Чёрные списки в Shorewall
Tom
Eastep
2002-2006
Thomas M. Eastep
2007
Russian Translation: Grigory Mokhin
Этот документ разрешается копировать, распространять и/или изменять при выполнении условий лицензии GNU Free Documentation License версии
1.2 или более поздней, опубликованной Free Software Foundation; без неизменяемых разделов, без текста на верхней обложке, без текста на нижней обложке. Копия лицензии приведена по ссылке
GNU Free Documentation
License
.
Введение
В Shorewall предусмотрены два вида чёрных списков, статические и динамические.
Опция BLACKLISTNEWONLY в файле /etc/shorewall/shorewall.conf задаёт параметры фильтрации согласно этим спискам:
BLACKLISTNEWONLY=No -- проверка осуществляется для всех входящих пакетов.
Новые записи в чёрном списке позволяют заблокировать уже существующие соединения.
BLACKLISTNEWONLY=Yes -- проверка осуществляется только для новых запросов на установление соединения.
Записи в чёрном списке не влияют на уже существующие соединения. На соответствие чёрному списку проверяется только адрес источника.
На соответствие чёрному списку проверяется только адрес источника . Чёрные списки закрывают доступ только хостам, перечисленным в списке, но не закрывают доступ к самим этим хостам.
Динамические чёрные списки в Shorewall непригодны для случаев, когда список содержит тысячи адресов.
Статические списки могут работать с большим числом адресов, но только при использовании наборов IP (ipset). Без ipset большие чёрные списки будут загружаться слишком долго и заметно снизят производительность файрвола.
Статические чёрные списки
Далее описаны параметры конфигурации статических чёрных списков в Shorewall:
Пакеты с хостов из чёрного списка будут отбрасываться без уведомления (drop) или с уведомлением (reject), согласно параметру BLACKLIST_DISPOSITION из файла /etc/shorewall/shorewall.conf.
Пакеты с хостов из чёрного списка будут заноситься в протокол с заданным уровнем syslog согласно параметру BLACKLIST_LOGLEVEL из файла /etc/shorewall/shorewall.conf.
IP-адреса или подсети, которые требуется занести в чёрный список, указываются в файле /etc/shorewall/blacklist.
В этом файле можно также указать имена протоколов, номеров портов или имён служб.
Интерфейсы, для которых входящие пакеты проверяются на соответствие чёрному списку, задаются с помощью опции
blacklist
в файле /etc/shorewall/interfaces.
Чёрный список из файла
/etc/shorewall/blacklist можно обновить командой shorewall
refresh
.
При наличии большого статического чёрного списка можно включить опцию DELAYBLACKLISTLOAD в файле shorewall.conf (начиная с Shorewall версии
2.2.0). Если DELAYBLACKLISTLOAD=Yes, то Shorewall будет загружать правила чёрного списка после установления соединений.
Хотя при этом соединения с хостов из чёрного списка могут осуществляться в течение времени создания списка, эта опция позволяет существенно снизить время запрета соединений в ходе команд "shorewall [re]start".
Начиная с Shorewall версии 2.4.0 поддерживаются наборы IP, или ipsets для определения статического чёрного списка. Пример:
#ADDRESS/SUBNET PROTOCOL PORT
+Blacklistports[dst]
+Blacklistnets[src,dst]
+Blacklist[src,dst]
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
В этом примере задан ipset набора портов (portmap)
Blacklistports для запрета трафика на целевые порты, указанные в этом ipset. Есть также
Blacklistnets (типа nethash) и
Blacklist (типа iphash), закрывающие доступ с подсетей и отдельных адресов.
Обратите внимание, что указаны
[src,dst], чтобы можно было связать отдельные записи наборов с другими portmap ipset и включить чёрные списки сочетаний ( адрес источника, целевой порт).
Пример:
ipset -N SMTP portmap --from 1 --to 31
ipset -A SMTP 25
ipset -A Blacklist 206.124.146.177
ipset -B Blacklist 206.124.146.177 -b SMTP
Блокируется трафик SMTP с хоста 206.124.146.177.
Динамические чёрные списки
Динамические списки не имеют никаких параметров конфигурации, но настраиваются следующими командами /sbin/shorewall[-lite]:
drop <список IP-адресов> - пакеты с указанных IP-адресов будут отбрасываться файрволом без уведомления.
reject <список IP-адресов> - пакеты с указанных IP-адресов будут отбрасываться файрволом с уведомлением.
allow <список IP-адресов> - разрешить пакеты с хостов, ранее занесённых в чёрный список командами
drop или reject
.
save - сохранить конфигурацию динамического чёрного списка, чтобы она восстановилась автоматически при следующем перезапуске файрвола.
show dynamic - показать конфигурацию динамического чёрного списка.
Начиная с Shorewall версии 3.2.0 Beta2 доступны следующие дополнительные команды:
logdrop <список IP-адресов> - пакеты с указанных IP-адресов будут заноситься в протокол и отбрасываться файрволом без уведомления. Уровень протокола задаётся опцией BLACKLIST_LOGLEVEL в ходе последнего [пере]запуска (по умолчанию - 'info', если опция BLACKLIST_LOGLEVEL не задана).
logreject <список IP-адресов> - пакеты с указанных IP-адресов будут заноситься в протокол и отбрасываться файрволом с уведомлением. Уровень протокола задаётся опцией BLACKLIST_LOGLEVEL в ходе последнего [пере]запуска (по умолчанию - 'info', если опция BLACKLIST_LOGLEVEL не задана).
Динамические чёрные списки не зависят от опции
blacklist
в файле
/etc/shorewall/interfaces.
Игноpиpовать пакеты с двух IP-адресов
shorewall[-lite] drop 192.0.2.124 192.0.2.125
Блокирует доступ с хостов 192.0.2.124 и 192.0.2.125
Разрешить пакеты с IP-адреса
shorewall[-lite] allow 192.0.2.125
Разрешает трафик с 192.0.2.125.