune di queste estensioni sara' possibile anche specicare delle opzioniper le azioni. 8.1 REJECT Questa azione e' l'equivalente di DROP, ma invia un messaggio di errore. E' utilizzabile solo nelle catene INPUT, OUTPUT e FORWARD di tutte le tabelle. Questa azione abilita l'uso dell'opzione reject-with che permette di specicare il pacchetto inviato contenente il messaggio di errore. Di default e' impostato al valore icmp-port-unrecheable. Per sapere i possibili valori si veda la tabella B. -j REJECT [reject-with valore] # iptables -t nat -A PREROUTING -i eth0 -j REJECT --reject-with icmp-net-prohibited Tutti i pacchetti aventi interfaccia di entrata eth0 sono scartati mandando il pacchetto icmp netprohibited. 8.2 DNAT Tramite l'obbiettivo DNAT si eettua il Destination NAT (DNAT), ovvero si cambia arbitrariamente l'indirizzo ip di destinazione di un pacchetto in ingresso (ha senso se la macchina e' un default gateway). La regola di selezione viene vericata solo per il primo pacchetto di una connessione (vedi paragrafo Connection Tracking) e poi viene applicata per tutti gli altri pacchetti, cioe' se viene soddisfatta saranno modicati automaticamente gli indirizi di destinazione di tutti i pacchetti appartenenti a quella connessione e gli indirizzi sorgente di quelli ottenuti in risposta a questi, senza vericare nuovamente il criterio di selezione. In questo modo si cambia, in maniera trasparente per chi lo invia, la destinazione di un certo usso di dati.questa azione e' valida solo nelle catene PREROUTING e OUTPUT della tabella nat e ovviamente in quelle denite dall'utente, sempre appartenenti alla stessa tabella e dove il pacchetto viene passato da una delle due catene 24

26 CHAPTER 8. ESTENSIONI DEGLI OBBIETTIVI 25 predenite citate. Per specicare l'indirizzo di destinazione con il quale modicare i pacchetti si usa l'opzione to-destination seguita du uno o un range di indirizzi. Nel caso il pacchetto sia tcp o udp e' possibile specicare anche la porta o un range di porte, separato dall'indirizzo da ':'. Per specicare un range di indirizzi e porte si indicano gli estremi separati da '-'. Nel caso si specichi un intervallo (sia di indirizzi che di porte) verra' scelto a turno un valore nell'intervallo. -j DNAT to-destination indirizzo_ip -j DNAT to-destination indirizzo_ip:porta -j DNAT to-destination indirizzo_ip_minore-indirizzo_ip_maggiore -j DNAT to-destination indirizzo_ip:porta_minore-porta_maggiore # iptables -t nat -A PREROUTING -i eth0 -j SNAT --to-destination : Questa regola modica l'indirizzo e la porta di destinazione dei pacchetti in entrata sull'interfaccia eth0, sostituendoli rispettivamente con uno dei valori compresi tra e per l'indirizzo e con uno compreso tra e 1920 per la porta. I pacchetti dopo essere stati modicati seguiranno il normale usso, quindi si consglia di porre attenzione alle succesive regole che agiranno su questi pacchetti, sui quali e' stato eettuato il DNAT. 8.3 REDIRECT Le catene a cui e' possibile applicare questa azione sono le stesse nelle quali viene eettuato il Destination NAT. REDIRECT modica automaticamente l'indirizzo di destinazione in modo che il pacchetto sia inviato alla macchina stessa. Nel caso il pacchetto utilizzi i pacchetti TCP o UDP e' possibile specicare la porta sulla quale inviare i pacchetti tramite l'opzione to-ports seguito dal numero della porta o dal range indicato tramite '-'. -j REDIRECT [to-ports numero_porta[-numero_porta1]] # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 Sostituisce la porta di destinazione dei pacchetti http (porta 80) con la SNAT Tramite l'azione SNAT e' possibile eettuare il Source NAT (SNAT), ovvero si cambia arbitrariamente l'indirizzo ip di sorgente di un pacchetto che soddis il criterio di selezione della regola, im modo che all'esterno tutti i pacchetti sembrino appartenere ad una sola connessione. Il Connection Tracking si occupera' autonomamente di sostituire gli indirizzi di destinazione dei pacchetti ricevuti in risposta a quelli inviati (modicati con il SNAT). Questo obbiettivo (o azione) e' lecito solo nella catena POSTROUTING della tabella nat. Per specicare il nuovo indirizzo sorgente si usa to-source, seguito dall'indirizzo ip e/o dalla porta. E' possibile specicare un range di indirizzi e di porte in maniera analoga a quanto visto per il DNAT.

27 CHAPTER 8. ESTENSIONI DEGLI OBBIETTIVI 26 -j SNAT to-source indirizzo_ip -j SNAT to-source indirizzo_ip:porta -j SNAT to-source indirizzo_ip_minore-indirizzo_ip_maggiore -j SNAT to-source indirizzo_ip:porta_minore-porta_maggiore # iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source E' modicato l'indirizzo sorgente dei pacchetti, in uscita dall'interfaccia ppp0, sostituendo l'indirizzo MASQUERADE MASQUERADE e' valida solo nella catena POSTROUTING della tabela nat. Solitamente viene utilizzata per condividere le connessioni ad internet (con un ip dinamico). Eettua il Source NAT in maniera automatica, ovvero senza specicare l'indirizzo ip da sostituire a quello sorgente del pacchetto (che soddis il relativo criterio di selezione). Quando la connessione cade cancella tutte le connessioni nella relativa tabella. Nel caso si specichi il tipo di protocollo tcp o udp tramite -p, e' possibile specicare una porta o un range di porte tramite to-ports, all'interno del quale sara' scelto progressivamente tale numero di porta. -j MASQUERADE [to-ports numero_porta[-numero_porta1]] # iptables -t nat -A POSTROUTING -j MASQUERADE Sara' sostituita la porta sorgente dei pacchetti in uscita dalla macchina, con valori scelti in maniera automatica. MASQUERADE va utilizzata solo per il motivo sopra indicato, altrimenti si consiglia di utilizzare l'azione SNAT. 8.6 MARK L'azione MARK, valida solo nella tabella mangle, permette di associare un valore ad un pacchetto in modo da ltrarlo successivamente tramite il criterio di selezione -m -mark (trattato nel capitolo precedente). Per impostare il valore si usa set-mark valore, doce valore sara' un numero. Tale valore rimarra' associato al pacchetto solo all'interno del kernel, cioe' non sara' disponibile sulle altre macchine. -j MARK set-mark 5 # iptables -t mangle -A PREROUTING -j MARK --set-mark 5 Tramite questa regola setto un valore pari a 5 per i pacchetti transitanti nella catena PREROUT- ING.

28 CHAPTER 8. ESTENSIONI DEGLI OBBIETTIVI TOS L'azione TOS, valida solo nella tabella mangle, permette di cambiare il valore del campo Type Of Service del pacchetto ip con un valore specicato dopo l'opzione set-tos. Questo valore puo' essere un valore esadecimale o il corrispondente identicativo. I possibili valori si trovano nella tabella A. -j TOS set-tos valore # iptables -A PREROUTING -t mangle -p tcp --sport 22 -j TOS --set-tos Minimize-Delay Si setta il valore TOS dei pacchetti ssh in entrata in modo da ottimizzare questo tipo di connessione. 8.8 TTL Anche questa azione e' valida solo nella tabella mangle e permette di impostare arbitrariamente il valore del campo Time To Live. Le tre opzioni messe a disposizione dall'azione TTL sono: ttl-set, ttl-dec e ttl-inc. ttl-set ttl-dec ttl-inc seguito da un valore numerico imposta il TTL dei pacchetti selezionati. decrementa il valore il TTL dei pacchetti selezionati del valore specicato. permette di incrementare il valore del TTL dei pacchetti selezionati del valore specicato (evita il rilevamento del rewall, nel caso fosse in una macchina dedicata, da programmi quali traceroute). # iptables -t mangle -A FORWARD -j TTL --ttl-inc Viene decrementato il valore del campo TTL dei pacchetti che attraversano la nostra macchina per raggiungere un'altra destinazione (non faccio rilevare la presenza del rewall). 8.9 LOG Questa azione abilita il logging dei pacchetti selezionati. Una regola con criterio di selezione che usi questa azione come target non termina la scansione della catena, che proseguira' alla regola successiva. Per questo se si vuole eseguire il logging di pacchetti che poi si desidera scartare occorre sempre usare una azione di LOG prima di quella di DROP. Con l'uso di questa azione vengono abilitate una serie di opzioni: log-level, log-prex, log-tcp-sequence, log-tcp-options, log-ipoptions. log-level seguito da un valore, imposta la priorita' dei messaggi di log pari a valore.possiamo specicare un nome del livello tra quelli disponibili nel sistema syslogd (debug, info, notice, warning, err, crit, alert), il risultato sara' scritto nel le di log associato. log-prex "STRINGA" permette di aggiungere una stringa in testa ai messaggi di log. log-tcp-sequence inserisce nei log il numero di sequenza dei pacchetti TCP.