Linux tűzfal készítés: nftables

A képzésen megismerkedsz az nftables használatával egy egyszerű tűzfal elkészítésén keresztül. Megtanulod megvédeni a szerveredet / munkaállomásodat.

Ebben a részben hálózatot védő tűzfal elkészítésével ismerkedsz meg.

Egy tűzfal akkor jó, ha minél egyszerűbb és átláthatóbb. Amíg pár szabály van ezzel nincs is gond. De ahogy múlik az idő egyre több sor kerül bele és egyre nehezebben látod át mi miért van ott. Ez könnyen hibás működéshez vezet. A valamit tiltasz amit engedni kellene a kisebb gond, mert hamar kiderül. A nagyobb ha valami átjut, aminek nem kellene. Ez nehezen felfedezhető, de annál komolyabb bajt okozhat.

Kerüld el az ilyen kellemetlenségeket a szabályok struktúrálásával! Ha különválasztod a zónákat, azon belül is a különböző csoportokhoz tartozó szabályokat egész komoly szintű tűzfal is átlátható és biztonságos marad.

A haladó nftables használat képzésen elsősorban ennek megvalósítását ismered meg az nftables környezetben. Az átstrukturálás mellett a szűrt címek okos csoportosításával is sokat tudsz javítani a tűzfaladon. Az nftables nagy előnye, hogy beépítve tudja az IPSet funkcionalitását: olyan címeket is könnyedén csoportosíthatsz, amik nem írhatók le CIDR-el.

Miután sikeresen optimalizáltad a szabályokat megnézzük, hogyan tudsz MAC alapján szűrni, hogyan tudsz okosabban elutasítani kapcsolatokat (pl. belső hálózatból nem feltétlen a DROP az ideális – sokkal jobb lenne ha a felhasználó azonnal észlelné a tiltást), miként lehet naplózni a tiltott forgalmat.

Végül pár apró, de fontos tipp és trükk kerül a képernyőre: a párhuzamos kapcsolatok számának korlátozása és a speciális elbánást igénylő protokollok (pl. FTP, SIP, PPTP) kezelése.

Tűzfal készítésekor gyakran kell kisebb-nagyobb listákat használni a szabályokhoz. Olyasmire gondolok, mint IP címek felsorolása, ha a lista nem írható le CIDR formában vagy a belső hálózati eszközök MAC címei, forrás- vagy cél-portok. A Linux hagyományos megközelítésével ezek meghatározása nehézkes és lassú tűzfal-működéshez vezet.

A megoldás az IP-halmazok (IPSet) használata. Az nftables gyárilag tartalmazza a korábban külön telepítendő funkciót, így a használat sokkal egyszerűbb. Az eredmény pedig egy átláthatóbb és egyben gyorsabban működő tűzfal.

Az nftables környezetben több módon is használhatsz halmazokat. Az egyszerűbb módot (nem nevesített halmaz) már érintettük a korábbi alkalmakkor. Azok hátránya, hogy nem “újrahasznosíthatóak”, mindenhol újra és újra meg kell adni mindent. Ma a nevesített halmazzal foglalkozunk.

Hasonló eredményeket elérhetsz a már ismert változókkal is, de ott minden adat minden szabálynál tárolásra kerül, ami jelentősen növeli a memória-használatot és bonyolítja az adminisztrációt. A nevesített halmazzal ez sokkal egyszerűbb és hatékonyabb.

Az éles környezetből származó, napi szinten használt gyakorlati példák segítségével megérted mire jó az ipset és hogyan használd azt a saját környezetedben.