Con “iptables -N rate-limit“, viene creata una nuova catena nella tabella di default che è quella “filter“.

Attraverso il connection tracking (modulo conntrack), diciamo a netfilter di limitare il numero di connessioni della catena “rate-limit” a 3 al minuto e il parametro “–limit-burst” indica il massimo burst (raffica) prima che il limite  li respinga.

Il 4 comando è autoesplicativo: quello che arriva alla catena “rate-limit” va cestinato!

L’ultima riga fa in modo che tutto ciò che sia diretto alla porta 80 (web) vada a finire nella catena “rate-limit” così è possibile controllare il numero di connessioni in entrata e se necessario respingerne alcune.

Ovviamente il mio è solo un esempio che può essere personalizzato in base alle proprie esigenze.

Buon iptables e felice anno nuovo!:)

Ci viene in aiuto ULOG, un tool che lavora in userspace e permette   quindi,   tramite un   programma   in   continuo   ascolto,   di   gestire   tali   informazioni nella maniera più disparata.

Procediamo con l’installazione dei pacchetti necessari:

apt-get install ulogd ulogd-mysql

Adesso va creato il database con gli opportuni privilegi. Tralascio questa fase perché è banale, specie con phpMyAdmin.
Le struttura della tabella è scritta nel file /usr/share/doc/ulogd-mysql/mysql.table, quindi lo carichiamo nel database appena creato con:

mysql -u <utente> -p <nome_db> < /usr/share/doc/ulogd-mysql/mysql.table

Procediamo con la configurazione di ULOG editando il file /etc/ulogd.conf.

Nella sezione plugins va decommentato:

plugin="/usr/lib/ulogd/ulogd_MYSQL.so"

visto che i dati andranno sul un db MySQL.

Impostiamo l’account per l’accesso al database:

[MYSQL]
table="ulog"
pass="<password>"
user="<user>"
db="<database>"
host="localhost"

Bene, riavviamo ULOG:

/etc/init.d/ulogd restart

Proviamo il tutto impostando una regola di iptables con il target ULOG:

iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth0 -j ULOG

In breve: tutto quello che proviene dalla classe lan 192.168.1.0/24 ed esce dall’interfaccia eth0 (verso Internet) e quindi viene nattato, lo registriamo su MySQL. Ovviamente possiamo impostare qualsiasi regola di firewall con target ULOG per testarne il funzionamento.

MySQL ha qualche record in più? Bene, abbiamo finito.

In questo articolo descriverò com’è possibile dividire il traffico proveniente dalla vostra LAN verso due gateway di due provider distinti in modo tale da velocizzare il download dei client.

Schemattizzando la rete, dovremmo avere questo:

Premesso che:

• la Linux box è gia configurata a fare il masquerading della LAN
• le interfacce LAN, Provider 1 e Provider 2 sono gia configurate e funzionanti
• tutto funziona correttamente verso il gateway di default

Sarà necessario installare iproute:


apt-get install iproute


Adesso aggiungiamo le due nuove tabelle di routing nel file /etc/iproute2/rt_tables:


255 local
254 main
253 default
#Righe aggiunte
252 ngi
251 fastweb
#Fine
0 unspec

Come potete vedere, ho aggiunto due tabelle che si chiamano ngi e fastweb così non ho difficoltà a ricordare i provider che utilizzo.

Una volta salavato il file sarà necessario creare questo script:

#!/bin/bash
### VARIABILI DA SETTARE
#Interfaccia LAN
IF0="eth0";
# Network dell'interfaccia LAN
P0_NET="";
# Interfaccia provider 1
IF1="eth1";
# IP dell'interfaccia associata al provider 1
IP1="";
# Gateway del provider 1
P1="";
# Network del provider 1
P1_NET="";
# Tabella di routing provider 1
T1="fastweb";
# Interfaccia provider 2
IF2="eth2";
# IP dell'interfaccia associata al provider 2
IP2="";
# Gateway del provider 2
P2="";
# Network del provider 2
P2_NET="";
# Tabella di routing provider 2
T2="ngi";
## FINE VARIABILI DA SETTARE
# Attivazione ip_forward e rp_filter...
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth2/rp_filter
ip route add $P1_NET dev $IF1 src $IP1 table $T1
ip route add default via $P1 table $T1
ip route add $P2_NET dev $IF2 src $IP2 table $T2
ip route add default via $P2 table $T2
ip rule add from $IP1 table $T1
ip rule add from $IP2 table $T2
ip route add $P0_NET dev $IF0 table $T1
ip route add $P2_NET dev $IF2 table $T1
ip route add 127.0.0.0/8 dev lo table $T1
ip route add $P0_NET dev $IF0 table $T2
ip route add $P1_NET dev $IF1 table $T2
ip route add 127.0.0.0/8 dev lo table $T2
# Rimuovo il gateway di default
route del default
# Load balance tra le connessioni
ip route add default scope global nexthop via $P1 dev $IF1 weight 1 nexthop via $P2 dev $IF2 weight 1


Salvate lo script settando le variabili con le impostazioni attinenti la vostra rete ed assegnate i permessi di esecuzione:


chmod +x nome_script


Eseguite lo script e le vostre richieste verso Internet saranno bilanciate verso i due gateway e quindi, specie nei software p2p avrete degli ottimi benefici.

Se si ha la necessità di raggiungere un determinato host attraverso uno specifico provider potete usare il marking dei pacchetti, quindi vanno aggiunte allo script visto sopra queste due righe:

ip rule add fwmark 1 lookup fastweb
ip rule add fwmark 2 lookup ngi


Nel mio caso, ho assegnato il mark 1 alla tabella di routing chiamata fastweb e 2 a quella chiamata ngi.

Configurato il routing è necessario markare i pacchetti tramite iptables:

# Vincoliamo le richieste verso Google ad essere instradate tramite Fastweb:
iptables -t mangle -I INPUT -i eth0 -d www.google.com -j MARK --set-mark 1
# Mentre le richieste verso IdeaFactory transiteranno per NGI:
iptables -t mangle -I INPUT -i eth0 -d www.ideafactory.it -j MARK --set-mark 2


Come potete vedere, le regole di firewall sono inserite nella tabella mangle di INPUT perché è la prima che viene presa in considerazione all’arrivo di un pacchetto e quindi precedente al routing.

Spero di aver reso la vostra connessione più veloce…spendendo due abbonamenti ad Internet!

1. bloccare tutto e concedere l’accesso a pochi servizi scelti (http, smtp, pop3 etc)
2. far passare tutto ciò che non è p2p

La soluzione più rapida e meno onerosa in termini di risorse è la prima.

Purtroppo però ci sono servizi che si basano su porte non standard che devono essere accessibili e quindi, sarebbe un impresa non da poco aggiungere le porte suddette alla nostra white list.

Esistono però soluzioni software in grado di riconoscere traffico p2p ed eventualmente bloccarlo.

La più valida da me provota è l7-filter.

Dalla home page di l7-filter troviamo la documentazione necessaria per l’avvenura che può essere affrontata in due modi:

1. user space
2. kernel space

Per pigrizia avevo provato a percorrere la prima strada ma, con un numero considerevole di connessioni e quindi di pacchetti da processare, si è rivelata un arma a doppio taglio: funziona bene fin quando si satura la coda e poi droppa tutti i pacchetti.

Per un uso casalingo dovrebbe andare bene, quindi vediamo come fare.

Ovviamente la distribuzione utilizzata e Debian in versione Etch.

L 7 – user space

Per usare il firewall di levello 7 in user space è necessario scaricare due pacchetti:

1. l7-filter-userspace
2. l7-protocols

Io li ho sistemati in /usr/src/ e decompressi con:

tar xvzf l7-filter-userspace-v0.4.tar.gz
tar xvzf l7-protocols-2007-07-27.tar.gz

Per compilare correttamente il pacchetto l7-filter-userspace è necessario installare alcune cosette:

apt-get install libnfnetlink-dev libnfnetlink1 libnetfilter-queue-dev libnetfilter-queue1 libnetfilter-conntrack-dev libnetfilter-conntrack1 libnetfilter-conntrack1-dbg

Adesso siamo a posto.
Basta entrare nella directory l7-filter-userspace-v0.4 e dare i soliti comandi per la compilazione:


./configure
make
make install


Se tutto è andato liscio possiamo copiare il binario (l7-filter) sotto /usr/local/bin per averlo nel path ed occuparci di l7-protocols.
Andiamo nella directory l7-protocols-2007-07-27, che contiene i pattern per riconoscere il traffico nel livello 7.
Adesso basta dare un semplice:

make install

Ed i files verranno copiati dentro /etc/l7-protocols/.
Il funzionamento di l7-filter in user space si base sull’utilizzo di questo modulo:

ip_conntrack_netlink

Che va caricato prima di utilizzare il programma.
Quel modulo permette di interagire in user space con il kernel e quindi di gestire il traffico processato da netfilter.
Utilizzando un file di configurazione saremo in grado di markare i pacchetti sospetti e successivamente di dropparli.

Il file, che ho posizionato sotto /etc/l7-protocols/ e chiamato l7-filter.conf contiene questo:

ares 9
bittorrent 9
gnucleuslan 9
gnutella 9
mute 9
openft 9
thecircle 9
100bao 9
applejuice 9
directconnect 9
edonkey 9
fasttrack 9
goboogy 9
hotline 9
imesh 9
kugoo 9
napster 9
poco 9
soribada 9
soulseek 9
tesla 9
xunlei 9

E’ semplicemente la lista dei protocolli p2p riconosciuti da layer 7 con a fianco il numero (nel mio caso 9) con cui verranno marchiati quando riconosciuti.
Fatto ciò è necessario mettere in ascolto l7-userspace:


iptables -t mangle -A FORWARD -j QUEUE
iptables -t filter -A FORWARD -m mark --mark 9 -j DROP
l7-filter -f /etc/l7-protocols/l7-filter.conf &


Come ho gia detto in precedenza è necessario caricare il modulo ip_conntrack_netlink prima di eseguire l7-filter.

I comandi sopra descritti non fanno altro che vincolare il traffico che entra nella catena di FORWARD della tabella mangle in una coda (QUEUE) sulla quale l7-filter marcherà adeguatamente i pacchetti in base al file di configurazione.
Nel percorso di un pacchetto all’interno di netfilter, la coppia mangle-FORWARD viene prima di filter-FORWARD e quindi è proprio in quest’ultima che impartiremo la regola di DROP dei pacchetti con mark 9 cioè quelli riconosciuti da l7 come p2p.

In alternativa a QUEUE, il traffico può essere dirottato su NFQUEUE e quindi gli step da fare variano (di poco):


iptables -t mangle -A FORWARD -j NFQUEUE --queue-num 3
iptables -t filter -A FORWARD -m mark --mark 9 -j DROP
l7-filter -f /etc/l7-protocols/l7-filter.conf -q 3&


E’ cambiato solo che il traffico viene portato nella coda numero 3 (–queue-num 3) e l7-filter è in ascolto su di essa (-q 3), il risultato è uguale.

Come ho detto all’inizio, questa soluzione è veloce ma ha qualche limitazione sul numero di connessioni gestibili tantè che nel dmesg mi ritrovavo messaggi come questo:


ip_queue: full at 1024 entries, dropping packets(s). Dropped: 111717


e i client non navigavano più.
Cercando con Google ho visto che il numero di entries non è aumentabile tramite il filesystem /proc, ma è una variabile dichiarata all’interno del sorgente, quindi andrebbe modificata e poi ricompilato il kernel.
Ho deciso quindi di ricompilare il kernel, non per modificare quella variabile ma bensì per applicare la patch di l7.

L7 – kernel space

Per rimpilare il kernel abbiamo bisogno del sorgente:

apt-get install linux-source-2.6.18


e di altri arnesi:


apt-get install bzip2 gzip unzip libncurses5-dev kernel-package


Installato il necessario andiamo sotto /usr/src/ per decomprimere i sorgenti:


tar xvjf linux-source-2.6.18.tar.bz2

Creiamo un link simbolico:

ln -s linux-source-2.6.18 linux

Visto che il kernel scaricato è della stessa versione di quello utilizzato, consiglio di copiare il file di configurazione in uso nella directory dei sorgenti:

cp /boot/config-2.6.18-5-amd64 linux/.config

Così abbiamo, inizialmente, l’identica configurazione.
Adesso dal sito di l7 è necessario scaricare il pacchetto netfilter-layer7.
Supponendo che l’abbiamo scaricato e decompresso sotto /usr/src/, entriamo nella directory del kernel /usr/src/linux/ ed applichiamo la patch appropriata:


patch -p1 < ../netfilter-layer7-v2.13/for_older_kernels/kernel-2.6.18-2.6.19-layer7-2.9.patch


Se tutto fila liscio, con make menuconfig andiamo ad abiliatare la nuova feature sotto:

Networking --->
Networking options --->
[*] Network packet filtering (replaces ipchains) --->
Core Netfilter Configuration ---> Netfilter Xtables support (required for ip_tables)

Chiamata Layer 7 match support.
Visto che ci siamo possiamo togliere quello che non serve dal kernel per renderlo più appropriato all’uso che se ne farà, ma ciò è a dir poco facoltativo.
Salvata la configurazione ed usciti dal menù del kernel, ricompiliamo:

make-kpkg --append-to-version=-layer7 --revision=1 -initrd kernel_image

Finito tutto sarà sufficiente spostarci sotto /usr/src/ ed installare il .deb appena creato.
Adesso bisogna incrociare le dita e riavviare.

Bene, adesso applichiamo la patch ad iptables.
Io son pigro ed ho preso i sorgenti del pacchetto Debian senza quindi scaricare niente da netfilter:


apt-get source iptables


Adesso abbiamo i sorgenti sotto iptables-1.3.6.0debian1/iptables, quindi creiamo un link simbolico:


ln -s iptables-1.3.6.0debian1/iptables iptables-1.3.6


Entriamo nella directory appena creata ed applichiamo la patch:

patch -p1 < ../netfilter-layer7-v2.13/iptables-for-kernel-pre2.6.20-layer7-2.13.patch
chmod +x extensions/.layer7-test


Per compilare iptables è necessaria una libreria:


apt-get install libselinux1-dev


Fatto ciò creiamo un link simbolico tra la directory dove attualmente sono contenuti moduli di iptables e /usr/local/lib, che è la directory dove dovrebbero trovarsi i moduli secondo il Makefile:


ln -s /lib/iptables/ /usr/local/lib/iptables

Adesso compiliamo iptables:

cd /usr/src/iptables-1.3.6
make KERNEL_DIR=/usr/src/linux
make install KERNEL_DIR=/usr/src/linux


Se tutto è andato a buon fiine dovremmo avere sotto /usr/local/sbin/ i binari del nuovo iptables che è identico a quello pacchettizzato Debian ma con il modulo layer 7.

Anche in questo caso è necessario avere il pacchetto l7-protocols-2007-07-27 installato.
Come fare l’abbiamo visto prima.

A questo punto siamo pronti per usare layer7 in kernel-space:

modprobe ipt_layer7
iptables -A FORWARD -m layer7 --l7proto ares -j DROP
iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP
iptables -A FORWARD -m layer7 --l7proto gnucleuslan -j DROP
iptables -A FORWARD -m layer7 --l7proto gnutella -j DROP
iptables -A FORWARD -m layer7 --l7proto mute -j DROP
iptables -A FORWARD -m layer7 --l7proto openft -j DROP
iptables -A FORWARD -m layer7 --l7proto thecircle -j DROP
iptables -A FORWARD -m layer7 --l7proto 100bao -j DROP
iptables -A FORWARD -m layer7 --l7proto applejuice -j DROP
iptables -A FORWARD -m layer7 --l7proto directconnect -j DROP
iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP
iptables -A FORWARD -m layer7 --l7proto fasttrack -j DROP
iptables -A FORWARD -m layer7 --l7proto goboogy -j DROP
iptables -A FORWARD -m layer7 --l7proto hotline -j DROP
iptables -A FORWARD -m layer7 --l7proto imesh -j DROP
iptables -A FORWARD -m layer7 --l7proto kugoo -j DROP
iptables -A FORWARD -m layer7 --l7proto napster -j DROP
iptables -A FORWARD -m layer7 --l7proto poco -j DROP
iptables -A FORWARD -m layer7 --l7proto soribada -j DROP
iptables -A FORWARD -m layer7 --l7proto soulseek -j DROP
iptables -A FORWARD -m layer7 --l7proto tesla -j DROP
iptables -A FORWARD -m layer7 --l7proto xunlei -j DROP

Con le istruzioni sopra riportare abbiamo bloccato tutti i protocolli p2p conosciuti (gli stessi inseriti nel file necessario all’utilizzo di layer 7 in user space).
Il p2p è bloccato e speriamo non tutta la navigazione…

Fatemi sapere se riscontrate problemi.