Wie programmiere ich iptables-Regeln programmatisch im laufenden Betrieb?

Brauche ich zur Abfrage bestehender Regelungen, als auch in der Lage, einfach hinzufügen und löschen von Regeln. Ich habe nicht gefunden eine API ist, dies zu tun. Gibt es etwas, was ich bin fehlt?

Den nächsten habe ich zu einer Lösung kommen wird, mit iptables-save | iptables-xml für Abfragen und manuell aufrufen der iptables-Befehl selbst hinzufügen/löschen von Regeln. Eine andere Lösung habe ich mir überlegt einfach die Regeneration des gesamten Regelsatz aus meiner Anwendung Datenbank und Spülung der gesamten Kette, dann die Anwendung wieder. Aber ich möchte dies vermeiden, da ich nicht wollen, um alle Pakete verwerfen-es sei denn, es gibt einen Weg, um atomar zu tun. Ich Frage mich, ob es einen besseren Weg.

Einer API in C wäre Super, aber als ich Plane zu bauen, diese in einen stand-alone-suid-Programm, Bibliotheken, die dies tun, in JEDER Sprache sind auch in Ordnung.

InformationsquelleAutor der Frage Ycros | 2008-09-20

17

Aus der netfilter-FAQ:

Die Antwort ist leider: Nein.

Könnte man nun denken " aber was ist mit libiptc?'. Wie bereits darauf hingewiesen unzählige Male auf der Mailingliste(N), libiptc war NIE soll als öffentliche Schnittstelle. Wir garantieren nicht, eine stabile Oberfläche, und es ist geplant, entfernen Sie es in die nächste Inkarnation von linux-Paket-Filterung. libiptc ist viel zu niedrig-Schicht verwendet werden, die vernünftigerweise sowieso.

Wir sind uns bewusst, dass es einen fundamentalen Mangel, der für eine solche API, und wir arbeiten an der Verbesserung dieser situation. Bis dahin empfiehlt es sich, entweder die Verwendung von system() oder öffnen Sie eine pipe in stdin von iptables-restore. Letzteres wird Ihnen einen Weg, eine bessere Leistung.

InformationsquelleAutor der Antwort Eric Lathrop
12

Mittels iptables-save und iptables-restore, query und regenerieren Regeln ist einfach der effizienteste Weg, es zu tun. Diese verwendet, um, einmal, shell-Skripte sein, aber jetzt sind Sie C-Programme, die sehr effizient arbeiten.

Allerdings sollte ich darauf hinweisen, dass es ist ein Werkzeug, das Sie verwenden können, die machen die Aufrechterhaltung der iptables viel einfacher. Die meisten dynamischen Regelsätze sind wirklich die gleiche Regel viele Male wiederholt, wie zum Beispiel:
```
iptables -A INPUT -s 1.1.1.1 -p tcp -m --dport 22 -j ACCEPT
iptables -A INPUT -s 2.2.2.0/24 -p tcp -m --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j REJECT
```
Statt ersetzen diese Regeln zu jeder Zeit, die Sie ändern möchten, welche ports kann der Zugriff auf port 22 (nützlich, wenn Sie sagen, port-knocking), die Sie verwenden können, ipsets. Viz:
```
ipset -N ssh_allowed nethash
iptables -A ssh_allowed -m set --set ssh_allowed src -p tcp -m --dport 22 -j ACCEPT
ipset -A ssh_allowed 1.1.1.1
ipset -A ssh_allowed 2.2.2.0/24
```
Sets halten kann, ip-Adressen, Netzwerken, ports, mac-Adressen, und haben die timeouts auf Ihre Aufzeichnungen. (Wollten Sie schon immer etwas für nur eine Stunde?).

Gibt es sogar ein atomarer Art zu vertauschen, einen Satz mit einem anderen, also ein refresh bedeutet das erstellen einer neuen temporärer Satz, dann tauschen Sie es in, wie der name des bestehenden gesetzt werden.

InformationsquelleAutor der Antwort Jerub
5

Können Sie erwägen,rfwdie die REST-API für iptables.
Es ist serialisieren iptables-Befehle aus verschiedenen, potenziell konkurrierenden Quellen und aus der Ferne führt iptables-on-the-fly.

rfw ist konzipiert für verteilte Systeme, die versuchen, aktualisieren Sie die firewall-Regeln auf mehreren Boxen, aber es kann ausgeführt werden, auch auf einer einzigen Maschine auf dem localhost-interface. Dann kann die Vermeidung der SSL und Authentifizierung overhead, wie es laufen kann, auf der plain-HTTP-in diesem Fall.

Beispiel Befehl:
```
PUT /drop/input/eth0/11.22.33.44
```
entspricht:
```
iptables -I INPUT -i eth0 -s 11.22.33.44 -j DROP
```
Können Sie insert-und delete-Regeln sowie für die Abfrage zum aktuellen status zu erhalten, die bestehenden Regeln im JSON-format:
```
GET /list/input
```
Disclaimer: ich begann das Projekt. Es ist open-source unter der MIT-Lizenz.

InformationsquelleAutor der Antwort Grzegorz Luczywo
4

Soweit ich das verstanden habe (obwohl es keine Referenz scheint, es zu erwähnen), iptables-restore atomar ist. Am Ende, wenn die COMMIT Zeile gelesen, iptables Anrufe iptc_commit im libiptc (die in eine interne Schnittstelle, die Sie nicht verwenden sollte), das dann ruft setsockopt(SO_SET_REPLACE) mit Ihrem neuen Regelsätzen.

Klingt etwa wie atomic, wie Sie bekommen können: mit einem kernel-Aufruf. Jedoch, mehr Kenntnisse die Parteien sind aufgefordert, zu bestreiten. 🙂

Bearbeiten:
Ich kann bestätigen, dass die Beschreibung korrekt ist. iptables-restore erfolgt in Form einer atomaren operation im kernel.

Werden noch mehr bestimmten die operation "nur" atomar ist auf einer pro-CPU-basis. Wie speichern wir die gesamte Regelsatz blob pro CPU (wegen der cache-Optimierungen).

InformationsquelleAutor der Antwort Chris Jester-Young
3

Gibt es bewusst keine API zur Verwaltung dieser Regeln. Du sollst nicht so tun wollen. Oder so etwas.

Wenn Sie brauchen Regeln, die hinreichend dynamische Sie kümmern sich um die performance der Ausführung von /sbin/iptables, gibt es andere Möglichkeiten, es zu tun:
- Mit so etwas wie die "letzten" match-oder ip-set passende, Sie können hinzufügen/entfernen von IP-Adressen, von schwarz/weiß-Listen ohne änderung der Regel festgelegt.
- Die Sie übergeben können Pakete in den userspace für die Filterung mit NFQUEUE
InformationsquelleAutor der Antwort MarkR

Diesem morgen ich wachte zu finden, dass war immer ein Denial-Of-Service (DOS) - Angriff aus Russland. Sie schlugen mir aus Dutzenden von IP-Blöcken. Sie müssen entweder einen großen pool von IPs oder irgendeine Art von proxy-Liste/service. Jedes mal, wenn ich blockiert eine IP, ein anderes aufgetaucht. Schließlich suchte ich mir ein script, und fand, die ich brauchte, um zu schreiben, meine eigene Lösung. Das folgende ist ein bisschen aggressiv, aber Sie waren läuft meine TOP-LOAD-LEVEL auf über 200.

Hier ist eine kurze Skript, das ich schrieb, zu blockieren, die DOS in Echtzeit.

cat  **"output of the logs"** | php ipchains.php **"something unique in the logs"**

==> PHP-Script:

<?php

$ip_arr = array();

while(1)
{
   $line = trim(fgets(STDIN)); //reads one line from STDIN
   $ip = trim( strtok( $line, " ") );

   if( !array_key_exists( $ip, $ip_arr ) )
      $ip_arr[$ip] = 0;

   $regex = sprintf( "/%s/", $argv[1] );

   $cnt = preg_match_all( $regex, $line );

   if( $cnt < 1 ) continue;

   $ip_arr[$ip] += 1;

   if( $ip_arr[$ip] == 1  )
     {
//    printf( "%s\n", $argv[1] );
//    printf( "%d\n", $cnt );
//    printf( "%s\n", $line );

       printf( "-A BLOCK1 -s %s/24 -j DROP\n", $ip );

       $cmd = sprintf( "/sbin/iptables  -I BLOCK1  -d %s/24 -j DROP", $ip );
       system( $cmd );
     }
}

?>

Annahmen:

1) BLOCK1 is a Chain already created. 
2) BLOCK1 is a Chain that is run/called from the INPUT CHAIN 
3) Periodically you will need to run "ipchains -S BLOCK1" and put output in /etc/sysconfig file. 
4) You are familiar with PHP 
5) You understand web log line items/fields and output.

InformationsquelleAutor der Antwort Patrick

1

Dies ist ein Beispiel für die bash benutzen, und iptables dynamisch blockiert Hacker missbrauchen sshd auf CentOS. In diesem Fall habe ich konfiguriert sshd zu unterbinden Passwort-Anmeldung (ermöglicht Tasten). Ich schaue in /var/log/secure für Einträge von "Bye Bye", die sshd ' s höfliche Art zu sagen: f-off...
```
IP=$(awk '/Bye Bye/{print $9}' /var/log/secure |
     sed 's/://g' |sort -u | head -n 1)

[[ "$IP" < "123" ]] || {

  echo "Found $IP - blocking it..." >> /var/log/hacker.log

  /sbin/iptables -A INPUT -s $IP -j DROP

  service iptables save

  sed -i "/$IP/d" /var/log/secure

}
```
Ich dieses in einer Schleife jede Sekunde, oder minute, oder was auch immer, macht mich glücklich. Ich Teste den Wert von $IP, um zu überprüfen, es fand ein nützlicher Wert, wenn ich, also aufrufen von iptables fallen zu lassen, und ich sed benutzen, löschen der log-Datei $IP, so dass der Eintrag nicht zu bekommen, wieder Hinzugefügt.

Ich ein wenig pre-processing (nicht gezeigt) auf der weißen Liste einige wichtige IPs, die immer gültig sind und, die gehabt haben können Probleme mit der Verbindung (durch Bedienungsfehler).

Sich von Zeit zu Zeit Sortiere ich die iptables filter-Liste und erstellen Sie IP-Bereiche, die von Ihnen (mit einem anderen script - und wenn überprüft, Sie sind in der Regel IP-Bereiche aus Indien, china und Russland). So, meine gesamte iptables Filterregel gesetzt bleibt zwischen 50 und 500 Einträge; ipset nicht viel bessern auf eine Liste, die kurz.

InformationsquelleAutor der Antwort Andrew
0

MarkR ist richtig, du bist nicht, dies zu tun. Der einfachste Weg ist der Aufruf von iptables aus dem Skript oder schreiben die iptables-config und 'wiederherstellen'.

Immer noch, wenn Sie wollen, Lesen Sie die iptables-Quellen. iptables verwendet Spiele und Tabellen als shared objects. Sie können die Quelle oder.

Den Linux netfilter hat auch einige include-Dateien unter /usr/include/netfilter*. Diese sind etwas low-level-Funktionen. Es ist das, was iptables verwendet. Das ist, als in der Nähe eine API, wie man bekommen kann, ohne iptables.

Aber diese API ist 'chaotisch'. Bedenken Sie, dass es entworfen wurde, verwendet werden nur über iptables. Es ist nicht sehr gut dokumentiert, können Sie auf sehr spezifische Probleme, die API ändern kann, Recht schnell, ohne jede Vorwarnung, so ein upgrade vermutlich brechen wird Ihr code, etc.

InformationsquelleAutor der Antwort terminus

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.