LINUX.ORG.RU

iptbles: На сколько опасно пропускать все пакеты с состояниями RELATED и ESTABLISHED внутрь сети?

 , ,


1

3

Задача: раздавать доступ к Интернет по MAC-адресам (гаджетам, планшетам, телефонам и etc сотрудников, кои они регулярно и часто меняют и посему резервировать для них IP адреса накладно).

На шлюзе (Debian Linux) задействованы (для примера) вот такие правила:

MAC='08:00:27:25:AC:27'
INETDEV='eth0'
LOCALDEV='eth1'
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -t nat -A PREROUTING -m mac --mac-source $MAC -j MARK --set-mark 100
iptables -t nat -A POSTROUTING -m mark --mark 100 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source $MAC -i $LOCALDEV -o $INETDEV -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -i $INETDEV -o $LOCALDEV -j ACCEPT

Т.е. политика по умолчанию DROP, через цепочку FORWARD пропускаются наружу только пакеты с указанного MAC адреса, пакеты с указанного MAC-адреса идущие во вне маскарадятся, внутрь пускаются все пакеты со статусами соединения RELATED и ESTABLISHED.

Всё прекрасно работает, именно так как и было надо.

Вопрос, насколько опасно пропускать внутрь все пакеты установленных соединений, может ли это как то сказаться на безопасности при вышеуказанных правилах?

Безопасно, т.к. эти состояния как раз существуют с целью отделить правильный трафик от неправильного.

anonymous ()

Желательно фильтровать трафик в обе стороны

iptables -A FORWARD -m mac --mac-source $MAC -i $LOCALDEV -o $INETDEV -m conntrack -p ALL --ctstate INVALID -j DROP
iptables -A FORWARD -m mac --mac-source $MAC -i $LOCALDEV -o $INETDEV -m conntrack -p TCP ! --syn --ctstate NEW -j DROP
iptables -A FORWARD -m mac --mac-source $MAC -i $LOCALDEV -o $INETDEV -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m mac --mac-source $MAC -o $LOCALDEV -i $INETDEV -m conntrack -p ALL --ctstate INVALID -j DROP
iptables -A FORWARD -m mac --mac-source $MAC -o $LOCALDEV -i $INETDEV -m conntrack -p TCP ! --syn --ctstate NEW -j DROP  # Если внутрь не будет соединений можно удалить как лишнее.
iptables -A FORWARD -m mac --mac-source $MAC -o $LOCALDEV -i 
$INETDEV -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

anonymous ()

Задача: раздавать доступ к Интернет по MAC-адресам (гаджетам, планшетам, телефонам и etc сотрудников, кои они регулярно и часто меняют и посему резервировать для них IP адреса накладно).

по MAC-адресам

...которые можно очень легко подменить. Копни в сторону WPA2-Enterprise.

edigaryev ★★★★★ ()
Ответ на: комментарий от edigaryev

Необходимости в защите от подмены адресов в конкретном случае нет, ограничения на доступ к Инитернет исключительно, что бы гдостей не накачали. Через проксю доступ итак практически у всех есть. Головняк доставляют только телефоны и планшеты, кои из-за кризиса ещё и меняют кажну неделю да не по разу.

ladserg ()
Ответ на: комментарий от anonymous
iptables -A FORWARD -m mac --mac-source $MAC -o $LOCALDEV -i $INETDEV -m conntrack -p ALL --ctstate INVALID -j DROP
iptables -A FORWARD -m mac --mac-source $MAC -o $LOCALDEV -i $INETDEV -m conntrack -p TCP ! --syn --ctstate NEW -j DROP  # Если внутрь не будет соединений можно удалить как лишнее.
iptables -A FORWARD -m mac --mac-source $MAC -o $LOCALDEV -i $INETDEV -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Когда пакет идёт внутрь, MAC адрес цели ещё не известен (именно на данном этапе), из-за чего эти строки не работает.

ladserg ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.