Как пустить PREROUTING iptables через фильтр?

Question

[C_hard]

Всем привет.
Появилась необходимость дропать пакеты на этапе PREROUTING. Вот исходный скрипт с правилами (на примере 80 порта, на самом деле там много разных портов).

# SSH на машине
iptables -A INPUT -i ${WAN} -d ${WAN_IP} -p tcp --dport 22 -j ACCEPT
# Порты для двух виртуалок
iptables -A INPUT -i ${WAN} -d ${WAN_IP} -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i ${WAN} -d ${WAN_IP} -p tcp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i ${WAN} -d ${WAN_IP} --dport 80 -j DNAT --to-destination ${LOCAL_VM_1}:80
iptables -t nat -A PREROUTING -p tcp -i ${WAN} -d ${WAN_IP} --dport 8080 -j DNAT --to-destination ${LOCAL_VM_2}:80

Таким образом траффик распределяется между двумя виртуалками с локальными адресами LOCAL_VM_1 и LOCAL_VM_2, в итоге имеющими общий вешний IP-адрес WAN_IP.
Проблема в том, что в инпуте я не могу дропнуть пакеты при необходимости (а значит строка iptables -A INPUT -i ${WAN} -d ${WAN_IP} -p tcp --dport 80 -j ACCEPT бесполезна). Также хотелось бы туда добавить фильтры для syn flood атак.
Вот что я пытался сделать:

iptables -A INPUT -i ${WAN} -d ${WAN_IP} -p tcp --dport 22 -j ACCEPT
iptables -N Filters
iptables -A Filters -j DROP
iptables -A Filters -i lo -j ACCEPT
iptables -A Filters -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A Filters -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A Filters -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A Filters -p icmp --icmp-type echo-request -j ACCEPT
iptables -A Filters -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A Filters -m state --state INVALID -j DROP
iptables -A Filters -p tcp ! --syn -m state --state NEW -j DROP

iptables -A Filters -i ${WAN} -d ${WAN_IP} -p tcp --dport 22 -j ACCEPT
iptables -A Filters -i ${WAN} -d ${WAN_IP} -p tcp --dport 80 -j ACCEPT
iptables -A Filters -i ${WAN} -d ${WAN_IP} -p tcp --dport 8080 -j ACCEPT

iptables -A Filters -p tcp -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP
iptables -A Filters -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP
iptables -A Filters -m limit --limit 200/sec --limit-burst 500 -j DROP
iptables -A INPUT -j Filters
iptables -A FORWARD -j Filters

iptables -t nat -A PREROUTING -p tcp -i ${WAN} -d ${WAN_IP} --dport 80 -j DNAT --to-destination ${LOCAL_VM_1}:80
iptables -t nat -A PREROUTING -p tcp -i ${WAN} -d ${WAN_IP} --dport 8080 -j DNAT --to-destination ${LOCAL_VM_2}:80

При такой настройке я могу подключиться к основной машине по ssh, но на порты виртуалки меня не пускает.
Поскольку сейчас на машину идет ддос-атака, я хочу попробовать закрыть все публичные порты и открывать их для каждого пользователя индивидуально.

Answer 1

[hint000]

хочу попробовать закрыть все публичные порты и открывать их для каждого пользователя индивидуально.

Это называется доступом по белому списку. Ниже пример, как можно это сделать. Только у меня это не в формате исполняемого шелл-скрипта, а в формате конфига, загружаемого командой iptables-restore.

# example

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# WhiteList (разрешенные внешние клиенты)
-N Wht
-A Wht -s 1.2.3.4      -j RETURN
-A Wht -s 2.3.4.5      -j RETURN
# разрешенная подсеть
-A Wht -s 3.4.5.0/24 -j RETURN
# ...

# go to hell
-A Wht  -j DNAT --to-destination 192.168.99.99

-A PREROUTING ! -s 192.168.0.0/16 -p tcp --dport 22 -j Wht
-A PREROUTING ! -s 192.168.0.0/16 -p tcp --dport 22 -j ACCEPT

-A PREROUTING ! -s 192.168.0.0/16 -p tcp --dport 80 -j Wht
-A PREROUTING ! -s 192.168.0.0/16 -p tcp --dport 80 -j DNAT --to-destination 192.168.42.18:80

-A PREROUTING ! -s 192.168.0.0/16 -p tcp --dport 8080 -j Wht
-A PREROUTING ! -s 192.168.0.0/16 -p tcp --dport 8080 -j DNAT --to-destination 192.168.42.19:80

-A PREROUTING -s 192.168.0.0/16 -j ACCEPT

COMMIT

поясню насчёт 192.168.99.99 - этот адрес я выбрал (произвольно, можно любой другой) в качестве "чёрной дыры", куда можно невозбранно отправлять ненужные пакеты. Прописана "дыра" командой ip route add blackhole 192.168.99.99

Comments

[C_hard]

Вот спасибо, получилось. С моим вариантом настройки FORWARD у меня никак не получалось добавлять юзеров на лету, а тут с этим нормально. Хостер говорит, что все это бестолку, поскольку бьют по железу, но хоть проверю наверняка теперь.

Answer 2

[Владимир]

Конечно строка iptables -A INPUT -i ${WAN} -d ${LOCAL_IP} -p tcp --dport 80 -j ACCEPT бесполезна - так как указан ${WAN} интерфейс и в трафике там приходит на ${WAN_IP}. - вам нужно заменить ${LOCAL_IP} на ${WAN_IP} тогда правило заработает.

По ддос атаке - опасно рейтлимитить вест трафик, когда вы делаете вот так:
-A Filters -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP
вы рейтлимитите все и отовсюду, если у вас переполнится conntrac то начнутся потери пакетов и сервер может стать не доступным, в таких правилах всегда указывайте входящий интерфейс и порт.

Comments

[C_hard]

Там ${WAN_IP} указан, опечатка. Покумекал немного, получилось вот

$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

$IPT -A INPUT -i ${WAN} -d ${WAN_IP} -p tcp --dport 22 -j ACCEPT

$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A FORWARD -p tcp -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP
$IPT -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP

$IPT -A FORWARD -p tcp --dport 80 -j ACCEPT

$IPT -t nat -A PREROUTING -p tcp -i ${WAN} -d ${WAN_IP} --dport 80 -j DNAT --to-destination ${LOCAL_VM_1}:80
$IPT -t nat -A PREROUTING -p tcp -i ${WAN} -d ${WAN_IP} --dport 8080 -j DNAT --to-destination ${LOCAL_VM_2}:80

Теперь правила работают. Но если я пытаюсь добавить цепочку syn_flood, доступ к виртуалке опять пропадает.

$IPT -N syn_flood
$IPT -A FORWARD -p tcp --syn -j syn_flood
$IPT -A syn_flood -m limit --limit 200/sec --limit-burst 500 -j DROP
$IPT -A syn_flood -j DROP

А правило FIN,SYN,RST,ACK SYN мне, выходит, нужно писать индивидуально под каждый открытый порт, как и ACCEPT к примеру?

[hint000]

C_hard,

если я пытаюсь добавить цепочку syn_flood, доступ к виртуалке опять пропадает

логично, у вас в двух нижних строках -j DROP, т.е. пакет дропается, если срабатывает лимит, а если лимит не срабатывает, то пакет всё равно дропается на следующей строке - вы же не оставили пакетам ни одного шанса пройти.
В последней строке сделайте -j RETURN

[Владимир]

C_hard, это имеет смысл делать только под порт на который идет атака,

Answer 3

[CityCat4]

Маркируете трафик и дропаете его как только он попадает в FILTER. Не надо пытаться забивать молотком шурупы - для этого отвертка есть.
Вот как я например глушу прилетающие "снаружи" пакеты с RFC1918-адресами: (формат iptables-restore)

*mangle
-A PREROUTING -i eth0 -m set --match-set rfc1918 src -j MARK --set-mark 1
*filter
-A INPUT -m mark --mark 1 -j DROP

Сет rfc1918 - это таблица, которую составляет ipset:

create rfc1918 hash:net family inet hashsize 1024 maxelem 65536 
add rfc1918 10.0.0.0/8
add rfc1918 172.16.0.0/12
add rfc1918 192.168.0.0/16

С его помощью запросто организовать доступ к ssh например только для определенного списка адресов, а всех остальных дропать.

Comments

[C_hard]

С ipset я еще не имел дела. Пока настроил вариант, описанный выше. Если не поможет, буду ваш пробовать уже. Спасибо за ответ.

[CityCat4]

ipset крайне упрощает ведение различных таблиц для iptables - белых, черных и прочих полосатых списков. Достаточно прописать в правиле имя таблицы и потом просто ее пополнять и перезагружать сам ipset