Laboratorio di Ammiistrazioe di Sistemi L-A Filtraggio del traffico di rete Si rigraziao setitamete: Agelo Neri (CINECA) per il materiale sulla classificazioe, le architetture ed i pricipi di fuzioameto dei firewall Fabio Bucciarelli (DEIS Uiversità di Bologa) per il materiale sulla struttura e la cofigurazioe del packet filter di Liux Firewall Ua immagie che rispecchia meglio la realtà del firewall è la cita muraria di ua città medievale. Naturalmete ua città o può o avere cotatti co l'estero e la cita muraria è forita di porte co guardie che verificao se chi prova ad etrare o ad uscire è autorizzato oppure o. Il firewall può quidi essere ua buoa difesa cotro ua bada di brigati che provao ad etrare palesemete armati i città ma o può ulla cotro i furti effettuati dagli abitati stessi della città se o al più cotrollare che essuo esca col maltolto (se le guardie soo state istruite i tal modo e soo più abili el perquisire i passati di quato questi siao capaci di ascodere la refurtiva). Firewall Il termie firewall usato ell'iformatica o deriva da "muro di fuoco" ma da "muro aticedio". Il suo scopo è quidi impedire che u icedio si propaghi da ua parte all'altra del muro. Firewall Il firewall è quidi l'isieme delle difese perimetrali, siao esse realizzate i hardware od i software, co uo o più dispositivi.
Packet filters Classificazioe dei firewall U packet filter può essere stateful o stateless ma praticamete tutte le implemetazioi di packet filters stateful offroo ache u qualche tipo di protocol ispectio per cui soo dei multilayer stateful firewall. Per questo motivo col termie "packet filter" ci si riferisce di solito a stateless packet filter. U packet filter stateless prede le decisioi pacchetto per pacchetto aalizzado solo le ifo coteute el pacchetto stesso U packet filter statefull utilizza ache iformazioi di stato della coessioe o comuque comuicazioe di cui il pacchetto fa parte Packet filters U packet filter è u programma od u dispositivo che cotrolla gli accessi ad ua rete aalizzado i pacchetti i igresso ed i uscita e scegliedo quali bloccare e quali far passare i base agli idirizzi IP di proveieza e di destiazioe. Nel cotesto di ua rete TCP/IP vegoo cotrollati ache le porte tcp/udp ed i vari flag SYN, FYN, ACK, ecc. Altro parametro importate su cui si basao le decisioi di u packet filter e l iterfaccia sui cui il pacchetto trasita e la direzioe (igresso o uscita) Packet filters Il vataggio pricipale del packet filterig rispetto alle altre teciche di filtraggio è che questa è la tecica più semplice da implemetare, richiede meo risorse hardware ed è quidi la tecica più ecoomica e per questo motivo è ache la più diffusa. Si può fare co praticamete qualuque router e co la maggior parte dei sistemi operativi: Liux Widows da NT i poi Macitosh da OS X
Packet filters U packet filter aalizza di ogi pacchetto che passa: Iterfaccia su cui passao i pacchetti. Protocollo IP. Per esempio TCP, UDP, ICMP, ESP. Idirizzo sorgete. Idirizzo di destiazioe. Porta sorgete. Solo per i pacchetti TCP o UDP. Porta di destiazioe. Flag di coessioe. Per esempio SYN, ACK, RST, FYN, ecc Direzioe Packet filters La regola d'oro per la cofigurazioe di u filtro è permettere ciò che deve passare e egare tutto il resto. Purtroppo ella vita reale o sempre è facile capire cosa si deve permettere e cosa egare. Packet filters U packet filter compara il valore dei campi IP co quelli delle regole co cui e' stato cofigurato ed i base a queste il pacchetto passa oppure o. La cofigurazioe del packet filter è quidi fodametale. Comuque ache co la migliore cofigurazioe il packet filter o verifica il coteuto dei pacchetti per cui o può bloccare virus ed ha problemi co protocolli che egoziao le porte, come ad esempio FTP attivo. Packet filters: cosa filtrare Nella RFC2827 ci soo dei cosigli iteressati, i particolare: Traffico i igresso: Bloccare i pacchetti destiati a servizi che o si voglioo offrire su iteret. Bloccare gli idirizzi co source address illegali, di broadcast, di loopback e riservati. Se o si utilizza il multicast bloccare gli idirizzi multicast (224.0.0.0/4) Bloccare ICMP broadcast. Bloccare echo UDP. Bloccare i pacchetti proveieti dall'estero co idirizzo sorgete apparteete alla ostra rete.
Packet filters: cosa filtrare I source address da bloccare soo quelli: illegali (es. 0.0.0.0/8) di broadcast (p.e. 255.255.255.255/32) riservati; almeo quelli della rfc1918: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 di loopback: 127.0.0.0/8 Packet filters Caratteristiche e problemi di u packet filter stateless Per permettere ua comuicazioe vao esplicitamete permessi i pacchetti i etrambe le direzioi Ad es. dal mio PC voglio poter accedere a servizi esteri (ad esempio avigare su Web) ma i geerale NON voglio che dall estero si possa accedere ad alcuchè sul mio PC (soo solo cliete della rete). Posso lasciar passare tutti i pacchetti i uscita e bloccare tutti pacchetti i igresso trae le risposte alle mie richieste ma.. Come distiguere le risposte a richieste mie da tetativi di accesso estero al mio PC? Sui servizio TCP based ci possiamo basare sui Flag TCP: per iiziare ua coessioe viee iviato u pacchetto co SYN=1 ma ACK=0, posso bloccare tutti questi e ammettere ogi altra combiazioe (SYN=0 oppure SYN=1 e ACK<>0). Tali combiazioi vegoo spesso idicate co established. E chiaramete ua approssimazioe che però ormalmete fuzioe el seso che o cosete dall estero di stabilire ua valida coessioe TCP Sui servizi UDP o ho modo di Packet filters: cosa filtrare Traffico i uscita: Bloccare il traffico co u source address ivalido. E' facile se la ostra rete è ua foglia, praticamete impossibile altrimeti. Packet filters Sui servizi UDP o ho modo di distiguerlo, se devo usare dei servizi UDP oltre il packet filter devo sostazialmete accettare qualuque pacchetto UDP di risposta almeo dagli host (IP) e servizi (port) che voglio utilizzare Ad esempio per utilizare u server DNS (server A porta 53) devo cosetire tutti i pacchetti UDP i igresso che hao come from (server A, porta 53). Il problema e che e abbastaza facile spoofare l idirizzo from.. U esempio co ACL Cisco, gli host sulla vla206 soo cliet iterface Vla206 ip address 10.0.84.254 255.255.255.192 ip access-group 2256 i ip access-group 2206 out! Solo le sesssioi tcp e il DNS access-list 2206 permit tcp ay ay established access-list 2206 permit udp host 10.0.1.53 eq domai ay access-list 2206 dey ip ay ay log! Ati spoof access-list 2256 permit ip 10.0.84.192 0.0.0.63 ay access-list 2256 dey ip ay ay log
Packet filters U esempio co ACL Cisco, gli host sulla vla206 soo cliet, l host 10.0.84.250 è ache u web server iterface Vla206 ip address 10.0.84.254 255.255.255.192 ip access-group 2256 i ip access-group 2206 out! Solo le sesssioi tcp e il DNS access-list 2206 permit tcp ay ay established access-list 2206 permit udp host 10.0.1.53 eq domai ay access-list 2206 permit tcp ay host 130.186.84.250 eq www access-list 2206 dey ip ay ay log! Ati spoof access-list 2256 permit ip 130.186.84.192 0.0.0.63 ay access-list 2256 dey ip ay ay log Stateful packet filter La differeza sostaziale è che il firewall matiee traccia delle sessioi e quidi è i grado di ricooscere automaticamete le risposte. Di solito esistoo sitassi facilitate (o è addirittura automatico) per dire al firewall fai passare le risposte I più possoo aalizzare il traffico a livello più alto per iterpretare i protocolli sovrastati e aprire diamicamete le porte ecessarie (vedi ad esempio il protocollo FTP) Packet filters I geerale e difficile far passare i servizi che egoziao le porte di comuicazioe o che prevedoo call back (come l FTP) Il problema dell FTP: I ua ormale sessioe FTP tra il cliet A e il server S avviee: TCP ope (C,>1023) (S,21) Cotrol Chael Sul cotrol chael si scambiao i comadi: es GET fileame Il trasferimeto avviee sul Data Chael Il Cliet sceglie ua porta alta sulla quale si mette i ascolto e la comuica al server co il comado PORT es: PORT 1234 TCP ope (S,20) -> (C,1234) <- Data Chael Su questo caale il file viee effettivamete trasferito ma il cliet deve accettare coessioi su porte alte.. FTP prevede ua modalità passiva che scarica il problema sul server TCP ope (C,>1023) (S,21) Cotrol Chael Sul cotrol chael si scambiao i comadi: es GET fileame Il Cliet chiede la modalità passiva (PASV) e il server si mette i ascolto su ua porat alta es:3456 TCP ope (C,>1023) -> (S,> 1023) <- Data Chael Su questo caale il file viee effettivamete trasferito ma il server deve accettare coessioi su porte alte.. Applicatio level firewall Al massimo u etwork level firewall (u firewall che lavora ai livelli OSI 3/4, ad esempio u packet filter) può bloccare pacchetti che vegoo da IP o validi o che provao coessioi a servizi o autorizzati. Fatica a gestire protocolli come FTP attivo ed acor più protocolli complessi come ad esempio H.323 (VOIP) o SQL*Net (Oracle). Questi problemi possoo essere risolti solo a livelli più alti della pila OSI.
Applicatio level firewall U modo è usare u applicatio gateway o proxy applicativo cioè u software specifico per u determiato protocollo che fa cotemporaeamete da server per chi deve avigare e da cliet verso iteret. Applicatio level firewall Soo ache possibili (e diffusi) cachig proxy i cui le pagie più richieste vegoo teute i ua cache locale i modo da evitare da dover scaricare più volte la stessa pagia e quidi velocizzare la avigazioe per gli uteti e dimiuire l'impiego di bada. I proxy possoo poi ache essere traspareti i modo da evitare di dover fare della cofigurazioe sui cliet. Applicatio level firewall Faccio u esempio pratico per chiarire il cocetto: co il mio pc (192.0.34.129) voglio collegarmi a google. No posso però farlo direttamete perchè sulla rete è stato proibito (co u qualche tipo di etwork firewall) il routig diretto e solo ua sigola macchia può accedere ad iteret e su questa è ospitato il proxy web. Mi devo perciò collegare al proxy e chiederle la pagia di google. Il proxy i questo caso è u web server che riceve la mia richiesta, la iterpreta, chiede la pagia a google (fa da cliet) e poi me la forisce. Applicatio level firewall U proxy, essedo cotemporaeamete server e cliet, può bloccare gli attacchi basati sulla o coformità dei dati al protocollo. Per fare u esempio pratico (CVE-2001-0241) le estesioi Iteret pritig ISAPI di Widows 2000 permettevao di eseguire codice arbitrario a chi avesse fatto ua richiesta co 420 byte el campo 'Host' e caratteri particolari. U web proxy avrebbe potuto bloccare u attacco di questo tipo ma o blocca attacchi i cui il protocollo è rispettato e soo i dati ad essere pericolosi (come u virus per email). U proxy è u Ma i the Middle buoo U'altra cosa che u applicatio gateway è i grado di fare è permettere solo alcui comadi. U proxy smtp potrebbe bloccare i comadi VRFY ed EXPN, utili ua volta ma oramai usati solo dagli spammer, oppure alterare I baer Gli applicatio level gateway eccelloo ella capacità di scrivere log particolarmete sigificativi perchè compredoo perfettamete il protocollo applicativo.
Stateful multilayer protocol ispectio firewalls Uo stateful multilayer firewall è u firewall che lavora su vari livelli OSI, tiee traccia dello stato delle coessioi e di almeo u protocollo applicativo. Necessita di risorse hardware decisamete superiore a quelle di u packet filter ed ha prestazioi di poco iferiori. Per decidere se u pacchetto può o o può passare o guarda al sigolo pacchetto ma alla storia della coessioe tcp od udp (a rigore la coessioe udp o esiste ma per quato riguarda il firewall ua coessioe udp è uo scambio di pacchetti). Stateful multilayer firewalls U applicatio gateway coosce u protocollo applicativo e si mette fisicamete i mezzo tra cliet e server evitado che i due si parlio direttamete. U protocol ispectio firewall ivece permette che il cliet ed il server dialoghio ma verifica la correttezza formale dei protocolli usati e el caso o vega rispettata troca la comuicazioe. Stateful multilayer firewalls Ogi volta che viee stabilita ua coessioe il firewall si sega i ua tabella le iformazioi sulla coessioe. Queste soo: idirizzo sorgete e destiazioe, porta sorgete e destiazioe, i fari flag tcp, i particolare il sequece umber. Quado arriva u pacchetto di ritoro viee accettato solo dopo aver verificato ella tabella delle coessioi che tutti i parametri corrispodao. Stateful multilayer firewalls Purtroppo (o per fortua) la rete è i cotiua evoluzioe e ci soo protocolli oramai cosolidati come HTTP ed FTP ma e vegoo creati cotiuamete di uovi ed ache quelli esisteti vegoo modificati. No è praticamete possibile trovare u firewall che sia i grado di capire e filtrare i maiera corretta tutti i protocolli che ci possoo iteressare.
Persoal firewall I persoal firewall (o host firewall) soo u tipo di firewall che devoo essere usati sulla macchia da proteggere, o verificao solo il traffico di rete ma ache quale processo sta accededo alla rete. Questo permette ua precisioe eorme el cotrollo. Persoal firewall I persoal firewall soo poi spesso progettati per madare più alert del ecessario e raramete foriscoo tutti i dati sui pacchetti bloccati o ricevuti per cui è difficile capire cosa effettivamete facciao. Persoal firewall Tabella riassutiva sui firewall I persoal firewall vao cofigurati idividualmete sui vari host e raramete questo può essere fatto i maiera accurata per cui solitamete si perde il vataggio della graularità del cotrollo. Packet filter Ecoomici Veloci Filtraggio grezzo Applicatio level firewall No molto costosi Solitamete leti Massima graularità el filtraggio e ei log Serve u gateway per ogi protocollo Multilayer stateful firewall Costosi Abbastaza veloci Filtraggio molto preciso
Come progettare ua rete Per ora abbiamo visto ua classificazioe dei firewall, vediamo ora come va progettata ua rete i modo da rederla sicura. Come progettare ua rete Questa soluzioe è valida ma solo el caso che o vegao offerti servizi. Le macchie che offroo servizi soo geeralmete attaccabili molto più facilmete di quelle che o offroo servizi e vao perciò messe i ua rete a parte chiamata DMZ (DeMilitarized Zoe) i modo da evitare che u attaccate si impossessi di ua macchia aperta i qualche modo all'estero e da questa possa attaccare le macchie itere (geeralmete cosiderate più preziose) seza dover passare dal firewall. Come progettare ua rete Come progettare ua rete La prima idea che viee è: Iteret Firewall 1 Iteret Firewall DMZ Rete locale Rete itera Firewall 2
Come progettare ua rete I realtà o si perde quasi ulla a riuire firewall 1 e firewall 2 Iteret Rete itera DMZ Firewall Come progettare ua rete E' fodametale che o sia possibile raggiugere la rete itera dalla DMZ e tatomeo dall'estero. Come faccio allora ad accedere alla rete itera da iteret (per mautezioe o quat'altro)? Soo possibili due soluzioi: usare u bastio host. Usare ua VPN. Come progettare ua rete E' aturalmete possibile usare più DMZ per separare reti co dati di sesibilità differete: Iteret Rete itera DMZ 1 Firewall DMZ 2 Come progettare ua rete U bastio host è ua macchia esposta ad iteret, posizioata ella DMZ o meglio acora i ua propria DMZ. Il suo scopo è cocetrare i u uico puto tutti i modi di accedere alla rete itera i modo da poter cocetrare i u solo puto la maggior parte degli sforzi per redere sicura la rete.
Come progettare ua rete I queste slides ci siamo sempre riferiti al firewall come ad u uico oggetto. Vediamo ora come viee di solito realizzato il sistema Firewall Come progettare ua rete Abbiamo visto che packet filter, applicatio level firewall e multilayer stateful firewall hao puti di forza e di debolezza per cui vale la pea sfruttare le caratteristiche di ogi sistema. Ogi router è u packet filter a costo zero (abbiamo già pagato per avere il router). E' vero che tutto quello che fa u packet filter lo puo' fare il firewall stateful ma "sgrossado" il traffico co i packet filter si dimiuisce il carico sulla macchia più costosa aumetado però la complessità dell ambiete. Come progettare ua rete Come progettare ua rete Iteret Router itero Rete itera Proxy Router estero DMZ Stateful multilayer Firewall Router DMZ Proxy I router vao quidi cofigurati i questo modo: Traffico i igresso: Bloccare i pacchetti destiati a servizi che o si voglioo offrire su iteret. Bloccare gli idirizzi co source address ivalidi. Bloccare i pacchetti co protocolli o utilizzati. Bloccare i pacchetti proveieti dall'estero co idirizzo sorgete apparteete alla ostra rete. Permettere tutto il traffico di protocolli permessi e complessi (FTP, H323, ecc). Questi pacchetti verrao aalizzati dal multilayer stateful firewall
Come progettare ua rete Traffico i uscita: bloccare il traffico co u source address ivalido. Firewall di liux E itegrato el kerel di liux, quidi rappreseta la soluzioe più semplice e veloce. Il kerel deve essere predisposto i fase di compilazioe, oppure devoo essere caricati gli appositi moduli. Kerel 2.0.* -> ipfwadmi Kerel 2.2.* -> ipchais Kerel 2.4.* -> iptables Come progettare ua rete È bee ioltre usare u applicatio gateway almeo per il web visto che il protocollo HTTP è oramai statico, è possibile trovare ottimo software free (p.e. squid) ed usado u cachig proxy è pure possibile aumetare la velocità della avigazioe e risparmiare bada. Firewall di liux L attraversameto dei pacchetti tra u iterfaccia ed u altra deve essere abilitata espressamete el kerel, attraverso il comado: # echo 1 > /proc/sys/et/ipv4/ip_forward Possibilità di estesioi (moduli), che possoo essere icluse o meo i fase di compilazioe
Iptables Si basa sui cocetti di tabelle, catee e regole Ua tabella è formata da catee (puti di cotrollo) e ua catea da regole Tabella filter Cotiee le regole di filtraggio vere e proprie dei pacchetti che il firewall origia e riceve o che trasitao dal firewall Tabelle Filter NAT Magle Tabella NAT Cosete di effettuare il NAT (Networkig Address Traslatio) degli idirizzi IP o del valore della porta sorgete o di destiazioe
Tabella magle Catee della tabella filter Usata per effettuare alterazioi particolari dell header IP (TTL, TOS, MARK) Particolarmete iteressate è il target MARK, che permette di marcare il pacchetto, i modo da essere trattato diversamete ei successivi puti di cotrollo o da altri programmi INPUT operazioi di filtraggio di pacchetti appea guti al firewall e diretti all host FORWARD operazioi di filtraggio di pacchetti che trasitao dal firewall OUTPUT operazioi di filtraggio di pacchetti geerati localmete che stao per uscire dal firewall Come i pacchetti attraversao i filtri Catee della tabella NAT RETE Effettua NAT (Network Address Traslatio) dei pacchetti i igresso Magle PREROUTING Nat PREROUTING Pacchetto destiato a localhost ROUTING DECISION Filtraggio dei pacchetti che devoo essere ioltrati Viee deciso se il pacchetto è destiato a localhost o deve essere ioltrato Magle INPUT Filter INPUT Magle FORWARDING LOCAL PROCESS Filtraggio dei pacchetti i igresso al firewall ROUTING DECISION Pacchetto che deve essere ioltrato Filter FORWARDING Viee decisa l iterfaccia d uscita del pacchetto Magle OUTPUT Filtraggio dei pacchetti i uscita al firewall Filter OUTPUT Nat OUTPUT ROUTING DECISION Effettua NAT dei pacchetti i uscita (tipicamete viee fatto il mascherameto della soregete) Magle POSTROUTING Nat POSTROUTING RETE Pacchetto origiato dal localhost PREROUTING operazioi di at di pacchetti appea giuti al firewall OUTPUT operazioi di at di pacchetti geerati localmete POSTROUTING operazioi di at di pacchetti che stao per uscire dal firewall
Catee della tabella magle PREROUTING INPUT FORWARD OUTPUT POSTROUTING Come si costruisce ua regola #iptables [table] commad [match] [target] [table] selezioe della tabella [match] criteri per la selezioe del pacchetto [target] destio del pacchetto che soddisfa il match Le regole Comadi sulle catee Hao la forma di ACL Ogi catea ha ua policy di default L eleco delle regole viee scorso dall iizio alla fie Al primo match si stabilisce cosa fare del pacchetto e, salvo casi particolari si iterrompe l aalisi delle regole della catea Se per essua regola c è il match, si esegue la policy di default Creare ua uova catea (-N) Cacellare ua catea vuota (-X) Cambiare lapolicy di default di ua catea (- P) Elecare le regole preseti i ua catea (-L) Svuotare ua catea delle sue regole (-F) Azzerare i cotatori
Comadi per maipolare le regole di ua catea Appedere ua uova regola alla catea (-A) Iserire ua regola i ua determiata posizioe (-I) Sostituzioe di ua regola presete i ua certa posizioe (-R) Cacellazioe di ua regola presete i ua certa posizioe (-D) Cacellazioe della 1 regola di ua catea (- D) Itarget(2) RETURN termia la catea; se è ua catea predefiita, viee eseguita la tattica, se è defiita dall utete, esegue la regola successiva sulla catea precedete QUEUE accoda i pacchetti per elaborazioi userspace Itarget(1) Esempi ACCEPT il pacchetto viee accettato DROP il pacchetto viee scartato REJECT stesso effetto di DROP, ma viee iviato i risposta u messaggio di errore ICMP di tipo port ureachable Catea creata dall utete Iteret eth0 1.2.3.4 FIREWALL eth1 192.168.1.1 192.168.1.* #iptables A FORWARD i eth1 j DROP LAN Tutte le opzioi di match possoo essere egate attraverso il simbolo!
Esempi Esempi eth0 1.2.3.4 eth1 192.168.1.1 eth0 1.2.3.4 eth1 192.168.1.1 Iteret FIREWALL LAN Iteret FIREWALL LAN 192.168.1.* 192.168.1.* #iptables A FORWARD i eth1 s 192.168.1.0/24 d 0/0 j DROP #iptables A FORWARD mac-source 00:60.08:91:CC:B7 s 192.168.1.5 d 0/0 j ACCEPT Esempi I frammeti IP (1) Iteret eth0 1.2.3.4 FIREWALL eth1 192.168.1.1 192.168.1.* #iptables A INPUT p tcp s 1.2.3.5 d 1.2.3.4 -dport 22 j ACCEPT LAN #iptables A INPUT p tcp s 0/0 d 1.2.3.4 -- dport 22 j DROP A volte il pacchetto geerato dall host mittete è troppo grade per attraversare alcue reti, viee quidi frammetato Il frammeto cotiee u sottoisieme dell header, o è quidi possibile verificare le itestazioi TCP, UDP e regole come p tcp, - -sport o possoo essere verificate
I frammeti IP (2) C è la possibilità di dare ua regola specifica per i frammeti, attraverso l opzioe f Esempio: #iptables A OUTPUT f d 192.168.1.69 j DROP I flag TCP (esempio) Voglio fare il log di tutte le coessioi TCP che passao dal firewall #iptables A FORWARD p tcp tcp-flags ALL SYN,FIN j LOG --sy è u abbreviazioe di tcp-flags SYN,RST,ACK SYN I flag TCP Si possoo filtrare i pacchetti attraverso i flag specifici di TCP --tcp-flags seguita da 2 strighe di flag: la prima striga è la maschera:lista di flag che si voglioo esamiare la secoda idica quali flag devoo essere impostati Coectio trackig (1) Capacità per u firewall di mateere memoria dello stato delle coessioi. Si usa l opzioe --state seguita da ua lista di stati da cofrotare.
Coectio trackig (2) Questi stati soo: NEW u pacchetto che crea ua uova coessioe ESTABLISHED u pacchetto che appartiee a ua coessioe esistete Coectio trackig (esempi) #iptables A FORWARD d 192.168.0.0/16 m state -state ESTABLISHED, RELATED j ACCEPT Cosete il trasito verso 192.168.* per coessioi già realizzate o correlate a coessioi precedeti #iptables A FORWARD d 192.168.0.0/16 m state -state INVALID j DROP Elimia i pacchetti o idetificabili Coectio trackig (3) Network Address Traslatio (NAT) RELATED pacchetto relativo a ua coessioe esistete di cui o fa parte (es. errore ICMP, FTP data) INVALID pacchetto che o può essere idetificato (i geere va scartato) Tecica descritta ell RFC 1631, co la quale u odo di rete speciale acquista fuzioalità simili a quelle di u router, allo scopo di sostituire idirizzi IP reali co altri idirizzi più coveieti E possibile riutilizzare diamicamete gli idirizzi IP privati, permettedo a tali reti di accedere all estero, pur o essedo questi uivoci a livello globale
NAT SNAT 192.168.1.* 192.168.1.* eth0 1.2.3.4 eth0 192.168.1.1 eth0 1.2.3.4 eth1 192.168.1.1 Iteret NAT LAN Iteret NAT LAN Host Host Host Host Normalmete gli idirizzi IP 192.168.1.* o hao la possibilità di essere ricoosciuti uivocamete all itero della rete globale, pertato o è possibile accedere all estero. Si può otteere attraverso il NAT #iptable t at A POSTROUTING o eth0 j SNAT to-source 1.2.3.4 NAT SNAT (mascherameto) Souce NAT (SNAT) si ha quado si altera l idirizzo sorgete del pacchetto. E effettuata i fase di post-routig Destiatio NAT (DNAT) si ha quado si altera l idirizzo di destiazioe, ossia si cambia dove la coessioe è diretta. Si effettua i fase di pre-routig Iteret Idirizzameto IP diamico NAT eth0 192.168.1.1 Host Host 192.168.1.* LAN #iptables t at A POSTROUTING o ppp0 j MASQUERADE
Iteret DNAT 1.2.3.4:80 NAT 192.168.1.2:80 Rete locale Server HTTP reale #iptables t at A PREROUTING p tcp - dport 80 i eth0 j DNAT todestiatio 192.168.1.2 Bibliografia Rusty Russel, Liux 2.4 Packet filterig HOWTO http://www.etfilter.org/documetatio/howto/packet-filterig- HOWTO.html Rusty Russel, Liux 2.4 NAT HOWTO http://www.etfilter.org/documetatio/howto/nat- HOWTO.html Oskar Adreasso, Iptables tutorial http://iptables-tutorial.frozetux.et/ Mapage di iptables DNAT (redirect) Iteret eth0 1.2.3.4 Proxy trasparete eth1 192.168.1.1 LAN 192.168.1.* Si vuole che tutte le richieste di servizi HTTP, da parte della rete locale, siao dirottati verso il proxy, sullo stesso computer che ospita il NAT, alla porta 8080 #iptables t at A PREROUTING p tcp dport 80 i eth1 j REDIRECT to-port 8080