Как я могу программно управлять правилами iptables на лету?

Question

Мне нужно запросить существующие правила, а также легко добавлять и удалять правила. Я не нашел API для этого. Есть что-то, что мне не хватает?

Ближайший я пришел к решению с помощью iptables-save | iptables-xml для запроса и вручную вызова команды iptables для добавления/удаления правил. Другое решение, которое я рассмотрел, - это просто регенерировать весь набор правил из базы данных моего приложения и очистить всю цепочку, а затем снова применить его. Но я хочу избежать этого, так как я не хочу отказываться от каких-либо пакетов - если не существует способа атомизировать это. Мне интересно, есть ли лучший способ.

API в C будет отличным; однако, поскольку я планирую построить это в автономной suid-программе, библиотеки, которые делают это на ЛЮБОЙ язык, тоже прекрасны.

Answer 1

Умышленно нет API для управления этими правилами. Вы не должны этого делать. Или что-то.

Если вам нужны правила, которые достаточно динамичными вы заботитесь о производительности выполнения/SBIN/IPTables, есть и другие способы сделать это:

• Используя что-то вроде «недавнего» матча или IP Set соответствия , вы можете добавлять/удалять IP-адреса из черно-белых списков без изменения набора правил.
• Вы можете передавать пакеты в пользовательское пространство для фильтрации с использованием NFQUEUE

Answer 2

правого MarkR, вы же не должны делать это. Самый простой способ - вызвать iptables из сценария или написать конфигурацию iptables и «восстановить» ее.

По-прежнему, если хотите, прочитайте источник iptables. iptables использует совпадения и таблицы как общие объекты. Вы можете использовать источник или их.

В Linux netfilter также есть некоторые файлы include в каталоге/usr/include/netfilter *. Это несколько низкоуровневые функции. Это то, что использует iptables. Это похоже на API, который можно получить без iptables.

Но этот API является «грязным». Имейте в виду, что он предназначен для использования только с помощью iptables. Это не очень хорошо документировано, вы можете столкнуться с очень специфическими проблемами, API может довольно быстро измениться без предупреждения, поэтому обновление будет разорвать ваш код и т. Д.

Answer 3

Насколько я понимаю (хотя ссылка не упоминается это), iptables-restore является атомарным. В конце, когда считывается строка COMMIT, iptables вызывает iptc_commit в libiptc (который во внутреннем интерфейсе вы не должны использовать), который затем вызывает setsockopt(SO_SET_REPLACE) с новыми наборами правил.

Это звучит так же атомно, как вы можете получить: с одним вызовом ядра. Однако более осведомленным сторонам предлагается оспаривать это. :-)

Редактировать: Я могу подтвердить, что ваше описание верное. iptables-restore выполняется как атомная операция в ядре.

Дополнительная информация Операция «только» является атомарной для каждого процессора. Поскольку мы сохраняем весь блок правил для каждого процессора (из-за оптимизации кеша).

Answer 4

Из netfilter FAQ:

Ответ, к сожалению, это: Нет

Теперь вы можете подумать 'но как насчет libiptc?'. Как неоднократно указывалось в списке рассылки, libiptc был NEVER, предназначенный для использования в качестве открытого интерфейса. Мы не гарантируем стабильный интерфейс, и его планируется удалить в следующем воплощении фильтрации пакетов linux. libiptc слишком низкоуровневый, чтобы использовать его в любом случае.

Мы хорошо знаем, что для такого API существует фундаментальный недостаток, и мы работаем над улучшением этой ситуации. До тех пор рекомендуется либо использовать system(), либо открыть трубу в stdin iptables-restore. Последний даст вам лучшую производительность.

Answer 5

Использование iptables-save и iptables-restore для запроса и регенерации правил - это самый эффективный способ сделать это. Однажды они были сценариями оболочки, но теперь они являются программами C, которые работают очень эффективно.

Однако я должен указать, что есть инструмент, который вы можете использовать, что упростит обслуживание iptables. Большинство динамических наборов правил действительно такое же правило повторяется много раз, например:

iptables -A INPUT -s 1.1.1.1 -p tcp -m --dport 22 -j ACCEPT 
iptables -A INPUT -s 2.2.2.0/24 -p tcp -m --dport 22 -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 22 -j REJECT 

Вместо того, чтобы заменить те правила, каждый раз, когда вы хотите, чтобы изменить то, что порты могут получить доступ к порту 22 (полезно для скажем, порт стучит), вы можете используйте ipsets. Viz:

ipset -N ssh_allowed nethash 
iptables -A ssh_allowed -m set --set ssh_allowed src -p tcp -m --dport 22 -j ACCEPT 
ipset -A ssh_allowed 1.1.1.1 
ipset -A ssh_allowed 2.2.2.0/24 

Наборы могут содержать IP-адреса, сети, порты, адреса mac и иметь тайм-ауты в своих записях. (Когда-либо хотелось добавить что-то всего на час?).

Существует даже атомный способ обмена одним набором с другим, поэтому обновление означает создание нового временного набора, а затем его замену как имя существующего набора.

Answer 6

Сегодня утром я проснулся, обнаружив, что получил нападение с отказа в обслуживании (DOS) из России. Они ударили меня из десятков блоков IP. У них должен быть либо большой пул IP-адресов, либо какой-то список/служба прокси. Каждый раз, когда я блокировал IP-адрес, появился еще один. Наконец, я искал сценарий и нашел, что мне нужно написать собственное решение. Ниже приведена небольшая агрессия, но они выполняли мой TOP LOAD LEVEL до более 200.

Вот быстрый сценарий, который я написал, чтобы блокировать DOS в реальном времени.

cat **"output of the logs"** | php ipchains.php **"something unique in the logs"** 

==> PHP скрипт:

<?php 

$ip_arr = array(); 

while(1) 
{ 
    $line = trim(fgets(STDIN)); // reads one line from STDIN 
    $ip = trim(strtok($line, " ")); 

    if(!array_key_exists($ip, $ip_arr)) 
     $ip_arr[$ip] = 0; 

    $regex = sprintf("/%s/", $argv[1]); 

    $cnt = preg_match_all($regex, $line); 

    if($cnt < 1) continue; 

    $ip_arr[$ip] += 1; 

    if($ip_arr[$ip] == 1 ) 
    { 
//  printf("%s\n", $argv[1]); 
//  printf("%d\n", $cnt); 
//  printf("%s\n", $line); 

     printf("-A BLOCK1 -s %s/24 -j DROP\n", $ip); 

     $cmd = sprintf("/sbin/iptables -I BLOCK1 -d %s/24 -j DROP", $ip); 
     system($cmd); 
    } 
} 

?> 

Предположение:

1) BLOCK1 is a Chain already created. 
2) BLOCK1 is a Chain that is run/called from the INPUT CHAIN 
3) Periodically you will need to run "ipchains -S BLOCK1" and put output in /etc/sysconfig file. 
4) You are familiar with PHP 
5) You understand web log line items/fields and output. 

Answer 7

Это пример использования Баша и IPTables динамически блокировать хакер злоупотребляющих SSHd на CentOS , В этом случае я настроил sshd для запрета ввода пароля (позволяет ключи). Я смотрю в/var/log/secure для записей «Bye Bye», который является вежливым способом sshd сказать f-off ...

IP=$(awk '/Bye Bye/{print $9}' /var/log/secure | 
    sed 's/://g' |sort -u | head -n 1) 

[[ "$IP" < "123" ]] || { 

    echo "Found $IP - blocking it..." >> /var/log/hacker.log 

    /sbin/iptables -A INPUT -s $IP -j DROP 

    service iptables save 

    sed -i "/$IP/d" /var/log/secure 

} 

Я запускаю это в цикле каждую секунду, минуту или что-то, что делает меня счастливым. Я проверяю значение $ IP, чтобы проверить, что оно найдено полезное значение, поэтому я вызываю iptables, чтобы его удалить, и я использую sed для очистки файла журнала $ IP, поэтому запись не добавляется снова.

Я немного предопределяю (не показан) в белый список некоторых важных IP-адресов, которые всегда действительны и которые могут иметь проблемы с подключением (из-за ошибки пользователя).

Время от времени я сортирую список фильтров iptables и создаю диапазоны IP-адресов из них (используя другой скрипт - и при проверке они обычно относятся к диапазонам IP из Индии, Китая и России). Таким образом, мой общий набор правил фильтрации iptables составляет от 50 до 500 записей; ipset на самом деле не сильно улучшает список, короткий.

Answer 8

Вы можете использовать rfw, который является REST API для iptables. Он сериализует команды iptables из разных потенциально параллельных источников и удаленно запускает iptables «на лету».

rfw предназначен для распределенных систем, которые пытаются обновить правила брандмауэра на нескольких блоках, но могут также запускаться на одной машине на локальном интерфейсе. Тогда это позволяет избежать использования SSL и аутентификации, поскольку в этом случае он может быть запущен на простом HTTP.

Образец команды:

PUT /drop/input/eth0/11.22.33.44 

что соответствует:

iptables -I INPUT -i eth0 -s 11.22.33.44 -j DROP 

Вы можете вставлять и удалять правила, а также запрос для текущего состояния, чтобы получить существующие правила в формате JSON:

GET /list/input 

Отказ от ответственности: Я начал этот проект. Это открытый источник по лицензии MIT.